Grupos vinculados a Rusia y China hackean la central nuclear de Sellafield

La central nuclear más peligrosa del Reino Unido, Sellafield, fue hackeada por grupos cibernéticos estrechamente vinculados a Rusia y China, declara The Guardian.

La sorprendente revelación y sus posibles efectos han sido encubiertos sistemáticamente por altos cargos del gigantesco centro para el desmantelamiento y residuos nucleares, ha develado la investigación.

The Guardian ha descubierto que las autoridades no saben exactamente cuándo se vieron comprometidos por primera vez los sistemas informáticos, sin embargo, según fuentes consultadas, las fisuras se detectaron por primera vez en 2015, cuando expertos se dieron cuenta de que en las redes informáticas de Sellafield se había incrustado malware durmiente, es decir, software que puede acechar y utilizarse para espiar o atacar sistemas.

Aún no se sabe si el malware ha sido erradicado. Esto podría significar que algunas de las actividades más delicadas de Sellafield, como el traslado de residuos radiactivos, la vigilancia de fugas de material peligroso y la detección de incendios, se han visto comprometidas.

Las fuentes sugieren que es probable que piratas informáticos (hackeadores) extranjeros hayan accedido a los niveles más altos de información confidencial de la central, que se extiende por 6 kilómetros cuadrados en la costa de Cumbria y es una de las más peligrosas del mundo.

Según las fuentes, el hecho de que Sellafield no alertara a los reguladores nucleares durante varios años hizo más difícil cuantificar el alcance de la pérdida de datos y los riesgos que corrían los sistemas.

Las revelaciones han sido publicadas en Nuclear Leaks, una investigación de un año de duración de The Guardian sobre el hackeo cibernético, la contaminación radiactiva y la cultura tóxica en el lugar de trabajo en Sellafield.

Sellafield cuenta con el mayor almacén de plutonio del planeta y es un vertedero de residuos nucleares procedentes de programas de armamento y de décadas de generación de energía atómica.

Vigilado por policías armados, también alberga documentos sobre planes de emergencia que se utilizarían en caso de que el Reino Unido sufriera un ataque extranjero o una catástrofe. Construida hace más de 70 años y conocida anteriormente como Windscale, fabricó plutonio para armas nucleares durante la guerra fría y ha recogido residuos radiactivos de otros países, como Italia y Suecia.

Según fuentes de la Oficina de Regulación Nuclear (ONR) y de los servicios de seguridad, The Guardian también puede revelar que Sellafield, que cuenta con más de 11 mil empleados, fue sometida el año pasado a un régimen de “medidas especiales” por fallos constantes en materia de ciberseguridad.

También se cree que el organismo de control se dispone a demandar a personas por fallos cibernéticos.

La ONR ha confirmado que Sellafield incumple sus normas en materia de ciberseguridad, pero no ha querido hacer comentarios sobre las infracciones ni sobre las acusaciones de “encubrimiento”.

Según un portavoz: “Algunos asuntos específicos son objeto de investigaciones en curso, por lo que no podemos hacer más comentarios en este momento”.

En un comunicado, Sellafield también declinó hacer comentarios sobre su falta de información a los reguladores, centrándose en cambio en las mejoras que dice haber realizado en los últimos años.

El problema de los servidores no seguros de Sellafield ha sido llamado Voldemort, por el villano de Harry Potter, según un funcionario del gobierno familiarizado con la investigación de la ONR y los fallos informáticos de la planta, porque era muy delicado y peligroso. Se trataba de datos muy delicados que podían ser explotados por enemigos de Gran Bretaña. El funcionario calificó la red de servidores de Sellafield de “fundamentalmente insegura”.

La magnitud del problema sólo se descubrió cuando el personal de un centro externo descubrió que podía acceder a los servidores de Sellafield y lo comunicó a la ONR, según una persona de dentro del organismo de control.

Otros motivos de preocupación son la posibilidad de que contratistas externos conecten tarjetas de memoria al sistema sin supervisión.

En un incidente muy delicado ocurrido el pasado mes de julio, los datos de acceso y las contraseñas de los sistemas informáticos de seguridad se difundieron por error en la televisión nacional a través de la serie Countryfile, de la BBC One, después de que se invitara al equipo de grabación a entrar en las instalaciones de seguridad para un reportaje sobre las comunidades rurales y la industria nuclear.

La ONR ha preparado una notificación de demanda para Sellafield en materia de ciberseguridad, una forma de acción coercitiva que sólo puede emprender si considera que existen “pruebas suficientes para ofrecer una perspectiva realista de sanción”.

Los problemas cibernéticos han sido conocidos por los altos cargos de la planta nuclear durante al menos una década, según un informe de 2012, visto por The Guardian, que advertía de que había “vulnerabilidades críticas de seguridad” que debían abordarse con urgencia.

Se descubrió que los recursos de seguridad de la época “no eran adecuados para vigilar la amenaza interna (del personal)… y mucho menos para reaccionar ante un aumento significativo de la amenaza externa”.

Más de una década después, el personal de Sellafield, los reguladores y fuentes de la comunidad de inteligencia creen que los sistemas del enorme vertedero de residuos nucleares siguen sin ser adecuados. También creen que hubo un esfuerzo deliberado por parte de altos dirigentes para ocultar la magnitud de los problemas que planteaban los problemas de ciberseguridad en la central a los funcionarios de seguridad encargados de comprobar la vulnerabilidad del Reino Unido a los ataques en los últimos años. Esto es objeto de un posible enjuiciamiento.

A los funcionarios de seguridad también les preocupa que la ONR haya tardado en compartir su información sobre los fallos cibernéticos en Sellafield porque indican que su propio escrutinio ha sido ineficaz durante más de una década.

El último informe anual de la ONR afirmaba que “se requieren mejoras” por parte de Sellafield y otras instalaciones para hacer frente a los riesgos de ciberseguridad. También confirmaba que la central estaba sometida a una “atención significativamente mayor” por esta actividad.

La ONR afirmó que había encontrado “deficiencias” de ciberseguridad durante sus inspecciones y señaló que había tomado “medidas coercitivas” como consecuencia de ello.

Tal es la magnitud de la preocupación por la ciberseguridad que algunos funcionarios creen que deberían construirse urgentemente sistemas completamente nuevos en el cercano centro de control de emergencias de Sellafield, una instalación segura separada.

Entre los documentos altamente sensibles archivados en Sellafield se encuentran los manuales de desastre, planes que guían a las personas a través de protocolos nucleares de emergencia y qué hacer durante un ataque extranjero al Reino Unido.

Estos documentos incluyen algunos de los aprendizajes de una serie de operaciones sensibles, incluido el Ejercicio Reassure en 2005 y los ejercicios periódicos Oscar, cuyo objetivo era poner a prueba la capacidad del Reino Unido para hacer frente a un desastre nuclear en Cumbria.

La ONR estaba tan preocupada por el hecho de que sitios externos pudieran acceder a los servidores de Sellafield, y por un aparente encubrimiento por parte del personal, que entrevistó a los equipos bajo caución. La junta de Sellafield celebró una investigación sobre el problema en 2013 y la ONR advirtió que exigiría más transparencia en materia de seguridad informática.

Los ciberataques y el ciberespionaje de Rusia y China figuran entre las mayores amenazas para el Reino Unido, según los responsables de seguridad. El Registro Nacional de Riesgos más reciente, documento oficial que recoge los principales peligros a los que podría enfrentarse el Reino Unido, incluye un ciberataque contra la infraestructura nuclear civil.

En los últimos años, atacantes de Estados hostiles han puesto en su punto de mira a aliados de la comunidad de intercambio de inteligencia “Cinco Ojos”. En junio de este año, las agencias gubernamentales de Estados Unidos, entre ellas el Departamento de Energía, fueron atacadas mediante un programa informático de transferencia de archivos.

El ala cibernética británica del GCHQ, que tiene oficinas en el centro de Londres y forma parte de la red de inteligencia nacional con sede en Cheltenham (Gloucestershire), ha advertido de un mayor riesgo de ciberataque contra infraestructuras nacionales críticas por parte de Rusia y China.

La creciente preocupación gubernamental por la participación china en las infraestructuras nacionales críticas del Reino Unido se ha traducido en los últimos años en la retirada de la empresa energética estatal china CGN del proyecto nuclear Sizewell C en Suffolk y en la retirada de los productos de Huawei del corazón de la red de telecomunicaciones.

Esto ha revertido una época de estrechas relaciones anglo-chinas, que culminó con el entonces primer ministro, David Cameron, saludando una “era dorada” entre los países y bebiendo cerveza con el primer ministro chino, Xi Jinping, en un bar de Buckinghamshire en 2015.

El Gobierno de Rishi Sunak ha defendido la expansión de la industria nuclear del país tras la crisis energética, retomando el camino que dejó su predecesor Boris Johnson. A principios de este año, el entonces secretario de Energía, Grant Shapps, puso en marcha Great British Nuclear, un organismo destinado a proporcionar nuevas centrales nucleares. Una generación de nuevos proyectos nucleares requerirá en última instancia una expansión de las actividades británicas de desmantelamiento.

GRÁFICA: Gráfico de The Guardian. Fuente: Organismo Internacional de la Energía Atómica. Sistema de información sobre reactores de potencia. Nota: Otras regiones incluye América Latina y el Caribe, Asia meridional, Medio Oriente y África septentrional y África subsahariana.

El desmantelamiento nuclear, una gran parte del cual se realiza en Sellafield, es uno de los mayores drenajes del presupuesto anual del departamento de negocios del gobierno británico. El funcionamiento de la central cuesta unos 2 mil 500 millones de libras al año. El desmantelamiento supone una factura tan elevada y a tan largo plazo que la Oficina de Responsabilidad Presupuestaria lo consideró un “riesgo fiscal” para la salud económica del Reino Unido. Se calcula que podría costar hasta 263 mil 000 millones de libras gestionar el legado de las industrias británicas de energía nuclear y armamento.

Esta cifra varía enormemente en función de cómo se calcule el flujo de caja futuro, y la OBR ha advertido de que los costos a largo plazo de Sellafield podrían variar entre menos un 50% y más un 300%.

Un portavoz de Sellafield declaró: “En Sellafield nos tomamos la ciberseguridad muy en serio. Todos nuestros sistemas y servidores tienen múltiples capas de protección.”

“Las redes críticas que nos permiten operar con seguridad están aisladas de nuestra red general de TI, lo que significa que un ataque a nuestro sistema de TI no penetraría en ellas.”

“En los últimos 10 años hemos evolucionado para afrontar los retos del mundo moderno, incluida una mayor atención a la ciberseguridad.”

“Trabajamos en estrecha colaboración con nuestro regulador. Como resultado del progreso que hemos hecho, tenemos una ruta acordada para bajar de la regulación significativamente mejorada.”

Un portavoz de ONR dijo: “Sellafield Ltd. actualmente no está cumpliendo con los altos estándares que requerimos en ciberseguridad, razón por la cual los hemos colocado bajo atención significativamente mejorada”.

“Algunos asuntos específicos están sujetos a investigaciones en curso, por lo que no podemos hacer más comentarios en este momento”.

Un portavoz del Departamento de Seguridad Energética y Red Cero dijo: “Esperamos los más altos estándares de seguridad y protección en el desmantelamiento de los antiguos emplazamientos nucleares, y el regulador tiene claro que la seguridad pública no está comprometida en Sellafield”.

“Muchas de las cuestiones planteadas son históricas y el organismo regulador lleva tiempo trabajando con Sellafield para garantizar la aplicación de las mejoras necesarias. Esperamos recibir actualizaciones periódicas sobre los progresos realizados”.

Traducción: Ligia M. Oliver

No te pierdas: Catástrofe para la biodiversidad: así podría ser el mundo en 2050 si no actuamos ya