Las centrales nucleares se ocupan tanto de los riesgos de seguridad física que desatienden su protección contra los ciberataques. Esta es la conclusión principal de un estudio internacional con la opinión de 30 expertos que trabajan o han trabajado para estas instalaciones publicado en El País.
Todos los consultados en el informe Ciberseguridad en las Instalaciones Civiles Nucleares por el Real Instituto de Asuntos Exteriores de Reino Unido proceden de países con una red importante de centrales nucleares. En su mayoría, de Reino Unido, Japón, Francia y Estados Unidos, pero también de otras potencias en energía nuclear, como Rusia, Ucrania, Alemania y Japón.
Contra la creencia de que todas las instalaciones nucleares están aisladas de Internet, la autora del informe, Caroline Baylon, ha indicado que «están conectadas a Ia Red la mayoría de las economías avanzadas, como Reino Unido o Estados Unidos». No obstante, disponen de redes virtuales privadas, muy habituales en grandes empresas y organismos, que codifican la información y la protegen de terceros. Estas redes deben estar separadas de las que operan físicamente la central nuclear.
El informe desmonta la creencia de que todas las centrales nucleares están aisladas de Internet
Para el experto en ciberseguridad Arturo Ribagorda, catedrático de la Universidad Carlos III de Madrid, las redes privadas no ofrecen garantías suficientes de protección: «Al fin y al cabo están conectadas a Internet y, por tanto, muestran también vulnerabilidades; permiten introducir, por ejemplo, información maliciosa», ha señalado. Por fortuna, es preciso disponer de conocimientos «muy sofisticados» para burlar estos sistemas, que suelen ser específicos para cada central.
La autora del informe matiza que la mayoría de los sistemas que gestionan una central solo permiten que la información salga y no que se introduzca desde fuera. Destaca también la escasez de conocimiento público sobre los ciberataques en las centrales. De hecho, el informe ha tenido que mantener confidenciales los nombres de los expertos consultados para obtener su testimonio.
Irán y Rusia
Frente a los casos de Reino Unido y Estados Unidos, las centrales de Irán y Rusia están totalmente desconectadas de la Red, pero esa separación no les ha evitado varios episodios de cibersabotaje. Un gusano informático, Stuxnet, se introdujo —probablemente a través de un pendrive— en dos centrales iraníes en 2010 y en una rusa, y logró infectar sus sistemas.
El informe alerta en especial de los riesgos de ciberseguridad fuera de los horarios normales de trabajo y, aunque no entra a detallar cuáles son las medidas necesarias, precave ante la falta de formación y de unos criterios generales de ciberseguridad para las centrales. “Existe una guía, que aplican los países pertenecientes a la Agencia Internacional de Energía Atómica (AIEA), pero es muy básica y, además, no es vinculante”, ha apuntado Baylon.
«Ahora es cuando [los gobiernos] empiezan a darse cuenta de los riesgos», ha añadido. Hasta junio de este año en Viena, la AIEA no había convocado nunca un gran encuentro internacional sobre ciberseguridad en estas instalaciones.
El primer ciberataque del que se tiene constancia, en 1992, llevó al Consejo Ruso de Seguridad a afirmar que podría haber acarreado «un desastre similar al de Chernóbil»
El informe no establece si existe un riesgo creciente de ciberataques a las centrales, pero constata un aumento de los incidentes en las redes de las empresas a las que suministran electricidad.
El Consejo de Seguridad Nuclear de España ha señalado a EL PAÍS que ningún sistema de las centrales españolas está conectado a Internet. No ha facilitado información de posibles ciberataques contra estas instalaciones.
La directiva europea sobre Seguridad de las Redes e Información (más conocida como directiva NIS), pendiente de aprobación, obligará a que todas las grandes instalaciones pongan en marcha un análisis de riesgos muy detallados y precisos.
Para Manel Medina, director del Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña, este informe pone de manifiesto que «los propios administradores de estos servicios y sus directivos no son conscientes de los riesgos que un ciberataque podría tener para ellos». Medina señala que lo habitual es que este tipo de ataques se produzca de una forma «inconsciente», al infectarse con programas espía los dispositivos del personal de las instalaciones. Una vez conectados esos dispositivos al sistema de la central, lo contaminan y abren las puertas a los programas maliciosos.
«Hay un enorme desconocimiento de en qué consisten los ciberataques a las centrales», apunta Caroline Baylon, «porque [estas instalaciones] temen que se sepa demasiado sobre sus sistemas de seguridad. Sin embargo, esto impide también que los expertos puedan pensar en mejorar los mecanismos de protección».
Grandes ciberataques
El primer ataque informático conocido contra una central nuclear data de 1992. Ocurrió en Ignalina (Lituania). Un técnico introdujo un virus dentro del sistema de control de la central, supuestamente para llamar la atención de lo vulnerable que era. No tuvo consecuencias más allá de la detención del experto, pero un alto representante del Consejo Ruso de Seguridad afirmó que la brecha de seguridad podría haber acarreado «un desastre similar al de Chernóbil».
En 2003, la central nuclear de David-Besse (Ohio, EE UU) sufrió la infección de un gusano Slammer, aprovechando una vulnerabilidad del software de la base de datos. El gusano infectó la red de la compañía eléctrica que operaba la central, First Energy Nuclear, que a su vez estaba conectada al sistema informático SCADA. Este tipo de sistemas opera de manera remota la planta. El gusano consiguió bloquear durante cinco horas el sistema que recogía los datos de la refrigeración, los sensores de temperatura y los de radiación. Por suerte, el reactor no estaba operativo en aquel momento.
Aunque no puede considerarse un ciberataque, el informe incluye un incidente en 2006, en el que una unidad de la planta de Browns Ferry en Alabama (EE UU) tuvo que ser desconectada de manera manual para evitar la fusión del reactor. Se trató de un error del sistema informático en la red Ethernet (que distribuye los datos a los distintos elementos). Una sobrecarga en el tráfico de datos hizo fallar las bombas de recirculación y otros dispositivos cruciales. Los hackers podrían haber aprovechado esa debilidad del sistema, de haber estado dentro de él en ese momento.
En 2008, la planta de Hatch de Georgia (EE UU) sufrió un parón general a causa de la mera actualización del ordenador de un ingeniero que estaba conectado a la red de control industrial de la planta. El sistema interpretó el error como una falta de agua para refrigerar el núcleo del reactor y lo apagó.
Uno de los mayores incidentes conocidos hasta la fecha se produjo en 2010 en dos centrales nucleares iraníes, Bushehr y Natanz. Se vieron infectadas por un gusano informático, Stuxnet, probablemente introducido en sus sistemas a través de un simple pendrive. Este gusano burla Windows y se arroga privilegios de administrador. Si el software que infecta está conectado a un sistema SCADA, podría haber controlado indirectamente las centrifugadoras que se utilizan para enriquecer el uranio y hacer que girasen muy rápido, hasta romperlas. El virus, además, es capaz de engañar al sistema haciéndole creer que todo va bien.
Stuxnet fue también responsable de un incidente en Rusia en torno a 2010, hecho público por el dueño de la empresa antivirus Kaspersky Lab, Eugene Kaspersky, aunque el nombre de la planta nuclear no trascendió.
El último gran ciberataque conocido tuvo lugar en 2014. Unos hackers robaron datos de la red comercial de Korea Hydro and Nuclear Power, la empresa que opera 23 centrales en Corea del Sur, a través de emails que suplantan identidades para robar datos personales de sus empleados. Los piratas obtuvieron así los manuales y los proyectos de dos centrales, los planos de distribución eléctrica, los datos de unos 10.000 empleados y los cálculos de exposición a la radiación de las poblaciones cercanas. Luego, los difundieron en Twitter y, más adelante, amenazaron con un rotundo mensaje —»destrucción»— a la compañía si no paraba tres de sus centrales. El gobierno de Corea del Sur se negó.
Los delicuentes han intentado extorsionar de nuevo a la compañía en marzo de este año, exigiéndole dinero a cambio de no publicar más datos comprometedores. El gobierno surcoreano culpa directamente a Corea del Norte de los ataques.