El Director del Centro de Protección de Infraestructuras, Fernando Sánchez
El Director del Centro de Protección de Infraestructuras, Fernando Sánchez - josé ramón ladra
ENTREVISTA con el mayor especialista en ciberseguridad

«Los ataques ciberterroristas aumentan y cada vez son más especializados»

Actualizado:

Fernando Sánchez es teniente coronel de la Guardia Civil y dirige el Centro Nacional de Protección de Infraestructuras Críticas (Cnpic), organismo clave para la ciberseguridad de España. No quiere sembrar la alarma en una materia tan sensible como esta, pero sus palabras alertan de la gravedad de la amenaza a la que nos enfrentamos.

-Los atentados yihadistas de París provocaron la elevación al nivel 3 de la alerta terrorista en España. ¿Qué ha supuesto esa decisión en el ámbito del Cnpic?

-En la elevación de ese nivel de alerta hay una derivada que afecta a las Fuerzas de Seguridad y otra a las infraestructuras críticas. Pero además, esa decisión trae consigo la activación del Plan Nacional de Protección de Infraestructuras Críticas. En este caso la función del Cnpic es señalar tanto a la Policía y a la Guardia Civil, como a los Mossos y a la Ertzaintza en sus demarcaciones, aquellas instalaciones de especial sensibilidad para que ellos adopten las correspondientes medidas de vigilancia. Y por otro lado, desde aquí se activa a los propios operadores, a través de sus direcciones de seguridad. Por tanto, por una parte tenemos que esos operadores, que son responsables de sus instalaciones, incrementan su nivel de alerta; por otro, hay un refuerzo de la vigilancia en las mismas y, finalmente, hay una tercera vía de acción que es la de involucrar al CERT (Equipo de Respuesta ante Incidencias Informáticas) de Seguridad de Industria, que es el que en materia cibernética tiene competencias. La coordinación de esos tres ejes es la que realiza el Cnpic.

-Desde que se ha elevado el nivel de alerta terrorista, ¿se ha producido algún ataque cibernético de cierta envergadura?

- Sí, se están produciendo esos ataques contra infraestructuras críticas. El incremento del número en relación con la situación anterior no es perceptible, pero la agresividad sí. Ha habido ataques contra las redes de electricidad, contra la banca y contra el sistema de transportes. Lo que sucede es que no están llegado a su fin, porque se interceptan a tiempo. Los operadores hacen su labor, los distintos CERT funcionan adecuadamente y en consecuencia no llega a producirse el daño.

-Desde que se ha elevado el nivel de alerta terrorista, ¿se ha producido algún ataque cibernético de cierta envergadura?

-Es muy difícil saber lo que hay detrás de cada uno de ellos hasta que no se investiga. Lo que notamos es una tipología determinada o una forma de actuar determinada. Pero saber quién está detrás es imposible hasta que se identifica la fuente de la que ha partido el ataque. Sería muy arriesgado decir que detrás están un grupo terrorista en general, o yihadista. No estamos en condiciones de afirmarlo. Lógicamente se están rechazando e investigando sobre ellos.

-¿Lo que ha ocurrido en Navarra, donde varios ayuntamientos han visto atacadas sus páginas web para difundir mensajes yihadistas, entra dentro de esa categoría?

-Se trata de un tipo de ataque más leve que el que antes nos referíamos. Pero no deja de ser un indicador de que hay un sector del yihadismo que actualmente está siendo más agresivo en el ámbito cibernético. Lo que ha pasado en los ayuntamientos de Navarra, trasladado a la realidad de la calle, sería como si unos individuos van a una serie de consistorios y hacen una pintada. Eso el mundo virtual se llama «defacement», que básicamente es propaganda; en lugar de hacerse en una pared, se hace atacando las web de las instituciones. Lo que sucede es que esta modalidad tiene más repercusión, porque hay mucha más gente que se entera de eso.

-¿Tienen Al Qaida y Estado Islámico (Daesh) capacidad real para perpetrar ciberataques contra infraestructuras críticas?

-Capacidad y conocimientos tienen, pero el que se produzca un daño en una infraestructura crítica a través de una red es, hoy por hoy, muy complicado. Se tienen que dar muchas circunstancias. Pueden tirar piedras, por decirlo de forma gráfica, pero es muy difícil detectar el objetivo y que además afecte a un componente sensible del mismo. Lo que pasa también es que, como sucede en el mundo real, en el virtual también se paga a sicarios, especialistas que hagan un ataque concreto por encargo. Eso algo que está proliferando.

-¿La amenaza de un ataque ciberterrorista es creciente?

-El ciberterrorismo no deja de ser una parte del conjunto de las ciberamenazas. Año tras año vemos como estas van creciendo exponencialmente, tanto en número como en sofisticación. Hay más más ataques, y cada vez son más agresivos. Igual que nosotros, como ciudadanos, nos hemos acostumbrado a hacer cada vez más cosas por internet, el terrorista hace lo mismo, porque no deja de ser un «ciudadano» que utiliza la red para sus propios fines. Cada vez utilizan más las nuevas tecnologías y, por tanto, las acciones de ciberterrorismo están en crecimiento.

-¿España está preparada para hacer frente a esos ataques?

-La respuesta a esa pregunta tiene dos vertientes. Decir que estamos en condiciones de rechazar todos los ataques posibles sería muy pretencioso, porque no hay ningún país que esté a salvo de ellos, tal como dijo el ministro del Interior hace poco tiempo. Pero tenemos los mecanismos, la preparación y los medios para prevenir y reaccionar ante ataques ciberterroristas o cibernéticos en general.

-¿Cuántos ciberataques se producen en España y cuántos de ellos son de verdad de una cierta entidad?

-En 2014 tuvimos en torno a 70.000 incidentes cibernéticos en los que estaban involucrados ciudadanos, empresas e infraestructuras críticas. Estamos hablando, no obstante, de más de siete millones de direcciones IP comprometidas. Eso no significa que hayan sido todo ataques, sino que en esa dirección IP ha habido algo que no ha funcionado bien, o hay sospechas de que ha podido haber algún tipo de incidente que esté comprometiendo a esa IP. De peligrosidad alta lo fueron en torno a un 25 por ciento, media alrededor de dos tercios y el resto sería de carácter baja o no conocida. Ahora bien, aquí se incluye todas las IP, no solo los sistemas de infraestructuras críticas. En cuanto a estos últimos, sufren el 0,4 por ciento de los incidentes, lo que supone varios cientos de ataques al año de carácter crítico.

-¿El ciudadano es consciente del peligro que existe?

-No, porque lo vemos aún como algo de película. Ahora bien, hay que ser consciente de que nos pueden hacer más daño con un ataque cibernético contra una infraestructura crítica que con un atentado tradicional. No se percibe así por la opinión pública porque todavía no se ha dado un evento de este tipo.