Los ciberataques a infraestructuras críticas se han multiplicado por 20 en cuatro años

Las previsiones no son exageradas. Solo en los tres primeros meses del año, el Equipo de Respuesta ante Emergencias Informáticas (Certsi) ha realizado más de 50 actuaciones relacionados con infraestructuras críticas. El año 2015 se cerró con 134 ciberataques, mientras que en 2014 solo hubo 53 y en 2013 apenas 17. El auge responde a varios motivos. El primero, la facilidad para ejecutar los ataques: tienen un bajísimo coste para los atacantes, se pueden realizar desde cualquier punto del planeta y su impacto puede ser altísimo. El segundo motivo radica en que las empresas que gestionan estos servicios, la mayoría privadas, han superado su recelo inicial ante el posible coste reputacional y comunican los incidentes a las autoridades.

«Los ataques con muy baja probabilidad pero un alto impacto son los que más nos preocupan» , reconoce José Ignacio Carabias, jefe de operaciones del Centro Nacional de Protección de las Infraestructuras Críticas (Cnpic), creado en 2007 y dependiente de la Secretaría de Estado de Seguridad. Carabias se refiere a escenarios como el del «cero eléctrico», un hipotético apagón nacional en el que todo dejara de funcionar. O ataques no tan improbables como el que vivió Ucrania el pasado invierno, cuando hackers rusos introdujeron un malware (software malicioso) con el que dejaron sin suministro energético a más de 600.000 hogares.

En España hay doce sectores estratégicos. Los que presentan una mayor incidencia en ciberataques son los referidos a la energía y el transporte. El coordinador antiterrorista de la UE, Gilles de Kerchove, alertó la semana pasada del riesgo de que los yihadistas puedan cometer ciberataques contra centrales nucleares . «No creo que sea ya un realidad, pero no me extrañaría que antes de cinco años haya tentativas», dijo. Por ahora, no todos los ataques son perpetrados por terroristas. «Puede realizarlos desde un adolescente hasta un grupo de hackers», reconoce Carabias. China y Rusia son los principales lugares de procedencia de los ciberataques.

Tampoco todos los sectores presentan el mismo nivel de fortaleza virtual. Hasta hace pocos años, su seguridad dependía solo de las propias empresas, lo que ha hecho que algunas estén especialmente maduras, como las integradas en el sector financiero: saben que hoy es más probable que un ladrón robe millones de euros desde un ordenador que entrando físicamente en su sucursal. De hecho, en febrero un grupo de hackers robó 81 millones de dólares al Banco Central de Bangladesh. Estuvieron a punto de transformarse en 810 millones, de no haber sido por una errata en la transferencia.

El primer Plan Nacional de Protección de las Infraestructuras Críticas se lanzó en 2007 y en febrero se aprobó su última actualización. El actual Sistema de Protección, en fase de implantación, identifica más de 300 infraestructuras esenciales gestionadas por 93 empresas , los llamados «operadores críticos». También se han elaborado Planes Estratégicos Sectoriales y Planes de Protección Específicos y está previsto aprobar este año más de 140 Planes de Protección para infraestructuras concretas. En ellos se integran actuaciones tanto en su dimensión virtual como física , y colaboran los operadores críticos y las Fuerzas y Cuerpos de Seguridad del Estado. Desde este año, además, se ha vinculado el nivel de alerta antiterrorista con el de alerta en infraestructuras críticas.