La Comisión Europea ha informado este lunes de la recepción de una denuncia de la Asociación Mediterránea de Peritos de las Tecnologías de la Información y Comunicación (Aspertic), que ha avisado que 189 gasolineras españolas se encuentran en grave riesgo en caso de ciberataque. Esto se debe a las casi nulas medidas de seguridad para impedir que un tercero pueda penetrar en sus sistemas y controlarlos de forma remota, revelan los peritos.

Aspertic, que agrupa a más de un centenar de estos profesionales, elevó el primer aviso sobre esta amenaza al Gobierno en 2015. Entonces la vulnerabilidad empezó a comentarse en foros de Internet en los que participan hackers y expertos informáticos, explica a Público Josep Jover, presidente de la asociación. No obstante, el abogado denuncia que nada se ha hecho para corregir la situación, motivo por el que los peritos han elevado una denuncia a la Fiscalía y enviado copia del informe a Bruselas.

Entre las más de 11.000 gasolineras españolas, el problema afecta especialmente a las autónomas (sin empleados). La distribuidora más afectada es Shell, aunque se han detectado vulnerabilidades en otras como Campsa o Repsol, explica Jover.

El texto, al que ha tenido acceso este medio, detalla que el agujero de seguridad se encuentra en los medidores y válvulas de control de los tanques automáticos de las gasolineras. Los peritos avisan que "acceder a estos sistemas —que controlan los niveles de combustible de las estaciones, su temperatura o sus dispositivos de alarma— es relativamente sencillo" desde una conexión a Internet simple, puesto que "muchas válvulas tienen un puerto de serie incorporado para programación y monitorización".

Pese a ello, la seguridad es prácticamente nula. El análisis pericial de Aspertic, adscrita a la Asociación Nacional de Peritos Judiciales Informáticos, ha detectado que "de las 189 gasolineras o tanques localizados en España, solo uno una está protegida con contraseña". La facilidad de control del sistema para un tercero es tal que el manual de uso del fabricante está disponible en Internet, con una explicación detallada de los 600 comandos ejecutables, como los que regulan los umbrales de alarma de los tanques.

Mapa de calor con los países con mayor concentración de gasolineras con válvulas que pueden administrarse de forma remota. Estados Unidos, con 6.366 seguida China, con 2.126, son los más afectados.

Por ello, los peritos hacen un "llamamiento urgente a las autoridades para que los propietarios de estos sistemas aseguren un nivel de seguridad mínimo para evitar tanto una grave pérdida económica como un desastre ecológico o la afectación de personas físicas". Además, avisan que una búsqueda mundial preliminar arroja que hasta 12.000 estaciones de servicio podrían sufrir las mismas fallas de seguridad.

Hasta 175.000 sistemas de control industrial accesibles desde la red

El informe advierte que el caso de las gasolineras está "lejos de ser un hecho aislado". Los peritos informáticos estiman que "el número de sistemas de control industrial accesibles libremente desde Internet ha aumentado significativamente en el último año, alcanzando más de 175.000 componentes". En 2017, la cifra de sistemas en "situación de inminente riesgo" superaba los 162.000.

El aumento no ha llevado aparejado un aumento de la ciberseguridad. Además, estos expertos advierten que la extensión del Internet de las Cosas ha agravado la situación, puesto que "no se están desarrollando políticas de seguridad elementales": "Existe un grave y cierto riesgo ya que los nuevos productos adolecen de todo tipo de vulnerabilidades clásicas que permiten que el atacante consiga una intrusión fácil y sin ningún tipo de esfuerzo". 

El primer aviso del peligro que supone un mundo conectado pero inseguro llegó en la primavera de 2017, cuando el gusano informático WannaCry penetró en 200.000 sistemas de 150 países. Aprovechando un agujero de seguridad de Microsoft, saltó de un dispositivo a otro encriptando sus archivos y exigiendo un rescate de 300 dólares en bitcoins para recuperar la información. El sistema de salud británico se vio comprometido y muchos procedimientos sanitarios tuvieron que ser abortados. En España, empresas estratégicas como Telefónica se vieron afectadas. Finalmente, fue un informático británico de 23 años el que encontró la forma de frenar la propagación de Wannacry.