En 1967 se estrenó la comedia bélica cinematográfica ¡Que vienen los rusos!. El argumento de esta, filmada en plena guerra fría, narra como el capitán de un submarino ruso se empeña en acercarse a la costa de EEUU para ver América, metiendo a toda su tripulación en problemas cuando se quedan encallados en la costa, desatándose el pánico entre los residentes del pueblo ante lo que creen que es una invasión soviética.

En este caso la película era una comedia, mientras que la realidad que en este momento está viviendo Europa con la invasión rusa de Ucrania, es un drama. Nadie que viva en un país de libertades, donde la información puede ser difundida y contrastada libremente, pone en duda la magnitud dramática de vidas segadas y de sufrimiento. Las guerras llevan la tragedia humana a combatientes y a civiles, sirviéndose de cualquier herramienta de destrucción y daño para aniquilar al enemigo.

En este conflicto los ataques también se están llevando al plano de ciberguerra. Estos son ataques menos visibles que los de la guerra convencional, pero que también buscan dañar tanto las infraestructuras y la economía de los adversarios, como la moral de los ciudadanos y  la confianza de estos en los gobiernos y en su administración.

Los ciberataques a los países que se alinean con posiciones contrarias a las del ciberatacante, tiene en mi opinión, una gran ventaja frente a las guerras físicas: la ausencia de banderas.  Un avión, un tanque, un batallón tienen símbolos de la nación a la que sirven, provienen físicamente de un territorio, se hacen capturas de personas y material, la autoría en su inmensa mayoría de acciones es reivindicada, mientras que un ataque puede provenir de equipos infectados/controlados por el contrario, pero desde sistemas de tu propio país o de países aliados o neutrales.  El ciberataque se puede graduar para que el daño que produce se realice sobre objetivos concretos, con una fuerza controlada y con la intensidad propia de un estado y sin que se pueda demostrar “ante terceros” la autoría de los hechos.

La población española ha podido leer en la prensa los avisos y recomendaciones del Centro Criptológico Nacional (CCN) dirigidos tanto a la administración pública, como a las entidades dependientes, también los de la Oficina de Coordinación de Ciberseguridad (OCC) para operadores de servicios esenciales, así como los del Centro nacional de Infraestructuras Críticas (CNPIC) a los operadores de infraestructuras Críticas. Los avisos van en la línea del título de esta reflexión y en línea con que todo entidad o empresa española, tiene ahora un mayor ciber-riesgo que hace un par de meses, al haber aumentado globalmente la probabilidad de ataques.  Las recomendaciones de estas autoridades de control y de sus equipos de respuesta (CSIRT/CERT) han sido similares y van dirigidas principalmente a disminuir la superficie de exposición y consecuentemente a la de recibir ataques o minimizar el impacto. Llegan esas recomendaciones a contemplar que en los casos extremos se cierren servicios y perímetro. Las recomendaciones (cuando no instrucciones) establecen una graduación de las acciones según suba el nivel de alerta.

¿Para qué situaciones especiales de riesgo deben prepararse las empresas designadas operadores estratégicos frente a las que el resto de las empresas no suelen considerar?: los operadores de las infraestructuras críticas deben prepararse para enfrentarse a riesgos provenientes de amenazas que, teniendo una muy baja probabilidad de materializarse, en el caso de hacerlo causen un impacto muy elevado. En ese espacio, el de muy baja probabilidad pero con un muy alto impacto, encontraremos la amenaza de ciberguerra.

Amenaza cibernética rusa, que hasta el momento no ha tenido la potencia, intensidad, extensión y afectación, que se vaticinaba; probablemente porque los hackers “oficiales” rusos (funcionarios, militares o ciber-mafias protegidas que ahora devuelven la protección), están muy ocupadas atacando a objetivos directamente involucrados en el escenario de guerra físico o porque ya tienen bastante trabajo con las tareas de defensa frente a otros ciberatacantes enemigos (“oficiales”  o voluntarios de ucrania o terceros países).

En cualquier caso, al hilo de la amenaza real la pregunta que los profesionales de Ciberseguridad nos hacemos es: ¿están las empresas operadoras de servicios críticos y esenciales, preparados para ataques de potencias enemigas?.

La respuesta es obvia; frente al ataque de un agente malicioso que cuenta con la fuerza de una nación, la protección individual puede no llegar a ser suficiente. Es en este punto, donde la colaboración entre empresas y el apoyo decidido del estado representan una línea de defensa reforzada, la cual necesita haber sido trabajada con anterioridad.

Por ejemplo, las empresas que juegan (obligatoriamente) en la primera división cibernacional (operadores estratégicos y de servicios esenciales) llevan años realizando Ciberejercicios para medir su capacidad y entrenar sus capacidades de prevención, detección y respuesta a incidentes graves. Pero hasta el momento no se han trabajado escenarios de ciberguerra y en consecuencia, no para una respuesta conjunta y en colaboración, frente a una amenaza de la envergadura de la que un estado como Rusia puede representar para un operador, un sector o el conjunto de la nación española.

En mi opinión y consecuentemente con todo ello, tanto la Estrategia Nacional de Ciberseguridad, las iniciativas de colaboración ya sea a instancias gubernamentales  como puede ser el Foro Nacional de Ciberseguridad o las que se organizan entre iguales (en el seno de asociaciones de profesionales de la relevancia de AUTELSI o ISMS Forum, entre otras),  junto con los planes de continuidad de los operadores estratégicos y de servicios esenciales (al menos de estas empresas),  deben contemplar también escenarios futuros de ciberguerra o de desestabilización provocados por gobiernos de otras naciones y no quedarnos en alertas similares al titulo de esta reflexión.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi .