Imagina drones atacando un parque empresarial de Madrid. Imagina una presa hackeada para que abra sus compuertas en plena inundación. Imagina tropas yihadistas escaneando las webs del Banco de España o el Ministerio de Defensa. Algunos de estos escenarios de ciberterrorismo ya se han hecho realidad y otros podrían suceder en cualquier momento.

"Se esperan acciones de alto impacto y efectos impredecibles, se habla del Pearl Harbor digital o de los ciberhuracanes, situaciones extremadamente complicadas", aseguraba Luís Fernando Hernández García, Teniente Coronel del Área Técnica de la Jefatura de Información de la Guardia Civil, en su comparecencia la semana pasada ante la comisión mixta de Seguridad Nacional del Parlamento.

"Cualquier organización puede ser víctima, vivimos en un estado de permanente incertidumbre", explicó Hernández García. Por el momento, la mayoría de acciones conocidas atribuidas a ciberterrorismo se centran en la financiación y reclutamiento, siendo sólo un 5% las acciones realmente ciberterroristas, explicó el teniente coronel, siendo el yihadismo "donde se están haciendo grandes esfuerzos y detectamos patrones preocupantes".

Por suerte, vivimos aún un momento en que el ciberterrorismo "existe en un estado incipiente", dijo Hernández García, quien aseguró temer lo que pueda pasar si se alía con el llamado 'cibercrimen como servicio': "Nos preocupa mucho que las organizaciones terroristas tengan acceso a ese mercado de criminales de alta tecnología".

Hoy por hoy, los responsables de los ataques ciberterroristas son "estados mayoritariamente", denunció el experto, especialmente los estados más poderosos y describió un escenario mundial actual en el que "los ataques de otros países son una realidad constante, hacen pruebas de tanteo para verificar capacidades de hacer daño en infraestructuras esenciales, especialmente sistemas eléctricos".

Diversos expertos en ciberterrorismo nos han trasladado esta inquietud a escenarios concretos que podrían suceder hoy en España, así como la forma de defendernos de ellos:

Escenario 1: Ataque contra un parque empresarial

Simon Roses (https://www.linkedin.com/in/simonroses/), director ejecutivo de VULNEX, imagina un ataque contra un parque empresarial de Madrid que albergue empresas, embajadas e incluso tenga contiguo un hospital, lo que haría al objetivo aún más atractivo.

El enemigo podría "desplegar Puntos de Acceso Wifi maliciosos por todo el parque para infectar con malware a quien se conectase a ellos, o bien para robarle credenciales de móviles y portátiles", explica Roses. También buscaría Puntos de Acceso legítimos de las organizaciones y los atacaría para hackear las redes corporativas.

Roses imagina también la instalación de celdas falsas de teléfono que permitirían espiar conversaciones. Y drones que llevarían material de ataque a los pisos más altos, así como USB maliciosos tirados por el suelo, a la espera que alguien los coja y los enchufe en el ordenador del trabajo.

La defensa ante este escenario sería mejorar la seguridad de los Puntos de Acceso Wifi corporativos, tener los equipos siempre actualizados y no dejar a los trabajadores enchufar USBs a sus equipos.

Escenario 2. Ataques Bluetooth en aeropuertos

Simon Roses recuerda el llamado "ataque Blueborne", un agujero de seguridad en Bluetooth descubierto hace un año y aún con millones de móviles y ordenadores desprotegidos. Un atacante podria introducir virus a través de este agujero, explica Roses: "Podría realizar este ataque en un lugar muy transitado, como aeropuertos, para instalar malware en miles de dispositivos".

La defensa ante este escenario es tener el móvil actualizado siempre que sea posible y el Bluetooth, apagado.

Escenario 3. Ataque "híbrido" a una presa hidroeléctrica

Ramon Vicens (https://www.linkedin.com/in/rvicens), Responsable Técnico de Blueliv, imagina un escenario con dos componentes clave: infraestructuras críticas más la llamada guerra "híbrida", que combina ataques en el ciberespacio y el mundo real.

Desde este enfoque, cree posible un ataque contra los sistemas de energía de una ciudad, "y cuando esté a oscuras, realizas un ataque físico", explica. Otra víctima podrían ser los sistemas de emergencia, como policía o atención sanitaria, y dejarlos sin comunicaciones por radio. O bien, una presa controlada por sistemas informáticos, abierta en plenas lluvias torrenciales.

"Son sistemas que están cada vez más informatizados y controlados por empresas privadas", explica Vicens. Para defender este frente es necesario, dice, "que el estado ayude a estas empresas a securizarse, apoyándolas económicamente y con asesoramiento". Además de realizar tareas de prevención consistentes en "monitorizar a los actores y grupos que podrían realizar estos ataques".

Escenario 4. Ataques yihadistas

El analista de inteligencia Carlos Seisdedos (https://www.linkedin.com/in/carlosseisdedos) explica un escenario que ya ha sido realidad: en 2017 detectó a un grupo afín al ciberterrorismo yihadista, Wolf_team, buscando agujeros en los sistemas de infraestructuras críticas españolas (https://ciberinteligencia.wordpress.com/2018/09/14/vulnerabilidades-ip/) como el Ministerio de Defensa, Gas Natural Fenosa, Gamesa, Red.es, Banco de España o el Consejo Superior de Investigaciones Científicas.

"Informé a las autoridades para que tomaran las medidas oportunas", explica, y añade: "No se puede descartar que continúen buscando la forma de infiltrarse". También en 2017 otro grupo yihadista, llamado United Cyber Caliphate, hizo correr en Telegram un listado con datos personales de casi 9.000 personas a las que instaba a asesinar. 14 eran españolas.

La defensa ante estas amenazas consiste, según Seisdedos, en "seguir monitorizando la actividad de estos grupos terroristas en el ciberespacio". Seisdedos coincide con el teniente coronel Hernández García en que "no parece que actualmente tengan grandes capacidades técnicas para cometer un gran ciberataque, pero podría suceder en un futuro no muy lejano".

El analista considera imprescindible la creación de "un sistema proactivo de alerta temprada, formado por un agente encubierto y un ciberanalista, que ayude a la detección de indicios para generar inteligencia, a raíz de la información extraída en los foros donde se mueven los cibercriminales y ciberterroristas". Aunque, teniendo en cuenta que la mayoría de ciberterrorismo está pagado por los estados más poderosos, su seguimiento requiere más sofisticación que la simple monitorización de grupos en Telegram.

Mercè Molist