La aplicación de la criptografía en la protección de infraestructuras críticas, a debate en HOMSEC 2017

Print this pageEmail this to someoneShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInShare on RedditShare on Tumblr

En el área de Protección de Infraestructuras Críticas, el Salón Internacional de Tecnologías de Seguridad Nacional, HOMSEC 2017, abordó en una mesa redonda la aplicación del uso de la criptografía y resiliencia de redes. El encuentro fue moderado por Miguel Ángel Abad,  jefe de servicios de Ciberseguridad y OCC del CNPIC y convocó a Pilar Jiménez Vales, directora de Operaciones de DF EPICOM, Josep Albors, director de Comunicación de ESET, Arancha Jiménez Martínez, consulting partner y head of cibersecurity de ATOS y David Ramírez Morán, analista principal del Instituto Español de Estudios Estratégicos.

Según Pilar Jiménez Vales, directora de Operaciones de DF EPICOM, “cuando nosotros, expertos en equipos, diseñamos sistemas criptográficos y nos enfrentamos a dar solución a las infraestructuras críticas nos dimos cuenta que teníamos que orientar todo nuestro diseño a un sistema operativo porque infraestructura crítica tiene otros conceptos diferentes a los que necesita Ministerio de Defensa, donde se montan redes clasificadas, dónde se montan salas seguras donde la protección se puede dar a muchos niveles”. Sin embargo, para acceder a una infraestructura crítica en situaciones de acceso remoto, posiblemente “se llegue desde casa a acceder a un servidor corporativo y cambiar cualquier parámetro, utilizando el wi-fi de casa, sin cifrar”.

Por ello, viendo esas características, se ha diseñado un cifrador personal, de bolsillo que se puede montar el de casa, que se puede desplegar fácilmente, que nos puede proteger. ¿Qué aplicaciones tiene? Poder disponer de una red de cifras rápida de despliegue para situaciones puntuales (de emergencia, o para proteger las comunicaciones, para disponer de respaldo en caso de emergencia). Si se es capaz de montar de respaldo para que cuando se caiga el  servicio mantener comunicaciones seguras sin que de nuevo nos vuelvan atacar, o para dar protección a comunicaciones personales.

Existen soluciones criptográficas que se pueden desplegar y, que además están diseñadas por DF EPICOM, que son expertos en diseñar cifras de alta seguridad. Jiménez igualmente destacó cómo afecta la integridad en caso de disponibilidad, que es la característica principal que se debe proteger cuando se habla de protección de infraestructuras críticas en el ámbito de la ciberseguridad.

Por su parte, Josep Albors las infraestructuras críticas es un tema que preocupa a las personas y a veces está incluso justificada. No es el mismo sistema de control de una central nuclear que una de radio/televisión, o un sistema de transporte público… pero todas son infraestructuras críticas. “No es lo mismo, pero la gente tiende a unificar conceptos y a tener mucho miedo cuando escuchan que hay ataques en infraestructuras críticas”, asegura Albors.

“La gente no se da cuenta de un punto importante: que esas infraestructuras críticas, esos sistemas aunque están desactualizados, no están conectados, primero hay que acceder a ellos. Estos sistemas pueden tener diferentes fabricantes, diferente hardware, diferente software, diferentes métodos de acceso, más antiguos más modernos… A partir de ahí, hay muchos sistemas que están conectados y deberían gestionar mejor la seguridad de acceso remoto,  pero no sólo eso sino cuando hablamos de infraestructuras críticas y hablamos de ataques que ha repercutido en prensa son los que han sido dirigidos y ser utilizado medios físicos, como por ejemplo un simple USB”, continúa el director de comunicación de ESSET.

Arancha Jiménez, consulting partner y head of cibersecurity de ATOS, ofreció alguno de los datos actuales en el sector de ciberseguridad en 2016: 529 millones de euros de identidades robadas; 431 millones de variantes de nuevo malware; 1.532 millones de dólares pérdidas por robo o fuga de datos; 110 millones de dólares de costes en solo ataque (IOT).

“No solo hay ataque, sino que también existen soluciones, riesgos, amenazas que afectan a infraestructuras críticas”, continúa Jiménez. Así, desde ATOS trabajan en tres grandes áreas: ciberseguridad fiscal, investigación y desarrollo y emisión crítica de System (trabajan en la seguridad física).

Alguna de las iniciativas y tendencias en clientes entorno ICS son, según la ponente, diseño y despliegue de arquitecturas seguras en modelos de referencia; segmentación y aislamiento de redes; monitorización de seguridad en redes y sistemas; despliegue de herramientas de anomalías; despliegue de soluciones de acceso remoto o redes de control industrial; e integración con SIEM.

Para David Ramírez, analista del Instituto Español de Estudios Estratégicos, “a día de hoy, una infraestructura no conectada es una entelequia”. “En el entorno en el que nos encontramos, en las infraestructuras críticas ya no estamos hablando de un ataque de bajo nivel, donde me estoy dirigiendo el público en general, sino que tengo un interés específico. Cuando tengo interés estoy dispuesto a poner financiación para que lleve a cabo, con lo cual las amenazas a la que me voy a enfrentar no es una vulnerabilidad sino que me enfrento a verdaderos profesionales que tienen sistemas de inversión bastante importante”, afirmaba rotundamente Ramírez.

Establecer las medidas que suponen corregir las vulnerabilidades de estos sistemas, constituyen una amenaza a su vez, porque al fin y al cabo tengo que introducir información a ese sistema. Por lo tanto, hay es donde se va a tener de la seguridad del suministro. Otro problema que se encuentra en el sector es que los mercados se están globalizando y están dando lugar a grandes proveedores de sistemas. Estos grandes proveedores de sistemas les viene bien la normalización. Tener un producto y con ese producto llegar a cuantos más clientes mejor. En este sentido, si se produce una vulnerabilidad, son muchos los clientes los que van a verse afectados. “Otra industria que tenga los mismos sistemas que los que tengo yo, puede hacer vulnerables los míos”, asegura el ponente. Entonces, ¿cuál es la solución antes estos problemas? Actuar como si el sistema ya estuviese comprometido, estableciendo sistemas de motorización, sistemas de IDS, IPS, y ver que está circulando. Otra vía, sería introduciendo diversidad en los sistemas. El cifrado es la principal vía que se está aplicando para defendernos. Se convierte así en una de las tecnologías que dan  la viabilidad de esta interconexión de forma segura.

Para el conferenciante, “hay un claro problema de concienciación”. Todo el mundo quiere colaborar, pero no todo el mundo está dispuesto a abrir las puertas y que todo el mundo conozca nuestra información. Pero la cooperación público privada también tiene ventajas como que con todas esas inversiones que se están haciendo se pueda conseguir las sinergias para que todas esas pequeñas inversiones formen un todo mayor que todas esas partes. El moderador quiso apuntar que en 2013 se aprobó una estrategia de ciberseguridad y a raíz de eso existe un consejo que trabaja en desarrollar esas dudas que se plantea en ese sector.