Ha vuelto a ocurrir. Una canción de John Lennon dice en un punto algo así como: “Life is what happens to you while you are busy making other plans” (“la vida es lo que pasa mientras hacemos otros planes”). Podríamos parafrasearla de la siguiente manera: ‘La protección de infraestructuras críticas es lo que pasa mientras hacemos otros planes’.

¿A qué viene esto? Pues a que no dejo de sorprenderme de la cantidad de información acerca de una infraestructura crítica que la propia Administración ofrece de forma abierta en los Pliegos de contratación de obras, proyectos o servicios. Esta misma semana he podido comprobarlo de nuevo, concretamente con un Pliego destinado a contratar la ejecución de un sistema de gestión de la red de distribución de agua potable nada menos que a los municipios de un consorcio que cubre al 85% de la población de una provincia (y abastece a muchas industrias grandes de verdad). El sistema de gestión previsto debe consistir en un software capaz de integrarse con el SCADA que se emplea para supervisar las infraestructuras del Consorcio y facilitará la operación de forma que se optimice el consumo energético del conjunto del sistema (permítanme que no dé detalles adicionales, a pesar de que la información es accesible de forma pública).

Y para facilitar la elaboración de ofertas se adjunta al Pliego, como anexos, un conjunto de documentación que es muy útil si uno, en lugar de en preparar una Plica, está pensando en interferir de alguna forma en el correcto funcionamiento de la red (por decirlo de forma suave).

Para empezar se ofrece un plano que refleja toda la red: conducciones, depósitos, valvulería, chimeneas de equilibrio y estaciones de bombeo. Y además, con coordenadas UTM, para que no tengamos problema en encontrar cada una de las instalaciones (y gracias a Street View podremos realizar, además, una inspección previa del perímetro de un buen número de ellas sin necesidad de movernos de casa).

A continuación disponemos de un documento que describe con todo lujo de detalles el sistema SCADA: comenzando por la marca del software de supervisión y continuando con detalles de la programación realizada, lógica de operación, codificación gráfica, alarmas, etc.

Y para terminar, en el documento anterior se nos ofrece un amplísimo surtido de capturas de pantalla, incluyendo la configuración de tuberías, válvulas, bombas e instrumentación de estaciones de bombeo, acometidas a depósitos e, incluso, la planta potabilizadora. Por no faltar, no falta ni un esquema de la red de controladores.

A la vista de todo este material mi mente vuela libre elaborando planes (imaginarios, por supuesto) y escenarios de ataque, seleccionando los elementos cuyo fallo podría acarrear consecuencias más dañinas, pensando en cómo implementarlos.

Y yo digo: ¿realmente es necesario ofrecer todo este material de forma abierta? Es más, ¿la información aportada es la necesaria o, simplemente, se ha buscado un documento ya existente y se ha añadido como anexo sin tomarse la molestia de purgarlo? Porque esa es la impresión que me da al leerlo.

Son cosas como ésta las que hacen pensar que quizá los árboles de los riesgos tecnológicos nos impiden ver el bosque de los peligros más convencionales que nos rodean y que deberían ser objetivos preferenciales de actuación. A fin de cuentas, un pequeño esfuerzo en el control de la información que se pone a disposición pública puede rendir resultados proporcionalmente más efectivos que invertir mucho dinero en renovar un parque de equipos o modificar configuraciones de red.

Sé que es cierto que, en algunos casos, la propia legislación puede actuar en nuestra contra: por ejemplo al imponer un trámite de información pública en los proyectos de infraestructuras que obliga a exponer al público los proyectos de forma previa a su aprobación. Pero seguro que hay formas de acompasar todos los intereses.

Es necesario, por tanto, evitar que el prefijo ‘ciber-‘ que acompaña a la seguridad de sistemas de control industrial actúe como una mordaza mental que impida ver que existe un camino previo imprescindible en aspectos menos tecnológicos de la protección de nuestras infraestructuras.

Voy a terminar con una cita atribuida a Lenin (sin entrar en valoraciones morales sobre este personaje): ‘Los burgueses nos venderán la cuerda con la que les hemos de ahorcar’. Dejo al lector la trasposición al contexto actual, con el firme deseo de que logremos evitar convertirnos en colaboradores involuntarios del lado oscuro.