Investigación

Alarma: nueve ciberataques en dos años a nucleares españolas

El Gobierno no ha informado de este tipo de incidentes. Según el Organismo Internacional de Energía Atómica, los ciberataques ya han generado serios problemas en Alemania, Japón o Corea del Sur.

Ilustración de un hombre tecleando sobre un código binario.

Ilustración de un hombre tecleando sobre un código binario. Reuters

El pasado 13 de mayo, uno de los empleados contratados para hacer un ronda de vigilancia contra incendios en la central nuclear de Santa María de Garoña superó en tres minutos el tiempo máximo establecido para hacer su recorrido. Como establecen las estrictas normas de transparencia y seguridad de las centrales, el Consejo de Seguridad Nuclear fue notificado del suceso e informó al respecto del mismo.

Paradójicamente, si la central burgalesa hubiese sufrido un ciberataque, los ciudadanos probablemente seguiríamos sin saberlo. Hasta ahora, sólo sabemos que las centrales españolas han sido atacadas nueve veces en 2014 y 2015, pero desconocemos cuáles eran y, lo más importante, si los ataques fueron exitosos.

Un problema global

Esta semana, Yukiya Amano, director general del Organismo Internacional de Energía Atómica (OIEA) de Naciones Unidas, reveló en una visita a Berlín que "hace dos o tres años" una central nuclear había sufrido un ciberataque disruptivo, es decir, serio pero que no llegó a comprometer la seguridad de la central. Según Amano, era la primera vez que el asunto se aireaba públicamente.

Se ha dado por hecho que el diplomático japonés se refería a Gundremmingen, la instalación bávara que produce más energía que ninguna otra central en Alemania y en la que en marzo de este año se detectó un virus informático o malware, que podría proceder del USB de un empleado de la central.

Yukiya Amano, director general del OIEA.

Yukiya Amano, director general del OIEA. Flickr

Sin embargo, desde la OIEA aclaran que "el director general Amano no especificó ningún país en concreto", según ha dicho a EL ESPAÑOL Jeffrey Donovan, director de comunicación de este órgano de Naciones Unidas.

Otros ciber-ataques recientes a nucleares que han sido confirmados y podrían encajar con las declaraciones de Amano son los de la central japonesa de Monju, o el de la planta de Wolseong, en Corea del Sur. La incertidumbre al respecto se debe, principalmente, a la opacidad que rodea a este tipo de incidentes.

¿Está ayudando la OIEA a los países?

Amano indicó en Berlín que, desde 2010, su organización está ayudando a los estados a fortalecer sus instalaciones nucleares contra el peligro de un ataque informático. Donovan nos indica también que el asunto ocupará un lugar prominente en la "importante conferencia internacional sobre seguridad nuclear que la OIEA celebrará en diciembre".

Sin embargo, las evidencias muestran que, al menos en nuestro país, la ciberseguridad nuclear tiene mucho trabajo por delante. Fuentes del Consejo de Seguridad Nuclear nos remiten a un documento del OIEA con recomendaciones para proteger las instalaciones. De las 76 páginas del texto, apenas hay dos referencias a la ciber-seguridad.

Artículo

4.10

Los sistemas informáticos utilizados para la protección física, la seguridad nuclear, y la contabilidad y control del material nuclear deben estar protegidos contra el riesgo (de por ejemplo, ataques cibernéticos, manipulación o falsificación), en consonancia con la evaluación de la amenaza o el riesgo basado en el diseño.

5.19

Los sistemas informáticos utilizados para la protección física, la seguridad nuclear, y la contabilidad y control del material nuclear deben estar protegidos contra el riesgo (de por ejemplo, ataques cibernéticos, manipulación o falsificación), en consonancia con la evaluación de la amenaza o el riesgo basado en el diseño.

En efecto, se trata del mismo artículo repetido y es todo lo que las centrales españolas tienen del OIEA para defenderse de los ciber-ataques.

Quizá por ello, hace un año, Chatham House, uno de los think tank más importantes del mundo, elaboró un informe sobre amenazas informáticas a instalaciones nucleares cuyo primer hallazgo fue que "lo infrecuente de la divulgación de incidentes de ciber-seguridad en centrales nucleares hace difícil evaluar la verdadera magnitud del problema y puede llevar a pensar a los miembros de la industria nuclear que hay pocos incidentes".

Fuentes del CSN explican que, en realidad, la responsabilidad sobre este asunto no les compete a ellos sino al Consejo Nacional de Ciberseguridad, un organismo adscrito al Ministerio de Presidencia y controlado por el general Félix Sanz Roldán, director del CNI. Además, también interviene en el asunto el Centro Nacional para la Protección de Infraestructuras Críticas o CNPIC.

Nueve ciberataques

Vamos al grano. Según el Estudio sobre la Cibercriminalidad en España que publica cada año el Ministerio del Interior, las nucleares han sido atacadas cuatro veces en 2014 y en cinco ocasiones en 2015.

Incidentes de cibercriminalidad gestionados en 2014 (izq) y 2015 (der).

Incidentes de cibercriminalidad gestionados en 2014 (izq) y 2015 (der).

Además, sabemos que el año pasado una empresa del sector nuclear firmó con el CNPIC un acuerdo de confidencialidad.

Acuerdos de confidencialidad firmados en 2014 y 2015.

Acuerdos de confidencialidad firmados en 2014 y 2015.

Desde el CSN explican que "en caso de un pequeño incendio o un retraso en hacer una ronda de vigilancia, estamos obligados a informar del suceso, y si además es un evento relacionado con la protección radiológica, debemos emitir una nota de prensa". Sin embargo, los ciberataques caen aún en un vacío legal, o al menos, la comunicación entre el instituciones no es tan fluida como desearíamos, ya que estas mismas fuentes reconocen no ser conscientes de que hayan existido amenazas a la ciber-seguridad de las centrales españolas en los últimos dos años.

¿Fueron totalmente neutralizados esos nueve ciberataques sufridos por instalaciones nucleares españolas entre 2014 y 2015? A tenor de las nulas consecuencias para las centrales, parece ser que sí, que nuestras fuerzas de seguridad derrotaron a los hackers.

Pero si no lo hubieran logrado... ¿nos habríamos enterado?