Tras el masivo ataque informático sufrido en los últimos días, que ha afectado a numerosas empresas de Internet americanas, veo un cierto alivio en determinadas personas del sector en España, que resoplan pensando algo así como «menos mal que esto no pasa aquí». Angelitos. Que las cosas se oculten no quiere decir que no ocurran.
En España existen algunas (pocas) empresas de seguridad que pueden dar este tipo de servicios con medios adecuados. Yo destacaría S2 Grupo, S21sec y, en menor medida Eleven Paths. Tienen interesantes centros de datos y cientos de empleados formados, y de ellas dependen los sistemas de la mayor parte de los bancos, las empresas energéticas, las líneas aéreas y de todo tipo de grandes corporaciones nacionales que podríamos calificar como sistémicas —y que, por lo tanto, reciben ciberataques de delincuentes comunes, de otras empresas y, también, diariamente, de agencias de otros países.
Una de esas empresas, S21sec, pasó en 2014 una situación económica complicada, y tuvo que acudir a una ampliación de capital para poder continuar con sus actividades. Pese a la importancia geoestratégica de la empresa, no fueron inversores institucionales, ni tan siquiera españoles los que acudieron a ella sino una empresa portuguesa, Sonae. ¡Bravo, chicos!
Tras ello, la mayoría de las acciones de S21sec pasó a manos portuguesas por un par de millones de euros. Eso sería impensable en otros países occidentales, que no hubieran permitido jamás que una empresa de otro país tomara control, ni tan siquiera una mínima participación, en empresas clave para la defensa electrónica. De hecho, como país, España tenía decenas de opciones para evitar que esto ocurriera, desde el Instituto de Crédito Oficial (ICO) hasta la Sociedad Estatal de Participaciones Industriales (SEPI), desde contratos públicos hasta proyectos para ministerios. Sea como fuere, hoy, algunas de las principales compañías del Ibex 35 están protegidas por una empresa, muy eficiente por otro lado, pero de capital mayoritariamente portugués.
Por supuesto no sólo hay que cuidar estas empresas, ni proteger únicamente los sistemas informáticos. Además hay que proteger físicamente los centros de datos donde se almacena toda la información y se encuentran todos los servidores.
Uno de los centros críticos en cuanto a infraestructura tecnológica está en la granja de servidores que Telvent, hoy filial de Schneider Electric, posee en Madrid. Por la tipología de sus clientes y la información que allí se utiliza, ese es uno de los centros clave a proteger en España. Me consta que el edificio tiene unos protocolos de seguridad que, en mi opinión, son demasiado estrictos, pero que, como instalación crítica, resultan a todas luces insuficientes. Durante años una de mis empresas tuvo racks de servidores allí, y tuve que acudir en no pocas ocasiones al edificio. Verlo es un espectáculo, pero los protocolos de seguridad para introducir material o, simplemente, para entrar en el edificio, al menos para mí, que no trabajaba con secretos nucleares, eran poco operativos y, con perdón, un auténtico coñazo. Ahora bien, aunque no andábamos por allí como Pedro por su casa, una vez que entrabamos en el edificio el control que había sobre nuestras actividades tampoco era en aquella época desmedido. Dejémoslo en que cualquier cliente podría acceder a cosas que no debe ni le incumben, pero bueno.
Hay que proteger también FISICAMENTE los centros de datos donde se encuentran los servidores
Si la seguridad de los datos, del centro y de los servidores, por la información que se maneja, es crítica, debería serlo también la de los alrededores del edificio. Y esa parte debería estar en manos de las fuerzas de seguridad del Estado. Jamás vi un coche de policía en la puerta —igual hacen rondas de vez en cuando, pero, desde luego, no están allí. Lejos de estar aislado y con un razonable perímetro de seguridad, el edificio de Telvent (hoy llamado Itconic) en Alcobendas está en un pobladísimo polígono industrial. Puedes aparcar prácticamente en la puerta. Eso lo hace blanco fácil para muchas cosas.
De hecho, aunque no haya trascendido hasta hoy, ya lo ha sido. Hace algún tiempo, un empleado de una empresa cercana llamó alarmado al Centro Nacional de Inteligencia (CNI) y a la policía. Habían detectado una furgoneta blanca sin ventanas que llevaba aparcada varios días en la puerta del edificio. En ella se observaba un intenso uso de aparataje electrónico y varias personas de origen asiático que entraban y salían de la misma cada equis horas. En ocasiones, había actividad las veinticuatro horas del día.
Los chinos habían entrado hasta la cocina de uno de nuestros más importantes datacenters, habían hecho lo que habían querido…
Llegar por la carretera de Burgos con coches de policía atronando con sus sirenas en dirección al edificio no suele ser la manera de resolver estas situaciones. Al ser alertados de la llegada de la policía, los ocupantes de la furgoneta arrancaron y se fueron, y nadie jamás les identificó, ni se supo qué había dentro de esa furgoneta. Aún hoy, hasta donde yo sé, no existe un perímetro de seguridad frente al edificio.
¿Qué pudo pasar? Esa furgoneta, más que posiblemente, estaba interceptando las comunicaciones de las redes internas de Telvent y del edificio. Posiblemente había estado robando y recabando datos para luego ser analizados. Y lo habían hecho con una facilidad pasmosa. Si habían logrado comprometer los sistemas, y si habían hecho un buen trabajo, posiblemente no tuvieran que volver por allí físicamente jamás, y habrían instalado dentro de sus objetivos lo necesario para operar en remoto.
Meses después, Schneider, la matriz de Telvent, tuvo que responder ante la evidencia. En Canadá se descubrió que sus sistemas en ese país, y también en España y Estados Unidos, habían sido comprometidos y atacados por hackers chinos. Habían entrado en sus sistemas e instalado malware. La preocupación sobre las infraestructuras críticas fue mayúscula. Telvent reconoció el incidente por medio de su filial en Canadá que envío cartas a sus clientes y reconociendo que habían sido igualmente vulnerados en Estados Unidos y España.
Habían atacado los sistemas SCADA de Telvent, utilizados por empresas e instalaciones críticas: compañías eléctricas, petroleras, de transportes y de aguas en los citados países.
Los medios utilizados, la capacidad de movilizar equipos de manera física en estos países para sus operaciones y el objetivo del ataque hacen pensar en una operación de inteligencia china para el robo de propiedad industrial y análisis de la información sobre los sistemas de estos países. En caso de un ciberataque, por ejemplo, y como veremos más adelante, uno de los objetivos básicos es la energía, pues «apagar» un país o una ciudad es una enorme ventaja competitiva.
Los chinos, como Pedro por su casa, habían entrado en sus sistemas e instalado malware. La preocupación sobre las infraestructuras críticas fue mayúscula.
Los responsables de Telvent poco lograron decir: «Telvent es consciente de un fallo de seguridad de su red corporativa que ha afectado a algunos archivos de clientes. Estos han sido informados y están tomando las medidas recomendadas, con el apoyo de nuestros equipos. Telvent está trabajando activamente con la policía, los especialistas en seguridad y sus clientes afectados para garantizar que la brecha se ha contenido».
Vamos, que bla, bla, bla… Los chinos habían entrado hasta la cocina y se habían hecho con todo lo que habían querido. Estas situaciones deberían ser suficientes como para que, en los centros de datos donde concurren y se protegen instalaciones críticas, la seguridad se tome mucho más en serio, así como para que hubiera una desbandada de clientes institucionales si esto no fuera así en algún datacenter. No sé cómo se habría manejado todo aquello en Estados Unidos o en Canadá, pero en España nos habíamos dado cuenta de que «algo se cocía» y, lamentablemente, ni la policía ni el Centro Nacional de Inteligencia (CNI) controlaron la situación.
En España la ley no obligA aun a empresas a comunicar, como si pasa en Estados Unidos, sus incidentes de seguridad informática, lo que únicamente garantiza que no nos enteramos de nada
Tras el incidente de la furgoneta, tampoco llego a comprender cómo no se revisaron los sistemas en España y cómo no se identificó que estaban comprometidos. Tuvimos que esperar a la voz de alarma canadiense tiempo después. A día de hoy nadie sabe que esto ha sucedido. Cosas como estas ocurren en nuestro país semana a semana, sin control ni trascendencia social. En fin…
Por cierto, resulta curioso que el tema jamás se comentara ni publicara en España, y que se descubriera meses después en Canadá, desde donde se hizo público. ¿No nos enteramos, o tenemos la malsana costumbre de ocultarlo?