Hackers: ¿pueden causar un desastre nuclear?

¿Pueden los hackers provocar una catástrofe nuclear? Esta sencilla pregunta es un tema tabú para los grandes organismos que velan por nuestra seguridad, como el Centro de Seguridad Nuclear (CSN) o el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). En ambos, la respuesta que han proporcionado a Ateneadigital.es ha sido la misma: "se trata de un tema delicado sobre el que no vamos a pronunciarnos. No es necesario causar alarma social".

La protección de infraestructuras como las centrales nucleares o los sistemas de control de los lanzadores de misiles con cabeza nuclear, en países como EEUU, Francia e Inglaterra, es uno de los aspectos en los que más medios se invierten, ya que las consecuencias de un hipotético ataque podrían ser devastadoras. Y, aunque sea de forma muy remota y por muchas medidas que se tomen el riesgo existe como aseguran los expertos en privado.

Precisamente esta amenaza, entre otras muchas, ha llevado a países como el Reino Unido a anunciar la creación de su primer ciberejército para mejorar su Seguridad Nacional. Se trata de una nueva fuerza a la que el Gobierno destinará un presupuesto inicial de más de 900 millones de dólares, según ha explicado recientemente el secretario de Defensa, Philip Hammond. "Los hackers no pueden hacerse con el control de los misiles nucleares pero sí pueden hacer un daño devastador a las infraestructuras críticas del país", ha explicado el presidente del Instituto de Investigación de la Seguridad Cibernética, Peter Warren, al diario digital Rusia Today.

El tema no deja indiferente a ningún experto en seguridad. Sólo en Estados Unidos, hay 65 centrales nucleares con 104 reactores en los que de forma puntual se han vivido incidentes, siempre 'físicos', aunque ninguno de importancia y menos de origen cibernético.
La razón es que se trata, con probabilidad, del sector que más medidas de seguridad de todo tipo ha adoptado comenzando por su inaccesibilidad desde cualquier red externa. A pesar de ello, cada año se conoce, al menor, un ciberataque contra una infraestructura considerada de máxima seguridad.

Uno de los últimos de los que se tiene constancia se ha produjo, en agosto de 2012, contra la compañía estatal de Arabia Saudí, Aramco, una de las petroleras más grandes del mundo, en el que resultaron infectados 30.000 de sus ordenadores considerados ciberseguros. La cuestión es bastante sencilla: crear ciberarmas resulta mucho más fácil y barato que desarrollar las defensas necesarias para hacerlas frente.

En España todos los esfuerzos que se acometen para proteger, por ejemplo, las centrales nucleares se llevan en el máximo secreto. Pero no es un tema que pase inadvertido. A mediados de este mismo año el Congreso de los Diputados requirió al Consejo de Seguridad Nuclear información sobre las medidas adoptadas para evitar un "11-S" en dichas instalaciones. De esta forma, se pidieron datos sobre sus "sistemas de control del espacio aéreo" y de lo que pueda ocurrir en sus proximidades".

Además, el Instituto Nacional de Tecnologías de la Comunicación (Inteco) considera el sector nuclear uno de los prioritarios para tener aprobado, como tarde en 2014, un plan sectorial específico que permita prever cualquier ciberataque y tomar lo antes posible las medidas oportunas.

La alerta ha llegado a tal punto que multinacionales de seguridad como Symantec o Kaspersky han desarrollado sistemas de protección específicos para infraestructuras críticas. En el caso de la segunda, la compañía ya dio a conocer a finales de 2012 que trabaja en un sistema operativo de máxima seguridad para las redes informáticas utilizadas en infraestructuras como centrales nucleares.

En los últimos cuatro años, el número de amenazas cibernéticas se ha multiplicado de manera exponencial. Además, también ha variado su naturaleza pasando de ser ataques convencionales a otros muy sofisticados, persistentes y con objetivos muy concretos dando lugar a las llamadas Amenazas Persistentes y Avanzadas (APT), como la que supuso el mencionado virus Stuxnet en la central nuclear iraní que consiguió inutilizar sus sistemas y retrotraer su tecnología a su estado varios años atrás. El virus, introducido, al parecer, por un USB, confirmó que ninguna infraestructura está a salvo de ciberataques, incluso no esté conectada a Internet.

En Europa, la Comisión Europea, con fondos de la dirección General de Interior, ha puesto en marcha el proyecto llamado Scada Lab (Supervisory Control and Data Acquisition Lab). Se trata de un programa en el que participan Italia, Reino Unido, Hungría y España y que tiene como objetivo desarrollar un laboratorio que permita realizar simulaciones de posibles ciberataques contra Infraestructuras Críticas. Para evaluarlo utilizará la arquitectura de los sistemas informáticos Scada, que son los empleados para el control de instalaciones industriales complejas como oleoductos, plataformas petrolíferas, centrales eléctricas y, por supuesto, centrales nucleares. Un sistema que hasta ahora, se consideraba seguro. pero que ha comenzado a mostrarse muy vulnerable debido a su conexión con sistemas informáticos convencionales para abaratar costes, sin olvidar el factor humano al que todos los expertos consideran el gran talón de Aquiles de la ciberseguridad, como ha demostrado el caso Snowden.

España participa en el Scada Lab representada por el Inteco, líder del proyecto, junto con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el Ministerio del Interior la Asociación Empresarial Innovadora para la Seguridad de las Redes y los Sistemas de Información, y la compañía Telvent.

El gran debate de los analistas en Seguridad y Defensa es si los estados podrían responder con armamento convencional en caso de un ataque cibernético que pusiera en peligro su integridad nacional. Una pregunta a la que responde en el manual redactado por el 'laboratorio de ideas' de la OTAN, el instituto de Tallín, que considera que en estos casos 'sería aceptable'.