Seguritecnia 385

SEGURITECNIA Abril 2012 49 Gestión integral de la Seguridad ciones activistas mediante su divulga- ción y su marketing en redes sociales. Pensemos en los ataques activistas de estos últimos años contra el sector fi- nanciero o frente a desahucios, el mo- vimiento ocupa, las concentraciones de indignados, la ocupación de oficinas, el bloqueo de acceso a estas, las pintadas y destrozos varios, etc. - ¿Qué daños puede ocasionar el ‘hacktivismo’ a los gobiernos y las compañías? Los daños pueden ser de muchas mag- nitudes, dependiendo del punto ata- cado y de las protecciones que tenga. Del mismo modo, podemos afirmar que el límite es difícil de pronosticar o de prever. Pensemos en un hecho de reciente repercusión. Cuando el 19 de enero la Oficina Federal de Investiga- ción (FBI) cerró Megaupload y detuvo a cuatro de los responsables del sitio de descargas acusados de blanqueo de capitales y crimen organizado, a los 180 minutos se produjo el mayor ata- que coordinado conocido hasta la fe- cha. El grupo Anonymous colapsó más de 20 webs institucionales, entre ellas la del FBI, el Departamento de Justicia estadounidense y el organismo encar- gado de los derechos de autor en ese país. Con esto, el colectivo demostró su inmediato tiempo de reacción, su im- presionante capacidad de coordinación y la manifiesta indefensión de los ata- cados, así como su ejemplar operativi- dad real. ¿Podemos imaginar dónde se puede llegar? - En 2010 el gusano informático Stux- net atacó los sistemas de control de varias plantas industriales de países como Alemania, Estados Unidos, In- dia o Australia. Entre ellas, resultó es- pecialmente afectada una central nu- clear iraní, lo que llevó a su Gobierno a afirmar que estaba siendo víctima de una ‘ciberguerra’. ¿Considera que, efectivamente, los Estados podrían hacer uso de las TIC para agredir a otros países? No existe la menor duda al respecto. No tenemos que comentar el puntual re- sultado de Stuxnet, sino que bastaría con recordar algunos de los incidentes ocurridos en diferentes países. En Esto- nia, por ejemplo, se produjeron en abril de 2007 ataques distribuidos de dene- gación de servicio (DDoS, por sus si- glas inglesas) contra la Administración y varios bancos y agencias de noticias. En agosto del mismo año, el semanario alemán Der Spiegel publicó que China había agredido los ordenadores de la Cancillería germana y de los Ministerios de Exteriores, Economía e Investigación del país. Dos meses después, Asia Pacific News informó de que unos ciberterro- ristas chinos habían intentado acceder a las redes informáticas estatales de alto secreto de Nueva Zelanda y Australia. Podemos afirmar por consiguiente que el ciberespacio es y será utilizado como escenario de enfrentamientos en- tre países e, indefectiblemente, las na- ciones tendrán que elaborar y regular tratados semejantes a los que existen en el caso de los enfrentamientos con- vencionales. - Como dice, ataques como el pro- tagonizado por Stuxnet ponen de manif iesto la necesidad de mejo- rar la seguridad de las instalaciones esenciales para el funcionamiento de un país. ¿Qué opinión le merece la nueva legislación para la protección de las infraestructuras críticas apro- bada en España? Creo que esta legislación es el resultado de una reacción en cadena surgida a partir de los casos que he relacionado, entre ellos el de Stuxnet o el de Duqu, un gusano cuyo objetivo era conseguir información que pudiera resultar útil para atacar sistemas de control indus- trial. Hechos igualmente tan relevantes como la infección de la flota de vehícu- los aéreos no tripulados (UAV, por sus si- glas en inglés) de Estados Unidos dispa- raron las alertas y la necesidad de prote- ger las infraestructuras críticas. El ataque contra estos entornos provocaría lo que popularmente se denomina un “caos total”, pues se trataría en definitiva de un atentado perpetrado en tres fases, afectando primero al transporte, des- pués al mundo de las finanzas y las co- municaciones y, finalmente, eliminando los suministros de agua, gas, electrici- dad, combustibles, etc. Simplificando, afectaría a aquello que funciona a tra- vés de sistemas microprocesados, que hoy por hoy es todo. Por eso se habla de “caos total”. Haciendo un análisis cronológico, en septiembre de 2001 se produjeron los atentados en Nueva York. El Consejo Eu- ropeo de junio de 2004 instó a la Comi- sión a elaborar una estrategia global en materia de protección de infraestruc- turas críticas y, como respuesta, en oc- tubre esta aprobó una comunicación dirigida al Consejo y al Parlamanento europeos sobre la seguridad de estos entornos en el ámbito de la lucha anti- terrorista. En diciembre de 2006 la Co- misión emitió otra comunicación sobre un Programa Europeo para la Protec- ción de Infraestructuras Críticas (PEPIC). El 7 de mayo de 2007 se adoptó en Es- paña el Plan Nacional de Protección de las Infraestructuras Críticas. El 8 de diciembre de 2008 el Consejo euro- peo aprobó la Directiva 2008/114, sobre la identificación y designación de este tipo de instalaciones en Europa y la eva- luación de la necesidad de mejorar su seguridad. En nuestro país, el siguiente paso fue la publicación de la Ley 8/2011, de 28 de abril, por la que se establecen “El ciberespacio es y será utilizado como escenario de enfrentamientos entre países, y las naciones tendrán que elaborar tratados para evitarlos”