Hablando sobre seguridad y riesgo en infraestructuras críticas

infraestructura critica costarica

Jonhatan Masís (ES), un abogado y docente de Costa Rica, me escribió hace ya tiempo para hacerme unas preguntas con la idea de preparar un estudio sobre el impacto y las medidas de contingencia que podríamos establecer en materia de seguridad de infraestructuras críticas.

El cuestionario que me pasó tenía algunas preguntas más, pero he obviado las cinco primeras por ser más esquemáticas y personales, compartiendo hoy con usted mi respuesta, ya más profunda, a las últimas cinco.

Por aquí van:

¿Su empresa ha sido víctima de ataque a alguna infraestructura crítica? De ser el caso, explique en qué consistió dicho ataque.

Todo depende de dónde ponemos los límites a la hora de considerar un sistema crítico o no. En el caso que nos compete, la empresa donde trabajo es una pequeña consultora, pero trabajamos con empresas que podrían ser consideradas infraestructuras críticas (sistema bancario, logística urbana…).

Nuestro papel dentro de SocialBrains(ES) es la realización de informes sobre la información que circula alrededor de estas compañías, de ahí que por ejemplo, ante un ataque, no seamos la primera línea de combate, sino más bien la retaguardia (análisis de los datos obtenidos por los técnicos y traducción a un lenguaje de negocio). En donde sí estamos más activos es en el apartado reputacional, aconsejando a nuestros clientes sobre la manera más adecuada de afrontar una crisis, y llegado el caso (como ocurría no hace mucho con WannaCryevaluando la situación y sacando conclusiones.

A nivel puramente de la consultora, sí hemos sido víctima no hace mucho de un ataque que no estaba dirigido hacia nosotros, pero que en su radio de acción acabó por impactarnos.

La implementación de un plugin social que hacía uso de la API de Twitter, asociada a nuestra cuenta corporativa, sufrió un hackeo, lanzando a mediados de marzo una serie de tweets automatizados con clara apología nazi. Esto puede ser entendido como un ataque a la infraestructura comunicativa de un país, habida cuenta de que miles de usuarios de este popular plugin fuimos vectores de impacto para una campaña que tenía como objetivo propagar una lectura alternativa y profundamente racista ante un movimiento político.

¿Cuáles considera son los métodos más peligrosos mediante los cuales se puede afectar una infraestructura crítica digital?

El principal vector de ataque, por facilidad y por eficiencia, sigue siendo el factor humano. ¿Qué es más pragmático, intentar bypasear los controles de seguridad de una central de enriquecimiento de uranio, o colarle a uno de los operarios un USB infectado para que sea él mismo quien lo conecte en alguno de los terminales de control?

De ahí la importancia que tiene la formación activa y constante en materia de riesgo informático. De la concienciación frente a campañas de phishing e ingeniería social.

Por detrás, por supuesto, entiendo que se han hecho los deberes (técnicos) adecuados. Un ecosistema digital auditado y, sobre todo, actualizado. Unos sistemas de control eficientes, que compaginen tecnología y analistas de carne y hueso (objetividad y subjetividad humana)

¿Cuáles herramientas tecnológicas, considera deben crearse para salvaguardar la infraestructura crítica en un país?

Esta pregunta ya es más complicada de responder.

A mi modo de entenderlo, más que falta de recursos tecnológicos, lo que necesitamos es un compromiso social y político que reme en la misma dirección.

Campañas como la de WannaCry, comentada recientemente, fue un éxito a nivel reputacional, pero no tanto a nivel de impacto económico, y no al menos en España (el país donde resido). Basta mirar todo lo que supuso WannaCry en el sistema sanitario inglés, y el impacto que tuvo en la industria española.

¿La razón? Hubo una colaboración tácita y real entre fuerzas de seguridad, administraciones y empresas privadas. Compañías de la talla de Telefónica corrieron raudos y veloces a reconocer que habían sido infectados, y supusieron por tanto uno de los principales frentes para que apenas unas horas más tarde ya empezaran a surgir vacunas para el ransomware.

Una campaña virulenta semejante, ocurrida hace ya una década (como fue, por ejemplo, Sasser (ES)) estuvo en circulación meses sin que los organismos fueran capaces de coordinarse adecuadamente, y todavía es hoy que si instalamos en un dispositivo Windows XP no actualizado y nos conectamos a la red a los pocos minutos seguramente estamos ya infectados por este gusano.

¿Cuáles herramientas legales (de gobernanza digital), considera debe crearse o fortalecerse para resguardar las infraestructuras críticas?

La principal, que además debería ser obvia, es la de garantizar legalmente el trabajo de todos aquellos investigadores que encuentran fallos de seguridad y los comunican de forma ética, cubriéndolos frente al eventual, y lamentablemente aún común, desprecio de las organizaciones, que puede llegar a materializarse en una denuncia ante los tribunales.

Tenemos que entender que cualquier activo de cualquier organización es, a efectos prácticos, una potencial puerta de entrada a un riesgo que podría acabar siendo crítico para la sociedad. A día de hoy la mayoría de riesgos ya son globales, no locales, y por ende pueden impactar de la misma manera a la carnicería de debajo de nuestra casa como a una gran multinacional.

¿Conoces la paradoja de los anti-vacunas, verdad? Un ciudadano que se niega a vacunarse de algo que está considerado obligatorio no solo está poniéndose en peligro, sino que además pone en peligro al resto de la comunidad.

Que un negocio mantenga, por seguir el símil, un ordenador conectado a la red con Windows XP, es un riesgo potencial no solo para ese negocio, sino para todos nosotros, ya que seguramente ese dispositivo, que a día de hoy es inseguro, va a comunicarse con el resto de la red, pudiendo comprometer dispositivos actualizados, que a priori eran inmunes al vector inicial.

Y bajo este prisma, lo peor que podemos hacer es criminalizar a aquellos que dedican tiempo y esfuerzo en encontrar fallas, documentarlas y alertar a los agentes implicados. Ese trabajo debe valorarse (y no solo hablo del factor económico), dotándolo de las garantías legales suficientes para que el trabajo del auditor de seguridad no sea una carrera llena de obstáculos, donde tan pronto te encuentras con una empresa que te agradece el trabajo, como con otra que lo considera un “hackeo” y te suelta a los abogados.

¿Cuáles aportes recomienda debe hacer la empresa privada en el tema?

Formación y colaboración. Tanto de puertas adentro como de puertas hacia afuera.

A nivel puramente económico podemos ser competencia, pero a nivel de seguridad, lo que a ti te pase me afecta a mi y viceversa. El fin último de toda empresa es hacer de la industria donde opera un ecosistema lo más saneado y fluido posible, algo que está demostrado que crea el caldo de cultivo perfecto ser más rentables y obtener mayores beneficios económicos, y esto se consigue estableciendo programas de formación activa de los trabajadores, stakeholders y clientes, y siendo transparente en el factor riesgo y la seguridad para que entre todos mejoremos el ecosistema.

¿Considera necesaria la capacitación sobre el tema en su medio, gremio o grupo de trabajo? ¿Cuáles temas recomienda estudiar?

Sobre esto escribía no hace mucho un artículo en profundidad. Básicamente, la tesis que defendía entonces y defiendo ahora, es que dependiendo de hacia qué sector de la seguridad queremos dedicarnos, necesitaremos unas u otras aptitudes y unos u otros conocimientos.

A nivel general, creo que cada vez es más palpable la falta de perfiles generalistas, con una base técnica y humanista, en esta industria.

Luego si por ejemplo queremos dedicarnos a la protección de los datos o a la administración de sistemas, lo más probable es que necesitemos garantizar una serie de conocimientos específicos, que normalmente vienen dados por las certificaciones en tecnologías, metodologías o reglamentos oportunos.

Para mi caso, que me dedico principalmente a la analítica de social intelligence, es importante tener un perfil con una base técnica y conocimientos avanzados de negocio. Realmente no me pagan por saber programar o por saber utilizar X herramienta, sino más bien por tener la cabeza lo suficientemente bien amueblada como para traducir todas esas miles o millones de filas de datos en información que aporte valor al negocio del cliente. Y para ello, la parte técnica solo llega a la hora de entender cómo funcionan las APIs de extracción de datos y qué nos ofrece la herramienta o herramientas usadas. El resto, que es lo verdaderamente importante, viene dado por las aptitudes y los conocimientos, enmarcados más en el mundo de las humanidades que en el de la ingeniería.