Sellafield Ltd, la empresa encargada de gestionar una de las mayores instalaciones nucleares de Europa, se ha declarado culpable de los cargos relacionados con fallos de ciberseguridad en la instalación. La empresa se disculpó por sus deficiencias después de que el tribunal de magistrados de Westminster se presentara con una letanía de fallos de seguridad que podrían haber amenazado la seguridad nacional del Reino Unido. El sitio de Sellafield se utilizó para procesar y almacenar residuos nucleares, y es uno de los mayores almacenes de plutonio del mundo, empleando a más de 10.000 personas del área de Cumbria. Múltiples investigaciones sobre la postura de seguridad de la instalación revelaron vulnerabilidades asombrosas que expusieron la operación a una amplia gama de ataques cibernéticos potencialmente devastadores. Una investigación de The Guardian sobre la seguridad del sector nuclear descubrió que los contratistas de Sellafield podían acceder fácilmente a sistemas críticos, describiendo cómo un contratista podía conectar una memoria USB al sistema informático del sitio sin supervisión. La investigación también descubrió que muchos miembros del personal que trabajaban en el sitio de Sellafield se referían a sus deficiencias cibernéticas como Voldemort, ya que eran muy sensibles y peligrosas. Además, un informe Un informe de la empresa de seguridad francesa Atos, subcontratista de la planta de Sellafield, descubrió que el 75% de sus servidores eran vulnerables a ataques cibernéticos. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. La propia investigación de Sellafield, dirigida por la firma de TI externa Commissum, concluyó que cualquier «pirata informático razonablemente capacitado o persona con información privilegiada maliciosa» podría acceder a datos confidenciales y cargar malware en la red. La Oficina de Regulación Nuclear (ONR) presentó cargos contra la empresa a cargo de la instalación en junio, en relación con fallas de seguridad criminal en el sitio durante cuatro años entre 2019 y 2023. Nigel Lawrence KC, en representación de la ONR, destacó la mala gobernanza de TI de la organización, explicando al tribunal que era posible descargar y ejecutar archivos maliciosos en las redes del sitio a través de un ataque de phishing «sin generar ninguna alarma». Los fallos cibernéticos de Sellafield «son nada menos que catastróficos» En declaraciones a ITPro, Mark Flynn, experto en ciberseguridad de Computer Care, dijo que estaba sorprendido por el nivel de negligencia mostrado por los encargados de administrar la instalación. «Los fallos de ciberseguridad en Sellafield son nada menos que catastróficos. «Que una instalación de tanta importancia nacional tenga el 75% de sus servidores vulnerables a ataques cibernéticos es más que una negligencia: es un desastre a punto de ocurrir», advirtió. «El uso de tecnología obsoleta como Windows 7 y Windows 2008 en una instalación nuclear es particularmente alarmante. Estos sistemas ya no cuentan con actualizaciones de seguridad, lo que los deja totalmente expuestos a la explotación. Es como dejar las llaves del reino debajo del felpudo y esperar que nadie se dé cuenta». Flynn agregó que lo que encontró más preocupante fue el tiempo que estas debilidades no se abordaron. «Lo que es más preocupante es la duración de estas vulnerabilidades. Cuatro años es una eternidad en términos de ciberseguridad. «El hecho de que información nuclear sensible haya quedado expuesta durante tanto tiempo sugiere una cultura de complacencia que no tiene cabida en un entorno de tan alto riesgo», explicó. «La posibilidad de que se descarguen y ejecuten archivos maliciosos en las redes de Sellafield sin que se active ninguna alarma es francamente aterradora. Este nivel de vulnerabilidad en un sitio que alberga el mayor depósito de plutonio del mundo es inaceptable y supone una amenaza importante para la seguridad nacional». Las capacidades cibernéticas de Sellafield deben reconstruirse por completo, argumentó Flynn, afirmando que las empresas del Reino Unido deberían tratar este caso como una «llamada de atención» para reevaluar su postura defensiva. «De cara al futuro, Sellafield necesita una revisión completa de su cultura de ciberseguridad. Esto significa pruebas de penetración periódicas, supervisión continua y un enfoque proactivo para identificar y mitigar las vulnerabilidades. El liderazgo debe priorizar la ciberseguridad en todos los niveles de la organización y asegurarse de que se trate con la urgencia e importancia que exige», afirmó. «Todas las empresas y organizaciones del Reino Unido deberían tomar esto como una llamada de atención. En nuestro mundo cada vez más digital, la ciberseguridad es tan crucial como la seguridad física cuando se trata de proteger nuestros activos. No podemos permitirnos el lujo de dejar que la complacencia se apodere de nosotros cuando hay tanto en juego». La defensa acusa a la fiscalía de «sobrealimentar» las reclamacionesSellafield Ltd se declaró culpable de los cargos presentados por la ONR, y Euan Hutton, director ejecutivo de la instalación, se disculpó por sus fallos en una declaración escrita. «Me disculpo nuevamente en nombre de la empresa por los asuntos que llevaron a estos procedimientos… Creo sinceramente que los problemas que llevaron a este procesamiento son cosa del pasado». Paul Greaney KC, que representa a la empresa, señaló que la empresa había hecho algunos esfuerzos para abordar sus flagrantes deficiencias de seguridad. Esto incluyó cambiar la gestión de TI en el sitio, así como crear un nuevo centro de datos seguro para alojar los datos confidenciales de la instalación. Añadió que la fiscalía había exagerado innecesariamente las fallas de seguridad en Sellafield, argumentando que había «sobrealimentado» los problemas y rechazó las afirmaciones de la ONR de que los problemas eran el resultado de medidas de ahorro de costes. La empresa ahora está esperando la sentencia final, que se espera que tenga lugar dentro de cuestión de semanas, potencialmente en septiembre según la ONR.