Luis Corrons – Rubén, me gustaría que contaras en primer lugar a los lectores del blog un poco sobre tu trayectoria. A pesar de tu juventud, llevas ya unos cuantos años en el mundo de la seguridad y en ciertos círculos eres considerado casi un gurú.

Rubén Santamarta – Pues mi primer contacto con el mundo de la ingeniería inversa fué a través del estudio de protecciones de software, cuando tenía 15 o 16 años. Empecé a trabajar como programador cuando acabé el instituto pero luego abandoné el mundillo…hará cosa de 5 años volví otra vez, a raiz de incorporarme a Panda. Fue cuando descubrí que podía vivir de buscar vulnerabilidades, entre otras cosas. Eso me ha servido para tener acceso a proyectos y personas interesantes.

Con mucho esfuerzo estamos sacando adelante nuestra pequeña startup, Wintercore.

Luis – Para los no expertos en la materia, ¿qué es un sistema SCADA?

Rubén – Son sistemas destinados al control industrial, como por ejemplo plantas químicas, hidroelectrícas, de tratamiento de agua etc… Nacieron con unas características específicas: protocolos, arquitecturas y dispositivos propios. Digamos que funcionan, y lo llevan haciendo muchos años, pero los tiempos han cambiado. Ya no basta con funcionar bajo circunstancias controladas, ahora es necesario asegurar su pervivencia ante dificultades de todo tipo, incluidos los ataques deliberados.

Luis – Desde hace un tiempo parte de tu trabajo ha estado centrado en el estudio de estos sistemas SCADA. ¿Qué fue lo que llamó tu atención en este área?

Rubén -La verdad es que me fascinó desde el primer momento. El hecho de poder traspasar el entorno “virtual” del ordenador para controlar elementos físicos es un gran aliciente. Y por otra parte, el reto que suponía investigar algo relativamente nuevo.

Luis – Los sistemas SCADA se encargan de tareas consideradas como críticas, por lo que se supone que la seguridad en este campo es una prioridad y los sistemas están mucho más fortificados. ¿Es esto cierto?

Rubén -No puedo dar una respuesta rotunda, pero aunque pueda sorprender quizá es lo contrario. Las redes industriales no nacieron con la idea de estar conectadas a internet, sino que eran redes aisladas. Por este motivo no se pensó en su seguridad.

Sin embargo, la tendencia imperante ahora mismo es la de la interconexión y el telecontrol. Lo que antes estaba aislado, ahora se ha forzado a estar conectado, y cuando las cosas no se hacen bien…

Esto no quiere decir que cualquiera pueda dejar sin luz a una ciudad, ni mucho menos.

Luis – ¿Y los responsables de seguridad de estos sitemas, están bien preparados? ¿O nos podemos llegar a encontrar a “Homer Simpsons” a cargo de la seguridad de centrales nucleares?

Rubén – Los fabricantes de software y hardware industrial están empezando a tomar conciencia de la importancia de la seguridad. Ésta no puede ser entendida como un trámite sino una parte fundamental del proceso, un valor añadido y necesario. Aunque queda mucho camino por andar.

Luis – ¿Hay diferencias entre la seguridad de estos sistemas en función del país? ¿Cómo está España respecto al otros países?

Rubén – Hay bastantes puntos en común entre muchos Estados, de hecho se está legislando a nivel europeo, americano etc…La situación en España está en la línea de lo visto en otros países.

Luis – Legislación o autorregulación: ¿crees que los Gobiernos deberían ser los que “cortan el bacalao” en este tipo de seguridad imponiendo normativas a empresas privadas o que éstas se deben autoregular?

Rubén – El 80% de las infraestructuras críticas está en manos privadas. Es algo que afecta a la población en general por lo tanto el gobierno debe legislar y educar; para hacer ver que no es algo que vaya en contra de nadie, sino a favor de todos.

Luis – ¿Qué te parecen las actividades de autoevaluación, como los simulacros de ataques que ha llevado a cabo recientemente la UE? ¿Son realmente útiles, o es un ejercicio de cara a la galería, para que parezca que se está haciendo algo?

Rubén – No puedo hablar en profundidad ya que no he estado cerca… pero todo lo que sea prepararse para el futuro cercano no está de más. Como se dice en el libro “El Arte de la Guerra” de Sun Tzu: “conócete a ti mismo y conoce a tu enemigo y en cien batallas nunca serás derrotado”.

Luis – Cuando la gente habla sobre la (in)seguridad de sistemas SCADA se suele hacer referencia a escenarios apocalípticos, donde se podría causar un caos enorme en la sociedad interrumpiendo servicios básicos (suministro eléctrico, de agua, etc.) ¿Hasta qué punto esto puede ser cierto? ¿Es algo que sólo veremos en películas de Hollywood?

Rubén – Yo hablo en base a mi experiencia y si te dijera que no puede darse ese escenario, te estaría mintiendo. Técnicamente es posible.

Luis – Una de las noticias del año en seguridad ha sido el Stuxnet, malware que tiene características que lo hacen único, como la inclusión de diferentes 0-day, o que esté dirigido a determinados sistemas de SIEMENS utilizados en centrales nucleares. ¿Es esto algo que va a marcar tendencia, o estamos ante un caso aislado? ¿Crees que son razonables las teorías que apuntan que éste es un ataque patrocinado por algún gobierno o servicio de inteligencia?

Rubén – Stuxnet ha marcado un antes y un después. Símple y llanamente es un arma hecha de bytes. A partir de ahí, que cada uno saque sus conclusiones. Mi opinión es que cualquiera que haya analizado Stuxnet y su contexto, no tendrá ninguna duda que hay al menos un Estado detrás de este ataque.

Luis – Y hablando del tema, ¿crees que las próximas guerras serán ciberguerras? ¿Basarán su ofensiva en sistemas SCADA?

Rubén – Las guerras seguirán siendo guerras. Lo que veremos es que una parte de esos conflictos se dirimirán en un terreno en el que no estamos acostumbrados: redes y dispositivos electrónicos.

Luis – ¿Nos puedes contar alguna anécdota sobre sistemas SCADA? ¿Algo que hayas visto y hayas sentido vergüenza ajena, o te hayas preguntado cómo es posible que se haga algo así?

Rubén – Podría contarte muchas, porque hay cosas realmente lamentables. En una ocasión me encontré con que dejar sin un servicio básico, no diré cual, a miles de personas no era del todo complicado.

Luis – Para finalizar, ¿cómo ves el futuro? Está claro que la seguridad perfecta no existe, ¿pero realmente seremos capaces de tener unos sistemas seguros a la altura de las exigencias del mundo real?

Rubén – Va a costar mucho, bastante. Pero creo que se están dando algunos pasos adecuados. El tiempo lo dirá.