Hackers y expertos en ciberseguridad alertan de debilidades en infraestructuras críticas españolas

La red ferroviaria tiene agujeros de seguridad en puntos oscuros de su trazado; el sistema eléctrico presenta vulnerabilidades que pueden ser objeto de ciberataque; en las administraciones quedan muchas entidades locales débiles, en cuya búsqueda se afanan los hackers como otra forma de su negocio... Son tres de las enseñanzas que se extraen de RootedCon, el principal encuentro de expertos en ciberseguridad, ingenieros informáticos y hackers, que este sábado llega a su día de clausura en Madrid.

En tres días de intensa actividad, en las salas del complejo Kinépolis se han impartido lecciones magistrales y se han organizado debates, ponencias y mesas redondas sobre seguridad informática en las que han salido a relucir fallos en España, uno de los países más ciberatacados del mundo, con 2.200 intentos de intromisión diarios según estudios del sector privado, y pese a ser, tras Estados Unidos, el país con mayor número de grandes equipos de resupuesta a incidentes informáticos, 80 CERT.

Entre las alertas más inquietantes dadas en RootedCon, una sobre la seguridad de ciertas balizas de la red ferroviaria. Si no se refuerza su protecciónk, su hackeo podría provocar la paralización de importantes tramos del transporte en tren. Lo explicaron el pasado jueves el ingeniero David Meléndez Cano y la profesora y experta en ciberseguridad y comunidades de hackers Gabriela García , en una- ponencia sazonada con sentido del humor: lograron hackear e imitar los relés de ese tipo de balizas con alambre de cobre, una lata de morteruelo de Cuenca y otra de pollo de Mercadona.

Peligros

Los expertos reunidos en RootedCon huyen del dramatismo, prefieren la ironía para informar de sus avances en su lucha contra los muros informáticos, descubrimientos que acreditan las vulnerabilidades del sistema de protección de infraestructuras críticas en España. En la cita de este año, se ha puesto en evidencia cómo crece la inversión en material de Defensa, pero no tanto en la protección informática, pese a escenarios a los que está asistiendo la comunidad internacional, como el pulso en el ciberespacio entre Israel e Irán: una guerra híbrida de sabotaje en sabotaje.

Llamando Gotham a una hipotética ciudad tipo, los ingenieros Miguel Ángel Sánchez y Sergio Valle, de la firma española de ciberseguridad Arteche, explicaron agujeros por los que ciberatacantes podrían colarse y sabotear el sistema eléctrico, el mismo objetivo que ha tenido Irán contra Israel o Rusia contra Ucrania. "Todos los ciberataques registrados a las redes eléctricas han tenido que ver con tensiones geopolíticas", advirtió Valle. "El sistema eléctrico es una infraestructura crítica -opinó su compañero de ponencia-. Una avería de tres días causa millones en pérdidas: no se puede sacar dinero, no se puede cobrar, no se pueden cargar los coches, no se puede hacer negocios, se para la industria..."

Ha habido también análisis en RootedCon del comportamiento personal de los usuarios. Entre ellas, una sobre cómo el bluetooth constantemente activado de nuesrtros teléfonos móviles -para auriculares, para smartwatches u otros usos- puede servir de vía de acceso a los teléfonos, contactos y otros datos personales sensibles.

Jezer Ferreira, asesor de las Fuerzas de Seguridad, reconocido experto en fuentes abiertas, enseñó este viernes cómo los patrones con que los usuarios de internet se comportan al crear contraseñas, ordenar números de teléfono u otros datos, abren la puerta de la privacidad a hackers con malas intenciones.

Policías que hacen cosas

Más de un centenar de ponentes han explicado riesgos y novedades en la seguridad informática en cinco salas del complejo Kinépolis, ante una audiencia formada por 6.000 inscritos, según datos de la organización. Son ingenieros y ejecutivos de firmas de ciberseguridad, pero también internautas individuales con grandes conocimientos sobre hackeo y desencriptación, entre otras habilidades.

Se trata de la cifra de asistentes más alta alcanzada hasta ahora por el congreso, que este año rota por Valencia y Málaga además de Madrid, y que va a saltar al extranjero con encuentros en Portugal y Panamá.

En un encuentro que tiene el apoyo del Centro Criptológico Nacional, dependiente del CNI, y de firmas como Accenture, Tarlogic, Airbus o Cipher, las salas de Kinépolis han participado altos cargos de la ciberseguridad pública como Francisco Alonso, jefe de sistemas y comunicaciones del Centro Tecnológico de Seguridad, dependiente de la Secretaría de Estado de Seguridad, o el subdirector del Incibe, Marcos Gómez, que hablaron de incidentes y protección de las administraciones públicas.

Los Mossos d'Esquadra han tenido también representación. El investigador de la unidad de Cibercrimen de la policía catalana Manu Fernández explicó el caso Forex, una operación conjunta con la Guardia Civil culminada en noviembre de 2022 con policías de diversos países. El mosso relató la forma de actuar de una mafia internacional de captación de dinero con falsas inversiones, cuentas que duraban abiertas solo tres meses y una amplia red de mulas monetizando el botín.

Fernández tituló su conferencia con una aseveración de la que también se ha dejado una constancia en RootedCon: "La policía hace cosas".