Para finalizar nuestra serie sobre seguridad en las eléctricas (véase [1][2]), y dado que como ya adelantamos en nuestro primer post el área que hemos llamado “de empresa” no va a ser objeto de un artículo específico a fin de cuentas, en este caso se comparten casi todos los elementos de seguridad con organizaciones de cualquier otro sector, vamos a hablar hoy del área funcional de control y los aspectos de seguridad más destacables en la misma.
El área de control está formada por una red de centros con un objetivo muy específico: el control como su nombre indica de la calidad de la energía y del tráfico de la misma, en cualquier punto de la cadena, desde las centrales de producción hasta nuestras casas (realmente, no hasta nuestras casas tal cual, pero casi). Aquí, sin duda, los activos más relevantes aparte de las personas, que siempre son lo más importante son por un lado los elementos tecnológicos de control y por otro la información que estos elementos manejan, y por tanto la principal amenaza es el sabotaje, tanto físico (atentados o vandalismo contra los centros de control) como lógico (ataques a los sistemas de control, intrusiones…).
No hay que olvidar que las eléctricas son un sector considerado como Infraestructura Crítica Nacional, y por tanto son un objetivo prioritario no sólo de terroristas, sino también de servicios de inteligencia de países enemigos (o amigos); evidentemente, ningún servicio secreto ejecutaría al menos directamente un ataque terrorista contra los centros de control de la energía eléctrica de un país amigo, ya que en caso de verse descubiertos, el hecho podría tener una gran repercusión internacional, pero en el caso de ataques cibernéticos la cosa cambia: a cualquier país le interesa obtener la información relativa al sector eléctrico de su vecino y, si existiera la posibilidad de, en caso de conflicto, poder tomar el control de los centros, pues mucho mejor, ¿no? Y todo esto sin posibilidad de ser descubiertos, ya que el ataque telemático siempre será remoto, y si alguien nos acusa, bastará con negarlo… evidentemente, algo muy apetecible para todos, y por tanto algo a tener muy encuenta a la hora de hablar de los centros de control del sector eléctrico.
Aunque un ataque de estas características dirigido a nuestros centros de control no parece especialmente probable, ya se han dado casos de “intentonas” similares dirigidas a los Estados Unidos; por ejemplo, aquí tenéis un enlace de una noticia que apareció en el WSJ. Probablemente, para ellos sea una amenaza más de las muchas que sufren, pero siempre algo a tener en cuenta. Muy en cuenta, si consideramos que en USA existe desde hace tiempo un ISAC específico para este sector, el ES-ISAC, encargado del intercambio de información referente a la seguridad del sector (física, lógica…) tanto entre eléctricas como con el gobierno, administraciones locales, grupos de interés, etc.
Como hemos dicho, la amenaza lógica al control eléctrico en España no es algo, de momento, preocupante (o eso dicen). Pero si hablamos con cualquier director, responsable, técnico… de seguridad de una eléctrica, nos puede dar datos acerca del volumen de ciberataques que las empresas del sector sufren a diario, sin consecuencias pero con algo más que intencionalidad, desde países no-amigos (no les llamaremos “enemigos”). Asusta, ¿verdad?
(Fotografía por Pyrenne en Photobucket)