Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

‘Infraestructuras críticas’: ¿Qué pasa si un día falla todo?

El Centro Nacional de Infraestructuras Críticas (CNPIC) trabaja con la hipótesis de un cataclismo. La amenaza terrorista incorpora 54 nuevos elementos al "mapa de riesgos"

Presa de Santo Estevo, en el Sil (Ourense). Ampliar foto
Presa de Santo Estevo, en el Sil (Ourense).

¿Qué podría ocurrir si un día no funcionase nada, no hubiese luz, la comida se echase a perder, no se pudiera sacar dinero del cajero, ni pagar con tarjeta, ni cargar el móvil...? El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) se ocupa de proteger los puntos determinantes del sistema, los que podrían instaurar el caos si fallasen. Ante la amenaza terrorista, el Ministerio del Interior ha señalado 54 nuevos “operadores críticos”, empresas que dan servicios esenciales. El mapa de alto riesgo de España está formado hoy por 93.

Una treintena de personas, ingenieros, informáticos, químicos, hackers, con una media de edad de 40 años, y con un teniente coronel de la Guardia Civil al frente, controlan y protegen —desde las anodinas instalaciones de unas antiguas oficinas de la Dirección General de Tráfico— la seguridad de los puntos más determinantes del sistema, todas aquellas infraestructuras que hacen que nuestra vida sea como es. Es decir, que cuando se apriete un interruptor se encienda la luz, o que al abrir el grifo salga agua, pero también que se pueda sacar dinero de un cajero o pagar con una tarjeta en un comercio. Operaciones aparentemente sin importancia. Pero qué pasaría si un día no funcionase nada. Qué pasaría si, por ejemplo, se fuese la luz de manera masiva. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), creado en 2007 y que depende directamente del Secretario de Estado de Seguridad, Francisco Martínez, trabaja constantemente con esa clase de hipótesis catastróficas para cubrir los huecos de seguridad de un sistema cada vez más interconectado —más allá de las fronteras españolas— en el que cualquier disfunción podría provocar un efecto dominó y hacerlo colapsar.

Respuesta ante emergencias informáticas

P.O.D.

Se denomina CERT (Computer Emergency Response Team, Equipo de respuesta ante emergencias informáticas) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Pretende mejorar la coordinación de las acciones de los Fuerzas y Cuerpos de Seguridad del Estado en este ámbito. Cuenta con una Oficina de Coordinación Cibernética (OCC) en el CNPIC, punto de contacto del Ministerio de Interior para lo relativo a la ciberseguridad.

El establecimiento del nivel cuatro de amenaza terrorista ha llevado al Ministerio del Interior a reforzar esos planes estratégicos de protección. Actualmente en España hay 93 “operadores críticos”, o sea empresas que ofrecen servicios esenciales a la sociedad. De los que recientemente, y tras la llamada “Ley PIC” de 2011 que reguló su protección, se han designado 54 nuevos en los sectores del agua y el transporte. Previamente, en 2014, se señalaron en el sector eléctrico, nuclear, el del gas, el petróleo y en el sistema financiero. Y próximamente le tocará al sector alimenticio y al sanitario.

El documental American Blackout, realizado por National Geographic, ficciona —basándose en estudios y testimonios científicos— el caos y la devastación que puede seguir a un apagón de las dimensiones de todo Estados Unidos. Lo que inicialmente la gente se toma como una broma y graba con sus móviles en la oscuridad, se convierte en un desastre progresivo que desencadena accidentes, agresividad, saqueos y, en definitiva, un estado de terror generalizado en diez días. El impacto —se simula lo que sucedería si se tratase de un ciberataque que cortase la electricidad—, se propaga en progresión geométrica, y acaba siendo similar al que podría producir un desastre natural como un gran terremoto o un huracán o un atentado brutal.

‘Infraestructuras críticas’: ¿Qué pasa si un día falla todo?

Uno de los principales refuerzos que ha realizado el Ministerio del Interior es precisamente en materia de prevención de los ciberataques en las infraestructuras críticas. “El hecho de que todo funcione de manera computerizada es una ventaja por comodidad y rapidez pero incrementa ostensiblemente los riesgos del sistema”, reconoce Fernando Sánchez, director de CNPIC. “Nuestra sociedad es ahora, por ese motivo y por la dependencia de las tecnologías, mucho más interdependiente y menos autónoma que hace décadas”, reconoce.

Punto de inflexión

El punto de inflexión, de toma de conciencia de los grandes riesgos, fue el 11-S y después el 11-M. Hasta entonces, la protección de las llamadas infraestructuras críticas —en su mayoría (un 80%) empresas privadas, que prestan servicios esenciales— dependía exclusivamente de sus propietarios. Pero el hecho de que fuesen las responsables de nutrir al sistema y de mantener el correcto funcionamiento de la sociedad por el tipo de servicio que prestaban, las convertía también en un asunto de Estado. Por esa razón se creó el CNPIC y por eso se empezaron a incluir esos “operadores críticos” en una lista en los planes de protección, dando lugar a una especie de mapa de riesgos, que permanece “a buen recaudo”.

Se trata de una colaboración público-privada: “Por una parte las empresas incluidas en ese listado tienen que cumplimentar una serie de requisitos de seguridad porque son auditadas por Interior, y por otro lado entran en una plataforma en la que se establece su protección prioritaria y donde comparten y tienen acceso a información sensible”, explica Sánchez.

La idea es que ese mapa de alto riesgo se vaya completando progresivamente y sean cada vez más las empresas incorporadas y mayor la protección de esos servicios esenciales. Cuantos más elementos incluya ese plano crítico, más seguro será el país al que corresponda.