22/07/2024
En los últimos años, la digitalización de la sociedad ha propiciado que el volumen de datos que generamos crezca exponencialmente, hasta el punto de que la Comisión Europea refleja en su Estrategia Europea de Datos un aumento esperado en 2025 del 530%, respecto a 2018, en el volumen total de datos generados, alcanzando los 33 zettabytes. Pero pese a estas cifras tan llamativas, resulta más impactante el hecho de que estos datos se traducen en un valor económico de 829.000 millones de euros.
Pero la digitalización no solo atañe a las redes sociales o a los sistemas domóticos que hemos incorporado a nuestra vida, también en la industria los sistemas de sensorización y automatización han permitido optimizar los procesos y aumentar la fiabilidad de infraestructuras críticas, como es el caso de la red eléctrica. Debido a esto, uno de los campos de investigación y desarrollo con mayor crecimiento en los últimos años ha sido la ciberseguridad.
Según datos recientes del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) de España, en 2023 se registraron más de 50 incidentes de ciberseguridad en el sector energético nacional. Estos ataques han afectado tanto a la propia infraestructura, como a los sistemas de gestión y control, poniendo de relieve la necesidad de medidas preventivas más robustas. El caso más reciente se ha producido el pasado mes de Mayo de 2024, donde un ciberataque a la compañía Iberdrola robó los datos personales de 850.000 clientes en España. A nivel europeo, la Agencia Europea de Ciberseguridad (ENISA) reportó un incremento significativo en los ataques dirigidos a empresas de energía, con un aumento del 40% en incidentes reportados en los últimos dos años, y según el informe Digital Trust Survey 2024 se espera que el crecimiento de las nuevas tecnologías de IA (Inteligencia Artificial) aumenten la amenaza de ciberataques.
Desde la Unión Europea se han generado mecanismo para combatir esta problemática como la directiva NIS (Network and Information Security), implementada en 2018, que establece estándares comunes para la seguridad de las redes y sistemas de información en sectores clave como la energía, transporte, servicios financieros y salud. Además, el Reglamento GDPR (General Data Protection Regulation) refuerza las normativas de protección de datos personales, imponiendo estrictas obligaciones a las organizaciones para asegurar la privacidad de los ciudadanos.
Para complementar estas actuaciones, en 2019 la Unión Europea aprobó la Ley de Ciberseguridad de la UE, la cual refuerza la Agencia de la UE para la ciberseguridad (ENISA) y establece un marco de certificación de la ciberseguridad para productos y servicios. Pese a que aún no es de obligada aplicación obtener una certificación de ciberseguridad de los productos electrónicos que se comercialicen en los estados miembros de la unión, desde Europa se ha fijado como hoja de ruta tomar estas medidas en los próximos años.
Todo este ecosistema digital y la necesidad de nuevas medidas de ciberseguridad han motivado el lanzamiento de proyectos como Heimdal. Con este proyecto, desde el Instituto Tecnológico de la Energía (ITE) buscamos la generación de métodos y herramientas que permitan una detección y valoración del impacto de vulnerabilidad de ciberseguridad en el mundo OT (Operational technology) de los sistemas de sensorización, control y gestión.
Heimdal se centra en dos aspectos clave de la ciberseguridad OT. Por una parte, las vulnerabilidades que presenta el hardware de los sistemas inteligentes, focalizándose en las potenciales amenazas que supondrían una inutilización de funcionalidades clave de los sistemas, que puedan traducirse en daños o situaciones de emergencia en las infraestructuras sobre las que operan, y por otra, en amenazas que persigan la destrucción del sistema.
Para esta valoración ITE propone un análisis de los sistemas desde la electrónica del hardware, detectando los puntos vulnerables, y aplicando metodologías como las métricas CVSS para cuantificar la potencial amenaza en función de aspectos tales como su vector de acceso o una recopilación de casos de sabotaje, como los que recogen las bases de datos de vulnerabilidades de la NVD (National Vulnerability Database) en Estados Unidos. A esta valoración el ITE, además, aporta su conocimiento en la operación y gestión de las infraestructuras críticas, como es el caso de la red eléctrica, considerando el potencial impacto que pueden tener estas amenazas.
El otro aspecto que se aborda en el proyecto Heimdal son las comunicaciones de estos dispositivos, pero desde una perspectiva física. La interceptación de las señales de comunicaciones puede traducirse en robo de información sensible, pero también la inutilización de estas puede significar un perjuicio al detener procesos críticos. Por ello, desde el ITE se analizan métodos para detectar y prevenir capturas de las comunicaciones y ataques “Man in the Middle”, o boicot en la transmisión de las señales.
Complementando a esta última parte, en el proyecto Heimdal se trabaja en el estudio de la amenaza que pueden suponer productos como el Flipper Zero. Este “juguete” tal y como es catalogado en las páginas donde puede adquirirse, es una de las herramientas de hacking más peligrosas de los últimos años debido a su facilidad para adquirirla y su potente versatilidad, permitiendo clonar tarjetas, interferir comunicaciones bluetooth o incluso abrir un vehículo clonando la señal de la llave. Un caso reciente que muestra el potencial de esta herramienta sucedió durante el concierto de Taylor Swift en Madrid el pasado mes de Junio de 2024. Un usuario “armado” con el Flipper Zero interfirió en la señal infrarroja que controlaba las pulseras LED de los asistentes, afectando a la planificación del espectáculo de luces del evento.
Con el objetivo de no solo proporcionar estas metodologías y herramientas a las empresas, sino también de generar un entorno de pruebas controlado y altamente configurable para la realización de estudios de ciberseguridad, en el proyecto Heimdal el ITE ha diseñado un laboratorio de ciberseguridad OT, incorporando al mismo su actual laboratorio de interoperabilidad, obteniendo así un laboratorio a la vanguardia de la tecnología, en el cual, se interconectan infraestructuras como la distribución eléctrica, la telegestión, procesos industriales y sistemas IoT, obteniendo un entorno inteligente de Smart City.