S2 Grupo, empresa española especializada en ciberseguridad, acaba de publicar su 3º Informe Técnico sobre Protección de Infraestructuras Críticas, que se centra en el análisis de la información disponible en Internet sobre las infraestructuras críticas del sector industrial español, especialmente en lo referente a sus instalaciones, procesos, sistemas de control, procedimientos de operación y organización y gestión de la seguridad.
Según el informe, la existencia de información sensible y de libre acceso en la Red hace que resulte sencillo sabotear determinadas infraestructuras críticas, especialmente en sectores como Alimentación, Industria Química, Tratamiento y Distribución de Agua y Administración Pública, con graves consecuencias tanto para la estabilidad de cada organización como para la población en general. Por el contrario, los sectores Sanitario y Aeroespacial aparecen en este informe como los más precavidos a la hora de controlar la publicación de sus datos en Internet.
Contra lo que podría parecer en un primer momento, cualquier persona puede encontrar fácilmente información sensible sobre determinadas infraestructuras. Así, en el análisis llevado a cabo, S2 Grupo ha descubierto estos datos publicados en proyectos de fin de carrera y tesis doctorales, pliegos de concursos públicos, artículos en revistas especializadas y casos de éxito.
Según S2 Grupo, ciertas universidades se han constituido en auténticos repositorios de información técnica muy específica aunque, en general, prácticamente todos los actores que participan en la vida de una infraestructura crítica terminan, por distintas razones, elaborando y publicando en Internet información bastante detallada acerca de sus propias instalaciones, sin ser conscientes de los peligros de esta acción.
Así, en el informe se señala que “se han encontrado varios proyectos de fin de carrera que incluyen una descripción exhaustiva de componentes e instalaciones de una determinada industria química, incluyendo sus sistemas de control. En uno de los proyectos se describe un sistema cuyo mal funcionamiento podría dejar fuera de servicio las instalaciones de esta compañía, ubicada dentro del mayor polo químico de España.”
Sobre una organización del sector alimentario “se han localizado multitud de pliegos. Uno de ellos corresponde al servicio de seguridad física privada, y entre la información facilitada está la descripción del personal que compone los turnos y las tareas que deben realizar (rondas, recorridos…). Se facilita también información sobre el control de acceso al recinto, planos con las instalaciones de detección y extinción de incendios, etc. En el ámbito propiamente de los sistemas de control se ha encontrado un caso de éxito de un proveedor describiendo la renovación del sistema de frío industrial de toda una línea de producto. En este documento se indica el tiempo máximo que puede estar el sistema fuera de servicio sin que los alimentos almacenados se deterioren irreversiblemente.”
El informe de S2 Grupo aporta, además de los mencionados, otros ejemplos reales que afectan a organizaciones de Transporte, Administración Pública y Energía Nuclear. La compañía ya ha puesto estos casos en conocimiento de las entidades y organismos competentes en materia de ciberseguridad.
Los comentarios están cerrados.