Lea aquí el informe "Informe Mc Afee sobre Ciberguerra contra infraestructuras críticas"

Anuncio
En el punto de mira
las infraestructuras críticas en la era de la ciberguerra
Un informe global sobre las amenazas que sufren los sectores clave
Protección de infraestructuras críticas
1
En el punto de mira
ÍNDICE
Autores:
Introducción y contexto del estudio
1
Stewart Baker, Miembro distinguido invitado,
CSIS, y partner, Steptoe & Johnson
La amenaza es real
2
Respuesta a la amenaza: recursos y preparación
12
Shaun Waterman, escritor e investigador, CSIS
Medidas de seguridad adoptadas para contrarrestar
la amenaza
18
El "estado natural" y el papel de los poderes públicos
24
Más seguridad en la era de la ciberguerra
32
Agradecimientos
40
George Ivanov, investigador, CSIS
Introducción y contexto del estudio
En un mundo cada vez más interconectado, las cibervulnerabilidades de
infraestructuras críticas plantean nuevos retos tanto a gobiernos como a
propietarios y operadores de todos los sectores y en el mundo entero.
Con la situación económica mundial aún frágil tras
la crisis financiera, la integridad y la disponibilidad
de las industrias nacionales clave pueden pasar a un
segundo plano en las prioridades de los gobiernos;
sin embargo, siguen siendo determinantes para la
vulnerabilidad estratégica.
mayor nivel de regulación, seguidos de cerca por
China y Alemania. En el otro extremo, los directivos
de Estados Unidos mostraron los niveles más bajos.
Las opiniones sobre el impacto y la efectividad de las
normas eran muy variadas, aunque, en general, la
mayoría coincidían en que mejoran la seguridad.
Seiscientos responsables de TI y seguridad procedentes
de empresas de administración de infraestructuras
críticas de siete sectores en 14 países de todo el
mundo han contestado de manera anónima a un
completo cuestionario con preguntas detalladas
sobre sus hábitos, actitudes y políticas de seguridad;
el impacto de las normativas, su relación con la
Administración, las medidas de seguridad concretas
que emplean en sus redes y los tipos de ataques
que sufren.
Una mayoría de los ejecutivos creían que ya había
gobiernos extranjeros implicados en ataques a
través de la red contra infraestructuras críticas de
su país. Estados Unidos y China se perciben como
los principales ciberagresores potenciales, pero la
dificultad para atribuir la autoría en el ciberespacio
otorga a todos los agresores la posibilidad de negar
su culpa.
Los propietarios y operadores de estas infraestructuras
críticas afirman que sus redes de TI sufren continuos
ciberataques, a menudo procedentes de adversarios
de gran envergadura. Las consecuencias de estos
ataques suelen ser graves, su coste es alto y sus
efectos, generalizados.
Los datos de la encuesta recogidos para este informe
dibujan por primera vez un esquema detallado de las
medidas aplicadas por los responsables de la defensa
de las redes de TI de importancia crítica para responder
a los ciberataques, en un intento de proteger sus
sistemas y colaborar con los gobiernos. Un equipo
del programa sobre tecnología Technology and Public
Policy Program del CSIS (Center for Strategic and
International Studies) en Washington DC ha analizado
los datos, los ha completado con otras investigaciones
y entrevistas y ha elaborado este informe.
Aunque, por lo general, los directivos se muestran
satisfechos con los recursos destinados a la
seguridad, los recortes aplicados como resultado de
la recesión son amplios y, en ocasiones, significativos.
Además, hay dudas sobre si la preparación de las
infraestructuras críticas es suficiente para responder a
los ataques a gran escala.
Mediante la recopilación de detalles sobre las medidas
de seguridad concretas adoptadas por las empresas,
hemos podido realizar una comparación objetiva de la
seguridad en los distintos sectores de infraestructuras
críticas y entre distintos países. También se plantearon
a los directivos con responsabilidades en los sistemas
de control operativos o industriales preguntas
especiales sobre las medidas de seguridad empleadas
en dichos sistemas.
Según los resultados de la encuesta, China muestra,
con diferencia, las mayores tasas de adopción de
medidas de seguridad, incluidas las técnicas de cifrado
y autenticación robusta de usuarios. Si se comparan
los distintos sectores, el sector del agua/saneamiento
está a la cola en adopción de medidas de seguridad.
Divididos por sector y por país, los datos de la
encuesta revelan variaciones significativas en cuanto a
percepción e informes de normativas y otras iniciativas
a nivel estatal. En India, los directivos indicaron el
Metodología
Los encuestados son responsables de TI, seguridad o
sistemas de control operativo en sus empresas. Cerca
de la mitad manifestaron tener responsabilidad en
dichos ámbitos a nivel de unidad empresarial y un
cuarto dijeron ser responsables a nivel global.
La encuesta no se había diseñado para ser un sondeo
de opinión estadísticamente válido con muestreo y
márgenes de error, sino más bien como una medida
aproximada de la opinión de los directivos, una visión
instantánea de las opiniones de un grupo significativo
de los encargados de la toma de decisiones1.
El equipo del CSIS utilizó las entrevistas para
establecer el contexto y los antecedentes, y para
verificar los datos de la encuesta, añadiendo detalles
a la representación de los entornos de regulación
y los niveles de amenazas/vulnerabilidades en los
siete sectores en cada país, así como para discutir las
mejores prácticas. Muchos de los entrevistados se
negaron a que se mencionara su nombre y algunos
mostraron su rechazo a ser citados o nombrados de
cualquier forma. En la sección de reconocimientos
agradecemos su colaboración a todos los que
accedieron a ser identificados.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
1
La amenaza es real
Las redes y los sistemas de control
están sometidos a ciberataques
constantes, frecuentemente de
adversarios de envergadura, como
países extranjeros.
Los propietarios y operadores de infraestructuras críticas afirman
que sus redes de TI están sometidas a ciberataques constantes,
frecuentemente de adversarios de envergadura, como países
extranjeros. Las agresiones comprenden desde ataques DDoS masivos
diseñados para cerrar sistemas hasta sigilosos intentos de entrar en
una red sin ser detectado.
Aunque siempre resulta difícil averiguar la procedencia de un
ciberataque, la mayoría de los propietarios y operadores cree que ya hay
gobiernos extranjeros involucrados en ataques a infraestructuras críticas
de su país. También puede haber otros agresores, desde vándalos hasta
empresas de crimen organizado. Los ataques por motivos económicos,
como la extorsión y el robo de servicio, están muy extendidos.
El impacto de los ciberataques varía enormemente, pero algunas de las
consecuencias registradas en la encuesta son graves, incluidos los fallos
operativos críticos. Según los datos recopilados, el coste del tiempo de
inactividad que generan los grandes ataques supera los 6 millones de
dólares estadounidenses al día. Aparte del coste, el mayor temor que
producen los ataques es el daño a la reputación, seguido de la pérdida
de información personal sobre clientes.
Por mal que suene todo esto, los encuestados creen que, lejos de
mejorar, la situación empeorará en el futuro.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
3
Se generalizan los ciberataques graves
Más de la mitad de los ejecutivos encuestados
(54%) afirmaron haber experimentado "ataques de
denegación de servicio a gran escala procedentes de
adversarios de envergadura, ya fueran organizaciones
criminales, terroristas o países (como en Estonia
y Georgia)". La misma proporción afirmó haber
sufrido en sus redes "infiltraciones sigilosas" de
adversarios de alto nivel, "como GhostNet", una
red de espionaje a gran escala conocida por lanzar
ataques de malware individualizados que permitían a
los hackers infiltrarse, controlar y descargar grandes
cantidades de datos de redes informáticas de ONGs,
ministerios y organizaciones internacionales en
decenas de países.
Una mayoría considerable (59%) estaba convencida
de que algunos representantes de gobiernos
extranjeros ya habían participado en ataques e
infiltraciones de este tipo contra las infraestructuras
críticas de su país.
Porcentaje que cree que países extranjeros han participado en ciberataques contra
infraestructuras críticas en su país
75%
60%
45%
30%
15%
China
4
Japón
Francia Australia
India
Rusia
Estados Alemania
Unidos
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Brasil
México
Arabia
Saudí/
Oriente
Medio
Reino
Unido
Italia
España
Total
Una mayoría creía que ya había algunos
gobiernos extranjeros implicados en
ciberataques contra infraestructuras críticas.
En 2007, el Informe anual sobre Criminología
Virtual de McAfee concluyó que 120 países habían
desarrollado, o estaban desarrollando, potencial para
el ciberespionaje o la ciberguerra. Las autoridades
del Reino Unido y de Alemania han advertido a las
principales industrias del sector privado que sus redes
son objetivo de intrusión para agencias de inteligencia
extranjeras. En Estados Unidos, numerosos artículos
de prensa han revelado intrusiones de agencias
de inteligencia extranjeras, a menudo atribuidas a
China, sobre todo contra los sectores energético y de
fabricación de material de defensa.
"Está claro que hay entidades extranjeras que no
dudarían en (ciber)explorar nuestra infraestructura
energética", asegura Michael Assante, Director
de Seguridad de la NERC (North American Electric
Reliability Corporation), organismo público que
representa al sector eléctrico norteamericano.
"Probablemente lo harían para estudiar el terreno,
para ir buscando un lugar desde el que entrar e
intentar mantener el acceso a las redes informáticas".
Los ataques son frecuentes y su efecto, grave
Casi un tercio (29%) de los encuestados declararon
que sufren ataques DDoS a gran escala varias veces al
mes, y casi dos tercios de ellos (64%) que los ataques
"afectan de alguna manera a sus operaciones".
Los ataques de denegación de servicio distribuido
(DDoS) emplean redes de ordenadores infectados —a
menudo propiedad de personas u organizaciones que
ni siquiera saben que están comprometidos— para
bombardear sus objetivos por Internet con millones de
solicitudes falsas de información. Los ataques DDoS
corren a cargo de "redes de bots " —o "botnets"—
de equipos infectados con software malicioso escrito
para tal fin y conocido como malware.
En el actual entorno de red, los ataques DDoS son
técnicamente más fáciles de detectar y aplastar, y
gran parte de los proveedores de servicios de Internet
(ISP) ofrecen estas soluciones a sus clientes, siempre
que paguen su precio.
"En general los ISP partimos del principio de que
nosotros nos limitamos a transportar el tráfico",
afirma Adam Rice, Director de Seguridad de Tata
Communications, el mayor proveedor mundial
de servicios de Internet al por mayor. "Siempre
que se abone el servicio (de reducción de riesgos),
aniquilaremos la amenaza (de ataque DDoS) antes
de que llegue a su objetivo; en caso contrario, los
proveedores se limitarán a verla pasar".
Si actuasen juntos, asegura, los "proveedores de
primer nivel" —que poseen y gestionan las redes
troncales del Internet mundial— podrían hacer
técnicamente mucho más para mitigar estos ataques.
El problema, como apuntan otros expertos, es que
estas actividades paliativas pueden complicarse con
cuestiones de carácter normativo o contractual,
a menos que la ley promulgue disposiciones de
protección jurídica para las empresas que interceptan
y desvían tráfico DDoS. Además, es posible que
los proveedores que trabajan en varios mercados
nacionales tengan que cumplir obligaciones
legales enfrentadas e incluso contradictorias en
diferentes jurisdicciones.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
5
Casi dos tercios de las
empresas que sufren ataques
DDoS a gran escala afirmaron
que sus operaciones se habían
visto afectadas.
Los atacantes suelen ser anónimos
La transmisión de instrucciones de ataque a las redes
de bots a menudo proviene de otros ordenadores
infectados, también propiedad de personas inocentes,
mientras los autores reales de la información se
ocultan tras intermediarios y rastros falsos. Las redes
de bots pueden alquilarse fácilmente a bandas de
hackers. Estos factores pueden hacer muy difícil
localizar el auténtico origen de los ataques DDoS; la
identidad exacta de los que perpetraron los ataques a
Georgia y Estonia sigue siendo motivo de discusión.
"Saber algo no significa poder demostrarlo", declaró
un antiguo miembro de las fuerzas de seguridad
estadounidenses. "Aunque logremos descubrir la
máquina de origen, quizá no averigüemos quién
la maneja".
Esto es doblemente cierto cuando se trata de
la infiltración sigilosa en las redes. En el caso de
GhostNet, los investigadores hallaron spyware
—software diseñado para robar contraseñas, datos
de inicio de sesión y documentos confidenciales— en
las redes informáticas de la oficina del líder espiritual
tibetano, el Dalai Lama, y culparon al gobierno chino.
Pero su dictamen no se basó únicamente en las huellas
técnicas, sino en que los funcionarios chinos utilizaron
más tarde los datos robados de las redes infectadas.
Dadas las dificultades inherentes a la atribución
definitiva de un ciberataque, los países agresores
continúan disfrutando de las ventajas estratégicas
de la "denegación plausible" o posibilidad de negar
la culpa. Pero, para los responsables de defender las
redes importantes, los ciberconflictos pueden parecer
hobbesianos: una "guerra de todos contra todos".
6
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Los ataques DDoS, aunque generalizados,
están lejos de ser el problema de seguridad
más habitual
La infección con virus o malware resultó la forma
más extendida de ataque entre los encuestados, que
la habían experimentado en un 89%. Sin embargo,
el porcentaje de victimización también superó el
70% en una gran variedad de ataques distintos,
incluidos vandalismo y DDoS de bajo nivel, amenazas
internas o de empleados, pérdida o fugas de datos
confidenciales y phishing o pharming.
Los ataques técnicamente más avanzados parecen
menos frecuentes, aunque están más extendidos
aún que los DDoS a gran escala. Más de la mitad
(57%) de los ejecutivos de TI notificaron incidentes
de envenenamiento de DNS —redireccionamiento del
tráfico de la Web—, y casi la mitad contabilizó varios
casos mensuales. Aproximadamente el mismo número
había padecido ataques de inyección SQL —que los
hackers pueden utilizar para obtener acceso a datos
del sistema central a través de un sitio Web público—,
y también en esta ocasión casi la mitad había sufrido
varios ataques mensuales. Además, normalmente
estos ataques tuvieron un efecto operativo más
importante en los sistemas de las víctimas.
Porcentaje que informó de ataques DDoS a gran escala y su frecuencia
100%
80%
60%
40%
20%
Brasil
India
Francia
España
Italia
Alemania Estados Australia
Unidos
Varias veces al día
Menos de una vez al mes
Varias veces a la semana
Menos de una vez al año
China
Japón
Reino
Unido
México
Rusia
Arabia
Saudí/
Oriente
Medio
Total
Varias veces al mes
El robo y otros fines lucrativos son
motivaciones habituales
El 60% de los encuestados había padecido
ciberataques de robo de servicio y casi uno de cada
tres recibía múltiples ataques al mes. Los porcentajes
de victimización más elevados se registraron en el
sector del gas y el petróleo, donde tres cuartos de los
encuestados habían experimentado ataques de este
tipo. El sector del gas y el petróleo también alcanzó
los mayores porcentajes de infiltración sigilosa (un
71% frente al 54% de los encuestados de todos los
sectores en general) y más de un tercio informó de
varias infiltraciones al mes.
No obstante, en general, los porcentajes de
victimización variaron más entre países que entre
sectores, lo que indica que los factores nacionales
son más importantes que los sectoriales a la hora de
determinar los índices de ataque.
Algunos países sufren ciberataques con
mucha más frecuencia que otros
En India y en Francia, más de la mitad de los
ejecutivos afirmaron que sufrían varios ataques
DDoS a gran escala al mes. España y Brasil también
mostraron porcentajes de victimización elevados2.
"Los ataques DDoS son muy habituales en Brasil, al
igual que en el resto del mundo", asegura Achises De
Paula, analista residente de iDefense Labs, y añade
que los ISP cada vez los manejan mejor.
"Los ataques DDoS siguen ganando popularidad y
cada vez son más baratos y fáciles", apunta Rice.
"Basta una tarjeta de crédito y un par de horas para
alquilar una red de bots y lanzar un ataque DDoS".
Todos los sectores padecen ataques DDoS
En los ataques DDoS a gran escala, las variaciones
sectoriales son muy inferiores a las nacionales, lo que
quizá refleje la mayor importancia de los factores
nacionales frente a los sectoriales a la hora de
determinar los porcentajes de victimización. El sector
más golpeado fue el del gas y el petróleo, en el que
dos tercios de los ejecutivos registran estos ataques y
un tercio sufre varios ataques mensuales. Los sectores
menos afectados por este tipo de ataque fueron el
de agua y saneamiento, con sólo un 43%, y el de
transporte (50%).
El impacto de los ataques es grave y varía de
un sector a otro
Casi dos tercios de las empresas que sufren ataques
DDoS a gran escala afirmaron que sus operaciones
se habían visto afectadas de alguna manera. Estos
ataques no sólo dejan inaccesibles los sitios Web
públicos, también pueden afectar a las conexiones de
correo electrónico, los sistemas telefónicos basados
en Internet y otras importantes funciones operativas.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
7
Extorsión en la Web
Una de cada cinco entidades de infraestructuras
críticas declaró haber sido víctima de una extorsión
por ciberataque o amenaza de ciberataque en los
dos últimos años. Este impresionante dato concuerda
con las observaciones no oficiales de expertos de
diferentes países y sectores; de hecho, algunos de
ellos sugieren que la cifra real podría ser incluso
superior. Según ellos, la mayoría de estos casos
no se publica y, a veces, ni se denuncia, debido
a la preocupación de la empresa agredida por su
reputación y por otros aspectos.
El mayor porcentaje de victimización se produjo
en los sectores energético (27%) y del gas y el
petróleo (31%).
"La extorsión es, según mi opinión, un fenómeno
muy preocupante, ya que tiene que ver
específicamente con la interrupción del sistema de
suministro eléctrico", indica Michael Assante. Para
él, las amenazas a las redes empresariales son un
tipo de extorsión "menos importante" en tanto en
cuanto representan "la manera más segura de sacar
dinero con un riesgo limitado, pero sin producir
pérdidas importantes". En cambio, las amenazas
contra la propia infraestructura son mucho más
serias. "Cuando se habla de cortar la electricidad, la
situación es completamente distinta. Probablemente
el riesgo que corre el extorsionista será mucho mayor,
pero también es cierto que podrá pedir muchísimo
más dinero". En noviembre de 2009, en los medios
de comunicación estadounidenses se reveló que
los dos cortes de suministro eléctrico acaecidos en
Brasil en 2005 y en 2007 habían sido provocados por
hackers, quizá como parte de un plan de extorsión.
En septiembre de 2009, Mario Azer, asesor de
TI en Pacific Energy Resources, una empresa de
prospección de petróleo y gas basada en Long Beach,
California, se declaró culpable de alterar los sistemas
informáticos tras un conflicto con la firma sobre su
empleo y su salario futuros. Modificó el software de
control industrial fabricado expresamente, que se
denomina sistema SCADA (Supervisory Control And
Data Acquisition, control de supervisión y adquisición
de datos), diseñado en este caso para alertar a los
operadores de fugas u otros daños en los kilómetros
de oleoductos y gasoductos submarinos que
conectan las plataformas de la empresa con la costa.
Aunque el sector de agua y saneamiento acusó un
porcentaje de victimización más bajo (17%), el efecto
potencial de los planes de extorsión también se
percibe claramente en este sector.
Impacto de ataques DDoS a gran escala
4%
3,5%
12%
19,5%
35%
35,5%
23%
19,5%
26%
23%
Total
Interrupción de redes de TI leve o breve,
que no afecta a las operaciones
Efectos graves o prolongados en las operaciones,
como daños medioambientales, inundaciones, etc.
Interrupción de redes de TI grave o prolongada,
que afecta algo a las operaciones
Paralización
Afecta a las operaciones; por ejemplo,
daña la reputación o interrumpe los servicios
8
Energía
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
en el suministro de agua potable podría generar
situaciones caóticas" en las grandes ciudades y en
otros núcleos de población.
"El agua potable es algo que la mayoría de
la población norteamericana y de sus líderes
políticos dan por sentada, y así ha sido durante el
último siglo, si no más", afirma Aaron Levy de la
Association of Metropolitan Water Agencies. "Los
estudios demuestran que la pérdida de confianza
La extorsión demostró ser más habitual en India,
Arabia Saudí y Oriente Medio, China y Francia, y
menos frecuente en Reino Unido y Estados Unidos.
Porcentaje de extorsión mediante ataques o amenazas de ataque a redes en los dos últimos años
50%
40%
30%
20%
10%
India
Arabia
Saudí/
Oriente
Medio
China
Francia
Casi uno de cada seis describió el impacto de los DDoS
a gran escala como "un efecto grave o constante en
las operaciones" o como una "avería muy seria".
Los ataques DDoS a gran escala mostraron un efecto
especialmente negativo en el sector energético y el de
agua y saneamiento.
Entre otros ataques cuyo impacto en las operaciones
fue calificado de grave, figuran la infiltración
sigilosa en la red, las fugas o pérdidas de datos
confidenciales, el envenenamiento de DNS y la
inyección SQL, todos ellos con consecuencias
operativas para más del 60% de las víctimas.
Con respecto a las fugas y pérdidas de datos
confidenciales, el 15% afirmó que el impacto fue
grave y el 4% lo evaluó como muy grave.
Según los ejecutivos encuestados, los efectos de los
ciberataques no se limitaban a los citados. El impacto
no operativo más temido era el daño a la reputación,
seguido de la fuga de información personal sobre
los clientes. Estas dos inquietudes destacaron
especialmente en el sector bancario.
Brasil
España
Italia
Australia México
Japón
Rusia
Alemania
Reino
Unido
Estados
Unidos
Total
Sigue al dinero
Cuando se les preguntó a los encuestados cuál es el
objetivo más frecuente de los ciberatacantes, más de
la mitad (56%) mencionaron los datos económicos. El
menos frecuente es la información sobre nombres de
inicio de sesión y contraseñas, que sólo se busca en el
21% de los ataques.
Sin embargo, en los sectores energético y de petróleo
y gas, el 55 y el 56% de las veces, respectivamente,
los ataques suelen estar dirigidos a los sistemas
de control operativo informatizado, como SCADA
(Supervisory Control And Data Acquisition, control de
supervisión y adquisición de datos).
Los sistemas de control operativo blanco de
ataques
Los ataques a los sistemas SCADA son
particularmente graves, ya que pueden darles a los
hackers control directo sobre los sistemas operativos
y, de este modo, abrir la puerta a cortes de suministro
eléctrico a gran escala o desastres medioambientales
provocados por el hombre (véase la página 22).
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
9
¿Quién sufragaría el coste de un ciberincidente grave en su sector?
100%
80%
60%
40%
20%
Australia
Brasil
China
Francia Alemania
India
Italia
Japón
México
Rusia
Arabia
Saudí/
Oriente
Medio
España
Reino
Unido
Estados
Unidos
Total
Aseguradoras
Ayudas del gobierno
Contribuyentes/clientes
En 2007, la CNN obtuvo imágenes de una prueba
científica realizada en el Laboratorio Nacional de
Idaho en la que un generador eléctrico conectado a
un sistema SCADA casi estalló en pedazos tras recibir
instrucciones pirateadas. El vídeo puso de manifiesto
el problema de las vulnerabilidades de los sistemas
SCADA en Estados Unidos y dio lugar a que el
Congreso dedicara varias sesiones a la ciberseguridad
de la red eléctrica.
Los grandes ciberataques son costosos
Los datos de la encuesta indican que los costes del
tiempo de inactividad asociado a un importante
incidente de ciberseguridad ("es decir, el que
provoque la interrupción grave de servicios durante
al menos 24 horas, la pérdida de vidas o lesiones
personales, o la quiebra de una compañía") podrían
ser muy altos.
De media, los encuestados calcularon que 24 horas
de inactividad por un ataque de magnitud supondrían
6,3 millones de dólares para su empresa. Los costes
más elevados se registraron en el sector del petróleo
y el gas, donde la media ascendía a 8,4 millones de
dólares diarios. Los más bajos se produjeron en el
sector gubernamental y el de agua y saneamiento.
10 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
¿Quién pagará la factura?
Ante la pregunta de quién sufragará estos costes en
última instancia, las respuestas eran muy variadas.
Más de la mitad de los encuestados pensaban que
las aseguradoras cubrirían el coste, mientras que casi
uno de cada cinco afirmó que el coste recaería en
abonados o clientes, y sólo un cuarto preveía ayudas
del gobierno. La idea de que las aseguradoras se
hicieran cargo del coste puntuó más en Italia, España
y Alemania, y menos en India y Arabia Saudí.
La predicción de que lo soportarían los clientes fue
casi el doble en el sector de agua y saneamiento que
para todos los encuestados en conjunto (35% frente
a 19%). En los casos en los que el sector del agua
presenta un valor atípico, como éste, es conveniente
tener en cuenta el reducido tamaño de la muestra de
este sector. No obstante, el pronóstico de que pagaría
el cliente también destacó en transporte (24%) y
telecomunicaciones (23%). El valor más bajo se
registró en el sector de gas y petróleo (12%).
¿Cuánto tiempo cree que tardará en producirse un ciberincidente grave que afecte a las infraestructuras críticas de su país?
100%
80%
60%
40%
20%
Arabia
Saudí/
Oriente
Medio
India
Francia
En los próximos 12 meses
Reino
Unido
México
Japón
Italia
España
China
Australia Estados Alemania
Unidos
Brasil
Rusia
Total
En los próximos 5 años
En los próximos 2 años
El coste medio aproximado
de 24 horas de inactividad
como consecuencia de
un ciberataque se cifró en
6,3 millones de dólares.
Es posible que, después de todo, estas previsiones
sean optimistas. Como planteó un experto, lo más
probable es que cambien en el futuro, dados los
crecientes esfuerzos de las empresas para limitar sus
responsabilidades a medida que aumentan los costes
de los ciberataques.
"En Australia, hasta ahora (el consumidor) ha tenido
suerte, porque el problema siempre era ajeno", relata
Ajoy Ghosh, responsable de seguridad de Logica,
afincado en Sidney. "Como usuario, si soy víctima
de un ataque de phishing sé que el banco me va a
devolver el dinero... Pero preveo que eso va a cambiar
y que el problema será mío".
Para Ghosh, conferenciante sobre ciberdelincuencia
en la Universidad Tecnológica de Sidney, "la única
manera que tienen las empresas de limitar sus
responsabilidades es traspasarle el problema a
otro. A veces ese otro será el gobierno, otras las
aseguradoras, pero sobre todo, en mi opinión,
normalmente ese otro será el consumidor".
Crece el riesgo de ciberataques
La situación, lejos de mejorar, está empeorando. Los
encuestados que opinaban que la vulnerabilidad de
su sector ante los ciberataques se había incrementado
durante el pasado año casi doblaron a los que decían
que había disminuido (37% frente a 21%).
Sorprendentemente, dos quintos de estos
responsables de TI vaticinaban un grave incidente
de ciberseguridad (que provoque una interrupción
del servicio durante "al menos 24 horas, pérdida de
vidas o… la quiebra de una compañía") en su sector
el próximo año. Excepto el 20%, todos presagiaban
un incidente de este tipo en los próximos cinco años.
Este pesimismo fue particularmente señalado en los
países que ya experimentan los niveles más elevados
de ataques graves.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
11
Respuesta a la amenaza:
recursos y preparación
Los recortes en los recursos de
seguridad como resultado de la
recesión son generalizados. Como
consecuencia, justificar comercialmente
la ciberseguridad sigue siendo un reto.
La mayoría de los directivos de TI manifestaron que sus recursos para
la protección de la red son adecuados, aunque el nivel de satisfacción
varía enormemente de unos países a otros. Sin embargo, los recortes
en los recursos como resultado de las condiciones económicas
reinantes son también la tónica general y, como consecuencia,
justificar comercialmente la ciberseguridad sigue siendo un reto.
La confianza en los recursos no siempre se traduce en confianza en la
preparación. Aproximadamente un tercio de los encuestados afirmó
que su sector no está preparado para hacer frente a ataques masivos
o infiltraciones perpetrados por adversarios de alto nivel. En particular,
los europeos muestran muy poca confianza en la capacidad de su
sistema bancario para seguir operando en caso de un ciberataque de
grandes proporciones.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
13
En general, los recursos se consideran
adecuados
En general, los directivos de TI pensaban que
disponían de los recursos adecuados para proteger
las redes informáticas de sus empresas. Casi dos
tercios de los encuestados afirmaron que sus recursos
eran "totalmente" o "muy" adecuados. Poco más
de un tercio manifestaron que sus recursos eran
"inadecuados" o sólo "relativamente adecuados".
Algunos países y sectores se mostraban
menos satisfechos que otros
Los directivos menos satisfechos con sus recursos
procedían de Italia, Japón y Arabia Saudí, mientras
que los más satisfechos son los alemanes, británicos
y australianos. Por sectores, los niveles de satisfacción
son globalmente más elevados en el sector bancario
y más reducidos en el sector del transporte/
transporte público.
Los recortes en los recursos motivados por
la recesión son generalizados y, en algunos
casos, de gran calado
Uno de cada cuatro afirmó que dichos recortes
habían limitado sus recursos en un 15% o más. Los
sectores de la energía y del petróleo/gas fueron los
más perjudicados por los recortes, dato avalado por
tres cuartos de los entrevistados. Los recortes fueron
más generalizados en India, España, Francia y México,
y menos importantes en Australia.
La seguridad es un factor fundamental en las
decisiones sobre inversiones
Incluso en época de recesión, la seguridad sigue
siendo el factor principal a la hora de tomar
decisiones sobre políticas e inversión en TI. En la
toma de decisiones de políticas a seguir e inversión
en TI, el 92% afirmó que la seguridad era un factor
"vital" o "muy importante". Casi el 91% opinaba
lo mismo sobre la fiabilidad. Los otros dos factores
sobre los que se interesaba la encuesta, la eficacia y
la disponibilidad, fueron considerados vitales o muy
importantes por tres cuartos de los directivos.
Los ejecutivos de China y Estados Unidos fueron los
que más consideraban la seguridad "vital".
Dos tercios de los directivos de TI que participaron en
esta encuesta manifestaron haber sufrido recortes en
los recursos de seguridad como resultado de la recesión.
Justificación comercial de la seguridad:
equilibrio entre distintas prioridades
En general, el coste se consideraba "el mayor
obstáculo para garantizar la seguridad de las redes
críticas", seguido de "la falta de concienciación de la
magnitud del riesgo".
En cambio, en los sectores del agua/saneamiento y
del petróleo/gas, esos obstáculos invertían su nivel
de importancia: la falta de concienciación en primer
lugar y el coste en segundo. Los especialistas en
seguridad de varios sectores afirmaron que justificar
comercialmente una inversión en ciberseguridad
sigue siendo un gran reto, debido a que, con
frecuencia, las direcciones de las empresas no
alcanzan a comprender la magnitud de la amenaza o
la necesidad de una solución.
En palabras de un especialista de seguridad, "el
principal problema lo constituyen los responsables de
la seguridad que no han sido capaces de comunicar
la urgencia de manera clara y que no han podido
persuadir a los responsables de la toma de decisiones
de la realidad de la amenaza". Añadió que esto se
debía en parte a que la seguridad todavía no se había
convertido en un factor diferenciador de mercado
clave para los sectores críticos.
14 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Por regla general, los expertos coinciden en que la
concienciación sobre los asuntos relacionados con la
ciberseguridad ha aumentado tanto en Estados Unidos
como en el resto del mundo tras los ataques terroristas
del 11 de septiembre. Este hecho se refleja en el
creciente énfasis de los gobiernos en el reforzamiento
de las infraestructuras críticas. No obstante, afirmaron
que todavía queda mucho que hacer.
"La ciberseguridad está surgiendo en realidad como
algo que atrae la atención de los administradores de
servicios públicos y sus responsables de seguridad",
afirmo Aaron Levy de la Association of Metropolitan
Water Agencies. "Todo el mundo sigue intentando
ponerse al día", añadió un especialista del sector
del transporte.
Por desgracia, únicamente aprendemos de la
experiencia y, con frecuencia, hace falta un
ataque grave para convencer a los responsables
de la realidad de la amenaza y de la necesidad de
protegerse contra ella. "Las empresas que gestionan
de forma adecuada su ciberseguridad son, por lo
general, aquéllas que han tenido alguna experiencia
negativa en el pasado", añadió el especialista.
Por otro lado, el responsable de la seguridad (CSO)
de uno de los mayores proveedores de Internet
y telecomunicaciones del mundo afirmó que los
Recortes en los recursos de seguridad provocados por la reciente recesión
100%
80%
60%
40%
20%
Australia
Brasil
China
Francia Alemania
India
Italia
Reducción de más del 25%
Reducción de hasta el 15%
Reducción del 15 al 25%
Nada
clientes han comenzado a preocuparse cada vez más
por la seguridad, convirtiéndola en un diferenciador
de mercado. "En la actualidad, el cliente es el que
decide", afirmó Adam Rice de la empresa Tata
Communications. "La seguridad ha dejado de ser lo
último en lo que reparan las empresas justo antes de
firmar el contrato. Pasa a primer plano, es un requisito
indispensable... nuestros clientes quieren verla. Nos
llaman, hacen preguntas complicadas, quieren visitar
nuestros centros de datos y tener derecho a aparecer
sin avisar… los clientes nos exponen sus exigencias y
nosotros tenemos que cumplirlas".
A pesar de todo, justificar la inversión en seguridad
podría ser un reto. "Nadie quiere pagar la factura
del seguro hasta que el edificio queda reducido a
cenizas", señaló Rice. "La mejor manera de que un
Director de Seguridad pueda demostrar su utilidad al
resto del equipo directivo es identificando (...) cómo
los problemas de seguridad pueden poner en riesgo
los ingresos (...), explicando en detalle cómo invertir
un euro hoy puede ahorrar millones mañana".
Gran parte del éxito depende de su posición dentro de
la empresa. "Por lo general, si su Director de Seguridad
no depende directamente del CEO, probablemente la
información nunca llegue a éste último".
Japón
México
Rusia
Arabia
Saudí/
Oriente
Medio
España
Reino
Unido
Estados
Unidos
Total
Más de las tres cuartas partes (concretamente
el 77%) de los directivos de seguridad y de TI
encuestados afirmaron que su empresa disponía de
un Director de Seguridad de la Información (CISO).
Casi la mitad, el 46%, dijeron que su CISO dependía
directamente del CEO.
La creación de incentivos para mejorar la seguridad
fue también un área en la que varios expertos
afirmaron que los gobiernos pueden jugar un papel.
Aunque los efectos de la regulación son complejos
(se examinan en más detalle en el Capítulo 4),
algunos creen que existen otras formas en las que
las acciones gubernamentales podrían cambiar los
incentivos de seguridad.
Según Michael Hayden, General en la reserva, "la
ciberseguridad es un taburete de tres patas que
representan la facilidad de uso, la seguridad y la
privacidad (…) y, hasta la fecha, prácticamente
la totalidad de nuestras energías creativas se han
dedicado a la facilidad de uso".
"Como cualquier otro taburete de tres patas, si
no tiene las tres patas, sólo tienes leña", dijo, para
terminar añadiendo que el paradigma que daba
prioridad a la facilidad de uso sobre las otras dos
patas tenía que cambiar.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
15
La confianza en la preparación varía
Casi un tercio de los directivos de TI encuestados
afirmó que sus propios sectores no estaban "en
absoluto preparados" o "no demasiado preparados"
para hacer frente a ataques o infiltraciones de
adversarios de alto nivel. Entre los que habían
experimentado en carne propia estos ataques, esta
falta de confianza aumentaba hasta un 41%.
Sin embargo, existían importantes diferencias entre
países. En Arabia Saudí, la inmensa mayoría (un 90%)
consideraron que su sector no estaba preparado ("en
absoluto preparado" o "no demasiado preparado").
En la mayoría de los países, los que habían sufrido
ataques importantes se mostraban más pesimistas en
cuanto a la preparación: el 68% de víctimas en India
y el 75% de víctimas en México afirmaron que su
sector no estaba preparado para dichos ataques.
Los países en los que los directivos se mostraron más
seguros sobre su preparación para ataques sofisticados
fueron Alemania (78%) y Reino Unido (64%).
16 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
A excepción de los ataques de denegación de servicio
distribuido (DDoS) de gran envergadura, los directivos
consideraban que sus sectores estaban mejor
preparados contra otras formas de ataque y apenas
uno de cada cuatro admitía que su sector no estaba
preparado contra ellos.
En toda la gama de amenazas, eran los ejecutivos
de Estados Unidos, Reino Unido y Australia los
que consideraban sistemáticamente sus sectores
como los más preparados. Todos estos países
disponen de programas prominentes de cobertura
gubernamental para los propietarios y operadores
de infraestructuras críticas.
¿Serían el sector bancario y los sistemas de
telefonía capaces de resistir un ataque?
Los directivos de TI también mostraron sus dudas
sobre la capacidad de su propios proveedores de
infraestructuras críticas de ofrecer un servicio fiable
en caso de un ciberataque de grandes dimensiones.
Un 30% mostró su desconfianza en la respuesta de
sus proveedores de servicios bancarios o financieros.
Asimismo, un 31% se manifestó en iguales términos
con respecto a su proveedor de telecomunicaciones.
La confianza en la resistencia del sistema bancario
registró los niveles más bajos en algunos países
europeos: Italia, Francia y España.
Confianza en que los servicios públicos soportarían un ciberataque de envergadura
2%
5%
14%
35%
30%
22%
60%
32%
China
Arabia Saudí
Ninguna confianza
Mucha confianza
Poca confianza
Confianza total
Bastante confianza
bancos, contestó con vehemencia "porque ahí es
donde está el dinero"). Según este principio, los
ciberdelincuentes con motivaciones económicas
siempre tendrán a ese sector en el punto de mira.
Durante los ataques DDoS contra Estonia de 2007,
muchos de los bancos del país vieron como sus sitios
Web quedaron fuera de servicio, aunque más tarde
aseguraron que los sistemas operativos no estuvieron
en peligro en ningún momento. Especialistas en
seguridad de distintos sectores y países coinciden
en que los servicios bancarios y financieros suelen
disfrutar del mayor nivel de seguridad. Sin embargo,
no es menos cierto que sufren el llamado "problema
Willy Sutton" (en referencia al famoso ladrón de
bancos, que preguntado sobre por qué robaba
Los servicios públicos disfrutan de un mayor nivel de
confianza que la mayoría de los sectores. A pesar de
eso, únicamente el 37% de los encuestados parecía
confiar en la capacidad de su gobierno de seguir
proporcionando servicios en caso de un ciberataque
a gran escala. Esta confianza mostraba su nivel más
bajo en Arabia Saudí y más alto en China.
Confianza en que los servicios bancarios y financieros soportarían un ciberataque de envergadura
12%
9%
14%
16%
21%
28%
26%
44%
30%
Francia
Total
Ninguna confianza
Mucha confianza
Poca confianza
Confianza total
Bastante confianza
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
17
Medidas de seguridad adoptadas
para contrarrestar la amenaza
Adopción poco generalizada
de algunas medidas de
seguridad básicas.
Directivos de seguridad y de TI respondieron a una serie de preguntas
detalladas sobre más de veinte medidas de seguridad diferentes
(tecnologías, políticas y procedimientos) y sobre cómo las utilizaban.
Los que tenían responsabilidades en los sistemas SCADA o ICS
(Industrial Control Systems) de sus empresas también respondieron
a una serie de preguntas similares sobre las medidas de seguridad
que empleaban en esas redes. Aunque, basados solamente en una
pequeña muestra, los datos sobre SCADA/ICS son muy reveladores.
Más de tres cuartos de los responsables de estos sistemas declararon
que estaban conectados a Internet o alguna otra red IP, y casi la mitad
admitieron que esto creaba un "problema de seguridad no resuelto".
Las demás respuestas, analizadas pregunta a pregunta, revelan que
no se han adoptado de forma generalizada algunas medidas de
seguridad básicas.
La combinación de estos datos permite identificar los países y
sectores con la tasa de adopción más alta y más baja de estas
medidas de seguridad en general. Estas observaciones no suponen
necesariamente una medida de la calidad ("buena" o "mala") de la
seguridad en un sector o un país concreto. Sin embargo, permiten
conocer desde dentro las prácticas de seguridad que no pertenecen a
la autoevaluación subjetiva de los encuestados y establecer las tasas
objetivas de despliegue de medidas de seguridad clave.
Basándonos en esta medida, China registra la tasa de adopción de
medidas de seguridad más alta (62%), muy por delante de Estados
Unidos, Reino Unido y Australia, que se sitúan detrás con tasas que
variaban entre el 50 y el 53%.
Italia, España e India presentan la tasa de adopción más baja, todos
con valores inferiores al 40%. En los demás países (Japón, Rusia,
Francia, Arabia Saudí, México, Brasil y Alemania), las tasas se sitúan
entre el 40 y el 49%.
Los sectores bancario y energético se sitúan a la cabeza en cuanto a la
adopción de medidas de seguridad. El sector de agua y saneamiento
se sitúa en última posición.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
19
Tasas de adopción de medidas de seguridad según los encuestados
65%
52%
39%
26%
13%
China
Estados
Unidos
Estados Australia
Unidos
Japón
Francia
Rusia
México
Arabia
Saudí/
Oriente
Medio
Brasil
Alemania
Tasa de adopción de medidas de seguridad
Se preguntó a los directivos de seguridad y de TI
acerca de 27 medidas de seguridad diferentes: diez
tecnologías de seguridad, seis directivas de seguridad,
cinco formas diferentes de utilizar el cifrado y seis
modos diferentes de autenticación obligatoria. La
tasa de adopción de medidas de seguridad (o SMAR,
del inglés Security Measure Adoption Rate) mide
la frecuencia con la que los directivos contestan
afirmativamente cuando se les pregunta sobre la
utilización de una medida determinada.
Cada empresa tiene su propia estrategia de seguridad,
y la mayor parte de las medidas de seguridad sobre
las que se preguntó a los directivos pueden utilizarse
de varias maneras. Por este motivo, la tasa de
adopción de medidas de seguridad no se puede tomar
necesariamente como un indicador de la calidad,
buena o mala, de la seguridad en un sector o país
determinado. Sin embargo, sí permite realizar un juicio
comparativo sobre la tasa de adopción de medidas
clave por sectores y países. Esta medida es objetiva a
pesar de ser solamente aproximada, ya que todas las
tecnologías, prácticas o políticas de seguridad tienen
el mismo peso, independientemente de su eficacia.
En función de las respuestas de los directivos
de ese país, China es el país con la tasa de
adopción de medidas de seguridad más
alta (62%)
Sus tasas de adopción, independientemente de la
medida, son superiores a todos y cada uno de los
países. Inmediatamente después se sitúan Estados
Unidos (53%), Australia (51%) y Reino Unido (52%).
Italia, España e India presentan la tasa de adopción
más baja, todos con valores inferiores al 40%. En los
demás países (Japón, Rusia, Francia, Arabia Saudí,
México, Brasil y Alemania), las tasas se sitúan entre el
40 y el 49%.
20 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Italia
España
India
¿Se puede decir que a mayores tasas de
adopción menor riesgo de que los ataques
consigan sus objetivos?
Es una pregunta fundamental, sin embargo, las
respuestas obtenidas en la encuesta son desiguales.
Por una parte, China, con la tasa más alta de
adopción de medidas de seguridad, tiene una tasa
de victimización que es inferior a la de los países
situados al final de la escala de tasas de adopción
de seguridad, como India. Otros datos sugieren
también que los países con tasas de adopción más
bajas pueden verse afectados de distintas formas. Por
ejemplo, la división de información sobre amenazas
globales de McAfee, supervisa el tráfico electrónico
malicioso que se envía desde ordenadores que tras
resultar infectados, se han incorporado a redes de
bots. Según dichos datos, India, el país con la tasa de
adopción de medidas de seguridad más baja, se sitúa
a la cabeza en el gráfico de tráfico malicioso en Asia,
generando más que Rusia y China juntos.
Por otro lado, no es evidente que el récord mundial
de seguridad de China sea mejor que el de muchos
otros países con tasas de adopción de seguridad
mucho más bajas. No parece que China se libre de
los ataques de alto nivel, ni los encuestados en este
país se consideran mucho mejor preparados que los
de otros países.
Adopción poco generalizada de determinadas
medidas clave
La tecnología de seguridad que se ha adoptado en
menor medida ha sido la lista blanca de aplicaciones,
implementada únicamente por menos de un quinto
de las empresas (19%) en sistemas SCADA/ICS
y en redes de TI. Otras tecnologías de seguridad
más avanzadas, como los sistemas de información
de seguridad y administración de eventos (SIEM),
China en un extremo e India en el otro
¿A qué se debe la enorme diferencia entre las tasas
de adopción de medidas de seguridad entre estas
dos potencias asiáticas? Los encuestados tanto de
un país y como del otro consideran que el nivel
de regulación de sus países es muy elevado. En
India más que en ningún otro país, los directivos
indicaron que su ciberseguridad estaba regulada
mediante leyes o normativas (97%), China ocupaba
el segundo lugar en la lista de los países más
regulados, junto con Alemania (92%). Sin embargo,
la actitud con respecto a los poderes públicos
variaba significativamente. En China, el 91% de las
empresas reguladas mediante normativas dijeron
haber cambiado sus procedimientos para alcanzar los
niveles adecuados de cumplimiento, mientras que en
India, sólo el 66% dijeron haber realizado cambios.
En función de las respuestas
de los directivos de ese país,
China es el país con la tasa
de adopción de medidas de
seguridad más alta.
Además, India es uno de los peor clasificados en
términos de participación en organizaciones de
infraestructuras críticas de colaboración con la
Administración, mientras que China ocupa el primer
lugar. Los ejecutivos de China también fueron los
que mostraron el mayor nivel de confianza en la
capacidad de sus poderes públicos para impedir o
frenar ciberataques. Los datos de inteligencia sobre
amenazas globales de McAfee sugieren que India
ha sustituido recientemente a China (así como a
Rusia y Rumanía) como coto de caza predilecto para
los hackers especializados en captar ordenadores
infectados para las redes de bots, otro posible
resultado de la disparidad entre las tasas de adopción
de medidas de seguridad entre los dos países.
y las herramientas de detección de funciones y
anomalías, fueron empleadas por un 43 y un 40%,
respectivamente.
Según los expertos, es posible que las ventajas
de algunas de las herramientas más recientes no
se entendieran bien en el mercado o que dichas
herramientas sólo fueran adecuadas para las
empresas de mayor tamaño.
Los servicios de inteligencia de supervisión de
amenazas están más implantados en India (57%),
China (54%) y Japón (54%), y se utilizan menos en
Arabia Saudí (20%), Rusia (23%) e Italia (20%).
Grandes variaciones en el uso del cifrado
Sin embargo, tampoco se han implementado de
forma generalizada algunas otras medidas mucho
más básicas. Sólo un 57% de todos los directivos
manifestaron que sus empresas aplicaban los parches
y actualizaban el software de manera regular. Según
el informe, la aplicación de parches se llevaba a cabo
de manera más regular en Arabia Saudí (80%), Rusia
(77%) o Australia (73%), y con menor regularidad en
Brasil (37%).
Y sólo un tercio de los directivos dijeron que sus
organizaciones tenían políticas "que limitaban o
prohibían el uso de llaves USB u otros soportes
extraíbles". Aparte del riesgo de descarga, robo y
salida ilícita de los datos de la empresa, este tipo
de soportes, incluso cuando se utilizan sin mala
intención, pueden propagar fácilmente virus y otro
malware, incluso en sistemas protegidos con firewall.
La prohibición del uso de llaves USB y otros soportes
de este tipo se ha adoptado más ampliamente en
Arabia Saudí (65%) y Rusia (50%). Su adopción es
mucho menos generalizada en España (13%) y
Brasil (20%).
Otras medidas son más habituales
La medida de seguridad más adoptada en general
era el uso de firewalls entre redes privadas y públicas,
que, según el informe, utilizaban un 77% (65% para
sistemas SCADA o ICS).
Como ocurre con prácticamente con todas las tasas
de adopción, China es líder en el uso de cifrado. La
única excepción era el uso de cifrado para proteger
datos en CD o en otros soportes extraíbles. En esta
categoría, China (48%) se situó por detrás de Estados
Unidos (56%), de Japón y Reino Unido (ambos con
un 54%). India mostraba tasas de adopción situadas
por debajo de la media en cinco de los seis usos del
cifrado. En Italia y España, las tasas de adopción para
cifrado también estaban, en general, por debajo de
la media.
El sector de agua/saneamiento a la cola
Los sectores bancario/financiero y energético son
los que tienen las tasas de adopción de medidas de
seguridad general más altas, con un 50% cada uno.
El sector de agua/saneamiento mostraba la menor
tasa de adopción de todos: un 38%. Todos los demás
mostraban tasas del 40% y superiores.
El sector de agua/saneamiento también tenía la
tasa de adopción más baja en cuanto a medidas de
seguridad para proteger sus sistemas SCADA/ICS.
Esto puede deberse a que el sector también tenía los
niveles más bajos de conexiones SCADA a redes IP;
sólo el 55% manifestaron tener dichas conexiones,
frente al 76% general.
Cuando se consideran estos datos, es preciso señalar
el reducido número de responsables del sector del
agua entre los que tienen responsabilidades en
sistemas SCADA/ICS (sólo 11 de 143).
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
21
El 80% admitía que los sistemas
SCADA estaban conectados a redes IP
o a Internet, a pesar de los riesgos
que conlleva.
Seguridad en sistemas SCADA
También creamos una escala de tasas de adopción
de medidas de seguridad para los sistemas SCADA
e ICS, basada en una lista de 16 medidas de
seguridad y autenticación sobre las que se preguntó
a los responsables de dichos sistemas. (Estas cifras
deben interpretarse con precaución, debido al
tamaño reducido de la muestra. Sólo 143 de 600
tenía responsabilidades en sistemas SCADA y se les
preguntó sobre los sistemas SCADA de sus empresas).
China (74%) volvió a liderar la lista, con una tasa
de adopción de medidas de seguridad en sistemas
SCADA/ICS, muy por delante de Australia (57%) y de
Brasil (54%). El margen de las tasas de adopción de
medidas de seguridad entre los distintos países era
especialmente sorprendente. Las tasas de adopción
de medidas SCADA/ICS más bajas correspondían
a India y España (ambas con un 29%), y al Reino
Unido (31%); lo que quiere decir que los operadores
de sistemas SCADA/ICS chinos han adoptado casi
tres veces más medidas de seguridad clave que los
operadores indios y españoles.
En una posición intermedia se situaban Estados
Unidos y Japón, con tasas del 50%, seguidos por
Francia, Rusia, Alemania y Arabia Saudí, en el rango
de más del 40%, y, a continuación, Italia y México,
con un 38 y un 35%, respectivamente.
Algunas herramientas, como las listas blancas de
aplicaciones y SIEM, parecían haberse adoptado más
ampliamente en los sistemas SCADA/ICS que en las
redes de TI.
22 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Los directivos, por lo general, admitían la existencia
de altos niveles de conexión de los sistemas SCADA a
redes IP o a Internet, a pesar de que son ampliamente
conocidos los riesgos que conlleva.
El 76% de los encuestados con responsabilidades
en sistemas SCADA/ICS reconocieron que sus redes
estaban "conectadas a una red IP o a Internet". Casi
la mitad de los conectados, el 47%, admitieron que
dicha conexión creaba un "problema de seguridad
no resuelto".
Según un veterano directivo del sector de la
seguridad de TI, las conexiones a las redes IP generan
una vulnerabilidad, ya que pueden permitir a usuarios
no autorizados el acceso a los sistemas clave de
infraestructuras críticas. "El diseño original de SCADA
no suponía que los sistemas de control quedarían
desprotegidos en las redes en las que hay personas
que no son de confianza y que tienen al menos
algún nivel de acceso a ellos". Una buena parte del
software SCADA se escribió "hace bastante tiempo y
no se ha modificado desde entonces". Los sistemas
"no emplean las plataformas más modernas, por lo
que aún tienen las vulnerabilidades que se han ido
descubriendo en este tiempo".
Los sistemas SCADA suelen ser una combinación
de hardware y software, por lo que no se pueden
actualizar como el software habitual y su sustitución
resulta "extremadamente compleja y costosa", según
este experto. No hay "ningún mecanismo para revisar
el sistema y realizar las modificaciones oportunas una
vez que se descubren vulnerabilidades".
Según un especialista en ciberseguridad del sector
energético, los sistemas SCADA "se desarrollaron como
entornos técnicos" con escasas funciones de seguridad.
Normalmente son "abiertos y difíciles de proteger".
de ciberseguridad ni de los responsables de TI de
estas empresas. Pertenecían al ámbito del personal
de explotación y no se le prestaba absolutamente
ninguna atención a la ciberseguridad".
Algunos expertos manifestaron que las redes SCADA/
ICS simplemente no deberían conectarse a Internet,
y punto. "Los sistemas de control deben poseer su
propia infraestructura dedicada y no deben conectarse
a un Internet abierto", afirmó un especialista del
sector del transporte, que agregó que él creía que en
ocasiones el motivo por el que se conectan las redes
ICS a Internet es "simple comodidad".
Según la conclusión de este especialista, "Probablemente se puede decir que todos seguimos
poniéndonos al día".
En cierto sentido, el gusano Conficker, que se
propagó por Internet, ha sido una llamada de alerta,
agregó el especialista del sector energético. "Se
observó en lugares que despertaron una preocupación
real sobre cómo había conseguido llegar ahí".
El 92% de los responsables de los sistemas SCADA
indicaron que se supervisaban de alguna forma. Las
medidas de seguridad más ampliamente adoptadas
eran las herramientas de análisis de comportamiento
de la red (62% en general); China (100%), Reino
Unido (78%) y México (75%) eran los principales
países que habían implementado estas herramientas.
Un 59% de los encuestados utilizaban registros de
auditoría; Alemania (90%) y China (82%) mostraban
las tasas más altas.
Sólo el 8% dijeron no haber supervisado las nuevas
conexiones IP realizadas a sistemas SCADA/ICS.
Sin embargo, los expertos también dijeron que
existe una mayor concienciación acerca de las
vulnerabilidades de los sistemas SCADA, lo que
confirmaron los datos del estudio.
Según el especialista en transportes, "para ser
realistas, si hace cinco años hubieras ido a las
empresas clave de este sector, o de cualquier otro,
y hubieras hablado con los responsables de la
ciberseguridad (...) probablemente no conocían los
sistemas de control y, en muchos casos, ni siquiera
sabían que existían, qué eran o cómo funcionaban;
simplemente no eran competencia del personal
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
23
El "estado natural"
y el papel de los poderes públicos
Los ejecutivos de TI califican a Estados
Unidos como el país "más preocupante"
en el contexto de ciberataques
extranjeros.
Hoy en día el ciberespacio se parece mucho a lo que Hobbes
denominó estado natural: una "guerra de todos contra todos". Para
Hobbes, sólo el Estado y la ley pueden poner fin a esta guerra. Sin
embargo, en el ciberespacio el papel de la Administración es más
complicado. En todo el mundo, la mayoría de las infraestructuras
críticas están en manos de empresas privadas, que a menudo operan
en más de un país. Para estas compañías, los Estados son socios,
reguladores y policías, propietarios, contratistas y clientes, pero
también son agresores, infiltrados y adversarios.
Muchos ejecutivos de TI y de seguridad desconfían de la eficacia del
Estado incluso cuando éste asume el papel de defensor, intentando
impedir ciberataques o proteger contra ellos, aunque esta postura
varía entre países.
Sin embargo, hay un área en la que se considera que el sector público
tiene en general un impacto positivo: la regulación. Las tasas de
ejecución de auditorías y de aplicación de las normativas, así como su
efecto en la seguridad oscilan mucho de un país a otro, al igual que la
percepción de su eficacia.
Numerosos países han auspiciado la cooperación entre propietarios y
operadores de infraestructuras críticas en materia de ciberseguridad,
pero los niveles de participación han sido muy desiguales.
Los ejecutivos chinos hablan de un nivel de cooperación
excepcionalmente estrecho con el sector público, así como de un alto
grado de regulación y de confianza en la Administración. Este dato es
llamativo e identifica a China como líder del compromiso del sector
público con la industria.
En todo el mundo, los ejecutivos de TI y de seguridad manifiestan
sentimientos muy ambivalentes hacia Estados Unidos. Aunque es la
nación que más se cita como modelo de ciberseguridad, al mismo
tiempo, muchos de ellos, incluidos los procedentes de países aliados
de Estados Unidos, califican a este país como el "más preocupante" en
el contexto de ciberataques extranjeros, por delante de China.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
25
Porcentaje que creía que la ley actual de su país es inadecuada contra los ciberatacantes
80%
64%
48%
32%
16%
Rusia
México
Brasil
Arabia
Saudí/
Oriente
Medio
India
España
China
Australia
Italia
Japón
Reino
Unido
Dudas sobre la capacidad de la ley y el Estado
para impedir ciberataques
Más de la mitad de todos los ejecutivos encuestados
pensaban que las leyes de su país eran inadecuadas
para evitar ciberataques. Éste era el punto de vista
de más de tres cuartos de los directivos rusos y de la
gran mayoría de los de México y Brasil. Los alemanes
eran los que tenían más fe en sus leyes nacionales
como elemento disuasorio, seguidos de Francia y
Estados Unidos.
Algunos de estos países también recelaban de
la capacidad del gobierno para impedir y frenar
ataques. Un inesperado 45% consideraba que el
Estado "no era muy capaz" o "no era capaz en
absoluto" de prevenir y frenar ciberataques. En países
como Brasil e Italia sostenían esta opinión dos tercios
o más. También en México, Arabia Saudí, Alemania
y España era mayoritario el juicio negativo sobre la
capacidad del Estado. Por el contrario, únicamente el
27% de los ejecutivos de Estados Unidos consideraba
a la Administración incapaz o no muy capaz; en
China, el índice de desconfianza rozaba sólo el 30%.
Francia
Estados Alemania
Unidos
Total
"Por el momento, no hay sheriff", afirmó el general
Michael Hayden, quien terminó recientemente su
larga carrera como alto funcionario de la inteligencia
estadounidense a cargo de la CIA. "El ciberespacio
es como el legendario Salvaje Oeste. Todo el mundo
tiene que defenderse, así que todos están armados".
Pero en el ciberdominio es como si esperáramos
que cada ciudadano organizara su propia defensa
nacional. "A nadie se le ocurre entrar en una oficina
y preguntar cómo han planificado su defensa contra
misiles balísticos… pero ésta es la situación actual en
ciberseguridad", asegura Hayden.
La mayoría cree que la regulación pública
mejora la seguridad
Numerosos expertos convinieron en que los Estados
tienen que hacer más para mejorar la ciberseguridad
de las infraestructuras críticas, pero la trayectoria
hasta ahora es decididamente variopinta: hay muchos
enfoques diferentes, su impacto es irregular y el
entusiasmo con que los contemplan los ejecutivos de
TI de los distintos países es muy dispar.
En conjunto, el 86% de los ejecutivos afirmaron
que su ciberseguridad está de alguna manera
sometida a la ley o a la regulación estatal. Casi tres
cuartos (74%) pensaban que su empresa había
26 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Una importante mayoría de los ejecutivos de
TI creen que la normativa y/o la legislación
ha mejorado la ciberseguridad.
"implementado nuevas políticas, procedimientos,
buenas prácticas o medidas técnicas" como resultado
de las leyes o normativas. La variación nacional fue
considerable, con valores sobresalientes en ambos
extremos: en China el 91% había modificado sus
políticas por la legislación estatal, frente al 56%
español. En el tramo intermedio, menos de un 70%
de ejecutivos de India, Alemania, Italia y Australia
había cambiado sus procedimientos.
Para un 42%, la legislación estatal "no había tenido
efectos significativos" o en realidad "había desviado
recursos que habrían permitido mejorar la seguridad",
frente a un 58% que creía que había "mejorado la
política de la empresa y mejorado la seguridad". En
países donde hay multiplicidad de enfoques —Brasil,
España, China, México, Alemania y Japón—, entre
un 60 y un 70% manifestó que la regulación había
mejorado la seguridad. Las dudas estaban más
extendidas en Italia y Australia, donde la mayoría
cuestionó el valor del régimen normativo del Estado.
La confianza en la eficacia legislativa fue
especialmente baja en el sector del agua, donde sólo
el 24% creía que mejoraba la seguridad. Una vez
más, cuando el sector del agua presenta un valor
extremo, es preciso tener en cuenta el reducido
número de encuestados de este campo.
Participación y asociación
La cooperación en ciberseguridad impulsada a nivel
estatal varía enormemente entre propietarios y
operadores de las infraestructuras críticas.
En general, la participación en iniciativas de
asociación lideradas por el sector público es baja.
Cuando se les preguntó a los ejecutivos cómo
colaboran en el desarrollo de leyes o normativas,
cerca de un tercio (35%) respondió que su empresa
participa en una asociación público-privada. La
participación era mayor en organizaciones más
horizontales, como las asociaciones sectoriales para
compartir información, de las que dijo ser miembro
más de la mitad (53%).
Pero la participación variaba notablemente según
el país. La más elevada se registró en China, donde
el 61% de los directivos declaró pertenecer a una
asociación que colabora con la Administración. Los
índices de participación más bajos se produjeron
en Brasil (22%) y no llegaron al 30% en Japón,
Alemania, Italia, India ni España.
Sin embargo, quizá el porcentaje de participación no
sea un buen indicativo del éxito de estas iniciativas.
Los datos de la entrevista sugieren que, incluso
en Estados Unidos, donde la participación en
asociaciones es relativamente elevada (42%), persiste
en la industria la preocupación justificada de que la
información compartida sólo circula en un sentido.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
27
China lidera el compromiso del Estado
con la industria
En conjunto, poco menos de la mitad de los
ejecutivos de TI y seguridad (49%) manifestaron
recibir inspecciones de un organismo público
para comprobar si su empresa cumple las leyes o
normativas acerca de la ciberseguridad, Sin embargo,
el índice de auditoría fue muy desigual entre los
diferentes países. El más elevado fue con mucho
el de China (83%) y después, el de Arabia Saudí
(73%). Brasil, Australia y Francia registraron niveles
de auditoría superiores al 50%. Los más bajos se
produjeron en Rusia (30%) y en España (32%).
Los ejecutivos chinos también revelaron un alto nivel
de actividad reguladora y legislativa; un 92% dijo
ceñirse a ella, empatando con Alemania en segundo
lugar, después del 97% de India.
El país en el que los ejecutivos notificaron el nivel
más bajo de actividad normativa fue Estados Unidos,
donde sólo el 72% afirmó someter su ciberseguridad
a la regulación, frente al 86% del total.
Causas de duda sobre el valor de la
regulación
Es obvio que entre los ejecutivos hay una preocupación
generalizada por el impacto de la regulación y la
legislación. Quizá no deba sorprendernos; utilizar las
respuestas de la encuesta para determinar las actitudes
ante la regulación puede resultar problemático. Son
pocos los ejecutivos de empresa que piden más
regulación. Pero sí surgieron varios puntos clave.
Los entrevistados identificaron tres áreas de
preocupación especial:
• Falta
de fe en los conocimientos de la Administración
sobre el funcionamiento sectorial.
• Posibilidad
de que una torpe regulación pueda
"reducir el nivel" de seguridad en sectores
muy plurales.
• Riesgo
de que la notificación obligatoria de
incidentes de seguridad —por ejemplo, la pérdida
de confidencialidad de datos personales— pueda
orientar la política y los recursos en direcciones
contraproducentes.
Las dudas son particularmente generalizadas en el
sector de agua y saneamiento, donde un cuantioso
77% declaró que la legislación y las normativas habían
28 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Estados Unidos se considera como modelo
Quizá por esta razón, los ejecutivos de TI y de
seguridad designaron con más frecuencia a Estados
Unidos como el único país, aparte del suyo propio,
que consideraban un modelo en materia de
ciberseguridad: un 44% lo veía bajo este prisma. Los
siguientes modelos nacionales más citados fueron
Alemania (22%) y Reino Unido (18%). El modelo
estadounidense destacó especialmente en China
(78%) y México (72%) y registró su valor más bajo en
Alemania (31%).
Los datos de la entrevista indican que quizá la
superioridad del modelo estadounidense se deba más
a la atención que la prensa y los altos funcionarios
han prestado a los esfuerzos del país en este terreno
que al modo en que el Estado aborda el problema:
pocas naciones parecen emular a Estados Unidos a
este respecto.
"desviado los recursos que habrían permitido mejorar
la seguridad" o no tenían efecto alguno. Los ejecutivos
de este sector también fueron los que mostraron
el menor nivel de confianza en la capacidad de la
Administración para impedir o frenar ciberataques.
Un especialista en seguridad procedente del sector
de agua y saneamiento estadounidense afirmó que
las exigencias reglamentarias se habían notado
fuertemente, en especial, en las empresas más
pequeñas de un sector muy diverso. "Ha llegado un
momento en que nuestros informáticos se dedican
a… 'alimentar a la bestia'", intentando cumplir
distintos requisitos normativos en lugar de planificar
la seguridad de forma coordinada. "Lo que vuelve
loca a la gente es procurar tener contentos a un
montón de patrones. Consume los recursos y, en
realidad, traspasa al jefe de la compañía la decisión
de cómo se van a gestionar los riesgos".
Este especialista asegura que él y sus compañeros
tienen a menudo la sensación de no contar nada
en los foros federales de seguridad, donde están
representados todos los sectores. "Normalmente no
se nos trata con el mismo respeto que a los demás
sectores, no personalmente, sino en los aspectos
tácticos y estratégicos", explica.
Porcentaje que se había sometido a auditorías de organismos estatales de conformidad con la ley o la normativa
100%
80%
60%
40%
20%
China
Arabia
Saudí/
Oriente
Medio
Brasil
Pero las dudas sobre el valor de la regulación no se
circunscriben al sector de agua y saneamiento, y los
datos de la entrevista indican que las dudas surgen
por inquietudes más extendidas.
"Aquí, en EE. UU., falta confianza sobre los
conocimientos de los poderes públicos sobre las
medidas que deben tomarse o el funcionamiento de
las distintas infraestructuras", afirmó un especialista
en seguridad del sector de transporte. Según él, hay
"un temor considerable a que las normativas sean un
cúmulo de trabajo inútil con un elevado coste que
proporcione poca o ninguna seguridad".
A los expertos también les intranquiliza que, en
sectores donde la base de operadores es muy diversa,
la regulación, en especial si se aplica como un arma
categórica, pueda conseguir el efecto involuntario
de nivelar las exigencias a la baja. Establecer una
sola norma para un sector plural puede mejorar
la seguridad de algunos de sus integrantes, pero
también marca un terreno al que podrían incorporarse
otras empresas más sofisticadas que ahora no ven
incentivos para ello. "He oído de empresas y entidades
que han dado marcha atrás a su gestión de la
seguridad en la empresa para cumplir específicamente
con lo que dictaban los requisitos", asevera un
especialista en seguridad del sector energético.
Francia Australia Alemania México
Japón
Italia
Estados
Unidos
India
Reino
Unido
Rusia
España
Total
Según él, existe el temor a que las
normativas sean "un cúmulo de
trabajo inútil con un elevado coste que
proporcione poca o ninguna seguridad".
Los ejecutivos comentaron que, aparte de los fallos
operativos, la consecuencia que más temen de un
ciberataque es el daño a su reputación. Los datos
extraoficiales indican que las leyes que exigen la
divulgación de determinados incidentes de seguridad
pueden provocar que las empresas tomen decisiones
políticas y financieras que reduzcan el número de
incidentes de obligada notificación, en lugar de
reforzar su seguridad general.
En Japón, por ejemplo, un funcionario declaró que la
obligatoriedad de comunicar accidentes de seguridad
informativa a las autoridades ha suscitado la queja
de que "en ocasiones los requisitos administrativos
para la persona a cargo de la seguridad superan la
gravedad de la amenaza".
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
29
Estados Unidos también destacó como uno de
los países más vulnerables a los ciberataques
El 50% de los ejecutivos de TI y de seguridad
también identificó a Estados Unidos como uno de
los tres países "más vulnerables ante ciberataques a
infraestructuras críticas del sector", por delante de
cualquier otro país. China fue el segundo país más
citado (34%), seguido de Rusia (27%).
Las percepciones de la vulnerabilidad estadounidense
parecían especialmente extendidas en China (donde
el 80% clasificó a esta nación como una de las tres
más vulnerables), México (73%), y Brasil y Rusia
(70% cada uno).
China fue tildada de particularmente vulnerable por
los ejecutivos de las regiones vecinas: en un porcentaje
superior a la media, los encuestados de India (57%),
Japón (56%) y Australia (43%) nombraron este país
como uno de los tres más vulnerables.
Algunos expertos apuntaron que a Estados Unidos se
le considera más vulnerable por ser más avanzado...
y por depender más que cualquier otro país de las
redes informáticas. En cambio, otros advirtieron que
la vulnerabilidad no es exclusiva de EE.UU. y que
puede exagerarse fácilmente.
Estados Unidos y China se perciben como
posibles agresores en caso de una ciberguerra
Como decíamos en el primer capítulo, una mayoría
considerable de los ejecutivos de TI y seguridad
encuestados creen que hay países extranjeros ya
involucrados en ataques a redes de su sector. Cuando
se les preguntó qué país les preocupaba más como
posible atacante a las redes de su país/sector, el 36%
citó a Estados Unidos y el 33% a China encabezando
una lista de seis países (a los encuestados también
se les ofreció la oportunidad de especificar una
respuesta diferente). Rusia ocupaba un distante tercer
puesto con sólo un 12%. Ninguno de los otros tres
(Reino Unido, Francia y Alemania) alcanzó el 6%.
Los países designados como agresores potenciales
variaban en los diferentes sectores. Entre los
ejecutivos del sector público, por ejemplo, China
superaba a Estados Unidos. En el sector de la energía,
a los ejecutivos les inquietaba más Rusia, mientras
que China y Estados Unidos iban parejos en el sector
de las telecomunicaciones.
30 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
"Los agresores a los que nos enfrentamos (en
Australia) son agresores económicos (...) esto
depende mucho del sector", afirma Ghosh, el
ejecutivo de seguridad australiano. "El sector minero
ve la mayor amenaza en China... En el de defensa, los
competidores son Europa y Estados Unidos".
Estados Unidos resultó el agresor potencial más
inquietante para la gran mayoría de los ejecutivos
procedentes de países donde suele desconfiarse
de los motivos estadounidenses: China (89%),
Brasil (76%), España (67%), México (65%) y Rusia
(61%). Pero, incluso en Alemania, aliado tradicional
de EE.UU., el 45% eligió este país como el que
suscitaba mayor preocupación, mientras que sólo
el 34% señaló a China, aunque el gobierno alemán
ha condenado públicamente a China por realizar
operaciones de espionaje en las redes informáticas de
recursos nacionales clave.
"Es posible que este resultado sea menos chocante
de lo que parece", observa Hayden. "Quizá
simplemente refleje la capacidad de las agencias
de inteligencia estadounidenses y, francamente,
su tamaño". El gobierno de EE. UU. también se
ha embarcado en una serie de debates políticos
públicos, interminables y en gran parte irresolutos,
sobre cómo organizar el potencial de defensa y
ataque de sus redes. Según Hayden, este permanente
debate público puede haber creado una "cámara de
resonancia" de la preocupación sobre la capacidad
de EE. UU.
Aunque el debate estadounidense ha tenido mucha
más repercusión mediática, también los funcionarios
rusos han iniciado este año una serie de medidas
legislativas pensadas para dar a las autoridades mayor
libertad de actuación contra supuestos ataques y
amenazas. Recientemente se ha propuesto una ley
que otorgaría a Moscú poder para definir y responder
a actos de ciberguerra. La nueva ley "sostiene
básicamente que, si pueden determinar que son
objeto de un ciberataque del tipo que sea por parte
del gobierno de otro Estado, podrán considerarlo
como acto de guerra", declara Kimberly Zenz,
especialista en Rusia de iDefense Labs.
Porcentaje que eligió a EE. UU., China o Rusia como el país "más preocupante"
en ciberataques extranjeros
100%
80%
60%
40%
20%
China
Brasil
España
México
Rusia
Arabia
Saudí/
Oriente
Medio
Estados Australia Alemania
Unidos
Reino
Unido
Francia
Italia
Japón
India
Total
Estados Unidos
China
Rusia
En su opinión, tomadas conjuntamente, las nuevas
leyes aprueban nuevos y amplios poderes para
el Kremlin. "Si de verdad sufrieran un incidente
importante, podrían decidir ellos solos su autoría y
tomar por su cuenta medidas de muy alto nivel sin
necesidad de pruebas ni consentimiento exterior".
China también ha publicado información sobre
sus planes bélicos en la red. Un análisis de
documentación militar china de código abierto
realizado en 2009 por la Comisión de Revisión de
Economía y Seguridad entre Estados Unidos y China
concluyó que, para la "doctrina de campaña china,
establecer cuanto antes el dominio informativo
sobre el enemigo es una de las máximas prioridades
operativas en un conflicto", y señaló que la nueva
estrategia denominada "Integrated Network
Electronic Warfare" parece diseñada para cumplir este
objetivo, ya que integra la cibernética y otras técnicas
electrónicas bélicas con las operaciones cinéticas.
A pesar del debate, la transparencia tiene límites
claros. Por ejemplo, tanto Rusia como China se han
enfrentado a acusaciones fundamentadas —que
han negado por completo— de hacer causa común
con hackers nacionalistas. Es evidente que estos tres
países quieren seguir valiéndose, en mayor o menor
grado, de las ventajas estratégicas que ofrece la
"denegación plausible" en el ciberespacio.
¿Cómo podemos alejarnos del
"estado natural"?
Mientras los principales Estados deseen tener
una libertad de actuación sin cortapisas en el
ciberespacio, éste continuará siendo el Salvaje Oeste.
Mientras tanto, los propietarios y operadores de las
infraestructuras críticas que conforman este nuevo
campo de batalla permanecerán atrapados en el
fuego cruzado y quizá necesiten lo que, en definitiva,
viene a ser su propia defensa antimisiles balísticos.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
31
Más seguridad en la
era de la ciberguerra
32 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
En lo que se refiere a estrategias
para mejorar la ciberseguridad,
los datos no arrojan soluciones
sencillas.
En lo que se refiere a estrategias para mejorar la ciberseguridad de las
infraestructuras críticas, los datos de la encuesta y las entrevistas no
arrojan soluciones sencillas.
Los propietarios y operadores de infraestructuras críticas afirmaron
que, para ellos, la seguridad es la prioridad número uno, y que
esta afirmación queda avalada por la amplia gama de medidas de
seguridad que ponen en práctica. Sin embargo, ni siquiera los sectores
y países en los que las tasas de despliegue de medidas de seguridad de
probada eficacia son elevadas están a salvo de ataques.
"No existe un modelo de protección identificable que mantenga el
ritmo de la evolución y sofisticación de las ciberamenazas," afirma
Michael Assante, del sector de la electricidad. Además, las tecnologías
innovadoras, desde el procesamiento en la red ("cloud computing")
hasta los contadores inteligentes, pasando por la conectividad SCADA,
continuarán creando nuevas vulnerabilidades.
Los poderes públicos también están a la búsqueda del mejor modelo
de ciberseguridad para sus infraestructuras. Son dos los retos comunes
a los dos sectores:
•
La modificación de las viejas estructuras y organizaciones públicas
para hacer frente a las ciberamenazas contra las infraestructuras
críticas.
•
La identificación de métodos eficaces para compartir información
sobre amenazas y vulnerabilidades con los propietarios y
operadores, y para desplegar medidas inteligentes que ayuden a las
infraestructuras críticas a defenderse de forma autónoma.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
33
Algunas tecnologías de seguridad clave
permanecen infrautilizadas
En particular, los estándares de autenticación
necesitan ser mejorados y la adopción de tecnologías
biométricas sigue siendo baja. La seguridad de
la red depende cada vez más de la capacidad de
detectar y bloquear a los usuarios cuyas cuentas
presentan anomalías de comportamiento o que
sobrepasan sus derechos definidos. Cada vez más,
los agresores dirigen sus ataques contra los usuarios
a título individual a través de técnicas de phishing
u otras estrategias. Esta evolución significa que la
autenticación de los usuarios y de sus privilegios gana
en importancia.
Sin embargo, la mitad de los directivos (57%) afirmó
que sus organizaciones solamente empleaban
nombres de usuario y contraseñas para autenticar las
conexiones a sus redes. El resto utilizaba técnicas de
autenticación más robustas, como la biometría o los
tokens, de manera individual o combinada. En total,
sólo el 16% afirmó utilizar tecnologías biométricas,
una tasa de adopción baja que algunos expertos
atribuyen a la resistencia cultural de muchos países.
Los tokens eran dos veces más populares. Según
algunos expertos, hay inconvenientes, retos a nivel
técnico y factores de coste que influyen en el uso
de la biometría y los tokens, y las combinaciones
contraseña/nombre de usuario pueden presentar
grados de eficacia muy variable, en función de la
fortaleza de las contraseñas que se utilicen y de la
tecnología de cifrado que se adopte. No obstante,
los niveles de seguridad adicionales son claramente
preferibles al simple uso de nombres de usuario y
contraseñas, que son con frecuencia fáciles de adivinar,
de robar o de poner en peligro de una u otra forma.
34 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
De igual forma, a nivel mundial, solamente casi la
mitad de los directivos afirmaron utilizar regularmente
el cifrado en la mayoría de las circunstancias, aunque
se recurría a esta tecnología con mayor frecuencia
(61%) para la transmisión de datos online. Este
porcentaje parece igualmente bajo, sobre todo si se
tiene en cuenta el uso cada vez mayor de dispositivos
móviles. Pamela Warren, experta en ciberseguridad
de McAfee, piensa que "si dispone de dispositivos
móviles que contienen datos confidenciales, debe sin
duda considerar el cifrado de esos datos".
Las vulnerabilidades se multiplican
El recurso cada vez más frecuente a redes IP para
sistemas SCADA y otros sistemas de control operativo
crea vulnerabilidades únicas e inquietantes. Los
directivos con responsabilidades en sistemas SCADA/
ICS admitían la existencia de altos niveles de conexión
de esos sistemas a redes IP, incluido Internet, aun
reconociendo que dichas conexiones entrañaban
problemas de seguridad. Los expertos del sector
han expresado una profunda preocupación sobre
las implicaciones de seguridad de esta evolución,
y los especialistas en seguridad de TI insisten en la
necesidad de corregir esta vulnerabilidad.
El acceso remoto a los sistemas de control
"representa un grave peligro", afirma Phyllis Schneck,
Vicepresidenta de la división de Información sobre
Amenazas de McAfee. "Debemos protegerlos de
manera adecuada o desplazarlos a redes más privadas
y no utilizar una red abierta como Internet", añadió
Schneck, que es además miembro de la Comisión
sobre Ciberseguridad del CSIS para la 44ª Presidencia
de Estados Unidos.
Más de la mitad afirmó que sus
organizaciones solamente empleaban
nombres de usuario y contraseñas para
autenticar las conexiones a sus redes.
"La virtualización de software antiguo sobre software
más reciente proporciona un cierto nivel de protección,
lo que permite que al menos los protocolos y el
acceso a la red transiten por pilas de software más
evolucionadas", añadió un veterano especialista en
seguridad de TI. Según su opinión, los propietarios y
operadores "deben poner tantas barreras como sea
posible entre ellos y el agresor potencial".
Queda por saber si el ahorro compensará los riesgos.
Uno de los retos del desarrollo de contadores
inteligentes es el de mantener un coste lo suficiente
bajo que permita una adopción a gran escala.
Las implicaciones de este tipo de presión sobre la
seguridad son inquietantes. "¿Qué nivel de seguridad
puede generar si el coste por unidad debe ser inferior
a cien dólares?", pregunta un experto.
"El objetivo (para proteger rápidamente los sistemas
SCADA) no debe ser necesariamente detener (o)
sustituir esos sistemas, sino situar delante de ellos
tecnologías de bloqueo, en la medida de lo posible, e
imponer criterios más rigurosos para la aceptación de
nuevos sistemas en el futuro".
En un entorno de rápida evolución, los directivos
de seguridad y de TI se enfrentan a decisiones
difíciles sobre la seguridad con pocos elementos
de información disponibles, afirmó Campione.
"Deben tomar decisiones que tengan en cuenta las
oportunidades, los riesgos y la seguridad, pero sin
enfrascarse en análisis interminables. No pueden
saberlo todo antes de decidir". En un entorno como
éste, no está muy claro el nivel de atención que se
ha puesto a los riesgos de seguridad que suponen las
redes de distribución inteligentes.
El riesgo asociado a SCADA se agrava por las
plataformas de servicios "inteligentes"
Las nuevas plataformas de distribución de servicios,
como los "contadores eléctricos inteligentes" con
interoperabilidad o las transacciones bancarias
a través de dispositivos móviles, generan nuevas
vulnerabilidades, pero también nuevas oportunidades.
"Las redes de distribución inteligentes van a generar
sin duda nuevas vulnerabilidades, pero eso no significa
que todo el sistema de distribución eléctrica vaya a
ser más vulnerable en el futuro", afirmó el antiguo
responsable de la ciberseguridad del Departamento de
Energía de EE. UU., Christopher "Rocky" Campione,
que añadió que ofrecen numerosas ventajas en
términos de eficacia y de fiabilidad.
Los nuevos retos de seguridad que presenta
el procesamiento en la red
Los sistemas de procesamiento en la red permiten a
las empresas alquilar infraestructuras de servidor y
servicios de software, externalizando de esta forma
sus necesidades informáticas. En función de los
servicios y los datos externalizados, pueden integrarse
nuevas medidas de seguridad, pero también pueden
aparecer nuevas vulnerabilidades.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
35
Muchos países a penas si habían
progresado en materia de organización
en este respecto, y otros mostraban un
claro retraso.
Esta tecnología permite a las pequeñas empresas
aplicar medidas de seguridad que de otra forma
no estarían a su alcance. Aún así, "los sistemas de
procesamiento en la red me dan un miedo terrible",
afirmó un veterano especialista en seguridad de TI.
"No porque conozca ningún problema particular
que sea propio de ellos, sino porque echamos la
vista atrás, cada vez que hemos adoptado una nueva
tecnología, hemos sido incapaces de darnos cuenta
de los ataques potenciales a los que dábamos pie".
"Creamos sistemas cada vez más complejos, y al
mismo tiempo más sistemas que deben proporcionar
servicios a otros sistemas con una interdependencia
débil y que ofrecen una autenticación que deja
mucho que desear", concluyó.
Según Pamela Warren, para corregir las
vulnerabilidades, las empresas y los poderes públicos
deberían "considerar los tipos de datos que pueden
transmitirse por Internet y elegir el modelo de
procesamiento en la red que más les convenga,
validar el modelo de seguridad y las prácticas del
proveedor de servicios, y establecer las directrices
para la responsabilidad de las diferentes partes en
materia de alojamiento".
La necesidad de los poderes públicos de
organizarse más eficazmente para hacer
frente a las ciberamenazas
Un tema recurrente durante las entrevistas a los
expertos de los distintos sectores y países fue la
forma en la que los poderes públicos se organizan
para abordar las nuevas amenazas. Hay modelos
comunes; todos los países incluidos en la encuesta,
36 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
por ejemplo, habían creado equipos de respuesta a
emergencias informáticas para coordinar la respuesta
a incidentes aunque, en función de los entrevistados,
su eficacia variaba. Sin embargo, muchos países
a penas si habían progresado en materia de
organización en este respecto, y otros mostraban un
claro retraso.
En Brasil, por ejemplo, el gobierno federal creó en
agosto de 2009 el Grupo de trabajo para la seguridad
de la información y la protección de infraestructuras
críticas, dependiente del Departamento de
Información y Seguridad de las Comunicaciones.
El grupo trabaja en el establecimiento de planes
de respuesta a incidentes y en la seguridad de la
información, según Anchises de Paula, analista
brasileño de los laboratorios iDefense Labs.
En Australia, un informe del Misterio de Defensa
publicado en 2009 anunciaba la creación de un
Centro de operaciones para la ciberseguridad,
dependiente del servicio de inteligencia australiano
(Defense Signals Directorate), pero muchos detalles
del proyecto aún no han sido revelados.
Un especialista en ciberseguridad australiano afirmó
que su gobierno había dedicado mucho tiempo a
estudiar los modelos americano y británico, y otros,
como parte de la reciente revisión de su política
de seguridad. "Existe una especie de pulso entre
elementos del sector público que se inclinan por el
modelo americano y aquéllos que lo hacen por el
modelo británico", afirmó.
Como las infraestructuras críticas son ya objeto de
reglamentaciones en muchos países, estos tipos de
cambios pueden causar problemas a los propietarios
y operadores que se vean enfrentados a exigencias
normativas redundantes o contradictorias, o a otras
obligaciones oficiales en relación a la ciberseguridad.
Los directivos se sienten generalmente más cómodos
con los organismos reguladores existentes y miran
con desconfianza o preocupación las nuevas
exigencias normativas o los cambios en las existentes.
Sin embargo, en la mayoría de los casos, estos
organismos reguladores carecen de la competencia
necesaria para abordar los temas relacionados con la
ciberseguridad.
Especialistas en seguridad del sector del agua de
EE. UU., por ejemplo, afirmaron que mantienen
una excelente relación con su organismo regulador,
la Agencia de Protección Ambiental (EPA), pero
reconocieron que no era realista esperar que
regularan también sobre la ciberseguridad. "Es
imposible que la EPA pueda tener ningún tipo de
control normativo sobre la ciberinfraestructura del
país", afirmó uno de ellos.
La existencia o la creación de varias agencias con
autoridad normativa, poderes de investigación o
responsabilidades en la ciberseguridad también
puede generar fricciones burocráticas en el seno de la
Administración Pública.
Por ejemplo, Kimberly Zenz afirmó que los conflictos
territoriales sobre el tema de la ciberseguridad
estaban al orden del día en Moscú. "Existen una
gran cantidad de luchas internas en los órganos
gubernamentales rusos. Los conflictos están
presentes en todos los niveles. Todos los órganos
federales, incluso dentro del mismo ministerio, viven
un enfrentamiento permanente".
En Estados Unidos, las fricciones en el seno del
ejecutivo se duplican y amplifican por conflictos
entre los distintos comités de control del Congreso.
"Capitol Hill ignora por completo todos los
problemas de ciberseguridad de Estados Unidos",
afirmó el antiguo responsable del Departamento de
Energía, Christopher Campione. "Se ha producido
un fenómeno de colapso", añadió, para terminar
diciendo que el origen del problema está en la
manera en la que la Administración recibe sus
fondos. "Si, como legislador, usted (asigna fondos)
a la oficina del Director de TI (de una agencia),
ese dinero acabará siendo gastado por gente en
Washington. Si da dinero a un subdepartamento
cualquiera de una agencia, acabará en Virginia... o
en Pittsburgh o en cualquier otro lugar que desee",
afirmó Campione.
"En el Congreso, los gastos están muy motivados
por consideraciones geográficas". Y añadió que "es
por esta razón por la que todos estos departamentos
lo tienen tan mal para consolidar sus sistemas
informáticos".
El intercambio de información parece
funcionar mejor horizontalmente
Según los directivos, los niveles de participación
son más elevados en las estructuras para compartir
información entre sectores más horizontales, aunque,
según los países, los tipos de organización y los
niveles de participación difieren.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
37
El intercambio de información entre empresas de
software de seguridad, por ejemplo, "ha progresado
enormemente, superando obstáculos como la
desconfianza mutua (los problemas jurídicos
de la propiedad intelectual) y las cuestiones de
competencia", afirmó Phyllis Schneck de McAfee.
Según sus palabras, los diferentes actores del sector
"colaboran eficazmente (…) particularmente en
tiempos de crisis".
Una variedad todavía mayor de enfoques caracterizó
la organización de foros para compartir información
entre la Administración y el sector privado, y existía
una gran variación entre países en las tasas de
participación. Pero aquí, al menos según los datos
de las entrevistas, hemos podido observar una queja
común: las administraciones son reacias a compartir
información confidencial sobre amenazas
y vulnerabilidades.
El responsable de la seguridad de una importante
operadora de telecomunicaciones afirma que su
empresa mantiene relaciones con las fuerzas de
seguridad en más de un centenar de países en los
que opera. Sin embargo, a la hora de compartir
información de seguridad sobre la infraestructura
nacional crítica, "no he recibido jamás la información
exhaustiva que esperaba. Lo que espero de las
autoridades es que nos faciliten lo que no podemos
obtener en ningún otro lugar: información precisa
sobre la naturaleza de las amenazas, indicaciones
sobre los dominios en los que podemos utilizar mejor
nuestros activos, sobre la base de un análisis más
detallado de la amenazas que el que somos capaces
de generar nosotros. Ellos disponen de todos los
servicios de seguridad y de otros recursos".
38 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Pero ése es exactamente el tipo de información que
los poderes públicos guardan más celosamente, en
parte porque no ven una manera segura de compartir
la información con los propietarios y operadores de
infraestructuras críticas sin que acabe en poder de
sus adversarios.
Por esta razón, los altos niveles de participación de los
organismos para compartir información controlados
por los poderes públicos no son probablemente un
indicador fiable de su éxito. Algunos países adoptan
claramente un enfoque más exclusivo para compartir
información que otros.
Secreto y seguridad
"En Estados Unidos y en Europa, los esfuerzos
son algo mayores" por parte de las agencias
para compartir información, afirma el Director
de Seguridad, "pero, cuando se trata de recibir
información realmente útil de la autoridades,
como advertencias o consejos sobre el uso de los
recursos, no recibimos nada de ningún gobierno".
En Estados Unidos, donde los directivos señalaron
una participación superior a la media en los grupos
para compartir información con las autoridades, se
han hecho intentos para abordar esos problemas,
otorgando derechos de acceso especiales a ciertos
dirigentes de sectores críticos, pero los progresos en
la materia son desiguales.
"Una o dos personas (de una determinada
empresa) se benefician de autorización especial",
afirmó Campione, "pero esas personas no son
necesariamente las adecuadas". ¿Debe disponer de
esa autorización un alto directivo, que tal vez no tenga
la competencia técnica para interpretar la información
que se le suministra? ¿O debería ser un colaborador de
más experiencia técnica, aunque de menor rango, pero
que no tenga la autoridad necesaria para gestionar
problemas que no puede revelar a otros?
Otro enfoque, defendido por Pamela Warren de
McAfee, es el de desclasificar más información a
un nivel "confidencial pero no de alto secreto";
información que "puede compartirse entre los
miembros de una comunidad de confianza", incluidos
los que no disponen de las autorizaciones oficiales.
"El problema viene en parte del hecho de que hay
demasiada información clasificada", afirmó el antiguo
alto funcionario de Departamento de Energía.
Los datos muestran una
relación excepcionalmente
estrecha entre los sectores
público y privado en China.
En Australia, el directivo de seguridad Ajoy Ghosh
afirma que el nuevo Centro de operaciones para
la ciberseguridad va a tener capacidad operativa,
la facultad de "tantear el terreno" junto con los
propietarios y operadores de infraestructuras
críticas. En Estados Unidos, por contraste, las
agencias favorecen un enfoque más basado en el
establecimiento de normas.
En Rusia, según Kimberly Zenz, los poderes públicos
optan por un enfoque más informal. Aunque no
existe un plan nacional de cibermaniobras y pocas
disposiciones institucionales en lo relativo a compartir
información o al establecimiento de una colaboración
estable, algunos funcionarios públicos "mantienen
relaciones muy estrechas con proveedores de servicios
de Internet (...) y entre éstos, hay gente que tiene
conocimientos en tiempo real en materia de redes" y
les sirven de fuentes de información, según ella.
En China, hemos observado una relación
excepcionalmente estrecha entre los sectores público
y privado, a la vista de los niveles de participación
y de aprobación de iniciativas instigadas por la
Administración que revela la encuesta. Si esta
relación puede extrapolarse en otros lugares, es
una incógnita. Sin embargo, el general Hayden
señala que China "es un país más autoritario, y es
probablemente más fácil para ellos adoptar esta
actitud (…) La población está más habituada a las
exigencias que plantea la seguridad (…) a la vista de
todos los aspectos de la vida y la cultura chinas", y el
hecho de que el uso de Internet, aunque importante
y en aumento, está todavía reservado principalmente
a "una fracción privilegiada" de la población.
La dificultad de una colaboración eficaz con los
actores de los diversos sectores económicos se acentúa
por la naturaleza de la amenazas. Un especialista de
seguridad en el sector del transporte explica, "el valor
de la experiencia operativa cae rápidamente (una vez
que un ejecutivo se incorpora) a la Administración. Es
un problema capital al que se enfrenta el sector a la
hora de tratar con las distintas agencias".
De hecho, el mismo problema mina los esfuerzos
para abrir con el gran público un diálogo realista
sobre la seguridad. El debate público sobre los
problemas de la seguridad es siempre delicado, pero
resulta particularmente espinoso en el ciberdominio,
explicó el general Hayden. "Te adelantas uno o
dos pasos y dejas atrás al 95% del público desde el
punto de vista tecnológico (…) a continuación, los
defensores de la privacidad intervienen y, de repente,
la conversación se hace muy difícil... Culturalmente,
es muy complicado para nosotros".
Conclusión
La encuesta revela que las redes informáticas,
en particular las redes IP, son en la actualidad
esenciales para los propietarios y operadores de
las infraestructuras críticas. En el clima económico
actual, estos propietarios y operadores, que utilizan
la informática para mejorar la eficacia, serán cada
vez más dependientes de las redes, tanto en lo que
se refiere a sistemas operativos como a sistemas de
administración. Los datos recogidos por la encuesta
y las entrevistas muestran que esos sistemas críticos
(incluidos los de naturaleza operativa, como los
sistemas SCADA/ICS) funcionan en un entorno de
alto riesgo y se enfrentan a una amplia gama de
amenazas que, en algunos casos, pueden suponer
costes extremadamente altos. Sin embargo, sugieren
igualmente que se pueden poner en práctica una
gran cantidad de iniciativas para protegerlos, por
ejemplo, mediante la adopción más generalizada de
medidas de seguridad esenciales.
Si el ciberespacio es el Salvaje Oeste, es hora de que
el sheriff tome cartas en el asunto. Las cuestiones
de administración están en el centro de todos los
debates sobre la seguridad de las redes en el marco
de las infraestructuras críticas. Hubo una gran
cantidad de comentarios, por ejemplo, sobre las
barreras legales al uso más generalizado de ciertas
medidas técnicas para contrarrestar los ataques
DDoS. Los expertos también han señalado las
dificultades a las que se enfrentan los tratados y otras
iniciativas en este campo.
Para los propietarios y operadores, según esta
encuesta, la relación que mantienen con los poderes
públicos es un factor determinante para la gestión
de la seguridad. Para los poderes públicos, esa
relación es crucial para la defensa de los activos
nacionales. En ausencia de una solución tecnológica
milagrosa, muchos directivos ven en las normativas,
a pesar de sus inconvenientes, un medio de mejorar
la seguridad. Y más allá de la simple regulación, la
encuesta indica que en algunos países, con China
como ejemplo más destacado, una estrecha relación
entre los poderes públicos y los propietarios y
operadores ha contribuido a mejorar la seguridad.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
39
Agradecimientos
Los autores e investigadores del CSIS hablaron de manera oficial y extraoficial con
docenas de personas mientras procesaban la enorme cantidad de datos recopilados
para este informe. Muchas de ellas consintieron en ser entrevistadas y citadas
formalmente, pero no todas querían que se publicara su nombre, ni siquiera en los
agradecimientos, donde, para su tranquilidad, éste no figura junto a sus palabras.
Queremos dar las gracias a todos aquellos —citados y no citados— que tan
generosamente han compartido su tiempo y sus conocimientos. Nuestro especial
agradecimiento a James Lewis, por sus consejos y recomendaciones, y a Denise
Zheng, que mantuvo el proyecto encarrilado. Por supuesto, los autores admiten ser
totalmente responsables de cualquier error u omisión.
Stewart Baker, Miembro distinguido invitado, CSIS, y partner, Steptoe & Johnson
Shaun Waterman, escritor e investigador, CSIS
George Ivanov, investigador, CSIS
Michael Assante
Vicepresidente y Director de Seguridad,
North American Electric Reliability Corporation
David Aucsmith
Director General de Microsoft Institute for
Advanced Technology in Governments
Christopher "Rocky" Campione
Ex Alto Funcionario de Ciberseguridad,
Departamento de Energía de EE. UU.
John Carlson
Vicepresidente primero, BITS,
división de la Financial Services Roundtable
Rick Howard
Director de información sobre seguridad, iDefense Labs
Aaron Levy
Director de política de seguridad,
Association of Metropolitan Water Agencies
Anchises De Paula
Analista de información sobre amenazas, iDefense Labs, Brasil
Karl Rauscher
Miembro distinguido del EastWest Institute, y socio, Bell Labs
Adam Rice
Director de seguridad mundial, Tata Communications
Claudia Copeland
especialista en recursos y política medioambiental,
Servicio de Investigaciones del Congreso estadounidense
Phyllis Schneck
Vicepresidente de Información sobre Amenazas de McAfee, y
miembro de la Comisión sobre Ciberseguridad del CSIS para la
44ª presidencia de EE. UU.
Dan Corcoran
responsable de seguridad de la información para grupos,
Grupo de Consumidores de Intuit
Paul Smocer
Vicepresidente, BITS, división de la Financial Services Roundtable
Kristen Dennison
analista de información sobre amenazas, iDefense Labs
Ajoy Ghosh
ejecutivo de seguridad en Logica y profesor de ciberdelincuencia
en la Universidad Tecnológica de Sidney
General Michael Hayden (retirado)
Ex Director de la Agencia Central de Inteligencia,
Ex Subdirector de inteligencia nacional,
y Ex Director de la Agencia de Seguridad Nacional
40 En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
Pamela Warren
Especialista en estrategia contra la ciberdelincuencia, sector
público, y Directora de iniciativas de telecomunicaciones, McAfee
Tom Wills
Financial Services Information Sharing and Analysis e
iDefense Labs
Kimberly Zenz
Analista de información sobre amenazas, iDefense Labs
Notas
1 La encuesta se llevó a cabo en septiembre de 2009 por la
empresa británica de estudios de mercado Vanson Bourne, Ltd.
Los encuestados se seleccionaron entre paneles de directivos de
TI que la empresa tiene en diferentes sectores y países paras sus
investigaciones. De los 600 encuestados, 100 residían en Estados
Unidos, 50 en Japón, China, Alemania, Francia, Reino Unido e
Italia (cada uno), 30 en Rusia, España, Australia, Brasil, México
e India (cada uno también) y 20 en Arabia Saudí. Los sectores
mejor representados fueron el sector bancario/financiero y el de
servicios públicos, con 145 encuestados en cada categoría. El
sector con menor representación fue el de agua y saneamiento,
con sólo 23 encuestados entre 600. Otros sectores (gas y
petróleo, energía, transporte de mercancías y público, y
telecomunicaciones) oscilaron entre 59 y 82 encuestados.
Teniendo en cuenta el tamaño de la muestra, pudimos sacar
conclusiones sobre patrones y variaciones entre sectores o
países, pero no sobre los sectores de cada país.
Cuando las preguntas se dirigieron únicamente a responsables
de sistemas operativos, 143 de los 600 encuestados, el tamaño
de la muestra disminuyó y hasta las variaciones entre países
perdieron fiabilidad. Cuando la fiabilidad de los datos exige
precaución, el texto lo indica.
En general, en las entrevistas intentamos comprobar los
aspectos más sorprendentes e interesantes de los datos. En los
casos en que los datos de las entrevistas ponen en duda los
datos de la encuesta o sugieren una interpretación diferente,
así se hace constar.
2 Algunos resultados de la encuesta a los representantes rusos
no se correspondían con las conclusiones obtenidas en las
entrevistas. Sólo el 30% de los ejecutivos rusos declararon
haber sufrido ataques DDoS a gran escala y sólo un 3% varias
veces al mes, el porcentaje más bajo de todos los países. "Los
ataques DDoS son un auténtico problema en Rusia", afirma
Kimberly Zenz, especialista en Rusia de iDefense Labs. "Todo
el mundo recibe agresiones. Allí es muy fácil alquilar una red
de bots". Zenz asegura que los ataques a sitios Web rivales,
contrarios a las normas de la competencia, son frecuentes
incluso entre tiendas locales de ciudades pequeñas. "El sector
de los servicios financieros suele ser uno de los objetivos de
ataques DDoS y amenazas de extorsión", añadió.
En parte, esta aparente anomalía de los datos puede deberse
a la formulación de la pregunta. En ella se utilizaron, como
ejemplos de ataques a gran escala, las campañas DDoS contra
Estonia y Georgia, ataques de los que muchos acusaron a
Rusia. Puede que este factor afectase a las respuestas de los
encuestados rusos. Cuando se les preguntó sobre ataques
DDoS de "bajo nivel" sin mencionar a Estonia ni Georgia, los
encuestados rusos que admitieron haber recibido ataques
alcanzaron el 73%, una cifra mucho más acorde con los datos
del conjunto de encuestados, el 72% de los cuales dijo haber
experimentado ataques de bajo nivel.
En el punto de mira: las infraestructuras críticas en la era de la ciberguerra
41
Acerca de los autores
Acerca de McAfee
Stewart Baker es miembro distinguido invitado del
CSIS (Center for Strategic and International Studies) y
socio del bufete de abogados de Steptoe & Johnson,
en Washington. Entre 2005 y 2009 fue Subsecretario
de política de seguridad del Departamento de
Seguridad Nacional de EE. UU. Con anterioridad, fue
consejero general para la Comisión Silverman‑Robb,
encargada de la investigación de los errores de los
servicios de inteligencia estadounidenses sobre las
armas de destrucción masiva de Irak. Entre 1992
y 1994 fue consejero general de la Agencia de
Seguridad Nacional.
McAfee, Inc., con sede en Santa Clara, California,
es líder en tecnología de la seguridad. McAfee ha
adquirido el compromiso continuo de abordar los
retos de la seguridad más difíciles a nivel mundial.
La compañía ofrece soluciones y servicios proactivos
y de demostrada eficacia que ayudan a proteger
sistemas y redes en todo el mundo, y que permiten
a los usuarios conectarse a Internet, navegar y hacer
compras en la Web de forma más segura. Respaldada
por un galardonado equipo de investigación, McAfee
crea productos innovadores que permiten a los
usuarios particulares, a las empresas, al sector público
y a los proveedores de servicios cumplir con las
normativas, proteger los datos, evitar interrupciones,
identificar vulnerabilidades y monitorizar
continuamente mejorando así su seguridad.
Shaun Waterman es periodista y asesor en temas
de terrorismo y seguridad nacional, contratado por
el CSIS para investigar y redactar este informe. En
la actualidad es reportero freelance del Washington
Times y de otras publicaciones, y entre los años 2000
y 2009 fue corresponsal y redactor de United Press
International en Washington.
Para obtener más información, visite:
www.mcafee.com/es
George Ivanov es investigador del CSIS y candidato
a doctor en Política de Ciencia y Tecnología
Internacional en la Universidad George Washington.
Para obtener más información sobre el CSIS, visite:
www.csis.org
McAfee, S.A.
Avenida de Bruselas nº 22
Edificio Sauce
28108 Alcobendas
Madrid, España
www.mcafee.com/es
McAfee y/u otros productos relacionados con McAfee mencionados en este documento son marcas comerciales registradas o marcas comerciales
de McAfee, Inc. y/o sus empresas filiales en EE. UU. y/u otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la
marca McAfee. Todas las demás marcas comerciales registradas o no registradas y productos no relacionados con McAfee que se mencionan en
este documento son meras referencias y son propiedad exclusiva de sus propietarios respectivos.
La información de este documento se proporciona únicamente con fines educativos y para la conveniencia de los clientes de McAfee. Nos
hemos esforzado por asegurar que la información del presente informe de McAfee sea correcta; sin embargo, dado que la ciberseguridad
cambia constantemente, el contenido de este documento está sujeto a modificaciones sin previo aviso y se proporciona tal cual, sin garantía en
cuanto a su precisión o aplicación a una situación o circunstancia en particular.
7795rpt_cip_0110
© 2010 McAfee, Inc. Reservados todos los derechos.
Descargar