La cooperación público-privada es muy importante en el ámbito de la ciberseguridad y la propia ciberseguridad es elemental actualmente en la protección de las infraestructuras energéticas críticas.
Unas infraestructuras críticas que ofrecen servicios esenciales para todos y que son clave en el buen funcionamiento cotidiano de la sociedad, como es el caso del sector energético, dentro del cual destacan empresas de gran relevancia como Iberdrola.
En este sentido, el Centro Superior de Estudios de la Defensa Nacional (CESEDEN) acogió en su sede de Madrid, con la participación del Instituto Español de Estudios Estratégicos (IEEE) y la compañía energética española Iberdrola, el seminario “La ciberseguridad en las infraestructuras energéticas críticas”, en el que importantes personalidades y expertos del ámbito de la administración estatal española, de las Fuerzas Armadas y del sector privado debatieron sobre el importante asunto de la protección frente a las ciberamenazas que crecen a diario en todo el mundo.
La apertura del evento corrió a cargo de Manuel Aragón Reyes, catedrático de Derecho Constitucional de la Universidad Autónoma de Madrid y codirector del seminario, Francisco de P. Bisbal Pons, director del CESEDEN, Santiago Martínez Garrido, secretario general y del Consejo de Administración de Iberdrola, y Francisco J. Dacoba Cerviño, general de brigada del Ejército de España, director del IEEE y también codirector del seminario.
Francisco de P. Bisbal Pons indicó que la seguridad de instalaciones críticas debe ser una prioridad para cualquier Estado por la importancia de garantizar la seguridad en infraestructuras energéticas.
Por su parte, Santiago Martínez Garrido destacó en este punto la colaboración desde hace casi diez años de Iberdrola con las Fuerzas Armadas en materia de seguridad. El secretario general y del Consejo de Administración de la compañía energética española destacó la “ética y liderazgo” de Iberdrola en relación con temas de defensa nacional, seguridad energética, Objetivos de Desarrollo Sostenible, cambio climático o seguridad en las infraestructuras energéticas. Santiago Martínez Garrido indicó que el presidente de Iberdrola, Ignacio Galán, impulsa todas estas iniciativas, aunque no pudo estar presente en la sede del CESEDEN por la presentación de resultados del tercer trimestre de la compañía, que han sido “magníficos”, poniendo de manifiesto el éxito de la inversión en energías limpias y redes.
Martínez Garrido resaltó que a Iberdrola le preocupa la ciberseguridad en infraestructuras de energéticas críticas y que la nueva realidad conlleva retos, poniendo énfasis en que el aumento de servicios digitales y la creciente digitalización de procesos requiere de un equilibrio entre la participación humana y la de las máquinas.
El representante de Iberdrola destacó que ofrecen un servicio público relativo a infraestructuras críticas y para la compañía es prioritaria la ciberseguridad. “Estamos sometidos permanentemente a ataques de terceros por los datos, a ataques a diario y existe la necesidad de la actualización del sistema de ciberseguridad permanentemente”, explicó Santiago Martínez Garrido, quien también aludió a que “hay que estar en la vanguardia digital por los sistemas interconectados y transfronterizos ya que hay agentes amenazantes”.
Manuel Aragón Reyes, que ha sido codirector de este tipo de seminarios de defensa desde el inicio, destacó la colaboración desde hace más de diez años con Iberdrola en estos, que se han reanudado tras la pandemia.
El catedrático de Derecho Constitucional de la Universidad Autónoma de Madrid destacó la estrecha cooperación entre Iberdrola y las Fuerzas Armadas y manifestó que la directiva europea de 2022 sobre la resiliencia de la ciberseguridad en entidades críticas pretende una seguridad integral frente a todo tipo de riesgos, especialmente contra las ciberamenazas.
Francisco J. Dacoba Cerviño señaló que la estrategia de seguridad nacional tiene como lema que esta debe ser un proyecto compartido por toda la sociedad española. En este caso, Iberdrola, con esta iniciativa, muestra que hay una corresponsabilidad de todos los actores sociales en materia de ciberseguridad y protección de las infraestructuras energéticas críticas. El general de brigada y director del IEEE señaló que el objetivo es que “España esté en las mejores condiciones para proteger sus intereses y que la sociedad pueda desarrollar su proyecto de una manera segura, próspera y en libertad”.
El evento contó con una mesa redonda titulada “Aspectos generales de la ciberseguridad”, que contó con el periodista Antonio Jiménez Martínez como moderador y con la participación de Elena de la Calle Vian, consejera técnica en el área de Ciberseguridad del Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, Roberto Villanueva Barrios, general de brigada del Ejército español y jefe de la Jefatura de Ciberseguridad del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) del Ministerio de Defensa, Francisco Antonio Marín Gutiérrez, teniente coronel del Ejército de España y jefe de la Sección de Inteligencia del Mando Conjunto del Ciberespacio, y José Miguel Gordillo Luque, militar y director global de Seguridad Corporativa de Iberdrola.
Los aspectos generales de la ciberseguridad tienen que ver con la amenaza cada vez más compleja que hay por la capacidad de robar datos sensibles, extorsionar, manipular estados de opinión y provocar colapsos en entidades públicas o empresas.
Francisco Antonio Marín Gutiérrez se centró precisamente en los riesgos y amenazas a la seguridad nacional en el ciberespacio. El teniente coronel y jefe de la Sección de Inteligencia del Mando Conjunto del Ciberespacio indicó que la creciente digitalización de las actividades ha ampliado la superficie de exposición a los ciberataques. “Desde 2016 la OTAN considera el ciberespacio como sector de operaciones”, destacó, explicando que la magnitud y frecuencia de los ciberataques y del uso ilícito del ciberespacio han aumentado en los últimos años. Por lo que “la ciberseguridad se ha convertido en prioridad para las organizaciones y los gobiernos”.
Francisco Antonio Marín Gutiérrez destacó las amenazas a las infraestructuras críticas, el espionaje e injerencias desde el exterior, las campañas de desinformación y la vulnerabilidad del ciberespacio como los principales riesgos y amenazas actualmente.
Recordó importantes ciberataques famosos a infraestructuras críticas como el de Stuxnet contra la industria nuclear de Irán en 2003, que fue el primer gran ataque conocido, y señaló que ahora existen diversos ataques múltiples en la guerra de Ucrania, como el producido entre mayo y septiembre de 2023 por parte del servicio de inteligencia ruso contra principales proveedores de internet y telecomunicaciones ucranianos.
El teniente coronel destacó la vulnerabilidad del ciberespacio y señaló que la estrategia de seguridad nacional habla de dos amenazas: los ciberataques y el uso de ciberespacio para el desarrollo de actividades ilícitas, como el cibercrimen, ciberespionajes o la financiación y propaganda del terrorismo.
También insistió en que España se enfrenta a numerosos retos de ciberseguridad relacionados con los grandes niveles de interconectividad. “Hay actores-Estado, que son los más peligrosos al tener mayores recursos para ataques más sofisticados. Estos ataques son ahora habituales para sus intereses geopolíticos, recabando información, influyendo en la población y dañando infraestructuras críticas”, explicó. Recordó cómo Irán atacó la petrolera estatal saudí Aramco, afectando a 3.000 ordenadores de esta empresa en el inicio del Ramadán, y también señaló que en Ucrania desde 2014 hay grandes ataques a infraestructuras criticas por parte de Rusia, aunque ahora el país ucraniano está mejor preparado para hacer frente a estas ofensivas.
También aludió al “hacktivismo” o activismo de hackers. El activismo estaba asociado a la defensa de valores, pero los grupos de hackers se hacen eco de ideologías y actualmente se hace un uso subversivo de equipos y redes para promover una agenda política en muchos casos. Francisco Antonio Marín Gutiérrez indicó que diversos estados utilizan a los “hacktivistas” como proxys.
En cuanto a actores internos, señaló que más de tres cuartas partes de los incidentes están relacionados con la negligencia del personal interno, el 60% es involuntario y casi un 15% es intencionado con empleados descontentos o directamente saboteadores.
La tendencia ahora es que estas categorías se mezclan y que diversos países se esconden detrás de grupos criminales organizados o “hacktivistas”, siendo cada vez es más difícil ver quién está detrás.
Roberto Villanueva Barrios se enfocó en la ciberseguridad como elemento básico de la transformación digital en el ámbito de la defensa y explicó el papel del Centro de Sistemas y Tecnologías de la información y las Comunicaciones (CESTIC), encargado de las comunicaciones, gestión digital y ciberseguridad de redes del Ministerio de Defensa. “Toda actividad cotidiana está sujeta a ataques”, explicó Roberto Villanueva, quien explicó también que la defensa militar de España tiene como principal objetivo las operaciones militares, que también están relacionadas con el ciberespacio. “El campo de batalla es digital ahora”, resaltó.
El ciberespacio es parte del campo de batalla y es misión de las Fuerzas Armadas de España atenderlo para la defensa nacional. Para Roberto Villanueva, el combatiente es centro de la acción y hay que centrar el foco en él desde la ciberseguridad; en este sentido, la información es la que “nos da la superioridad y la posibilidad de imponernos” en el campo de batalla. El general de brigada y jefe de la Jefatura de Ciberseguridad del CESTIC explicó que el combatiente está sujeto a muchas estructuras de comunicación y sistemas de información, se le da información para que el combate tenga éxito, incluso el sector civil participa aportando información.
Según Roberto Villanueva, el ciberespacio forma parte de la estructura integral para la defensa, la parte central es lo que usa el Ministerio de Defensa con sistemas de comunicación, que tienen relación directa con las zonas de operaciones. Estando también conectados con organizaciones internacionales dentro de estructuras integrales como la OTAN o la Unión Europea. “La información es el activo estratégico del Ministerio de Defensa, nos garantiza superioridad y éxito en las operaciones”, destacó.
Roberto Villanueva indicó que “estamos en combate todos los días a todas horas” y que recibimos ataques permanentemente; muchos no tienen repercusión y otros requieren intervención. Señaló que, a través de centros de operaciones de seguridad, se busca automatizar lo más posible la respuesta. Explicó que es imposible adelantarnos a quien ataca o responder sin servicios de inteligencia. “Necesitamos información para prevenir sobre ataques y tomar medidas en infraestructuras y defensa”, afirmó.
Por su parte, Elena de la Calle Vian se centró en cómo combate la Unión Europea las ciberamenazas. “La estrategia de seguridad nacional indica que la UE debe tener mas protagonismo en algunos ámbitos que requieren una respuesta conjunta, como pandemias, terrorismo o ciberseguridad, siendo un ámbito transversal que nos afecta a todos”, explicó.
La consejera técnica en el área de Ciberseguridad del Departamento de Seguridad Nacional señaló que son un organismo que asesora en seguridad nacional a la Presidencia del Gobierno. Explicó que la defensa nacional, la seguridad pública y la acción exterior están soportados por servicios de inteligencia, que son básicos. “La seguridad nacional busca proteger la vida cotidiana de los ciudadanos en 16 ámbitos, como la seguridad energética, económica, marítima, sanitaria, etc…” explicó. Elena de la Calle Vian indicó que la ciberseguridad es esencial dentro de la seguridad nacional. “Buscamos integrar información de seguridad nacional de estos 16 ámbitos para anticiparnos a situaciones de crisis, además de elaborar estrategias de cooperación con agentes públicos y privados”, aseveró.
Elena de la Calle Vian también indicó que la Agencia Europea de Ciberseguridad ofrece herramientas para compartir información entre países. “De manera visual se ve qué sectores están afectados”, explicó De la Calle Vian, quien señaló que ver qué sector en qué país está afectado es fundamental para tener una visión conjunta y afrontar el reto. “Somos 27 países, cada uno con sus características, hay muchos expedientes abiertos en ciberseguridad y ponerse de acuerdo lleva su tiempo”, explicó. El panorama de amenaza es creciente con el elemento geopolítico que influye mucho ahora, indicó también. Elena de la Calle Vian señaló que hay organizaciones que declaran la guerra digital a países de la UE que intervienen en la guerra de Ucrania, por ejemplo, con ataques a entidades públicas y privadas también. Rusia atacó Viasat para iniciar la invasión de Ucrania y cortar comunicaciones ucranianas, este ataque afectó a aerogeneradores de Alemania, por ejemplo, que dependían de estas infraestructuras, como explicó la consejera del Departamento de Seguridad Nacional. Este “fue el primer ataque atribuido oficialmente a un Estado”, resaltó. Elena de la Calle Vian también indicó que en el conflicto palestino-israelí se está alerta por si hay efectos colaterales, con ataques de denegación de servicio que se producen, explicando que hubo hackeo del sistema de alerta a la población israelí ante ataques e incluso pudieron dar falsas alertas a la población civil israelí.
La consejera del Departamento de Seguridad también indicó que otro reto en la UE es la falta de profesionales, que la Comisión Europea cifra en 800.000 personas. La falta de personal en el mundo en este ámbito se cifra en 3,5 millones. En España también falta personal, como explicó Elena de la Calle Vian, quien indicó que ahora hay 153.000 personas, un 24% más que el año pasado. Pero falta un 57% más de personal, 60.000, a pesar de que haya infraestructuras preparadas de cara a la ciberseguridad. Mientras, la vulnerabilidad de productos de hardware y software llega a unos 13.000 productos, de las que un 50% son ataques a infraestructuras críticas, como señaló Elena de la Calle Vian, quien apuntó que la UE tiene desde 2020 una estrategia conjunta con mucha regulación de ciberseguridad.
La consejera también indicó que las entidades deben tener también medidas de ciberseguridad para mantener la seguridad de la vida cotidiana. “Hay muchos productos vulnerables en software y hardware que tienen una conexión a internet. Estos deberán pasar evaluación de seguridad con la nueva normativa de la UE para obtener certificación de ciberseguridad, con un sistema de vigilancia de mercado”, explicó Elena de la Calle Vian, quien resaltó que muchos de los ataques vienen por la vulnerabilidad de los productos que utilizamos cada día.
José Miguel Gordillo Luque se refirió al alto coste de la ciberseguridad. El director global de Seguridad Corporativa de Iberdrola señaló que se estima un crecimiento anual del 15% para 2025 en el coste del cibercrimen, hasta unos 10,5 billones de dólares.
Esto tiene gran impacto en las compañías privadas y hay una creciente presión regulatoria y responsabilidad incluso penal de los órganos de la dirección de empresas, como explicó. De esta forma, se identifica a las empresas como parte fundamental del ecosistema global de ciberseguridad. Los consejos de administración son responsables de la implementación de los planes de ciberseguridad, respetando la regulación y obligaciones, incluso hay responsabilidad penal si no se hace, como explicó José Miguel Gordillo.
“Los consejos de administración de grandes empresas deberían tener expertos en ciberseguridad para asesorar a todo el consejo en esta implementación”, afirmó. También explicó que el coste más importante de la ciberseguridad es el coste en vidas físicas. El ciberataque puede afectar a activos físicos que implica la posibilidad de que vidas humanas puedan verse afectadas en la máxima dimensión. “Hay personas que han perdido la vida indirectamente por ciberataques”, señaló.
José Miguel Gordillo se refirió a organizaciones criminales con motivación económica, que constituyen la mayor parte de los ataques que recibimos, como el phishing o ransomware, que tienen como objetivo principal el robo de datos para extorsionar o vender en canales ocultos a otras organizaciones que pretenden penetrar en entidades. Por otro lado, está la motivación de desestabilización con actores-Estado y grupos activistas que se quieren hacer con el control de infraestructuras de empresas ligadas a infraestructuras críticas que puede afectar a la población.
José Miguel Gordillo recordó que hay ataques muy sofisticados, con ofensivas contra el sector eléctrico como los perpetrados contra Ucrania en el marco de la invasión rusa o contra Israel en el marco de la guerra contra Hamás.
La electricidad es una infraestructura critica y cualquier incidencia en la red tiene impacto en otros agentes, según explicó, ya que la electricidad es vital para el funcionamiento de cualquier entidad en cualquier sector. “No podemos fallar a la sociedad al dar este servicio”, afirmó.
José Miguel Gordillo Luque aludió a la “ciberresiliencia”, es decir, aprender a convivir con este fenómeno. Hay que proteger, pero no solo eso, hay que convivir con el fenómeno de las ciberamenazas. También señaló que la ciberseguridad y la seguridad física no deben ir por separado. “Debe haber concepción integral de la seguridad”, señaló. El director global de Seguridad Corporativa de Iberdrola también señaló que “hay que identificar, proteger, detectar, responder y recuperar” y también manifestó que los empleados de las organizaciones deben tener cultura intensa para evitar ciberataques ya que el 88% de los ciberataques se debe al comportamiento de empleados de manera consciente o inconscientemente.
También indicó que la cooperación público-privada es fundamental en un mundo hiperconectado, algo que es imprescindible para la ciberresiliencia. El sector público debe asumir el liderazgo para que entre el sector público-privado y la cooperación sea eficaz y “lograr así que la nación sea mas cibersegura y confiable”.
José Miguel Gordillo Luque también indicó que la protección de datos es prioritaria para Iberdrola. Señaló que hay un coste reputacional y económico si como fruto de ciberataque se produce una filtración de datos, incluso se puede llegar a sanciones administrativas por parte del Estado.
Posteriormente, llegó la segunda sesión de la jornada bajo el lema “La ciberseguridad y la seguridad energética”, que contó la subdirectora del diario ABC, Yolanda Gómez Rojo, como moderadora, y con la intervención de Álvaro de Lossada Torres-Quevedo, jefe de la Oficina de Coordinación de Ciberseguridad de la Dirección General de Coordinación y Estudios de la Secretaría de Estado de Seguridad, Ignacio Fuente Cobo, coronel y analista principal del IEEE, Natalia Galán Vázquez, responsable de Inteligencia, Estrategia y Gobierno de Seguridad en Iberdrola España, y Rafael Ceres Campos, responsable de la Oficina Global de Ciberseguridad de Transformación Digital de Iberdrola.
Álvaro de Lossada Torres-Quevedo se refirió a la protección de las infraestructuras críticas e indicó que la cibercriminalidad ha crecido un 351,17% en 2022 respecto a 2015 en España, un ascenso “francamente vertiginoso”. También señaló que más del 89% es criminalidad de corte económico, siendo delitos que pueden suponer pérdida de información. Mientras, los ataques contra sistemas TIC han crecido en los últimos cinco años un 78%, aunque son los que menos se dan ahora.
El sector de la energía se lleva el 37,2% de los incidentes relacionados con la ciberseguridad, aunque esto no quiere decir que el sector de la energía ser el menos preparado, tiene protección sólida, como indicó Álvaro de Lossada, quien explicó que la mayoría son incidentes por vulnerabilidad comunicados por el propio afectado, el 60%, lo que es buena noticia, Un menor porcentaje es robo de información.
Álvaro de Lossada también recordó los retos de implantación de la nueva normativa europea NIS2: transposición coral, retos en gobernanza, dispersión de sujetos obligados, dispersión de autoridades, dispersión de certificaciones y la no multiplicación de cargas teniendo en cuenta las especificidades de cada sector.
Con esta nueva normativa, se van a incorporar muchos agentes sujetos al cumplimiento de obligaciones de ciberseguridad y el reto es encontrar un sistema de certificación unificado que no se multiplique en cada sector.
También explicó que los operadores críticos tienen más medidas de seguridad y los incidentes han crecido menos que en el resto de los sectores económicos.
Ignacio Fuente Cobo habló sobre la importancia de la seguridad energética, que tiene que ver con la disponibilidad ininterrumpida de fuentes de energía a precio asequible. A largo plazo se basa en inversiones oportunas para suministrar energía de acuerdo con las necesidades económicas, lo que tiene que ver con el modelo energético de cada país, y a corto plazo la resiliencia se centra en la capacidad del sistema energético para reaccionar rápidamente ante cambios repentinos en el equilibro entre oferta y demanda.
Los países implantan planes para garantizar la seguridad energética con planes de inversiones y los modelos energéticos van más allá de la seguridad y tienen que ver con intenciones geopolíticas también.
Ignacio Fuente Cobo señaló que España tiene gran vulnerabilidad energética en petróleo y gas, y que tras las sanciones a Rusia se redujo un poco la demanda, pero en Europa se acude ahora a otros países con los que no se tiene gran sintonía política, como puede ser Azerbaiyán o Qatar. Aunque, de todas formas, se ha seguido comprando gas ruso a pesar de las sanciones de manera indirecta.
El coronel y analista del IEEE señaló que las decisiones en el ámbito energético tienen consecuencias políticas, como tratar con Azerbaiyán o Qatar. Incluso algunas naciones como Alemania se han quejado del precio de gas que vende Estados Unidos aprovechando el momento ahora.
Finalmente, Natalia Galán Vázquez y Rafael Ceres Campos detallaron más técnicamente y en profundidad cómo Iberdrola desarrolla su política de ciberseguridad con el deseo de que la nueva normativa NIS2 tenga un enfoque coherente frente a normativas dispersas, tenga también un enfoque internacional, que tenga regulaciones adaptables y ágiles ante los cambios y que incentive a inversiones en ciberseguridad además de que recoja las preceptivas sanciones por incumplimiento, promoviendo la responsabilidad a todos los niveles.
Señalaron que todas las áreas de la compañía deben estar involucradas, desde el Consejo de Administración hasta cualquier departamento. Todos deben estar concienciados con la ciberseguridad en los tiempos actuales.
