Así se protege una central nuclear de un ataque digital en España

central

Secreto de estado. Preguntar por la seguridad tecnológica y cibernética de las centrales nucleares en España es, prácticamente, toparse con un muro.

Las centrales nucleares no contestan como tampoco los Ministerios de Seguridad e Interior (a quien, por ejemplo, nos remitió el Centro Nacional para la Protección de las Infraestructuras Críticas). Las compañías energéticas remiten al Foro Nuclear y éste apenas aporta algo de luz a un tema tan sensible como crítico. Más en un momento en el que la alerta terrorista está marcada en un nivel 4 sobre 5 máximo.

Tampoco desde el INCIBE (Instituto Nacional de Ciberseguridad), del que depende el CERTSI (Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior) han dado respuestas a nuestras preguntas.

Y eso que indagamos semanas antes de que Telefónica y otras compañías se vieran afectadas por un ataque ransomware mundial.

central 2

“Es lógico que no quieran dar información, porque afecta a la seguridad y en estos temas todo el mundo calla”, justifica Eugeni Vives, portavoz de la Sociedad Nuclear Española. “Tus preguntas son contrarias a la seguridad”, ironiza.

¿Se puede ciberatacar una central nuclear?

Si la seguridad completa no existe, ¿se puede atacar una central nuclear de manera digital? “Si se hacen las cosas bien, no debería poderse, o tendría que ser muy difícil”, señala Lorenzo Martínez, experto en seguridad y CEO de Securizame, empresa entre cuyos clientes también se encuentran infraestructuras críticas.

Los sistemas informáticos administrativos y de gestión están separados física y digitalmente de los que se encargan de las operaciones de cada central nuclear.

Para ello, y según explica Vives, las centrales nucleares tienen que tener la red de gestión totalmente independiente de los sistemas de operación. “No tienen ningún contacto, ni físico ni técnico”, por lo que “no existe la posibilidad de que puedas entrar en la parte operativa de una central a través de sistemas informáticos” al no estar conectados.

Esta parte de gestión administrativa sí está conectada a Internet pero según el Foro Nuclear, los sistemas relacionados con la seguridad nuclear se basan en tecnologías analógicas, por lo que, “en el caso del mayor ataque cibernético posible, la planta no vería afectada su integridad, ni se provocarían emisiones nocivas al exterior”.

También hay sistemas de control basados en tecnologías digitales, como PLC y SCADAS, que se encargan de los sistemas de soporte para la operación de la central. Estos sistemas están aislados de las redes de gestión y solo pueden enviar datos informativos al exterior.

central 3

La conexión a Internet es escasa y limitada

Además de esta separación entre los sistemas de gestión y de operación, existen otras medidas adicionales en relación a la conexión a Internet. Así, por ejemplo en la mayoría de plantas se “restringe el uso de conectividad Wi-Fi y se exige a suministradores y empresas externas el cumplimiento de controles y medidas de seguridad digitales que limiten el grado de exposición de los activos de una central nuclear a posibles ataques dirigidos”, detalla el Foro Nuclear.

En 2015 hubo en España 130 ataques a infraestructuras críticas, 5 de ellos a nucleares.

En la parte en la que estas centrales se conectan a Internet, y al ser infraestructuras críticas, las nucleares reciben el apoyo del gobierno para su seguridad. El CERT del Incibe y el del Centro Criptológico Nacional, que pertenece al CNI, les dan este soporte.

Se trata del CERT de Seguridad e Industria (CERTSI_), o la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Industria, Energía y Turismo y del Ministerio del Interior y organismo competente en la prevención, mitigación y respuesta ante incidentes cibernéticos, tanto para las empresas como ciudadanos y operadores de infraestructuras críticas.

Además, desde la aplicación de la Ley 8/2011, los operadores de infraestructuras críticas, públicos o privados, tienen en el CERTSI_ su punto de referencia para la resolución técnica de incidentes de ciberseguridad que puedan afectar a la prestación de los servicios esenciales.

central4

“Se les da la oportunidad de que utilicen sondas de detección de intrusos, con soporte para la instalación y el afinamiento de los eventos detectados”, explica Lorenzo Martínez.

Es decir, utilizan una sonda personalizada para cada infraestructura crítica. “Esta sonda suele estar basada en software libre y tiene ciertas reglas que van publicando y desplegando periódicamente. A partir de ahí, los CERT ayudan en la monitorización y, si se detecta un movimiento sospechoso, se comunican con la infraestructura crítica o quien lo esté gestionando para alertar de este posible incidente de seguridad”, detalla este experto en seguridad.

130 incidentes en un año, 5 en nucleares

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano del Ministerio del Interior encargado del impulso, la coordinación y supervisión de todo lo relacionado con la Protección de Infraestructuras Críticas en el territorio nacional.

La seguridad operativa de las centrales se basa en tecnologías analógicas.

Este organismo tuvo que gestionar, según los datos facilitados por el Ministerio del Interior, 63 incidentes “de alto nivel” contra las infraestructuras críticas durante los 10 primeros meses de 2015. Entre ellos, el más importante fue una “delicada amenaza de seguridad en el sector energético” que, de haberse producido, podría haber afectado a un servicio esencial consumido en miles de hogares y empresas españolas, con sus correspondientes pérdidas económicas, según este mismo informe.

Al acabar 2015, el número de incidentes gestionados en las Infraestructuras Críticas (IICC) fue de 130, el 0,35% del total en Industria nuclear (es decir, 5 incidentes, uno más que en 2014).

central5

La Sociedad Nuclear no tiene constancia de los ataques. “Conocemos el concepto básico pero, al no ser operadores, no tenemos estos datos y tampoco si hay más intentos de ataques físicos que digitales”, detalla Vives, quien remarca que los sistemas informáticos que tienen “actuación sobre la generación de la nuclear no tienen relación con otros sistemas”.

Todo atado desde el punto de vista normativo

La seguridad digital de las centrales nucleares, como la del resto de infraestructuras críticas, está regulada tanto a nivel europeo como local.

Fue en 2008 cuando la Unión Europea aprobó la Directiva 2008/114/CE para la identificación y la designación de las Infraestructuras Críticas Europeas (ICE), y propone un planteamiento para la mejora de su protección.

Se entiende por Infraestructura crítica un elemento o sistema esencial para el mantenimiento de las funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar económico o social de la población.

central6

Las centrales nucleares son una de estas infraestructuras críticas, junto con otra áreas del sector eléctrico, sanitario, financiero, el agua, las propias TIC (Tecnologías de la Información), transporte, administración o espacio.

El texto europeo que tiene su réplica española en el Real Decreto 704/2011, y con él se establece el diseño de la estrategia para prevenir y proteger las infraestructuras críticas de las amenazas que tienen su origen y aplicación a través de las tecnologías de la comunicación.

Quién es quién en la seguridad cibernética nacional

Además del El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y del CERTSI_, la Oficina de Coordinación Cibernética (OCC) es el órgano técnico de coordinación del Ministerio del Interior en materia de ciberseguridad. Se encarga de los incidentes de seguridad informática relacionados con potenciales amenazas provenientes de grupos criminales organizados, terroristas y ciberdelincuentes que pretenden vulnerar cada día los sistemas de información.

El CNPIC es el encargado de establecer el nivel de alerta terrorista y de poner en marcha diversas iniciativas y proyectos, como las métricas de Ciberresilencia o ICARO, (servicio de compartición de información sobre ciberamenazas).

 

Noticia extraida de https://www.xataka.com/seguridad/asi-se-protege-una-central-nuclear-de-un-ataque-digital-en-espana

Qué es un HASH y para que sirve

Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos).

hash-1024x572

Estas funciones no tienen el mismo propósito que la criptografía simétrica y asimétrica, tiene varios cometidos, entre ellos está asegurar que no se ha modificado un archivo en una transmisión, hacer ilegible una contraseña o firmar digitalmente un documento.

Este sistema de criptografía usa algoritmos que aseguran que con la respuesta (o hash) nunca se podrá saber cuales han sido los datos insertados, lo que indica que es una función unidireccional. Sabiendo que se puede generar cualquier resumen a partir de cualquier dato nos podemos preguntar si se podrían repetir estos resúmenes (hash) y la respuesta es que teóricamente si, podría haber colisiones, ya que no es fácil tener una función hash perfecta (que consiga que no se repita la respuesta), pero esto no supone un problema, ya que si se consiguieran (con un buen algoritmo) dos hash iguales los contenidos serían totalmente distintos.

Latch

Latch te permite implementar un pestillo de seguridad en tus servicios online. De esta manera, podrás bloquear temporalmente funcionalidades del servicio como el mecanismo de inicio de sesión, los pagos con tarjeta de crédito, el acceso a correo electrónico, etc.

2016-11-07-18_50_16

Además, el sistema de alerta de Latch te permite identificar, en tiempo real, comportamientos sospechosos en las cuentas de tus usuarios.

Algunas funciones:

  • Controla la fase de autenticación del servicio para que tus usuarios puedan bloquear o desbloquear el acceso al servicio.
  • Habilita bloqueos en distintas operaciones de servicio tales como tarjetas de crédito, transferencias bancarias, cambios de configuración, etc.
  • Ofrece un segundo factor de autenticación basado en una contraseña de un solo uso como función de seguridad opcional u obligatoria para tus usuarios.

 

Clic aquí para más información sobre Latch en su web.

Seguridad informática activa y pasiva

Estas medidas de seguridad se suelen implantar en salas con servidores que tienen que estar funcionales las 24 horas todos los días del año, estos sitios son los CPD (centros de procesos de datos) que tienen grandes empresas como Google, Facebook, Amazon, algunos bancos, y etc. Algunas de estas medidas de seguridad las podemos tener nosotros en nuestros equipos.

Seguridad Activa : Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema. Ejemplos: impedir el acceso a la información a usuarios no autorizados mediante introducción de nombres de usuario y contraseñas; evitar la entrada de virus instalando antivirus; impedir, mediante encriptación de datos, la lectura no autorizada de mensajes, el uso de software de seguridad informática.

Seguridad Pasiva : Está formada por las medidas que se implantan para, una vez producido el incidente de seguridad, minimizar su repercusión y facilitar la recuperación del sistema. Ejemplo: teniendo siempre al día copias de seguridad de los datos, el uso apropiado de Hardware.

si.jpg

Ejemplo de una contraseña segura

Siempre hay riesgo de que alguien intente acceder a tu ordenador, móvil, correo electrónico, red social, etc. Ese alguien sea un hacker u otra persona, organización o lo que sea puede llegar a tener algún programa, aplicación o método que intente descifrarla, por eso debemos hacerla lo más difícil posible añadiendo: mayúsculas, minúsculas, números, y caracteres especiales (@,!,etc). Ejemplo:

CONTRASEÑASEGURAHOTMAIL-copia.jpg

Tampoco se aconseja utilizar tu propio nombre u otros datos personales como fecha de nacimiento que ayuden a facilitar y descifrar tus claves.

Un ejemplo del tiempo que puede llevar descifrar una contraseña:

tiempo-necesario-decodificar-hackear-contrasena.jpeg

VirusTotal, detección de URLs y ficheros maliciosos

Hay veces en las que intentan engañarnos enviándonos correos haciéndose pasar por el banco, compañías eléctricas y otras muchas empresas.

imagen_post_falsa_factura_movistar

Estos correos pueden traer  ficheros adjuntos, una buena forma de saber si estos ficheros son realmente maliciosos es insertándolos en VirusTotal.com

virustotal.png

Creada por la empresa de seguridad española Hispasec Sistemas, esta página fue comprada por Google y no solo analiza ficheros, también URLs, analiza con diferentes antivirus y da una respuesta basada en los análisis de cada uno. También se puede ver el resultado de cada antivirus e incluso tú mismo puedes votar como malicioso o inofensivo.

2016-10-03 19_49_43-Scan report for http___www.google.es_ at 2016-10-03 17_40_57 UTC - VirusTotal.png