infoPLC ++ / Empresas / Entrevistas / “S2 Grupo es la única empresa 100% española en el ámbito de la ciberseguridad que usa tecnología 100% propia”

Entrevistamos a

Miguel A. Juan y José Rosell

Socios-directores — S2 Grupo

“S2 Grupo es la única empresa 100% española en el ámbito de la ciberseguridad que usa tecnología 100% propia”

“S2 Grupo es la única empresa 100% española en el ámbito de la ciberseguridad que usa tecnología 100% propia”

Son los creadores de Scadaipper®, herramienta que hoy sirve de base para la auditoría y vigilancia de protocolos industriales de comunicaciones en instalaciones industriales por diversos países.


 ¿La actividad de S2Grupo ya se centró desde sus inicios en los temas de ciberseguridad?

Miguel A. Juan.-  En el año 2003 supimos unir esfuerzos para reconducir la actividad de una compañía valenciana del sector de las tecnologías de la información y las comunicaciones.  Nuestra empresa es actualmente un referente a nivel nacional en materia de ciberseguridad y ciberinteligencia y ha desarrollado las únicas herramientas nacionales de ciberdefensa, contribuyendo de forma muy importante al desarrollo de tecnologías que permitan a la administración pública y empresas estratégicas una mejor defensa ante las ciberamenazas. Es la única empresa 100% española en este ámbito que usa tecnología 100% propia y, por tanto, nacional. Actualmente, con crecimientos en los últimos años en torno al 15%, cuenta con más de 230 profesionales, de los que cerca del 85% es personal titulado, con titulaciones de ingeniería informática, ingeniería de telecomunicaciones e ingeniería industrial y con numerosas certificaciones tanto personales como empresariales.

Por tanto, ya tienen ya unos 15 años de experiencia. ¿Cómo ha evolucionado el delito informático desde la creación de S2Grupo?

José Rosell.- El delito cada vez es más profesionalizado y en búsqueda de beneficio económico. Hoy en día hablamos de grupos perfectamente organizados que aprovechan en muchas ocasiones el desconocimiento del usuario para lograr dicho beneficio, con ataques técnicamente poco elaborados pero muy efectivos, porque aprovechan el factor psicológico.

¿Han cambiado también los "delincuentes"? ¿Se ha pasado del joven hacker a auténticas empresas?

José Rosell.- El joven hacker que busca aprender es residual y ni siquiera lo catalogaríamos como delincuente; hoy en día hablamos de mafias estructuradas, piramidales.

¿En qué consisten los llamados ataques “ransomware”?

Miguel A Juan.- Los ransomware son ataques que secuestran un equipo, cifrándolo, y piden un rescate económico a cambio de devolverlo a la normalidad. Generalmente nos envían un correo malicioso que al abrirlo comienza a cifrar toda la información a la que desde el equipo se puede tener acceso. Una vez cifrada la información, no se puede obtener a no ser que paguemos el rescate y  nos den la clave de cifrado.

Hasta hace relativamente poco la informática industrial ha permanecido muy aislada, con lo que los problemas de seguridad se debían principalmente a ataques internos, pero con la llegada de la fábrica conectada y el Internet Industrial de las cosas, ¿cuáles son los principales peligros que se presentan?

José Rosell.- La supervivencia de las sociedades modernas depende en gran medida de la continuidad de los servicios prestados por sus infraestructuras, especialmente las consideradas críticas: transportes, comunicaciones, energía, abastecimiento de agua, etc. Pero el funcionamiento de estas infraestructuras está ligada a la integridad de sus sistemas de control, cada vez más expuestos a las amenazas provenientes de su integración con las TIC. Por ello, es fundamental el desarrollo de herramientas que garanticen la seguridad de estas infraestructuras, incluyendo las redes de comunicación de las que son dependientes.

Los sistemas de control industrial (ICS) son utilizados para el control de infraestructuras críticas y se han convertido en objetivos importantes del cibercrimen, ciberterrorismo y espionaje industrial. Pese a que estos sistemas en el pasado estaban aislados, ahora están mayoritariamente integrados en una infraestructura TIC genérica y expuestos a ciberataques. El impacto de un ataque sobre una infraestructura crítica puede ser significativo, afectando no solo a una única empresa, sino también a la sociedad como conjunto. Las consecuencias podrían ser no solo económicas, sino también incluir pérdidas humanas y medioambientales.

Los sistemas de control industrial pueden verse afectados por ciberamenazas de diferente índole como sabotajes, robos de información, fraudes, chantajes, daños económicos para la compañía o, incluso, afectar a su reputación corporativa. Los desglosamos a continuación:

- Sabotajes: Parada de líneas; pérdidas de producción y trabajo en curso; aumento de tiempos muertos y mermas; incumplimiento de especificaciones, de plazos y de compromisos con clientes; incumplimiento de obligaciones normativas y reglamentarias; destrucción de equipos; borrado o cambio de la programación de los PLC; modificación de consignas de proceso.

- Robo de información: Acceso no autorizado a información relevante sobre el producto y el negocio de la compañía como pueden ser: planos de las instalaciones, diagramas de proceso (P&D), programación de PLC y software de supervisión, documentación descriptiva de diseño de piezas y productos, de los materiales empleados o su composición y del proceso productivo, e información sobre pedidos, órdenes de fabricación, clientes y/o proveedores

- Fraude: Daño económico a la compañía mediante alteración de lecturas remotas de modo que resulte un consumo por debajo del real, por ejemplo.

- Chantaje: Amenaza de interrupción del proceso de producción.

- Daño económico a la compañía: Manipulación de datos; incumplimiento de obligaciones legales al imposibilitar o retrasar la recepción o registro de cierta información relevante; manipulación de la información del estado del sistema recibida por el operador induciendo la toma de decisiones.

- Daño a la reputación corporativa de la compañía, como consecuencia de ser víctima de alguno de los peligros descritos y percibirse la vulnerabilidad de la empresa.

¿Qué productos y servicios ofrecen dirigidos especialmente a la industria?

Miguel A Juan .-El trabajo de S2 Grupo en ciberseguridad industrial está especializado en: conocer el estado real de la ciberseguridad de la instalación; comprobar la eficacia de los controles implantados en la organización; gestión de la continuidad de negocio (se determinarán posibles escenarios de siniestro en la organización, lo que permitirá encontrar las mejores soluciones y responder rápida y eficazmente ante cualquier incidente de seguridad, garantizando la continuidad de negocio); selección de controles o salvaguardas para la organización adecuados a su tamaño, actividad y recursos; detectar los riesgos residuales asumidos por la organización en cada momento; gestión remota de la ciberseguridad; concienciación especializada para empleados de especialidades industriales (producción, mantenimiento, ingeniería, etc.).

¿En qué consiste su sistema Argópolis? Tenemos entendido que proponen gestionar los ataques de forma remota, ¿sirve para la mayoría de dichos ataques?

José Rosell .- En S2 Grupo vimos lo que el resto no veía, los sistemas industriales que gobernaban grandes instalaciones tenían fuertes carencias de seguridad y, de nuevo, nos adelantamos al mercado y decidimos crear un equipo de ingenieros industriales, de telecomunicaciones e informáticos capaces de desarrollar las primeras auditorías de ciberseguridad industrial con un enfoque totalmente centrado en el proceso de negocio y no en la tecnología. Impulsamos en 2012 el primer centro de operaciones de ciberseguridad especializado en vigilar y proteger instalaciones industriales de los ciberataques que se podían materializar, iSOC®. Poco después se publicarían legislaciones relacionadas con la protección, en este sentido, de infraestructuras críticas.  Es en este momento cuando, dado que las grandes herramientas para auditar la seguridad de entornos industriales están en manos de compañías extranjeras, S2 Grupo decidió dedicar esfuerzos al desarrollo de capacidades nacionales. Se desarrolló, entonces, Scadaipper®, herramienta que hoy sirve de base para la auditoría y vigilancia de protocolos industriales de comunicaciones en instalaciones industriales por diversos países.

Desde S2 Grupo nos dimos cuenta, igualmente, de la necesidad de que el colectivo de ingenieros industriales entendiera el problema al que están expuestos como consecuencia de la convergencia de los sistemas de control al mundo IP. Para ello, diseñamos un elemento fundamental y muy innovador, S2Cyberlab®, que es una maqueta de una SmartCity y de Infraestructuras críticas gobernadas por sistemas reales de control industrial. El objetivo es diseñar ataques y defensas reales sobre esta instalación real para podérselo enseñar al colectivo que gestiona este tipo de sistemas y que vean en directo los riesgos a los que están sometidos.

Argópolis es un centro de operaciones de seguridad orientado a la prevención, detección y respuesta ante amenazas tanto en el ámbito de IT como en el ámbito de OT. Desde este centro se vigila la seguridad de numerosas infraestructuras y, en su caso, se gestiona el incidente para minimizar el impacto.