“Sí, te pueden ‘hackear’ el contador de la luz y cortártela”

Para que yo lo entienda, que soy un poco lento... ¿Nos pueden ‘hackear’ el contador de la luz de casa?

Los contadores se comunican entre sí y con la distribuidora eléctrica a través del cable de corriente, y no cuentan en muchas ocasiones con los mínimos requisitos de seguridad, como contraseñas fácilmente adivinables y ninguna protección de cifrado de las comunicaciones, y permite que alguien, desde el enchufe de su casa, pueda hablar con todos los contadores de su barrio y mandarles órdenes a distancia. Estas órdenes pueden ser desde acciones inocuas, como consultar el consumo, hasta otras más peligrosas como cortar el suministro, alterar las medidas de consumo o inutilizar completamente el contador inteligente. La investigación liderada por mi compañero Gonzalo Carracedo permitió arrojar algo de luz sobre el estado de seguridad de sistemas con los que convivimos día a día.

¿Cuántos de estos dispositivos podrían estar afectados en España?

El parque afectado puede ser de unos 15-16 millones de dispositivos, tanto por ser dispositivos antiguos sin capacidad de incorporar las medidas de seguridad como nuevos pero que no las tienen configuradas.

¿Y en Galicia?

Entendemos que el parque de contadores en Galicia que podría estar afectado podría acercarse a la cifra de 1,2 millones, según los cálculos que realizamos a partir de diversas publicaciones oficiales que se han divulgado en los últimos años.

Han puesto en conocimiento de las empresas del sector energético esta información, ¿Hicieron éstas algo para evitar este grave riesgo?

La mayoría de las distribuidoras han preferido ignorar este riesgo y así evitar darle más difusión de la necesaria. Solventar este problema es complejo, y requiere de intención, medios, tiempo e inversión. Y además los reguladores nacionales o europeos deberían involucrarse. Alguna compañía ha compartido con nosotros algunas pinceladas de las iniciativas en marcha para mejorar de forma significativa las medidas de seguridad en su red de contadores, pero ni su puesta en marcha será inmediata ni masiva por parte de todas las empresas del sector. Tarlogic ha publicado varias herramientas para realizar un análisis de la red de contadores y ayudar a proteger estas infraestructuras, y nuevamente, contra todo pronóstico, no hemos tenido respuesta.

Espero que el nivel de seguridad en puntos estratégicos sea mucho mayor, por no decir inexpugnable. Me refiero a hospitales, sedes administrativas, relacionadas con la seguridad pública...

Las redes de media y alta tensión, como las que usan los hospitales, no estarían afectadas por los problemas de seguridad que identificamos, y están mejor protegidas. Eso no quita que puedan existir otros vectores de ataque y que sea necesario analizarlos de forma proactiva.

¿Y en las centrales de generación, por ejemplo, una nuclear?

Son entornos aislados cuya red informática a priori no debería ser accesible y en donde por ese motivo un ataque es menos probable. No están exentas de ciberataques, como cualquier sistema informático, pero sus riesgos están muy acotados.

¿Cómo se mete una empresa con sede aquí al lado de Santiago, en Teo, en estos fregados?

Es una suma de factores. El I+D está en el ADN de Tarlogic y la curiosidad es algo innato a los que nos dedicamos a la seguridad informática. Hemos tenidos la oportunidad de colaborar con una empresa del sector energético y eso ha dado pie a que por nuestro lado hayamos puesto en marcha una línea de investigación completa, con el objetivo de aprender y hacer divulgación.

¿En qué ámbitos y con quién –y para quién– trabajáis actualmente en temas de seguridad?

El perfil de cliente es dispar, aunque el patrón común es que se trata de empresas con unas dimensiones importantes y para quienes la protección de sus sistemas de información es clave. Estamos orgullosos de ser una empresa de referencia en nuestro sector que presta servicios a gran parte del sector financiero y de seguros de este país, a la mayoría de las empresas del Ibex 35 y a varias empresas multinacionales.

¿Avanzamos a una sociedad tan hiperconectada como la que pueden mostrar series como Mr Robot, Utopía y otras, apocalípticas?

Series como Mr Robot nos muestran el peor de los mundos posibles, pero ni es el fin del mundo ni estamos tan bien como nos gustaría. Si bien los objetivos principales de los ciberatacantes suelen ser gobiernos y grandes empresas, la relajación del cuidado que hacemos los usuarios respecto de nuestros datos personales también se vuelve en nuestra contra. Por ejemplo, existe un mercado clandestino de datos personales en EE.UU. obtenidos a través de Internet que los delincuentes utilizan para proporcionar identidades falsas. No debería sorprendernos la posibilidad de que algo así también exista en nuestro entorno.

¿Hasta qué punto se nos controla hoy a los ciudadanos por nuestra dependencia tecnológica?

Las grandes compañías tienen capacidad de agregar un gran número de datos de distintas fuentes para hacer un perfilado bastante detallado de nuestro comportamiento y actividad. Y gran parte de las aplicaciones móviles gratuitas, desde una app de una cámara, pasando por la aplicación del tiempo o algunas tan conocidas como TikTok, tienen como objetivo robar información sobre nosotros y nuestros hábitos. Por suerte, el Reglamento General de Protección de Datos (GDPR) puede servir de escudo en Europa para el tratamiento no autorizado de nuestros datos por parte de las empresas privadas, pero seguimos estando en una posición de desventaja en cuanto a privacidad se refiere.

¿Cuáles son las principales amenazas que nos pueden venir desde el mundo digital en los próximos años?

La hiperconectividad, de la mano de dispositivos IOT y redes de comunicaciones omnipresentes como el 5G, va a suponer todo un reto para la privacidad y para la seguridad de las redes de comunicaciones. A las empresas le afectarán principalmente un gran número de actores hostiles que realizan ataques muy dañinos. La campaña del 017 de Incibe ilustra uno de los grandes problemas que sufren las compañías, las infecciones con ransomware y la extorsión para poder recuperar la información y la normalidad en sus sistemas.

¿Podrían ser tan peligrosas o más que una pandemia vírica?

El incidente Wannacry hace ya 3 años y medio ha marcado un antes y un después en este sector y ha propiciado que exista una mayor concienciación y mejores tecnologías y medidas de protección para frenar la infección masiva y descontrolada de virus informáticos. La experiencia me dice que repetiremos los mismos errores del pasado con nuevas tecnologías, por lo que las empresas que hagan bien las cosas ahora marcarán las diferencias.

Ataques como el que recientemente sufrió SolarWinds, y que ha puesto en jaque a 18.000 empresas y departamentos como el Pentágono o el Departamento de Estado de Seguridad estadounidense han vuelto a poner de actualidad este debate. ¿Ha sido tan grave el incidente?

Es una de las cosas más graves que han sucedido en el mundo cíber en mucho tiempo. Implica asumir la pérdida completa de confianza en todos tus proveedores tecnológicos, tanto a nivel de software, servicios e infraestructura (nube, correo electrónico,..) y evidencia nuestra vulnerabilidad ante ataques a la cadena de suministro, es decir, frente a ataques a terceras compañías.

¿Podría suponer un antes y un después en ciberseguridad?

Seguramente necesitemos más tiempo para verlo en perspectiva, pero no dudo que las compañías meterán este tipo de amenazas en sus análisis de riesgos y continuarán incrementando su inversión en ciberprotección. Protegerse frente a un actor de tipo “estado” que se encuentra detrás de un ciberataque sofisticado como el de SolarWinds es prácticamente imposible, pero las capacidades de respuesta de una compañía ante un brecha de seguridad marcarán la confianza que tenga el mercado en ella y en el caso de empresas cotizadas definirá su futuro.

¿Es Tarlogic un ejemplo de que se puede retener el talento en Galicia?

Ese es uno de los objetivos clave de Tarlogic, aunque no es una misión fácil ya que competimos desde Galicia en un mercado global con alta demanda de profesionales. Trabajamos para consolidar un modelo de empresa diferente que ofrezca además de retos técnicos en proyectos punteros y condiciones salariales y laborales beneficiosas, por ejemplo, días adicionales de vacaciones para acudir a eventos del sector, financiación a fondo perdido para asistencia a congresos, jornada intensiva de verano que se ha ampliado cada año, jornada laboral por debajo de las 40 horas semanales, teletrabajo, horario flexible de entrada y salida, retribución flexible, formación pagada... No es un camino de sencillo y para mantener estas condiciones y seguir mejorándolas necesitamos seguir internacionalizando y seguir trabajando con empresas extranjeras que afianzarán la sostenibilidad de Tarlogic como referente cíber.