A lo largo de esta semana, el el Mando Conjunto de Ciberdefensa (MCCD) está celebrando en Madrid las Jornadas de Ciberdefensa 2016 "Operaciones Militares en el Ciberespacio". Una de las ponentes que han pasado por el atril de este evento ha sido Virginia Aguilar, responsable del Centro de Coordinacion del NCIRC (Computer Incident Response Capability) de la OTAN, que es el organismo máximo de seguridad cibernético de este Alianza.

Durante su exposición, si algo se ha evidenciado es que no se está haciendo lo suficiente para proteger las redes informáticas. Aguilar no duda en afirmar que "los ciberataques vas a ser más sofísticados y con más capacidad para hacer un daño mayor". Sin embargo y a pesar de esta contundencia en la afirmación, la experta lamenta admitir que "me da un poco de penar decir que hoy por hoy ni siquiera les hace falta ser tan sofisticados porque estoy cansada de ver ataques o de leer informes en donde se está utilizando  el mismo exploit CVE-2012-0158 [brecha de seguridad] y, si lo están utilizando es que todavía está siendo efectivo".

Aguilar se pregunta así "¿cómo estamos gestionando el parcheado [actualizaciones de seguridad] de nuestras máquinas? ¿cómo estamos monitorizando la seguridad en nuestras redes?" Y su respuesta es tajante: "Nos falta mucho que aprender y ni siquiera nuestros adversarios han tenido que llegar a enseñarnos lo mejor que pueden hacer, porque las cosas fáciles siguen funcionando".

El mejor ejemplo lo podemos encontrar en el apagón eléctrico que sufrió Ucrania el pasado mes de diciembre por espacio de dos semanas. Aguilar explica que "lo que sucedió realmente es que un malware meses atrás comprometió las redes de la central eléctrica". En realidad, desde un ordenador se accedió directamente a los sistemas SCADA para desconectar la electricidad.

Un ataque que, en palabras de Aguilar, "fue muy sencillo" y cuestiona si "nadie pensó en esa central eléctrica que estaban dando acceso directo desde Internet al control de los sistemas SCADA". Su conclusión es que "probablemente no; eso lo estamos viendo en muchos casos. Estamos poniendo servicios que no llevan la seguridad intrínseca".

Lo más inquietante es que la responsable del Centro de Coordinacion del NCIRC de la OTAN revela que "hubo un informe del CERT (Equipo de Respuesta ante Emergencias Informáticas) de EEUU en el que se decía que el 70% de las infraestructuras críticas del país habrían sido vulnerables a ese tipo de ataques". Así las cosas, añade "si esto lo está diciendo el CERT de EEUU, imaginemos cómo puede estar la situación en otros países".

De cara a posibles soluciones, una de las primeras que surgen es aprender de los errores del pasado y la OTAN es un buen ejemplo de torpezas en materia de ciberseguridad. De hecho, si fue en la Cumbre de Praga (2002) cuando se creó el NCIRC desde el que se monitorizaba el 40% de las redes informáticas de la OTAN, no fue hasta 2010, tras la cubre de Lisboa, cuando desde este ente situado en Bélgica se cubrió el 100%.

Entremedias, más fiascos, como que tras una oleada de ataques informáticos en Estonia en 2007, se concretara en la Cumbre de Bucarest (2008) la primera política de ciberdefensa pero no se acompañara de un plan de acción y de implementación por lo que jamás se puso en marcha. No sería hasta 2011 cuando se corrigieron esos errores.

Por otro lado, la colaboración con la industria informática y de comunicaciones es esencial. A fin de cuentas, según expone Aguilar, "los dispositivos que están protegiendo nuestras redes son de la industria y el ciberespacio está en manos de los ISPs (Proveedores de Servicios de Internet)".

¿Cuál es el problema ahí? Que mucha de la información que maneja la OTAN es clasificada. Y, de nuevo, lanza otra pregunta al aire: "¿estamos sobre-clasificando nuestra información? A lo mejor deberíamos bajar la clasificación, sobre todo de los indicadores de compromiso, para que podamos intercambiar información mucho más fácilmente con la industria, que nos va a poder ayudar, y de gran manera, a entender lo que está sucediendo en nuestras redes".