En el punto de mira las infraestructuras críticas en la era de la ciberguerra Un informe global sobre las amenazas que sufren los sectores clave Protección de infraestructuras críticas 1 En el punto de mira ÍNDICE Autores: Introducción y contexto del estudio 1 Stewart Baker, Miembro distinguido invitado, CSIS, y partner, Steptoe & Johnson La amenaza es real 2 Respuesta a la amenaza: recursos y preparación 12 Shaun Waterman, escritor e investigador, CSIS Medidas de seguridad adoptadas para contrarrestar la amenaza 18 El "estado natural" y el papel de los poderes públicos 24 Más seguridad en la era de la ciberguerra 32 Agradecimientos 40 George Ivanov, investigador, CSIS Introducción y contexto del estudio En un mundo cada vez más interconectado, las cibervulnerabilidades de infraestructuras críticas plantean nuevos retos tanto a gobiernos como a propietarios y operadores de todos los sectores y en el mundo entero. Con la situación económica mundial aún frágil tras la crisis financiera, la integridad y la disponibilidad de las industrias nacionales clave pueden pasar a un segundo plano en las prioridades de los gobiernos; sin embargo, siguen siendo determinantes para la vulnerabilidad estratégica. mayor nivel de regulación, seguidos de cerca por China y Alemania. En el otro extremo, los directivos de Estados Unidos mostraron los niveles más bajos. Las opiniones sobre el impacto y la efectividad de las normas eran muy variadas, aunque, en general, la mayoría coincidían en que mejoran la seguridad. Seiscientos responsables de TI y seguridad procedentes de empresas de administración de infraestructuras críticas de siete sectores en 14 países de todo el mundo han contestado de manera anónima a un completo cuestionario con preguntas detalladas sobre sus hábitos, actitudes y políticas de seguridad; el impacto de las normativas, su relación con la Administración, las medidas de seguridad concretas que emplean en sus redes y los tipos de ataques que sufren. Una mayoría de los ejecutivos creían que ya había gobiernos extranjeros implicados en ataques a través de la red contra infraestructuras críticas de su país. Estados Unidos y China se perciben como los principales ciberagresores potenciales, pero la dificultad para atribuir la autoría en el ciberespacio otorga a todos los agresores la posibilidad de negar su culpa. Los propietarios y operadores de estas infraestructuras críticas afirman que sus redes de TI sufren continuos ciberataques, a menudo procedentes de adversarios de gran envergadura. Las consecuencias de estos ataques suelen ser graves, su coste es alto y sus efectos, generalizados. Los datos de la encuesta recogidos para este informe dibujan por primera vez un esquema detallado de las medidas aplicadas por los responsables de la defensa de las redes de TI de importancia crítica para responder a los ciberataques, en un intento de proteger sus sistemas y colaborar con los gobiernos. Un equipo del programa sobre tecnología Technology and Public Policy Program del CSIS (Center for Strategic and International Studies) en Washington DC ha analizado los datos, los ha completado con otras investigaciones y entrevistas y ha elaborado este informe. Aunque, por lo general, los directivos se muestran satisfechos con los recursos destinados a la seguridad, los recortes aplicados como resultado de la recesión son amplios y, en ocasiones, significativos. Además, hay dudas sobre si la preparación de las infraestructuras críticas es suficiente para responder a los ataques a gran escala. Mediante la recopilación de detalles sobre las medidas de seguridad concretas adoptadas por las empresas, hemos podido realizar una comparación objetiva de la seguridad en los distintos sectores de infraestructuras críticas y entre distintos países. También se plantearon a los directivos con responsabilidades en los sistemas de control operativos o industriales preguntas especiales sobre las medidas de seguridad empleadas en dichos sistemas. Según los resultados de la encuesta, China muestra, con diferencia, las mayores tasas de adopción de medidas de seguridad, incluidas las técnicas de cifrado y autenticación robusta de usuarios. Si se comparan los distintos sectores, el sector del agua/saneamiento está a la cola en adopción de medidas de seguridad. Divididos por sector y por país, los datos de la encuesta revelan variaciones significativas en cuanto a percepción e informes de normativas y otras iniciativas a nivel estatal. En India, los directivos indicaron el Metodología Los encuestados son responsables de TI, seguridad o sistemas de control operativo en sus empresas. Cerca de la mitad manifestaron tener responsabilidad en dichos ámbitos a nivel de unidad empresarial y un cuarto dijeron ser responsables a nivel global. La encuesta no se había diseñado para ser un sondeo de opinión estadísticamente válido con muestreo y márgenes de error, sino más bien como una medida aproximada de la opinión de los directivos, una visión instantánea de las opiniones de un grupo significativo de los encargados de la toma de decisiones1. El equipo del CSIS utilizó las entrevistas para establecer el contexto y los antecedentes, y para verificar los datos de la encuesta, añadiendo detalles a la representación de los entornos de regulación y los niveles de amenazas/vulnerabilidades en los siete sectores en cada país, así como para discutir las mejores prácticas. Muchos de los entrevistados se negaron a que se mencionara su nombre y algunos mostraron su rechazo a ser citados o nombrados de cualquier forma. En la sección de reconocimientos agradecemos su colaboración a todos los que accedieron a ser identificados. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 1 La amenaza es real Las redes y los sistemas de control están sometidos a ciberataques constantes, frecuentemente de adversarios de envergadura, como países extranjeros. Los propietarios y operadores de infraestructuras críticas afirman que sus redes de TI están sometidas a ciberataques constantes, frecuentemente de adversarios de envergadura, como países extranjeros. Las agresiones comprenden desde ataques DDoS masivos diseñados para cerrar sistemas hasta sigilosos intentos de entrar en una red sin ser detectado. Aunque siempre resulta difícil averiguar la procedencia de un ciberataque, la mayoría de los propietarios y operadores cree que ya hay gobiernos extranjeros involucrados en ataques a infraestructuras críticas de su país. También puede haber otros agresores, desde vándalos hasta empresas de crimen organizado. Los ataques por motivos económicos, como la extorsión y el robo de servicio, están muy extendidos. El impacto de los ciberataques varía enormemente, pero algunas de las consecuencias registradas en la encuesta son graves, incluidos los fallos operativos críticos. Según los datos recopilados, el coste del tiempo de inactividad que generan los grandes ataques supera los 6 millones de dólares estadounidenses al día. Aparte del coste, el mayor temor que producen los ataques es el daño a la reputación, seguido de la pérdida de información personal sobre clientes. Por mal que suene todo esto, los encuestados creen que, lejos de mejorar, la situación empeorará en el futuro. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 3 Se generalizan los ciberataques graves Más de la mitad de los ejecutivos encuestados (54%) afirmaron haber experimentado "ataques de denegación de servicio a gran escala procedentes de adversarios de envergadura, ya fueran organizaciones criminales, terroristas o países (como en Estonia y Georgia)". La misma proporción afirmó haber sufrido en sus redes "infiltraciones sigilosas" de adversarios de alto nivel, "como GhostNet", una red de espionaje a gran escala conocida por lanzar ataques de malware individualizados que permitían a los hackers infiltrarse, controlar y descargar grandes cantidades de datos de redes informáticas de ONGs, ministerios y organizaciones internacionales en decenas de países. Una mayoría considerable (59%) estaba convencida de que algunos representantes de gobiernos extranjeros ya habían participado en ataques e infiltraciones de este tipo contra las infraestructuras críticas de su país. Porcentaje que cree que países extranjeros han participado en ciberataques contra infraestructuras críticas en su país 75% 60% 45% 30% 15% China 4 Japón Francia Australia India Rusia Estados Alemania Unidos En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Brasil México Arabia Saudí/ Oriente Medio Reino Unido Italia España Total Una mayoría creía que ya había algunos gobiernos extranjeros implicados en ciberataques contra infraestructuras críticas. En 2007, el Informe anual sobre Criminología Virtual de McAfee concluyó que 120 países habían desarrollado, o estaban desarrollando, potencial para el ciberespionaje o la ciberguerra. Las autoridades del Reino Unido y de Alemania han advertido a las principales industrias del sector privado que sus redes son objetivo de intrusión para agencias de inteligencia extranjeras. En Estados Unidos, numerosos artículos de prensa han revelado intrusiones de agencias de inteligencia extranjeras, a menudo atribuidas a China, sobre todo contra los sectores energético y de fabricación de material de defensa. "Está claro que hay entidades extranjeras que no dudarían en (ciber)explorar nuestra infraestructura energética", asegura Michael Assante, Director de Seguridad de la NERC (North American Electric Reliability Corporation), organismo público que representa al sector eléctrico norteamericano. "Probablemente lo harían para estudiar el terreno, para ir buscando un lugar desde el que entrar e intentar mantener el acceso a las redes informáticas". Los ataques son frecuentes y su efecto, grave Casi un tercio (29%) de los encuestados declararon que sufren ataques DDoS a gran escala varias veces al mes, y casi dos tercios de ellos (64%) que los ataques "afectan de alguna manera a sus operaciones". Los ataques de denegación de servicio distribuido (DDoS) emplean redes de ordenadores infectados —a menudo propiedad de personas u organizaciones que ni siquiera saben que están comprometidos— para bombardear sus objetivos por Internet con millones de solicitudes falsas de información. Los ataques DDoS corren a cargo de "redes de bots " —o "botnets"— de equipos infectados con software malicioso escrito para tal fin y conocido como malware. En el actual entorno de red, los ataques DDoS son técnicamente más fáciles de detectar y aplastar, y gran parte de los proveedores de servicios de Internet (ISP) ofrecen estas soluciones a sus clientes, siempre que paguen su precio. "En general los ISP partimos del principio de que nosotros nos limitamos a transportar el tráfico", afirma Adam Rice, Director de Seguridad de Tata Communications, el mayor proveedor mundial de servicios de Internet al por mayor. "Siempre que se abone el servicio (de reducción de riesgos), aniquilaremos la amenaza (de ataque DDoS) antes de que llegue a su objetivo; en caso contrario, los proveedores se limitarán a verla pasar". Si actuasen juntos, asegura, los "proveedores de primer nivel" —que poseen y gestionan las redes troncales del Internet mundial— podrían hacer técnicamente mucho más para mitigar estos ataques. El problema, como apuntan otros expertos, es que estas actividades paliativas pueden complicarse con cuestiones de carácter normativo o contractual, a menos que la ley promulgue disposiciones de protección jurídica para las empresas que interceptan y desvían tráfico DDoS. Además, es posible que los proveedores que trabajan en varios mercados nacionales tengan que cumplir obligaciones legales enfrentadas e incluso contradictorias en diferentes jurisdicciones. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 5 Casi dos tercios de las empresas que sufren ataques DDoS a gran escala afirmaron que sus operaciones se habían visto afectadas. Los atacantes suelen ser anónimos La transmisión de instrucciones de ataque a las redes de bots a menudo proviene de otros ordenadores infectados, también propiedad de personas inocentes, mientras los autores reales de la información se ocultan tras intermediarios y rastros falsos. Las redes de bots pueden alquilarse fácilmente a bandas de hackers. Estos factores pueden hacer muy difícil localizar el auténtico origen de los ataques DDoS; la identidad exacta de los que perpetraron los ataques a Georgia y Estonia sigue siendo motivo de discusión. "Saber algo no significa poder demostrarlo", declaró un antiguo miembro de las fuerzas de seguridad estadounidenses. "Aunque logremos descubrir la máquina de origen, quizá no averigüemos quién la maneja". Esto es doblemente cierto cuando se trata de la infiltración sigilosa en las redes. En el caso de GhostNet, los investigadores hallaron spyware —software diseñado para robar contraseñas, datos de inicio de sesión y documentos confidenciales— en las redes informáticas de la oficina del líder espiritual tibetano, el Dalai Lama, y culparon al gobierno chino. Pero su dictamen no se basó únicamente en las huellas técnicas, sino en que los funcionarios chinos utilizaron más tarde los datos robados de las redes infectadas. Dadas las dificultades inherentes a la atribución definitiva de un ciberataque, los países agresores continúan disfrutando de las ventajas estratégicas de la "denegación plausible" o posibilidad de negar la culpa. Pero, para los responsables de defender las redes importantes, los ciberconflictos pueden parecer hobbesianos: una "guerra de todos contra todos". 6 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Los ataques DDoS, aunque generalizados, están lejos de ser el problema de seguridad más habitual La infección con virus o malware resultó la forma más extendida de ataque entre los encuestados, que la habían experimentado en un 89%. Sin embargo, el porcentaje de victimización también superó el 70% en una gran variedad de ataques distintos, incluidos vandalismo y DDoS de bajo nivel, amenazas internas o de empleados, pérdida o fugas de datos confidenciales y phishing o pharming. Los ataques técnicamente más avanzados parecen menos frecuentes, aunque están más extendidos aún que los DDoS a gran escala. Más de la mitad (57%) de los ejecutivos de TI notificaron incidentes de envenenamiento de DNS —redireccionamiento del tráfico de la Web—, y casi la mitad contabilizó varios casos mensuales. Aproximadamente el mismo número había padecido ataques de inyección SQL —que los hackers pueden utilizar para obtener acceso a datos del sistema central a través de un sitio Web público—, y también en esta ocasión casi la mitad había sufrido varios ataques mensuales. Además, normalmente estos ataques tuvieron un efecto operativo más importante en los sistemas de las víctimas. Porcentaje que informó de ataques DDoS a gran escala y su frecuencia 100% 80% 60% 40% 20% Brasil India Francia España Italia Alemania Estados Australia Unidos Varias veces al día Menos de una vez al mes Varias veces a la semana Menos de una vez al año China Japón Reino Unido México Rusia Arabia Saudí/ Oriente Medio Total Varias veces al mes El robo y otros fines lucrativos son motivaciones habituales El 60% de los encuestados había padecido ciberataques de robo de servicio y casi uno de cada tres recibía múltiples ataques al mes. Los porcentajes de victimización más elevados se registraron en el sector del gas y el petróleo, donde tres cuartos de los encuestados habían experimentado ataques de este tipo. El sector del gas y el petróleo también alcanzó los mayores porcentajes de infiltración sigilosa (un 71% frente al 54% de los encuestados de todos los sectores en general) y más de un tercio informó de varias infiltraciones al mes. No obstante, en general, los porcentajes de victimización variaron más entre países que entre sectores, lo que indica que los factores nacionales son más importantes que los sectoriales a la hora de determinar los índices de ataque. Algunos países sufren ciberataques con mucha más frecuencia que otros En India y en Francia, más de la mitad de los ejecutivos afirmaron que sufrían varios ataques DDoS a gran escala al mes. España y Brasil también mostraron porcentajes de victimización elevados2. "Los ataques DDoS son muy habituales en Brasil, al igual que en el resto del mundo", asegura Achises De Paula, analista residente de iDefense Labs, y añade que los ISP cada vez los manejan mejor. "Los ataques DDoS siguen ganando popularidad y cada vez son más baratos y fáciles", apunta Rice. "Basta una tarjeta de crédito y un par de horas para alquilar una red de bots y lanzar un ataque DDoS". Todos los sectores padecen ataques DDoS En los ataques DDoS a gran escala, las variaciones sectoriales son muy inferiores a las nacionales, lo que quizá refleje la mayor importancia de los factores nacionales frente a los sectoriales a la hora de determinar los porcentajes de victimización. El sector más golpeado fue el del gas y el petróleo, en el que dos tercios de los ejecutivos registran estos ataques y un tercio sufre varios ataques mensuales. Los sectores menos afectados por este tipo de ataque fueron el de agua y saneamiento, con sólo un 43%, y el de transporte (50%). El impacto de los ataques es grave y varía de un sector a otro Casi dos tercios de las empresas que sufren ataques DDoS a gran escala afirmaron que sus operaciones se habían visto afectadas de alguna manera. Estos ataques no sólo dejan inaccesibles los sitios Web públicos, también pueden afectar a las conexiones de correo electrónico, los sistemas telefónicos basados en Internet y otras importantes funciones operativas. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 7 Extorsión en la Web Una de cada cinco entidades de infraestructuras críticas declaró haber sido víctima de una extorsión por ciberataque o amenaza de ciberataque en los dos últimos años. Este impresionante dato concuerda con las observaciones no oficiales de expertos de diferentes países y sectores; de hecho, algunos de ellos sugieren que la cifra real podría ser incluso superior. Según ellos, la mayoría de estos casos no se publica y, a veces, ni se denuncia, debido a la preocupación de la empresa agredida por su reputación y por otros aspectos. El mayor porcentaje de victimización se produjo en los sectores energético (27%) y del gas y el petróleo (31%). "La extorsión es, según mi opinión, un fenómeno muy preocupante, ya que tiene que ver específicamente con la interrupción del sistema de suministro eléctrico", indica Michael Assante. Para él, las amenazas a las redes empresariales son un tipo de extorsión "menos importante" en tanto en cuanto representan "la manera más segura de sacar dinero con un riesgo limitado, pero sin producir pérdidas importantes". En cambio, las amenazas contra la propia infraestructura son mucho más serias. "Cuando se habla de cortar la electricidad, la situación es completamente distinta. Probablemente el riesgo que corre el extorsionista será mucho mayor, pero también es cierto que podrá pedir muchísimo más dinero". En noviembre de 2009, en los medios de comunicación estadounidenses se reveló que los dos cortes de suministro eléctrico acaecidos en Brasil en 2005 y en 2007 habían sido provocados por hackers, quizá como parte de un plan de extorsión. En septiembre de 2009, Mario Azer, asesor de TI en Pacific Energy Resources, una empresa de prospección de petróleo y gas basada en Long Beach, California, se declaró culpable de alterar los sistemas informáticos tras un conflicto con la firma sobre su empleo y su salario futuros. Modificó el software de control industrial fabricado expresamente, que se denomina sistema SCADA (Supervisory Control And Data Acquisition, control de supervisión y adquisición de datos), diseñado en este caso para alertar a los operadores de fugas u otros daños en los kilómetros de oleoductos y gasoductos submarinos que conectan las plataformas de la empresa con la costa. Aunque el sector de agua y saneamiento acusó un porcentaje de victimización más bajo (17%), el efecto potencial de los planes de extorsión también se percibe claramente en este sector. Impacto de ataques DDoS a gran escala 4% 3,5% 12% 19,5% 35% 35,5% 23% 19,5% 26% 23% Total Interrupción de redes de TI leve o breve, que no afecta a las operaciones Efectos graves o prolongados en las operaciones, como daños medioambientales, inundaciones, etc. Interrupción de redes de TI grave o prolongada, que afecta algo a las operaciones Paralización Afecta a las operaciones; por ejemplo, daña la reputación o interrumpe los servicios 8 Energía En el punto de mira: las infraestructuras críticas en la era de la ciberguerra en el suministro de agua potable podría generar situaciones caóticas" en las grandes ciudades y en otros núcleos de población. "El agua potable es algo que la mayoría de la población norteamericana y de sus líderes políticos dan por sentada, y así ha sido durante el último siglo, si no más", afirma Aaron Levy de la Association of Metropolitan Water Agencies. "Los estudios demuestran que la pérdida de confianza La extorsión demostró ser más habitual en India, Arabia Saudí y Oriente Medio, China y Francia, y menos frecuente en Reino Unido y Estados Unidos. Porcentaje de extorsión mediante ataques o amenazas de ataque a redes en los dos últimos años 50% 40% 30% 20% 10% India Arabia Saudí/ Oriente Medio China Francia Casi uno de cada seis describió el impacto de los DDoS a gran escala como "un efecto grave o constante en las operaciones" o como una "avería muy seria". Los ataques DDoS a gran escala mostraron un efecto especialmente negativo en el sector energético y el de agua y saneamiento. Entre otros ataques cuyo impacto en las operaciones fue calificado de grave, figuran la infiltración sigilosa en la red, las fugas o pérdidas de datos confidenciales, el envenenamiento de DNS y la inyección SQL, todos ellos con consecuencias operativas para más del 60% de las víctimas. Con respecto a las fugas y pérdidas de datos confidenciales, el 15% afirmó que el impacto fue grave y el 4% lo evaluó como muy grave. Según los ejecutivos encuestados, los efectos de los ciberataques no se limitaban a los citados. El impacto no operativo más temido era el daño a la reputación, seguido de la fuga de información personal sobre los clientes. Estas dos inquietudes destacaron especialmente en el sector bancario. Brasil España Italia Australia México Japón Rusia Alemania Reino Unido Estados Unidos Total Sigue al dinero Cuando se les preguntó a los encuestados cuál es el objetivo más frecuente de los ciberatacantes, más de la mitad (56%) mencionaron los datos económicos. El menos frecuente es la información sobre nombres de inicio de sesión y contraseñas, que sólo se busca en el 21% de los ataques. Sin embargo, en los sectores energético y de petróleo y gas, el 55 y el 56% de las veces, respectivamente, los ataques suelen estar dirigidos a los sistemas de control operativo informatizado, como SCADA (Supervisory Control And Data Acquisition, control de supervisión y adquisición de datos). Los sistemas de control operativo blanco de ataques Los ataques a los sistemas SCADA son particularmente graves, ya que pueden darles a los hackers control directo sobre los sistemas operativos y, de este modo, abrir la puerta a cortes de suministro eléctrico a gran escala o desastres medioambientales provocados por el hombre (véase la página 22). En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 9 ¿Quién sufragaría el coste de un ciberincidente grave en su sector? 100% 80% 60% 40% 20% Australia Brasil China Francia Alemania India Italia Japón México Rusia Arabia Saudí/ Oriente Medio España Reino Unido Estados Unidos Total Aseguradoras Ayudas del gobierno Contribuyentes/clientes En 2007, la CNN obtuvo imágenes de una prueba científica realizada en el Laboratorio Nacional de Idaho en la que un generador eléctrico conectado a un sistema SCADA casi estalló en pedazos tras recibir instrucciones pirateadas. El vídeo puso de manifiesto el problema de las vulnerabilidades de los sistemas SCADA en Estados Unidos y dio lugar a que el Congreso dedicara varias sesiones a la ciberseguridad de la red eléctrica. Los grandes ciberataques son costosos Los datos de la encuesta indican que los costes del tiempo de inactividad asociado a un importante incidente de ciberseguridad ("es decir, el que provoque la interrupción grave de servicios durante al menos 24 horas, la pérdida de vidas o lesiones personales, o la quiebra de una compañía") podrían ser muy altos. De media, los encuestados calcularon que 24 horas de inactividad por un ataque de magnitud supondrían 6,3 millones de dólares para su empresa. Los costes más elevados se registraron en el sector del petróleo y el gas, donde la media ascendía a 8,4 millones de dólares diarios. Los más bajos se produjeron en el sector gubernamental y el de agua y saneamiento. 10 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra ¿Quién pagará la factura? Ante la pregunta de quién sufragará estos costes en última instancia, las respuestas eran muy variadas. Más de la mitad de los encuestados pensaban que las aseguradoras cubrirían el coste, mientras que casi uno de cada cinco afirmó que el coste recaería en abonados o clientes, y sólo un cuarto preveía ayudas del gobierno. La idea de que las aseguradoras se hicieran cargo del coste puntuó más en Italia, España y Alemania, y menos en India y Arabia Saudí. La predicción de que lo soportarían los clientes fue casi el doble en el sector de agua y saneamiento que para todos los encuestados en conjunto (35% frente a 19%). En los casos en los que el sector del agua presenta un valor atípico, como éste, es conveniente tener en cuenta el reducido tamaño de la muestra de este sector. No obstante, el pronóstico de que pagaría el cliente también destacó en transporte (24%) y telecomunicaciones (23%). El valor más bajo se registró en el sector de gas y petróleo (12%). ¿Cuánto tiempo cree que tardará en producirse un ciberincidente grave que afecte a las infraestructuras críticas de su país? 100% 80% 60% 40% 20% Arabia Saudí/ Oriente Medio India Francia En los próximos 12 meses Reino Unido México Japón Italia España China Australia Estados Alemania Unidos Brasil Rusia Total En los próximos 5 años En los próximos 2 años El coste medio aproximado de 24 horas de inactividad como consecuencia de un ciberataque se cifró en 6,3 millones de dólares. Es posible que, después de todo, estas previsiones sean optimistas. Como planteó un experto, lo más probable es que cambien en el futuro, dados los crecientes esfuerzos de las empresas para limitar sus responsabilidades a medida que aumentan los costes de los ciberataques. "En Australia, hasta ahora (el consumidor) ha tenido suerte, porque el problema siempre era ajeno", relata Ajoy Ghosh, responsable de seguridad de Logica, afincado en Sidney. "Como usuario, si soy víctima de un ataque de phishing sé que el banco me va a devolver el dinero... Pero preveo que eso va a cambiar y que el problema será mío". Para Ghosh, conferenciante sobre ciberdelincuencia en la Universidad Tecnológica de Sidney, "la única manera que tienen las empresas de limitar sus responsabilidades es traspasarle el problema a otro. A veces ese otro será el gobierno, otras las aseguradoras, pero sobre todo, en mi opinión, normalmente ese otro será el consumidor". Crece el riesgo de ciberataques La situación, lejos de mejorar, está empeorando. Los encuestados que opinaban que la vulnerabilidad de su sector ante los ciberataques se había incrementado durante el pasado año casi doblaron a los que decían que había disminuido (37% frente a 21%). Sorprendentemente, dos quintos de estos responsables de TI vaticinaban un grave incidente de ciberseguridad (que provoque una interrupción del servicio durante "al menos 24 horas, pérdida de vidas o… la quiebra de una compañía") en su sector el próximo año. Excepto el 20%, todos presagiaban un incidente de este tipo en los próximos cinco años. Este pesimismo fue particularmente señalado en los países que ya experimentan los niveles más elevados de ataques graves. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 11 Respuesta a la amenaza: recursos y preparación Los recortes en los recursos de seguridad como resultado de la recesión son generalizados. Como consecuencia, justificar comercialmente la ciberseguridad sigue siendo un reto. La mayoría de los directivos de TI manifestaron que sus recursos para la protección de la red son adecuados, aunque el nivel de satisfacción varía enormemente de unos países a otros. Sin embargo, los recortes en los recursos como resultado de las condiciones económicas reinantes son también la tónica general y, como consecuencia, justificar comercialmente la ciberseguridad sigue siendo un reto. La confianza en los recursos no siempre se traduce en confianza en la preparación. Aproximadamente un tercio de los encuestados afirmó que su sector no está preparado para hacer frente a ataques masivos o infiltraciones perpetrados por adversarios de alto nivel. En particular, los europeos muestran muy poca confianza en la capacidad de su sistema bancario para seguir operando en caso de un ciberataque de grandes proporciones. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 13 En general, los recursos se consideran adecuados En general, los directivos de TI pensaban que disponían de los recursos adecuados para proteger las redes informáticas de sus empresas. Casi dos tercios de los encuestados afirmaron que sus recursos eran "totalmente" o "muy" adecuados. Poco más de un tercio manifestaron que sus recursos eran "inadecuados" o sólo "relativamente adecuados". Algunos países y sectores se mostraban menos satisfechos que otros Los directivos menos satisfechos con sus recursos procedían de Italia, Japón y Arabia Saudí, mientras que los más satisfechos son los alemanes, británicos y australianos. Por sectores, los niveles de satisfacción son globalmente más elevados en el sector bancario y más reducidos en el sector del transporte/ transporte público. Los recortes en los recursos motivados por la recesión son generalizados y, en algunos casos, de gran calado Uno de cada cuatro afirmó que dichos recortes habían limitado sus recursos en un 15% o más. Los sectores de la energía y del petróleo/gas fueron los más perjudicados por los recortes, dato avalado por tres cuartos de los entrevistados. Los recortes fueron más generalizados en India, España, Francia y México, y menos importantes en Australia. La seguridad es un factor fundamental en las decisiones sobre inversiones Incluso en época de recesión, la seguridad sigue siendo el factor principal a la hora de tomar decisiones sobre políticas e inversión en TI. En la toma de decisiones de políticas a seguir e inversión en TI, el 92% afirmó que la seguridad era un factor "vital" o "muy importante". Casi el 91% opinaba lo mismo sobre la fiabilidad. Los otros dos factores sobre los que se interesaba la encuesta, la eficacia y la disponibilidad, fueron considerados vitales o muy importantes por tres cuartos de los directivos. Los ejecutivos de China y Estados Unidos fueron los que más consideraban la seguridad "vital". Dos tercios de los directivos de TI que participaron en esta encuesta manifestaron haber sufrido recortes en los recursos de seguridad como resultado de la recesión. Justificación comercial de la seguridad: equilibrio entre distintas prioridades En general, el coste se consideraba "el mayor obstáculo para garantizar la seguridad de las redes críticas", seguido de "la falta de concienciación de la magnitud del riesgo". En cambio, en los sectores del agua/saneamiento y del petróleo/gas, esos obstáculos invertían su nivel de importancia: la falta de concienciación en primer lugar y el coste en segundo. Los especialistas en seguridad de varios sectores afirmaron que justificar comercialmente una inversión en ciberseguridad sigue siendo un gran reto, debido a que, con frecuencia, las direcciones de las empresas no alcanzan a comprender la magnitud de la amenaza o la necesidad de una solución. En palabras de un especialista de seguridad, "el principal problema lo constituyen los responsables de la seguridad que no han sido capaces de comunicar la urgencia de manera clara y que no han podido persuadir a los responsables de la toma de decisiones de la realidad de la amenaza". Añadió que esto se debía en parte a que la seguridad todavía no se había convertido en un factor diferenciador de mercado clave para los sectores críticos. 14 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Por regla general, los expertos coinciden en que la concienciación sobre los asuntos relacionados con la ciberseguridad ha aumentado tanto en Estados Unidos como en el resto del mundo tras los ataques terroristas del 11 de septiembre. Este hecho se refleja en el creciente énfasis de los gobiernos en el reforzamiento de las infraestructuras críticas. No obstante, afirmaron que todavía queda mucho que hacer. "La ciberseguridad está surgiendo en realidad como algo que atrae la atención de los administradores de servicios públicos y sus responsables de seguridad", afirmo Aaron Levy de la Association of Metropolitan Water Agencies. "Todo el mundo sigue intentando ponerse al día", añadió un especialista del sector del transporte. Por desgracia, únicamente aprendemos de la experiencia y, con frecuencia, hace falta un ataque grave para convencer a los responsables de la realidad de la amenaza y de la necesidad de protegerse contra ella. "Las empresas que gestionan de forma adecuada su ciberseguridad son, por lo general, aquéllas que han tenido alguna experiencia negativa en el pasado", añadió el especialista. Por otro lado, el responsable de la seguridad (CSO) de uno de los mayores proveedores de Internet y telecomunicaciones del mundo afirmó que los Recortes en los recursos de seguridad provocados por la reciente recesión 100% 80% 60% 40% 20% Australia Brasil China Francia Alemania India Italia Reducción de más del 25% Reducción de hasta el 15% Reducción del 15 al 25% Nada clientes han comenzado a preocuparse cada vez más por la seguridad, convirtiéndola en un diferenciador de mercado. "En la actualidad, el cliente es el que decide", afirmó Adam Rice de la empresa Tata Communications. "La seguridad ha dejado de ser lo último en lo que reparan las empresas justo antes de firmar el contrato. Pasa a primer plano, es un requisito indispensable... nuestros clientes quieren verla. Nos llaman, hacen preguntas complicadas, quieren visitar nuestros centros de datos y tener derecho a aparecer sin avisar… los clientes nos exponen sus exigencias y nosotros tenemos que cumplirlas". A pesar de todo, justificar la inversión en seguridad podría ser un reto. "Nadie quiere pagar la factura del seguro hasta que el edificio queda reducido a cenizas", señaló Rice. "La mejor manera de que un Director de Seguridad pueda demostrar su utilidad al resto del equipo directivo es identificando (...) cómo los problemas de seguridad pueden poner en riesgo los ingresos (...), explicando en detalle cómo invertir un euro hoy puede ahorrar millones mañana". Gran parte del éxito depende de su posición dentro de la empresa. "Por lo general, si su Director de Seguridad no depende directamente del CEO, probablemente la información nunca llegue a éste último". Japón México Rusia Arabia Saudí/ Oriente Medio España Reino Unido Estados Unidos Total Más de las tres cuartas partes (concretamente el 77%) de los directivos de seguridad y de TI encuestados afirmaron que su empresa disponía de un Director de Seguridad de la Información (CISO). Casi la mitad, el 46%, dijeron que su CISO dependía directamente del CEO. La creación de incentivos para mejorar la seguridad fue también un área en la que varios expertos afirmaron que los gobiernos pueden jugar un papel. Aunque los efectos de la regulación son complejos (se examinan en más detalle en el Capítulo 4), algunos creen que existen otras formas en las que las acciones gubernamentales podrían cambiar los incentivos de seguridad. Según Michael Hayden, General en la reserva, "la ciberseguridad es un taburete de tres patas que representan la facilidad de uso, la seguridad y la privacidad (…) y, hasta la fecha, prácticamente la totalidad de nuestras energías creativas se han dedicado a la facilidad de uso". "Como cualquier otro taburete de tres patas, si no tiene las tres patas, sólo tienes leña", dijo, para terminar añadiendo que el paradigma que daba prioridad a la facilidad de uso sobre las otras dos patas tenía que cambiar. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 15 La confianza en la preparación varía Casi un tercio de los directivos de TI encuestados afirmó que sus propios sectores no estaban "en absoluto preparados" o "no demasiado preparados" para hacer frente a ataques o infiltraciones de adversarios de alto nivel. Entre los que habían experimentado en carne propia estos ataques, esta falta de confianza aumentaba hasta un 41%. Sin embargo, existían importantes diferencias entre países. En Arabia Saudí, la inmensa mayoría (un 90%) consideraron que su sector no estaba preparado ("en absoluto preparado" o "no demasiado preparado"). En la mayoría de los países, los que habían sufrido ataques importantes se mostraban más pesimistas en cuanto a la preparación: el 68% de víctimas en India y el 75% de víctimas en México afirmaron que su sector no estaba preparado para dichos ataques. Los países en los que los directivos se mostraron más seguros sobre su preparación para ataques sofisticados fueron Alemania (78%) y Reino Unido (64%). 16 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra A excepción de los ataques de denegación de servicio distribuido (DDoS) de gran envergadura, los directivos consideraban que sus sectores estaban mejor preparados contra otras formas de ataque y apenas uno de cada cuatro admitía que su sector no estaba preparado contra ellos. En toda la gama de amenazas, eran los ejecutivos de Estados Unidos, Reino Unido y Australia los que consideraban sistemáticamente sus sectores como los más preparados. Todos estos países disponen de programas prominentes de cobertura gubernamental para los propietarios y operadores de infraestructuras críticas. ¿Serían el sector bancario y los sistemas de telefonía capaces de resistir un ataque? Los directivos de TI también mostraron sus dudas sobre la capacidad de su propios proveedores de infraestructuras críticas de ofrecer un servicio fiable en caso de un ciberataque de grandes dimensiones. Un 30% mostró su desconfianza en la respuesta de sus proveedores de servicios bancarios o financieros. Asimismo, un 31% se manifestó en iguales términos con respecto a su proveedor de telecomunicaciones. La confianza en la resistencia del sistema bancario registró los niveles más bajos en algunos países europeos: Italia, Francia y España. Confianza en que los servicios públicos soportarían un ciberataque de envergadura 2% 5% 14% 35% 30% 22% 60% 32% China Arabia Saudí Ninguna confianza Mucha confianza Poca confianza Confianza total Bastante confianza bancos, contestó con vehemencia "porque ahí es donde está el dinero"). Según este principio, los ciberdelincuentes con motivaciones económicas siempre tendrán a ese sector en el punto de mira. Durante los ataques DDoS contra Estonia de 2007, muchos de los bancos del país vieron como sus sitios Web quedaron fuera de servicio, aunque más tarde aseguraron que los sistemas operativos no estuvieron en peligro en ningún momento. Especialistas en seguridad de distintos sectores y países coinciden en que los servicios bancarios y financieros suelen disfrutar del mayor nivel de seguridad. Sin embargo, no es menos cierto que sufren el llamado "problema Willy Sutton" (en referencia al famoso ladrón de bancos, que preguntado sobre por qué robaba Los servicios públicos disfrutan de un mayor nivel de confianza que la mayoría de los sectores. A pesar de eso, únicamente el 37% de los encuestados parecía confiar en la capacidad de su gobierno de seguir proporcionando servicios en caso de un ciberataque a gran escala. Esta confianza mostraba su nivel más bajo en Arabia Saudí y más alto en China. Confianza en que los servicios bancarios y financieros soportarían un ciberataque de envergadura 12% 9% 14% 16% 21% 28% 26% 44% 30% Francia Total Ninguna confianza Mucha confianza Poca confianza Confianza total Bastante confianza En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 17 Medidas de seguridad adoptadas para contrarrestar la amenaza Adopción poco generalizada de algunas medidas de seguridad básicas. Directivos de seguridad y de TI respondieron a una serie de preguntas detalladas sobre más de veinte medidas de seguridad diferentes (tecnologías, políticas y procedimientos) y sobre cómo las utilizaban. Los que tenían responsabilidades en los sistemas SCADA o ICS (Industrial Control Systems) de sus empresas también respondieron a una serie de preguntas similares sobre las medidas de seguridad que empleaban en esas redes. Aunque, basados solamente en una pequeña muestra, los datos sobre SCADA/ICS son muy reveladores. Más de tres cuartos de los responsables de estos sistemas declararon que estaban conectados a Internet o alguna otra red IP, y casi la mitad admitieron que esto creaba un "problema de seguridad no resuelto". Las demás respuestas, analizadas pregunta a pregunta, revelan que no se han adoptado de forma generalizada algunas medidas de seguridad básicas. La combinación de estos datos permite identificar los países y sectores con la tasa de adopción más alta y más baja de estas medidas de seguridad en general. Estas observaciones no suponen necesariamente una medida de la calidad ("buena" o "mala") de la seguridad en un sector o un país concreto. Sin embargo, permiten conocer desde dentro las prácticas de seguridad que no pertenecen a la autoevaluación subjetiva de los encuestados y establecer las tasas objetivas de despliegue de medidas de seguridad clave. Basándonos en esta medida, China registra la tasa de adopción de medidas de seguridad más alta (62%), muy por delante de Estados Unidos, Reino Unido y Australia, que se sitúan detrás con tasas que variaban entre el 50 y el 53%. Italia, España e India presentan la tasa de adopción más baja, todos con valores inferiores al 40%. En los demás países (Japón, Rusia, Francia, Arabia Saudí, México, Brasil y Alemania), las tasas se sitúan entre el 40 y el 49%. Los sectores bancario y energético se sitúan a la cabeza en cuanto a la adopción de medidas de seguridad. El sector de agua y saneamiento se sitúa en última posición. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 19 Tasas de adopción de medidas de seguridad según los encuestados 65% 52% 39% 26% 13% China Estados Unidos Estados Australia Unidos Japón Francia Rusia México Arabia Saudí/ Oriente Medio Brasil Alemania Tasa de adopción de medidas de seguridad Se preguntó a los directivos de seguridad y de TI acerca de 27 medidas de seguridad diferentes: diez tecnologías de seguridad, seis directivas de seguridad, cinco formas diferentes de utilizar el cifrado y seis modos diferentes de autenticación obligatoria. La tasa de adopción de medidas de seguridad (o SMAR, del inglés Security Measure Adoption Rate) mide la frecuencia con la que los directivos contestan afirmativamente cuando se les pregunta sobre la utilización de una medida determinada. Cada empresa tiene su propia estrategia de seguridad, y la mayor parte de las medidas de seguridad sobre las que se preguntó a los directivos pueden utilizarse de varias maneras. Por este motivo, la tasa de adopción de medidas de seguridad no se puede tomar necesariamente como un indicador de la calidad, buena o mala, de la seguridad en un sector o país determinado. Sin embargo, sí permite realizar un juicio comparativo sobre la tasa de adopción de medidas clave por sectores y países. Esta medida es objetiva a pesar de ser solamente aproximada, ya que todas las tecnologías, prácticas o políticas de seguridad tienen el mismo peso, independientemente de su eficacia. En función de las respuestas de los directivos de ese país, China es el país con la tasa de adopción de medidas de seguridad más alta (62%) Sus tasas de adopción, independientemente de la medida, son superiores a todos y cada uno de los países. Inmediatamente después se sitúan Estados Unidos (53%), Australia (51%) y Reino Unido (52%). Italia, España e India presentan la tasa de adopción más baja, todos con valores inferiores al 40%. En los demás países (Japón, Rusia, Francia, Arabia Saudí, México, Brasil y Alemania), las tasas se sitúan entre el 40 y el 49%. 20 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Italia España India ¿Se puede decir que a mayores tasas de adopción menor riesgo de que los ataques consigan sus objetivos? Es una pregunta fundamental, sin embargo, las respuestas obtenidas en la encuesta son desiguales. Por una parte, China, con la tasa más alta de adopción de medidas de seguridad, tiene una tasa de victimización que es inferior a la de los países situados al final de la escala de tasas de adopción de seguridad, como India. Otros datos sugieren también que los países con tasas de adopción más bajas pueden verse afectados de distintas formas. Por ejemplo, la división de información sobre amenazas globales de McAfee, supervisa el tráfico electrónico malicioso que se envía desde ordenadores que tras resultar infectados, se han incorporado a redes de bots. Según dichos datos, India, el país con la tasa de adopción de medidas de seguridad más baja, se sitúa a la cabeza en el gráfico de tráfico malicioso en Asia, generando más que Rusia y China juntos. Por otro lado, no es evidente que el récord mundial de seguridad de China sea mejor que el de muchos otros países con tasas de adopción de seguridad mucho más bajas. No parece que China se libre de los ataques de alto nivel, ni los encuestados en este país se consideran mucho mejor preparados que los de otros países. Adopción poco generalizada de determinadas medidas clave La tecnología de seguridad que se ha adoptado en menor medida ha sido la lista blanca de aplicaciones, implementada únicamente por menos de un quinto de las empresas (19%) en sistemas SCADA/ICS y en redes de TI. Otras tecnologías de seguridad más avanzadas, como los sistemas de información de seguridad y administración de eventos (SIEM), China en un extremo e India en el otro ¿A qué se debe la enorme diferencia entre las tasas de adopción de medidas de seguridad entre estas dos potencias asiáticas? Los encuestados tanto de un país y como del otro consideran que el nivel de regulación de sus países es muy elevado. En India más que en ningún otro país, los directivos indicaron que su ciberseguridad estaba regulada mediante leyes o normativas (97%), China ocupaba el segundo lugar en la lista de los países más regulados, junto con Alemania (92%). Sin embargo, la actitud con respecto a los poderes públicos variaba significativamente. En China, el 91% de las empresas reguladas mediante normativas dijeron haber cambiado sus procedimientos para alcanzar los niveles adecuados de cumplimiento, mientras que en India, sólo el 66% dijeron haber realizado cambios. En función de las respuestas de los directivos de ese país, China es el país con la tasa de adopción de medidas de seguridad más alta. Además, India es uno de los peor clasificados en términos de participación en organizaciones de infraestructuras críticas de colaboración con la Administración, mientras que China ocupa el primer lugar. Los ejecutivos de China también fueron los que mostraron el mayor nivel de confianza en la capacidad de sus poderes públicos para impedir o frenar ciberataques. Los datos de inteligencia sobre amenazas globales de McAfee sugieren que India ha sustituido recientemente a China (así como a Rusia y Rumanía) como coto de caza predilecto para los hackers especializados en captar ordenadores infectados para las redes de bots, otro posible resultado de la disparidad entre las tasas de adopción de medidas de seguridad entre los dos países. y las herramientas de detección de funciones y anomalías, fueron empleadas por un 43 y un 40%, respectivamente. Según los expertos, es posible que las ventajas de algunas de las herramientas más recientes no se entendieran bien en el mercado o que dichas herramientas sólo fueran adecuadas para las empresas de mayor tamaño. Los servicios de inteligencia de supervisión de amenazas están más implantados en India (57%), China (54%) y Japón (54%), y se utilizan menos en Arabia Saudí (20%), Rusia (23%) e Italia (20%). Grandes variaciones en el uso del cifrado Sin embargo, tampoco se han implementado de forma generalizada algunas otras medidas mucho más básicas. Sólo un 57% de todos los directivos manifestaron que sus empresas aplicaban los parches y actualizaban el software de manera regular. Según el informe, la aplicación de parches se llevaba a cabo de manera más regular en Arabia Saudí (80%), Rusia (77%) o Australia (73%), y con menor regularidad en Brasil (37%). Y sólo un tercio de los directivos dijeron que sus organizaciones tenían políticas "que limitaban o prohibían el uso de llaves USB u otros soportes extraíbles". Aparte del riesgo de descarga, robo y salida ilícita de los datos de la empresa, este tipo de soportes, incluso cuando se utilizan sin mala intención, pueden propagar fácilmente virus y otro malware, incluso en sistemas protegidos con firewall. La prohibición del uso de llaves USB y otros soportes de este tipo se ha adoptado más ampliamente en Arabia Saudí (65%) y Rusia (50%). Su adopción es mucho menos generalizada en España (13%) y Brasil (20%). Otras medidas son más habituales La medida de seguridad más adoptada en general era el uso de firewalls entre redes privadas y públicas, que, según el informe, utilizaban un 77% (65% para sistemas SCADA o ICS). Como ocurre con prácticamente con todas las tasas de adopción, China es líder en el uso de cifrado. La única excepción era el uso de cifrado para proteger datos en CD o en otros soportes extraíbles. En esta categoría, China (48%) se situó por detrás de Estados Unidos (56%), de Japón y Reino Unido (ambos con un 54%). India mostraba tasas de adopción situadas por debajo de la media en cinco de los seis usos del cifrado. En Italia y España, las tasas de adopción para cifrado también estaban, en general, por debajo de la media. El sector de agua/saneamiento a la cola Los sectores bancario/financiero y energético son los que tienen las tasas de adopción de medidas de seguridad general más altas, con un 50% cada uno. El sector de agua/saneamiento mostraba la menor tasa de adopción de todos: un 38%. Todos los demás mostraban tasas del 40% y superiores. El sector de agua/saneamiento también tenía la tasa de adopción más baja en cuanto a medidas de seguridad para proteger sus sistemas SCADA/ICS. Esto puede deberse a que el sector también tenía los niveles más bajos de conexiones SCADA a redes IP; sólo el 55% manifestaron tener dichas conexiones, frente al 76% general. Cuando se consideran estos datos, es preciso señalar el reducido número de responsables del sector del agua entre los que tienen responsabilidades en sistemas SCADA/ICS (sólo 11 de 143). En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 21 El 80% admitía que los sistemas SCADA estaban conectados a redes IP o a Internet, a pesar de los riesgos que conlleva. Seguridad en sistemas SCADA También creamos una escala de tasas de adopción de medidas de seguridad para los sistemas SCADA e ICS, basada en una lista de 16 medidas de seguridad y autenticación sobre las que se preguntó a los responsables de dichos sistemas. (Estas cifras deben interpretarse con precaución, debido al tamaño reducido de la muestra. Sólo 143 de 600 tenía responsabilidades en sistemas SCADA y se les preguntó sobre los sistemas SCADA de sus empresas). China (74%) volvió a liderar la lista, con una tasa de adopción de medidas de seguridad en sistemas SCADA/ICS, muy por delante de Australia (57%) y de Brasil (54%). El margen de las tasas de adopción de medidas de seguridad entre los distintos países era especialmente sorprendente. Las tasas de adopción de medidas SCADA/ICS más bajas correspondían a India y España (ambas con un 29%), y al Reino Unido (31%); lo que quiere decir que los operadores de sistemas SCADA/ICS chinos han adoptado casi tres veces más medidas de seguridad clave que los operadores indios y españoles. En una posición intermedia se situaban Estados Unidos y Japón, con tasas del 50%, seguidos por Francia, Rusia, Alemania y Arabia Saudí, en el rango de más del 40%, y, a continuación, Italia y México, con un 38 y un 35%, respectivamente. Algunas herramientas, como las listas blancas de aplicaciones y SIEM, parecían haberse adoptado más ampliamente en los sistemas SCADA/ICS que en las redes de TI. 22 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Los directivos, por lo general, admitían la existencia de altos niveles de conexión de los sistemas SCADA a redes IP o a Internet, a pesar de que son ampliamente conocidos los riesgos que conlleva. El 76% de los encuestados con responsabilidades en sistemas SCADA/ICS reconocieron que sus redes estaban "conectadas a una red IP o a Internet". Casi la mitad de los conectados, el 47%, admitieron que dicha conexión creaba un "problema de seguridad no resuelto". Según un veterano directivo del sector de la seguridad de TI, las conexiones a las redes IP generan una vulnerabilidad, ya que pueden permitir a usuarios no autorizados el acceso a los sistemas clave de infraestructuras críticas. "El diseño original de SCADA no suponía que los sistemas de control quedarían desprotegidos en las redes en las que hay personas que no son de confianza y que tienen al menos algún nivel de acceso a ellos". Una buena parte del software SCADA se escribió "hace bastante tiempo y no se ha modificado desde entonces". Los sistemas "no emplean las plataformas más modernas, por lo que aún tienen las vulnerabilidades que se han ido descubriendo en este tiempo". Los sistemas SCADA suelen ser una combinación de hardware y software, por lo que no se pueden actualizar como el software habitual y su sustitución resulta "extremadamente compleja y costosa", según este experto. No hay "ningún mecanismo para revisar el sistema y realizar las modificaciones oportunas una vez que se descubren vulnerabilidades". Según un especialista en ciberseguridad del sector energético, los sistemas SCADA "se desarrollaron como entornos técnicos" con escasas funciones de seguridad. Normalmente son "abiertos y difíciles de proteger". de ciberseguridad ni de los responsables de TI de estas empresas. Pertenecían al ámbito del personal de explotación y no se le prestaba absolutamente ninguna atención a la ciberseguridad". Algunos expertos manifestaron que las redes SCADA/ ICS simplemente no deberían conectarse a Internet, y punto. "Los sistemas de control deben poseer su propia infraestructura dedicada y no deben conectarse a un Internet abierto", afirmó un especialista del sector del transporte, que agregó que él creía que en ocasiones el motivo por el que se conectan las redes ICS a Internet es "simple comodidad". Según la conclusión de este especialista, "Probablemente se puede decir que todos seguimos poniéndonos al día". En cierto sentido, el gusano Conficker, que se propagó por Internet, ha sido una llamada de alerta, agregó el especialista del sector energético. "Se observó en lugares que despertaron una preocupación real sobre cómo había conseguido llegar ahí". El 92% de los responsables de los sistemas SCADA indicaron que se supervisaban de alguna forma. Las medidas de seguridad más ampliamente adoptadas eran las herramientas de análisis de comportamiento de la red (62% en general); China (100%), Reino Unido (78%) y México (75%) eran los principales países que habían implementado estas herramientas. Un 59% de los encuestados utilizaban registros de auditoría; Alemania (90%) y China (82%) mostraban las tasas más altas. Sólo el 8% dijeron no haber supervisado las nuevas conexiones IP realizadas a sistemas SCADA/ICS. Sin embargo, los expertos también dijeron que existe una mayor concienciación acerca de las vulnerabilidades de los sistemas SCADA, lo que confirmaron los datos del estudio. Según el especialista en transportes, "para ser realistas, si hace cinco años hubieras ido a las empresas clave de este sector, o de cualquier otro, y hubieras hablado con los responsables de la ciberseguridad (...) probablemente no conocían los sistemas de control y, en muchos casos, ni siquiera sabían que existían, qué eran o cómo funcionaban; simplemente no eran competencia del personal En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 23 El "estado natural" y el papel de los poderes públicos Los ejecutivos de TI califican a Estados Unidos como el país "más preocupante" en el contexto de ciberataques extranjeros. Hoy en día el ciberespacio se parece mucho a lo que Hobbes denominó estado natural: una "guerra de todos contra todos". Para Hobbes, sólo el Estado y la ley pueden poner fin a esta guerra. Sin embargo, en el ciberespacio el papel de la Administración es más complicado. En todo el mundo, la mayoría de las infraestructuras críticas están en manos de empresas privadas, que a menudo operan en más de un país. Para estas compañías, los Estados son socios, reguladores y policías, propietarios, contratistas y clientes, pero también son agresores, infiltrados y adversarios. Muchos ejecutivos de TI y de seguridad desconfían de la eficacia del Estado incluso cuando éste asume el papel de defensor, intentando impedir ciberataques o proteger contra ellos, aunque esta postura varía entre países. Sin embargo, hay un área en la que se considera que el sector público tiene en general un impacto positivo: la regulación. Las tasas de ejecución de auditorías y de aplicación de las normativas, así como su efecto en la seguridad oscilan mucho de un país a otro, al igual que la percepción de su eficacia. Numerosos países han auspiciado la cooperación entre propietarios y operadores de infraestructuras críticas en materia de ciberseguridad, pero los niveles de participación han sido muy desiguales. Los ejecutivos chinos hablan de un nivel de cooperación excepcionalmente estrecho con el sector público, así como de un alto grado de regulación y de confianza en la Administración. Este dato es llamativo e identifica a China como líder del compromiso del sector público con la industria. En todo el mundo, los ejecutivos de TI y de seguridad manifiestan sentimientos muy ambivalentes hacia Estados Unidos. Aunque es la nación que más se cita como modelo de ciberseguridad, al mismo tiempo, muchos de ellos, incluidos los procedentes de países aliados de Estados Unidos, califican a este país como el "más preocupante" en el contexto de ciberataques extranjeros, por delante de China. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 25 Porcentaje que creía que la ley actual de su país es inadecuada contra los ciberatacantes 80% 64% 48% 32% 16% Rusia México Brasil Arabia Saudí/ Oriente Medio India España China Australia Italia Japón Reino Unido Dudas sobre la capacidad de la ley y el Estado para impedir ciberataques Más de la mitad de todos los ejecutivos encuestados pensaban que las leyes de su país eran inadecuadas para evitar ciberataques. Éste era el punto de vista de más de tres cuartos de los directivos rusos y de la gran mayoría de los de México y Brasil. Los alemanes eran los que tenían más fe en sus leyes nacionales como elemento disuasorio, seguidos de Francia y Estados Unidos. Algunos de estos países también recelaban de la capacidad del gobierno para impedir y frenar ataques. Un inesperado 45% consideraba que el Estado "no era muy capaz" o "no era capaz en absoluto" de prevenir y frenar ciberataques. En países como Brasil e Italia sostenían esta opinión dos tercios o más. También en México, Arabia Saudí, Alemania y España era mayoritario el juicio negativo sobre la capacidad del Estado. Por el contrario, únicamente el 27% de los ejecutivos de Estados Unidos consideraba a la Administración incapaz o no muy capaz; en China, el índice de desconfianza rozaba sólo el 30%. Francia Estados Alemania Unidos Total "Por el momento, no hay sheriff", afirmó el general Michael Hayden, quien terminó recientemente su larga carrera como alto funcionario de la inteligencia estadounidense a cargo de la CIA. "El ciberespacio es como el legendario Salvaje Oeste. Todo el mundo tiene que defenderse, así que todos están armados". Pero en el ciberdominio es como si esperáramos que cada ciudadano organizara su propia defensa nacional. "A nadie se le ocurre entrar en una oficina y preguntar cómo han planificado su defensa contra misiles balísticos… pero ésta es la situación actual en ciberseguridad", asegura Hayden. La mayoría cree que la regulación pública mejora la seguridad Numerosos expertos convinieron en que los Estados tienen que hacer más para mejorar la ciberseguridad de las infraestructuras críticas, pero la trayectoria hasta ahora es decididamente variopinta: hay muchos enfoques diferentes, su impacto es irregular y el entusiasmo con que los contemplan los ejecutivos de TI de los distintos países es muy dispar. En conjunto, el 86% de los ejecutivos afirmaron que su ciberseguridad está de alguna manera sometida a la ley o a la regulación estatal. Casi tres cuartos (74%) pensaban que su empresa había 26 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Una importante mayoría de los ejecutivos de TI creen que la normativa y/o la legislación ha mejorado la ciberseguridad. "implementado nuevas políticas, procedimientos, buenas prácticas o medidas técnicas" como resultado de las leyes o normativas. La variación nacional fue considerable, con valores sobresalientes en ambos extremos: en China el 91% había modificado sus políticas por la legislación estatal, frente al 56% español. En el tramo intermedio, menos de un 70% de ejecutivos de India, Alemania, Italia y Australia había cambiado sus procedimientos. Para un 42%, la legislación estatal "no había tenido efectos significativos" o en realidad "había desviado recursos que habrían permitido mejorar la seguridad", frente a un 58% que creía que había "mejorado la política de la empresa y mejorado la seguridad". En países donde hay multiplicidad de enfoques —Brasil, España, China, México, Alemania y Japón—, entre un 60 y un 70% manifestó que la regulación había mejorado la seguridad. Las dudas estaban más extendidas en Italia y Australia, donde la mayoría cuestionó el valor del régimen normativo del Estado. La confianza en la eficacia legislativa fue especialmente baja en el sector del agua, donde sólo el 24% creía que mejoraba la seguridad. Una vez más, cuando el sector del agua presenta un valor extremo, es preciso tener en cuenta el reducido número de encuestados de este campo. Participación y asociación La cooperación en ciberseguridad impulsada a nivel estatal varía enormemente entre propietarios y operadores de las infraestructuras críticas. En general, la participación en iniciativas de asociación lideradas por el sector público es baja. Cuando se les preguntó a los ejecutivos cómo colaboran en el desarrollo de leyes o normativas, cerca de un tercio (35%) respondió que su empresa participa en una asociación público-privada. La participación era mayor en organizaciones más horizontales, como las asociaciones sectoriales para compartir información, de las que dijo ser miembro más de la mitad (53%). Pero la participación variaba notablemente según el país. La más elevada se registró en China, donde el 61% de los directivos declaró pertenecer a una asociación que colabora con la Administración. Los índices de participación más bajos se produjeron en Brasil (22%) y no llegaron al 30% en Japón, Alemania, Italia, India ni España. Sin embargo, quizá el porcentaje de participación no sea un buen indicativo del éxito de estas iniciativas. Los datos de la entrevista sugieren que, incluso en Estados Unidos, donde la participación en asociaciones es relativamente elevada (42%), persiste en la industria la preocupación justificada de que la información compartida sólo circula en un sentido. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 27 China lidera el compromiso del Estado con la industria En conjunto, poco menos de la mitad de los ejecutivos de TI y seguridad (49%) manifestaron recibir inspecciones de un organismo público para comprobar si su empresa cumple las leyes o normativas acerca de la ciberseguridad, Sin embargo, el índice de auditoría fue muy desigual entre los diferentes países. El más elevado fue con mucho el de China (83%) y después, el de Arabia Saudí (73%). Brasil, Australia y Francia registraron niveles de auditoría superiores al 50%. Los más bajos se produjeron en Rusia (30%) y en España (32%). Los ejecutivos chinos también revelaron un alto nivel de actividad reguladora y legislativa; un 92% dijo ceñirse a ella, empatando con Alemania en segundo lugar, después del 97% de India. El país en el que los ejecutivos notificaron el nivel más bajo de actividad normativa fue Estados Unidos, donde sólo el 72% afirmó someter su ciberseguridad a la regulación, frente al 86% del total. Causas de duda sobre el valor de la regulación Es obvio que entre los ejecutivos hay una preocupación generalizada por el impacto de la regulación y la legislación. Quizá no deba sorprendernos; utilizar las respuestas de la encuesta para determinar las actitudes ante la regulación puede resultar problemático. Son pocos los ejecutivos de empresa que piden más regulación. Pero sí surgieron varios puntos clave. Los entrevistados identificaron tres áreas de preocupación especial: • Falta de fe en los conocimientos de la Administración sobre el funcionamiento sectorial. • Posibilidad de que una torpe regulación pueda "reducir el nivel" de seguridad en sectores muy plurales. • Riesgo de que la notificación obligatoria de incidentes de seguridad —por ejemplo, la pérdida de confidencialidad de datos personales— pueda orientar la política y los recursos en direcciones contraproducentes. Las dudas son particularmente generalizadas en el sector de agua y saneamiento, donde un cuantioso 77% declaró que la legislación y las normativas habían 28 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Estados Unidos se considera como modelo Quizá por esta razón, los ejecutivos de TI y de seguridad designaron con más frecuencia a Estados Unidos como el único país, aparte del suyo propio, que consideraban un modelo en materia de ciberseguridad: un 44% lo veía bajo este prisma. Los siguientes modelos nacionales más citados fueron Alemania (22%) y Reino Unido (18%). El modelo estadounidense destacó especialmente en China (78%) y México (72%) y registró su valor más bajo en Alemania (31%). Los datos de la entrevista indican que quizá la superioridad del modelo estadounidense se deba más a la atención que la prensa y los altos funcionarios han prestado a los esfuerzos del país en este terreno que al modo en que el Estado aborda el problema: pocas naciones parecen emular a Estados Unidos a este respecto. "desviado los recursos que habrían permitido mejorar la seguridad" o no tenían efecto alguno. Los ejecutivos de este sector también fueron los que mostraron el menor nivel de confianza en la capacidad de la Administración para impedir o frenar ciberataques. Un especialista en seguridad procedente del sector de agua y saneamiento estadounidense afirmó que las exigencias reglamentarias se habían notado fuertemente, en especial, en las empresas más pequeñas de un sector muy diverso. "Ha llegado un momento en que nuestros informáticos se dedican a… 'alimentar a la bestia'", intentando cumplir distintos requisitos normativos en lugar de planificar la seguridad de forma coordinada. "Lo que vuelve loca a la gente es procurar tener contentos a un montón de patrones. Consume los recursos y, en realidad, traspasa al jefe de la compañía la decisión de cómo se van a gestionar los riesgos". Este especialista asegura que él y sus compañeros tienen a menudo la sensación de no contar nada en los foros federales de seguridad, donde están representados todos los sectores. "Normalmente no se nos trata con el mismo respeto que a los demás sectores, no personalmente, sino en los aspectos tácticos y estratégicos", explica. Porcentaje que se había sometido a auditorías de organismos estatales de conformidad con la ley o la normativa 100% 80% 60% 40% 20% China Arabia Saudí/ Oriente Medio Brasil Pero las dudas sobre el valor de la regulación no se circunscriben al sector de agua y saneamiento, y los datos de la entrevista indican que las dudas surgen por inquietudes más extendidas. "Aquí, en EE. UU., falta confianza sobre los conocimientos de los poderes públicos sobre las medidas que deben tomarse o el funcionamiento de las distintas infraestructuras", afirmó un especialista en seguridad del sector de transporte. Según él, hay "un temor considerable a que las normativas sean un cúmulo de trabajo inútil con un elevado coste que proporcione poca o ninguna seguridad". A los expertos también les intranquiliza que, en sectores donde la base de operadores es muy diversa, la regulación, en especial si se aplica como un arma categórica, pueda conseguir el efecto involuntario de nivelar las exigencias a la baja. Establecer una sola norma para un sector plural puede mejorar la seguridad de algunos de sus integrantes, pero también marca un terreno al que podrían incorporarse otras empresas más sofisticadas que ahora no ven incentivos para ello. "He oído de empresas y entidades que han dado marcha atrás a su gestión de la seguridad en la empresa para cumplir específicamente con lo que dictaban los requisitos", asevera un especialista en seguridad del sector energético. Francia Australia Alemania México Japón Italia Estados Unidos India Reino Unido Rusia España Total Según él, existe el temor a que las normativas sean "un cúmulo de trabajo inútil con un elevado coste que proporcione poca o ninguna seguridad". Los ejecutivos comentaron que, aparte de los fallos operativos, la consecuencia que más temen de un ciberataque es el daño a su reputación. Los datos extraoficiales indican que las leyes que exigen la divulgación de determinados incidentes de seguridad pueden provocar que las empresas tomen decisiones políticas y financieras que reduzcan el número de incidentes de obligada notificación, en lugar de reforzar su seguridad general. En Japón, por ejemplo, un funcionario declaró que la obligatoriedad de comunicar accidentes de seguridad informativa a las autoridades ha suscitado la queja de que "en ocasiones los requisitos administrativos para la persona a cargo de la seguridad superan la gravedad de la amenaza". En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 29 Estados Unidos también destacó como uno de los países más vulnerables a los ciberataques El 50% de los ejecutivos de TI y de seguridad también identificó a Estados Unidos como uno de los tres países "más vulnerables ante ciberataques a infraestructuras críticas del sector", por delante de cualquier otro país. China fue el segundo país más citado (34%), seguido de Rusia (27%). Las percepciones de la vulnerabilidad estadounidense parecían especialmente extendidas en China (donde el 80% clasificó a esta nación como una de las tres más vulnerables), México (73%), y Brasil y Rusia (70% cada uno). China fue tildada de particularmente vulnerable por los ejecutivos de las regiones vecinas: en un porcentaje superior a la media, los encuestados de India (57%), Japón (56%) y Australia (43%) nombraron este país como uno de los tres más vulnerables. Algunos expertos apuntaron que a Estados Unidos se le considera más vulnerable por ser más avanzado... y por depender más que cualquier otro país de las redes informáticas. En cambio, otros advirtieron que la vulnerabilidad no es exclusiva de EE.UU. y que puede exagerarse fácilmente. Estados Unidos y China se perciben como posibles agresores en caso de una ciberguerra Como decíamos en el primer capítulo, una mayoría considerable de los ejecutivos de TI y seguridad encuestados creen que hay países extranjeros ya involucrados en ataques a redes de su sector. Cuando se les preguntó qué país les preocupaba más como posible atacante a las redes de su país/sector, el 36% citó a Estados Unidos y el 33% a China encabezando una lista de seis países (a los encuestados también se les ofreció la oportunidad de especificar una respuesta diferente). Rusia ocupaba un distante tercer puesto con sólo un 12%. Ninguno de los otros tres (Reino Unido, Francia y Alemania) alcanzó el 6%. Los países designados como agresores potenciales variaban en los diferentes sectores. Entre los ejecutivos del sector público, por ejemplo, China superaba a Estados Unidos. En el sector de la energía, a los ejecutivos les inquietaba más Rusia, mientras que China y Estados Unidos iban parejos en el sector de las telecomunicaciones. 30 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra "Los agresores a los que nos enfrentamos (en Australia) son agresores económicos (...) esto depende mucho del sector", afirma Ghosh, el ejecutivo de seguridad australiano. "El sector minero ve la mayor amenaza en China... En el de defensa, los competidores son Europa y Estados Unidos". Estados Unidos resultó el agresor potencial más inquietante para la gran mayoría de los ejecutivos procedentes de países donde suele desconfiarse de los motivos estadounidenses: China (89%), Brasil (76%), España (67%), México (65%) y Rusia (61%). Pero, incluso en Alemania, aliado tradicional de EE.UU., el 45% eligió este país como el que suscitaba mayor preocupación, mientras que sólo el 34% señaló a China, aunque el gobierno alemán ha condenado públicamente a China por realizar operaciones de espionaje en las redes informáticas de recursos nacionales clave. "Es posible que este resultado sea menos chocante de lo que parece", observa Hayden. "Quizá simplemente refleje la capacidad de las agencias de inteligencia estadounidenses y, francamente, su tamaño". El gobierno de EE. UU. también se ha embarcado en una serie de debates políticos públicos, interminables y en gran parte irresolutos, sobre cómo organizar el potencial de defensa y ataque de sus redes. Según Hayden, este permanente debate público puede haber creado una "cámara de resonancia" de la preocupación sobre la capacidad de EE. UU. Aunque el debate estadounidense ha tenido mucha más repercusión mediática, también los funcionarios rusos han iniciado este año una serie de medidas legislativas pensadas para dar a las autoridades mayor libertad de actuación contra supuestos ataques y amenazas. Recientemente se ha propuesto una ley que otorgaría a Moscú poder para definir y responder a actos de ciberguerra. La nueva ley "sostiene básicamente que, si pueden determinar que son objeto de un ciberataque del tipo que sea por parte del gobierno de otro Estado, podrán considerarlo como acto de guerra", declara Kimberly Zenz, especialista en Rusia de iDefense Labs. Porcentaje que eligió a EE. UU., China o Rusia como el país "más preocupante" en ciberataques extranjeros 100% 80% 60% 40% 20% China Brasil España México Rusia Arabia Saudí/ Oriente Medio Estados Australia Alemania Unidos Reino Unido Francia Italia Japón India Total Estados Unidos China Rusia En su opinión, tomadas conjuntamente, las nuevas leyes aprueban nuevos y amplios poderes para el Kremlin. "Si de verdad sufrieran un incidente importante, podrían decidir ellos solos su autoría y tomar por su cuenta medidas de muy alto nivel sin necesidad de pruebas ni consentimiento exterior". China también ha publicado información sobre sus planes bélicos en la red. Un análisis de documentación militar china de código abierto realizado en 2009 por la Comisión de Revisión de Economía y Seguridad entre Estados Unidos y China concluyó que, para la "doctrina de campaña china, establecer cuanto antes el dominio informativo sobre el enemigo es una de las máximas prioridades operativas en un conflicto", y señaló que la nueva estrategia denominada "Integrated Network Electronic Warfare" parece diseñada para cumplir este objetivo, ya que integra la cibernética y otras técnicas electrónicas bélicas con las operaciones cinéticas. A pesar del debate, la transparencia tiene límites claros. Por ejemplo, tanto Rusia como China se han enfrentado a acusaciones fundamentadas —que han negado por completo— de hacer causa común con hackers nacionalistas. Es evidente que estos tres países quieren seguir valiéndose, en mayor o menor grado, de las ventajas estratégicas que ofrece la "denegación plausible" en el ciberespacio. ¿Cómo podemos alejarnos del "estado natural"? Mientras los principales Estados deseen tener una libertad de actuación sin cortapisas en el ciberespacio, éste continuará siendo el Salvaje Oeste. Mientras tanto, los propietarios y operadores de las infraestructuras críticas que conforman este nuevo campo de batalla permanecerán atrapados en el fuego cruzado y quizá necesiten lo que, en definitiva, viene a ser su propia defensa antimisiles balísticos. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 31 Más seguridad en la era de la ciberguerra 32 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra En lo que se refiere a estrategias para mejorar la ciberseguridad, los datos no arrojan soluciones sencillas. En lo que se refiere a estrategias para mejorar la ciberseguridad de las infraestructuras críticas, los datos de la encuesta y las entrevistas no arrojan soluciones sencillas. Los propietarios y operadores de infraestructuras críticas afirmaron que, para ellos, la seguridad es la prioridad número uno, y que esta afirmación queda avalada por la amplia gama de medidas de seguridad que ponen en práctica. Sin embargo, ni siquiera los sectores y países en los que las tasas de despliegue de medidas de seguridad de probada eficacia son elevadas están a salvo de ataques. "No existe un modelo de protección identificable que mantenga el ritmo de la evolución y sofisticación de las ciberamenazas," afirma Michael Assante, del sector de la electricidad. Además, las tecnologías innovadoras, desde el procesamiento en la red ("cloud computing") hasta los contadores inteligentes, pasando por la conectividad SCADA, continuarán creando nuevas vulnerabilidades. Los poderes públicos también están a la búsqueda del mejor modelo de ciberseguridad para sus infraestructuras. Son dos los retos comunes a los dos sectores: • La modificación de las viejas estructuras y organizaciones públicas para hacer frente a las ciberamenazas contra las infraestructuras críticas. • La identificación de métodos eficaces para compartir información sobre amenazas y vulnerabilidades con los propietarios y operadores, y para desplegar medidas inteligentes que ayuden a las infraestructuras críticas a defenderse de forma autónoma. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 33 Algunas tecnologías de seguridad clave permanecen infrautilizadas En particular, los estándares de autenticación necesitan ser mejorados y la adopción de tecnologías biométricas sigue siendo baja. La seguridad de la red depende cada vez más de la capacidad de detectar y bloquear a los usuarios cuyas cuentas presentan anomalías de comportamiento o que sobrepasan sus derechos definidos. Cada vez más, los agresores dirigen sus ataques contra los usuarios a título individual a través de técnicas de phishing u otras estrategias. Esta evolución significa que la autenticación de los usuarios y de sus privilegios gana en importancia. Sin embargo, la mitad de los directivos (57%) afirmó que sus organizaciones solamente empleaban nombres de usuario y contraseñas para autenticar las conexiones a sus redes. El resto utilizaba técnicas de autenticación más robustas, como la biometría o los tokens, de manera individual o combinada. En total, sólo el 16% afirmó utilizar tecnologías biométricas, una tasa de adopción baja que algunos expertos atribuyen a la resistencia cultural de muchos países. Los tokens eran dos veces más populares. Según algunos expertos, hay inconvenientes, retos a nivel técnico y factores de coste que influyen en el uso de la biometría y los tokens, y las combinaciones contraseña/nombre de usuario pueden presentar grados de eficacia muy variable, en función de la fortaleza de las contraseñas que se utilicen y de la tecnología de cifrado que se adopte. No obstante, los niveles de seguridad adicionales son claramente preferibles al simple uso de nombres de usuario y contraseñas, que son con frecuencia fáciles de adivinar, de robar o de poner en peligro de una u otra forma. 34 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra De igual forma, a nivel mundial, solamente casi la mitad de los directivos afirmaron utilizar regularmente el cifrado en la mayoría de las circunstancias, aunque se recurría a esta tecnología con mayor frecuencia (61%) para la transmisión de datos online. Este porcentaje parece igualmente bajo, sobre todo si se tiene en cuenta el uso cada vez mayor de dispositivos móviles. Pamela Warren, experta en ciberseguridad de McAfee, piensa que "si dispone de dispositivos móviles que contienen datos confidenciales, debe sin duda considerar el cifrado de esos datos". Las vulnerabilidades se multiplican El recurso cada vez más frecuente a redes IP para sistemas SCADA y otros sistemas de control operativo crea vulnerabilidades únicas e inquietantes. Los directivos con responsabilidades en sistemas SCADA/ ICS admitían la existencia de altos niveles de conexión de esos sistemas a redes IP, incluido Internet, aun reconociendo que dichas conexiones entrañaban problemas de seguridad. Los expertos del sector han expresado una profunda preocupación sobre las implicaciones de seguridad de esta evolución, y los especialistas en seguridad de TI insisten en la necesidad de corregir esta vulnerabilidad. El acceso remoto a los sistemas de control "representa un grave peligro", afirma Phyllis Schneck, Vicepresidenta de la división de Información sobre Amenazas de McAfee. "Debemos protegerlos de manera adecuada o desplazarlos a redes más privadas y no utilizar una red abierta como Internet", añadió Schneck, que es además miembro de la Comisión sobre Ciberseguridad del CSIS para la 44ª Presidencia de Estados Unidos. Más de la mitad afirmó que sus organizaciones solamente empleaban nombres de usuario y contraseñas para autenticar las conexiones a sus redes. "La virtualización de software antiguo sobre software más reciente proporciona un cierto nivel de protección, lo que permite que al menos los protocolos y el acceso a la red transiten por pilas de software más evolucionadas", añadió un veterano especialista en seguridad de TI. Según su opinión, los propietarios y operadores "deben poner tantas barreras como sea posible entre ellos y el agresor potencial". Queda por saber si el ahorro compensará los riesgos. Uno de los retos del desarrollo de contadores inteligentes es el de mantener un coste lo suficiente bajo que permita una adopción a gran escala. Las implicaciones de este tipo de presión sobre la seguridad son inquietantes. "¿Qué nivel de seguridad puede generar si el coste por unidad debe ser inferior a cien dólares?", pregunta un experto. "El objetivo (para proteger rápidamente los sistemas SCADA) no debe ser necesariamente detener (o) sustituir esos sistemas, sino situar delante de ellos tecnologías de bloqueo, en la medida de lo posible, e imponer criterios más rigurosos para la aceptación de nuevos sistemas en el futuro". En un entorno de rápida evolución, los directivos de seguridad y de TI se enfrentan a decisiones difíciles sobre la seguridad con pocos elementos de información disponibles, afirmó Campione. "Deben tomar decisiones que tengan en cuenta las oportunidades, los riesgos y la seguridad, pero sin enfrascarse en análisis interminables. No pueden saberlo todo antes de decidir". En un entorno como éste, no está muy claro el nivel de atención que se ha puesto a los riesgos de seguridad que suponen las redes de distribución inteligentes. El riesgo asociado a SCADA se agrava por las plataformas de servicios "inteligentes" Las nuevas plataformas de distribución de servicios, como los "contadores eléctricos inteligentes" con interoperabilidad o las transacciones bancarias a través de dispositivos móviles, generan nuevas vulnerabilidades, pero también nuevas oportunidades. "Las redes de distribución inteligentes van a generar sin duda nuevas vulnerabilidades, pero eso no significa que todo el sistema de distribución eléctrica vaya a ser más vulnerable en el futuro", afirmó el antiguo responsable de la ciberseguridad del Departamento de Energía de EE. UU., Christopher "Rocky" Campione, que añadió que ofrecen numerosas ventajas en términos de eficacia y de fiabilidad. Los nuevos retos de seguridad que presenta el procesamiento en la red Los sistemas de procesamiento en la red permiten a las empresas alquilar infraestructuras de servidor y servicios de software, externalizando de esta forma sus necesidades informáticas. En función de los servicios y los datos externalizados, pueden integrarse nuevas medidas de seguridad, pero también pueden aparecer nuevas vulnerabilidades. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 35 Muchos países a penas si habían progresado en materia de organización en este respecto, y otros mostraban un claro retraso. Esta tecnología permite a las pequeñas empresas aplicar medidas de seguridad que de otra forma no estarían a su alcance. Aún así, "los sistemas de procesamiento en la red me dan un miedo terrible", afirmó un veterano especialista en seguridad de TI. "No porque conozca ningún problema particular que sea propio de ellos, sino porque echamos la vista atrás, cada vez que hemos adoptado una nueva tecnología, hemos sido incapaces de darnos cuenta de los ataques potenciales a los que dábamos pie". "Creamos sistemas cada vez más complejos, y al mismo tiempo más sistemas que deben proporcionar servicios a otros sistemas con una interdependencia débil y que ofrecen una autenticación que deja mucho que desear", concluyó. Según Pamela Warren, para corregir las vulnerabilidades, las empresas y los poderes públicos deberían "considerar los tipos de datos que pueden transmitirse por Internet y elegir el modelo de procesamiento en la red que más les convenga, validar el modelo de seguridad y las prácticas del proveedor de servicios, y establecer las directrices para la responsabilidad de las diferentes partes en materia de alojamiento". La necesidad de los poderes públicos de organizarse más eficazmente para hacer frente a las ciberamenazas Un tema recurrente durante las entrevistas a los expertos de los distintos sectores y países fue la forma en la que los poderes públicos se organizan para abordar las nuevas amenazas. Hay modelos comunes; todos los países incluidos en la encuesta, 36 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra por ejemplo, habían creado equipos de respuesta a emergencias informáticas para coordinar la respuesta a incidentes aunque, en función de los entrevistados, su eficacia variaba. Sin embargo, muchos países a penas si habían progresado en materia de organización en este respecto, y otros mostraban un claro retraso. En Brasil, por ejemplo, el gobierno federal creó en agosto de 2009 el Grupo de trabajo para la seguridad de la información y la protección de infraestructuras críticas, dependiente del Departamento de Información y Seguridad de las Comunicaciones. El grupo trabaja en el establecimiento de planes de respuesta a incidentes y en la seguridad de la información, según Anchises de Paula, analista brasileño de los laboratorios iDefense Labs. En Australia, un informe del Misterio de Defensa publicado en 2009 anunciaba la creación de un Centro de operaciones para la ciberseguridad, dependiente del servicio de inteligencia australiano (Defense Signals Directorate), pero muchos detalles del proyecto aún no han sido revelados. Un especialista en ciberseguridad australiano afirmó que su gobierno había dedicado mucho tiempo a estudiar los modelos americano y británico, y otros, como parte de la reciente revisión de su política de seguridad. "Existe una especie de pulso entre elementos del sector público que se inclinan por el modelo americano y aquéllos que lo hacen por el modelo británico", afirmó. Como las infraestructuras críticas son ya objeto de reglamentaciones en muchos países, estos tipos de cambios pueden causar problemas a los propietarios y operadores que se vean enfrentados a exigencias normativas redundantes o contradictorias, o a otras obligaciones oficiales en relación a la ciberseguridad. Los directivos se sienten generalmente más cómodos con los organismos reguladores existentes y miran con desconfianza o preocupación las nuevas exigencias normativas o los cambios en las existentes. Sin embargo, en la mayoría de los casos, estos organismos reguladores carecen de la competencia necesaria para abordar los temas relacionados con la ciberseguridad. Especialistas en seguridad del sector del agua de EE. UU., por ejemplo, afirmaron que mantienen una excelente relación con su organismo regulador, la Agencia de Protección Ambiental (EPA), pero reconocieron que no era realista esperar que regularan también sobre la ciberseguridad. "Es imposible que la EPA pueda tener ningún tipo de control normativo sobre la ciberinfraestructura del país", afirmó uno de ellos. La existencia o la creación de varias agencias con autoridad normativa, poderes de investigación o responsabilidades en la ciberseguridad también puede generar fricciones burocráticas en el seno de la Administración Pública. Por ejemplo, Kimberly Zenz afirmó que los conflictos territoriales sobre el tema de la ciberseguridad estaban al orden del día en Moscú. "Existen una gran cantidad de luchas internas en los órganos gubernamentales rusos. Los conflictos están presentes en todos los niveles. Todos los órganos federales, incluso dentro del mismo ministerio, viven un enfrentamiento permanente". En Estados Unidos, las fricciones en el seno del ejecutivo se duplican y amplifican por conflictos entre los distintos comités de control del Congreso. "Capitol Hill ignora por completo todos los problemas de ciberseguridad de Estados Unidos", afirmó el antiguo responsable del Departamento de Energía, Christopher Campione. "Se ha producido un fenómeno de colapso", añadió, para terminar diciendo que el origen del problema está en la manera en la que la Administración recibe sus fondos. "Si, como legislador, usted (asigna fondos) a la oficina del Director de TI (de una agencia), ese dinero acabará siendo gastado por gente en Washington. Si da dinero a un subdepartamento cualquiera de una agencia, acabará en Virginia... o en Pittsburgh o en cualquier otro lugar que desee", afirmó Campione. "En el Congreso, los gastos están muy motivados por consideraciones geográficas". Y añadió que "es por esta razón por la que todos estos departamentos lo tienen tan mal para consolidar sus sistemas informáticos". El intercambio de información parece funcionar mejor horizontalmente Según los directivos, los niveles de participación son más elevados en las estructuras para compartir información entre sectores más horizontales, aunque, según los países, los tipos de organización y los niveles de participación difieren. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 37 El intercambio de información entre empresas de software de seguridad, por ejemplo, "ha progresado enormemente, superando obstáculos como la desconfianza mutua (los problemas jurídicos de la propiedad intelectual) y las cuestiones de competencia", afirmó Phyllis Schneck de McAfee. Según sus palabras, los diferentes actores del sector "colaboran eficazmente (…) particularmente en tiempos de crisis". Una variedad todavía mayor de enfoques caracterizó la organización de foros para compartir información entre la Administración y el sector privado, y existía una gran variación entre países en las tasas de participación. Pero aquí, al menos según los datos de las entrevistas, hemos podido observar una queja común: las administraciones son reacias a compartir información confidencial sobre amenazas y vulnerabilidades. El responsable de la seguridad de una importante operadora de telecomunicaciones afirma que su empresa mantiene relaciones con las fuerzas de seguridad en más de un centenar de países en los que opera. Sin embargo, a la hora de compartir información de seguridad sobre la infraestructura nacional crítica, "no he recibido jamás la información exhaustiva que esperaba. Lo que espero de las autoridades es que nos faciliten lo que no podemos obtener en ningún otro lugar: información precisa sobre la naturaleza de las amenazas, indicaciones sobre los dominios en los que podemos utilizar mejor nuestros activos, sobre la base de un análisis más detallado de la amenazas que el que somos capaces de generar nosotros. Ellos disponen de todos los servicios de seguridad y de otros recursos". 38 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Pero ése es exactamente el tipo de información que los poderes públicos guardan más celosamente, en parte porque no ven una manera segura de compartir la información con los propietarios y operadores de infraestructuras críticas sin que acabe en poder de sus adversarios. Por esta razón, los altos niveles de participación de los organismos para compartir información controlados por los poderes públicos no son probablemente un indicador fiable de su éxito. Algunos países adoptan claramente un enfoque más exclusivo para compartir información que otros. Secreto y seguridad "En Estados Unidos y en Europa, los esfuerzos son algo mayores" por parte de las agencias para compartir información, afirma el Director de Seguridad, "pero, cuando se trata de recibir información realmente útil de la autoridades, como advertencias o consejos sobre el uso de los recursos, no recibimos nada de ningún gobierno". En Estados Unidos, donde los directivos señalaron una participación superior a la media en los grupos para compartir información con las autoridades, se han hecho intentos para abordar esos problemas, otorgando derechos de acceso especiales a ciertos dirigentes de sectores críticos, pero los progresos en la materia son desiguales. "Una o dos personas (de una determinada empresa) se benefician de autorización especial", afirmó Campione, "pero esas personas no son necesariamente las adecuadas". ¿Debe disponer de esa autorización un alto directivo, que tal vez no tenga la competencia técnica para interpretar la información que se le suministra? ¿O debería ser un colaborador de más experiencia técnica, aunque de menor rango, pero que no tenga la autoridad necesaria para gestionar problemas que no puede revelar a otros? Otro enfoque, defendido por Pamela Warren de McAfee, es el de desclasificar más información a un nivel "confidencial pero no de alto secreto"; información que "puede compartirse entre los miembros de una comunidad de confianza", incluidos los que no disponen de las autorizaciones oficiales. "El problema viene en parte del hecho de que hay demasiada información clasificada", afirmó el antiguo alto funcionario de Departamento de Energía. Los datos muestran una relación excepcionalmente estrecha entre los sectores público y privado en China. En Australia, el directivo de seguridad Ajoy Ghosh afirma que el nuevo Centro de operaciones para la ciberseguridad va a tener capacidad operativa, la facultad de "tantear el terreno" junto con los propietarios y operadores de infraestructuras críticas. En Estados Unidos, por contraste, las agencias favorecen un enfoque más basado en el establecimiento de normas. En Rusia, según Kimberly Zenz, los poderes públicos optan por un enfoque más informal. Aunque no existe un plan nacional de cibermaniobras y pocas disposiciones institucionales en lo relativo a compartir información o al establecimiento de una colaboración estable, algunos funcionarios públicos "mantienen relaciones muy estrechas con proveedores de servicios de Internet (...) y entre éstos, hay gente que tiene conocimientos en tiempo real en materia de redes" y les sirven de fuentes de información, según ella. En China, hemos observado una relación excepcionalmente estrecha entre los sectores público y privado, a la vista de los niveles de participación y de aprobación de iniciativas instigadas por la Administración que revela la encuesta. Si esta relación puede extrapolarse en otros lugares, es una incógnita. Sin embargo, el general Hayden señala que China "es un país más autoritario, y es probablemente más fácil para ellos adoptar esta actitud (…) La población está más habituada a las exigencias que plantea la seguridad (…) a la vista de todos los aspectos de la vida y la cultura chinas", y el hecho de que el uso de Internet, aunque importante y en aumento, está todavía reservado principalmente a "una fracción privilegiada" de la población. La dificultad de una colaboración eficaz con los actores de los diversos sectores económicos se acentúa por la naturaleza de la amenazas. Un especialista de seguridad en el sector del transporte explica, "el valor de la experiencia operativa cae rápidamente (una vez que un ejecutivo se incorpora) a la Administración. Es un problema capital al que se enfrenta el sector a la hora de tratar con las distintas agencias". De hecho, el mismo problema mina los esfuerzos para abrir con el gran público un diálogo realista sobre la seguridad. El debate público sobre los problemas de la seguridad es siempre delicado, pero resulta particularmente espinoso en el ciberdominio, explicó el general Hayden. "Te adelantas uno o dos pasos y dejas atrás al 95% del público desde el punto de vista tecnológico (…) a continuación, los defensores de la privacidad intervienen y, de repente, la conversación se hace muy difícil... Culturalmente, es muy complicado para nosotros". Conclusión La encuesta revela que las redes informáticas, en particular las redes IP, son en la actualidad esenciales para los propietarios y operadores de las infraestructuras críticas. En el clima económico actual, estos propietarios y operadores, que utilizan la informática para mejorar la eficacia, serán cada vez más dependientes de las redes, tanto en lo que se refiere a sistemas operativos como a sistemas de administración. Los datos recogidos por la encuesta y las entrevistas muestran que esos sistemas críticos (incluidos los de naturaleza operativa, como los sistemas SCADA/ICS) funcionan en un entorno de alto riesgo y se enfrentan a una amplia gama de amenazas que, en algunos casos, pueden suponer costes extremadamente altos. Sin embargo, sugieren igualmente que se pueden poner en práctica una gran cantidad de iniciativas para protegerlos, por ejemplo, mediante la adopción más generalizada de medidas de seguridad esenciales. Si el ciberespacio es el Salvaje Oeste, es hora de que el sheriff tome cartas en el asunto. Las cuestiones de administración están en el centro de todos los debates sobre la seguridad de las redes en el marco de las infraestructuras críticas. Hubo una gran cantidad de comentarios, por ejemplo, sobre las barreras legales al uso más generalizado de ciertas medidas técnicas para contrarrestar los ataques DDoS. Los expertos también han señalado las dificultades a las que se enfrentan los tratados y otras iniciativas en este campo. Para los propietarios y operadores, según esta encuesta, la relación que mantienen con los poderes públicos es un factor determinante para la gestión de la seguridad. Para los poderes públicos, esa relación es crucial para la defensa de los activos nacionales. En ausencia de una solución tecnológica milagrosa, muchos directivos ven en las normativas, a pesar de sus inconvenientes, un medio de mejorar la seguridad. Y más allá de la simple regulación, la encuesta indica que en algunos países, con China como ejemplo más destacado, una estrecha relación entre los poderes públicos y los propietarios y operadores ha contribuido a mejorar la seguridad. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 39 Agradecimientos Los autores e investigadores del CSIS hablaron de manera oficial y extraoficial con docenas de personas mientras procesaban la enorme cantidad de datos recopilados para este informe. Muchas de ellas consintieron en ser entrevistadas y citadas formalmente, pero no todas querían que se publicara su nombre, ni siquiera en los agradecimientos, donde, para su tranquilidad, éste no figura junto a sus palabras. Queremos dar las gracias a todos aquellos —citados y no citados— que tan generosamente han compartido su tiempo y sus conocimientos. Nuestro especial agradecimiento a James Lewis, por sus consejos y recomendaciones, y a Denise Zheng, que mantuvo el proyecto encarrilado. Por supuesto, los autores admiten ser totalmente responsables de cualquier error u omisión. Stewart Baker, Miembro distinguido invitado, CSIS, y partner, Steptoe & Johnson Shaun Waterman, escritor e investigador, CSIS George Ivanov, investigador, CSIS Michael Assante Vicepresidente y Director de Seguridad, North American Electric Reliability Corporation David Aucsmith Director General de Microsoft Institute for Advanced Technology in Governments Christopher "Rocky" Campione Ex Alto Funcionario de Ciberseguridad, Departamento de Energía de EE. UU. John Carlson Vicepresidente primero, BITS, división de la Financial Services Roundtable Rick Howard Director de información sobre seguridad, iDefense Labs Aaron Levy Director de política de seguridad, Association of Metropolitan Water Agencies Anchises De Paula Analista de información sobre amenazas, iDefense Labs, Brasil Karl Rauscher Miembro distinguido del EastWest Institute, y socio, Bell Labs Adam Rice Director de seguridad mundial, Tata Communications Claudia Copeland especialista en recursos y política medioambiental, Servicio de Investigaciones del Congreso estadounidense Phyllis Schneck Vicepresidente de Información sobre Amenazas de McAfee, y miembro de la Comisión sobre Ciberseguridad del CSIS para la 44ª presidencia de EE. UU. Dan Corcoran responsable de seguridad de la información para grupos, Grupo de Consumidores de Intuit Paul Smocer Vicepresidente, BITS, división de la Financial Services Roundtable Kristen Dennison analista de información sobre amenazas, iDefense Labs Ajoy Ghosh ejecutivo de seguridad en Logica y profesor de ciberdelincuencia en la Universidad Tecnológica de Sidney General Michael Hayden (retirado) Ex Director de la Agencia Central de Inteligencia, Ex Subdirector de inteligencia nacional, y Ex Director de la Agencia de Seguridad Nacional 40 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra Pamela Warren Especialista en estrategia contra la ciberdelincuencia, sector público, y Directora de iniciativas de telecomunicaciones, McAfee Tom Wills Financial Services Information Sharing and Analysis e iDefense Labs Kimberly Zenz Analista de información sobre amenazas, iDefense Labs Notas 1 La encuesta se llevó a cabo en septiembre de 2009 por la empresa británica de estudios de mercado Vanson Bourne, Ltd. Los encuestados se seleccionaron entre paneles de directivos de TI que la empresa tiene en diferentes sectores y países paras sus investigaciones. De los 600 encuestados, 100 residían en Estados Unidos, 50 en Japón, China, Alemania, Francia, Reino Unido e Italia (cada uno), 30 en Rusia, España, Australia, Brasil, México e India (cada uno también) y 20 en Arabia Saudí. Los sectores mejor representados fueron el sector bancario/financiero y el de servicios públicos, con 145 encuestados en cada categoría. El sector con menor representación fue el de agua y saneamiento, con sólo 23 encuestados entre 600. Otros sectores (gas y petróleo, energía, transporte de mercancías y público, y telecomunicaciones) oscilaron entre 59 y 82 encuestados. Teniendo en cuenta el tamaño de la muestra, pudimos sacar conclusiones sobre patrones y variaciones entre sectores o países, pero no sobre los sectores de cada país. Cuando las preguntas se dirigieron únicamente a responsables de sistemas operativos, 143 de los 600 encuestados, el tamaño de la muestra disminuyó y hasta las variaciones entre países perdieron fiabilidad. Cuando la fiabilidad de los datos exige precaución, el texto lo indica. En general, en las entrevistas intentamos comprobar los aspectos más sorprendentes e interesantes de los datos. En los casos en que los datos de las entrevistas ponen en duda los datos de la encuesta o sugieren una interpretación diferente, así se hace constar. 2 Algunos resultados de la encuesta a los representantes rusos no se correspondían con las conclusiones obtenidas en las entrevistas. Sólo el 30% de los ejecutivos rusos declararon haber sufrido ataques DDoS a gran escala y sólo un 3% varias veces al mes, el porcentaje más bajo de todos los países. "Los ataques DDoS son un auténtico problema en Rusia", afirma Kimberly Zenz, especialista en Rusia de iDefense Labs. "Todo el mundo recibe agresiones. Allí es muy fácil alquilar una red de bots". Zenz asegura que los ataques a sitios Web rivales, contrarios a las normas de la competencia, son frecuentes incluso entre tiendas locales de ciudades pequeñas. "El sector de los servicios financieros suele ser uno de los objetivos de ataques DDoS y amenazas de extorsión", añadió. En parte, esta aparente anomalía de los datos puede deberse a la formulación de la pregunta. En ella se utilizaron, como ejemplos de ataques a gran escala, las campañas DDoS contra Estonia y Georgia, ataques de los que muchos acusaron a Rusia. Puede que este factor afectase a las respuestas de los encuestados rusos. Cuando se les preguntó sobre ataques DDoS de "bajo nivel" sin mencionar a Estonia ni Georgia, los encuestados rusos que admitieron haber recibido ataques alcanzaron el 73%, una cifra mucho más acorde con los datos del conjunto de encuestados, el 72% de los cuales dijo haber experimentado ataques de bajo nivel. En el punto de mira: las infraestructuras críticas en la era de la ciberguerra 41 Acerca de los autores Acerca de McAfee Stewart Baker es miembro distinguido invitado del CSIS (Center for Strategic and International Studies) y socio del bufete de abogados de Steptoe & Johnson, en Washington. Entre 2005 y 2009 fue Subsecretario de política de seguridad del Departamento de Seguridad Nacional de EE. UU. Con anterioridad, fue consejero general para la Comisión Silverman‑Robb, encargada de la investigación de los errores de los servicios de inteligencia estadounidenses sobre las armas de destrucción masiva de Irak. Entre 1992 y 1994 fue consejero general de la Agencia de Seguridad Nacional. McAfee, Inc., con sede en Santa Clara, California, es líder en tecnología de la seguridad. McAfee ha adquirido el compromiso continuo de abordar los retos de la seguridad más difíciles a nivel mundial. La compañía ofrece soluciones y servicios proactivos y de demostrada eficacia que ayudan a proteger sistemas y redes en todo el mundo, y que permiten a los usuarios conectarse a Internet, navegar y hacer compras en la Web de forma más segura. Respaldada por un galardonado equipo de investigación, McAfee crea productos innovadores que permiten a los usuarios particulares, a las empresas, al sector público y a los proveedores de servicios cumplir con las normativas, proteger los datos, evitar interrupciones, identificar vulnerabilidades y monitorizar continuamente mejorando así su seguridad. Shaun Waterman es periodista y asesor en temas de terrorismo y seguridad nacional, contratado por el CSIS para investigar y redactar este informe. En la actualidad es reportero freelance del Washington Times y de otras publicaciones, y entre los años 2000 y 2009 fue corresponsal y redactor de United Press International en Washington. Para obtener más información, visite: www.mcafee.com/es George Ivanov es investigador del CSIS y candidato a doctor en Política de Ciencia y Tecnología Internacional en la Universidad George Washington. Para obtener más información sobre el CSIS, visite: www.csis.org McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce 28108 Alcobendas Madrid, España www.mcafee.com/es McAfee y/u otros productos relacionados con McAfee mencionados en este documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE. UU. y/u otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales registradas o no registradas y productos no relacionados con McAfee que se mencionan en este documento son meras referencias y son propiedad exclusiva de sus propietarios respectivos. La información de este documento se proporciona únicamente con fines educativos y para la conveniencia de los clientes de McAfee. Nos hemos esforzado por asegurar que la información del presente informe de McAfee sea correcta; sin embargo, dado que la ciberseguridad cambia constantemente, el contenido de este documento está sujeto a modificaciones sin previo aviso y se proporciona tal cual, sin garantía en cuanto a su precisión o aplicación a una situación o circunstancia en particular. 7795rpt_cip_0110 © 2010 McAfee, Inc. Reservados todos los derechos.