La caída de Facebook hace saltar las alarmas sobre las amenazas globales de los hackers

En torno a las siete de la mañana de hoy, las redes sociales Facebook, Instagram, Tinder, AIM y Hipchat sufrían un apagón de sus servidores, provocando una caída de sus webs por espacio aproximado de una hora. Las primeras hipótesis llevaban a pensar en una acción del grupo Lizard Squad, defensores del grupo terrorista Estado Islámico, si bien Facebook comunicaba poco después a la BBC que el origen del problema se debía a un error de sus ingenieros.

Cada vez es mayor el número de empresas que externalizan sus centros de proceso de datos (CPD) en España

Esta corriente ha dibujado un nuevo escenario en el que bajo un mismo techo se agrupan la información y los servicios de cientos de compañías e, incluso, instituciones públicas. Servicios, por otro lado, que de no estar en marcha paralizarían buena parte de la actividad del país. En ese sentido, por las instalaciones de Telvent (Schneider Electric), que en 1999 abrió en Madrid el primer CPD neutral de España, pasa entre el 85-90% del tráfico de Internet, según asegura Enrique Martín, director de Procesos y Calidad y máximo responsable del Centro de Excelencia de Ciberseguridad de la compañía.

Información sensible pública

Cuando el pasado 8 de enero, tras los atentados yihadistas perpetrados en Francia, el ministerio del Interior ordenó al Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) la activación de los protocolos de seguridad correspondientes al Nivel 3 del Plan de Prevención y Protección Antiterrorista, Telvent fue avisada.

La creciente tendencia a externalizar los CPD ha concentrado en unos pocos puntos muy localizados el riesgo de atentado

Y es que las instalaciones de Telvent son una de las cerca de 3.500 que hay identificadas en el Catálogo Nacional de Infraestructuras Estratégicas, guardado en el más absoluto secreto. Sin embargo, cualquiera puede navegar por internet y encontrar la localización exacta de cada uno de estos CPD, sus especificaciones arquitectónicas y de sus elementos de seguridad, incluidos esquemas de los llamados sistemas SCADA (Supervisory Control And Data Acquisition), esto es, los sistemas de monitorización y control de procesos de las infraestructuras. Estos sistemas SCADA han sido punto de entrada de los principales ciberataques a la industria –como el caso de las centrifugadoras de uranio enriquecido de Irán con el virus Stuxnet, cuya autoría oficiosamente se atribuye a EEUU e Israel.

El sector tecnológico, sin Plan Estratégico

A pesar de que la Ley 8/2011 de Protección de Infraestructuras Críticas (LPIC) y su posterior reglamento parecían un buen punto de partida para mejorar en seguridad, lo cierto es que los trabajos avanzan a un ritmo muy lento. Según lo establecido, todos los sectores estratégicos deberían contar con sus Planes Estratégicos de seguridad pues, como indica Martín, se trata de “doce sectores muy distintos, con casuísticas muy diferentes y que jamás han pensado en la seguridad”.

Martín llama la atención sobre otra problemática añadida: la falta de personal

Casi tres años después de la aprobación del Reglamento, tan sólo el sector energético (electricidad, gas y petróleo), el nuclear y el financiero (tanto banca como Agencia Tributaria) cuentan con sus planes, aprobados a mediados del año pasado. El sector TIC en cambio, a pesar de su criticidad por la ingente cantidad de información y procesos que hay en juego, no sólo no tiene Plan sino que Fernando Sánchez Gómez, director del CNPIC, avanzaba el año pasado que no será hasta la primavera de este año cuando se desarrolle otra fase que incluye los sectores TIC, Transporte (aéreo, marítimo, ferroviario y terrestre) y Agua.

“España, a diferencia de otros países de nuestro entorno, no ha definido todavía una legislación específica y completa en materia de ciberseguridad”

En esa misma línea, su colega Ángel Gómez de Ágreda, teniente coronel del Ejército del Aire, también reclamaba “desarrollar una Estrategia Nacional del Ciberespacio al estilo de otros países de nuestro entorno. Una que vaya más allá del mero entorno de la Defensa y que agrupe a actores públicos y privados de aquellos sectores trascendentales para nuestra seguridad y prosperidad”.
Con la protección de las Infraestructuras críticas ha sucedido algo parecido. Siete meses después de que Madrid sufriera los terribles atentados del 11-M en 2004, la Comisión Europea adoptó la comunicación sobre protección de las infraestructuras críticas, lanzando propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas que la amenacen. En España, no sería hasta 2007 cuando el Secretario de Estado de Seguridad aprobara el Plan Nacional de Protección de las Infraestructuras Críticas, tras el cual se crearía el primer el primer Catálogo Nacional de Infraestructuras Estratégicas.
La lentitud de movimientos de la Administración española no quedaría ahí: de nuevo, en 2008, la Comisión Europea elaboró una Directiva sobre la identificación y designación de infraestructuras Criticas Europeas y la evaluación de la necesidad de mejorar su protección (Directiva 2008/114/CE).