redseguridad 076

Infraestructuras críticas y su ciberseguridad. ¿Tan mal como la pintan? L a seguridad en infraestructuras críticas ha despertado mucho interés en los últimos años, especialmente tras el descubrimiento de Stuxnet, algo que generó mucho revuelo mediático en 2010. Y es que tras la aparición de este malware pensado para retrasar el programa nuclear iraní, que afectó a centenares de centrifugadores de uranio para evitar que produjeran combustible nuclear, hemos conocido otras amenazas a infraestructuras críticas que llevaban activas durante mucho tiempo sin que nadie las descubriera. Los orígenes de este tipo de ciberataques se remontan a varias décadas atrás –algunos investiga- dores incluso apuntan a la segunda mitad de los años noventa–, lo que demuestra el interés que había y hay por parte de gobiernos y grupos de ciberdelincuentes de atacar este tipo de infraestructuras. Pero para saber por qué hay tanto interés en atacarlas debemos conocer su nivel de importancia. ¿Qué es una infraestructura crítica? Al hablar de infraestructuras críticas en España no podemos dejar de mencionar al Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC). Este organismo, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, se encarga de impulsar y coordinar los mecanismos necesa- rios para garantizar la seguridad de las infraestructuras críticas. Además de la defensa física, también incluye apartados con guías de protección frente a ciberataques. Es importante destacar la existen- cia de un organismo así en nuestro país, puesto que facilita, y mucho, la gestión de incidentes que afec- tan a este tipo de infraestructuras. Además, en la catalogación como infraestructura crítica se incluyen sectores como la Administración Pública, la gestión del agua, alimen- tación, energía, el espacio, la indus- tria química, la industria nuclear, la salud, el sistema financiero y tributa- rio, las tecnologías de la información y comunicaciones o el transporte, entre otras. Así pues, podríamos definir como críticas todas aquellas infraestructu- ras cuyo funcionamiento es indispen- sable y que no pueden ser sustitui- das, puesto que en caso de que algo fallase, esto tendría un impacto grave sobre los servicios esenciales en caso de perturbación o destrucción. ¿Qué amenazas les afectan? Además de los riesgos físicos, como los derivados de un desastre natu- ral, accidente o atentado terrorista convencional, el CNPIC (junto con el Instituto Nacional de Ciberseguridad) contempla también la posibilidad de que se produzcan incidentes de seguridad derivados de un cibera- taque. Este punto es el que ha cobra- do más importancia en los últimos años, puesto que, con la tendencia a interconectar cada vez más todo tipo de dispositivos e infraestructu- ras, se amplían también los posibles vectores de ataque. Si pensamos en cómo deberían estar organizados los sistemas de control de una de esas infraestructuras, normalmente éstos se encontrarían en su mayoría aislados de Internet y solo se comu- nicarían entre sí a través de una red interna debidamente protegida. Sin embargo, en la práctica nos encontramos con ejemplos que demuestran que eso no siempre es así y no es difícil encontrar ejemplos de sistemas de control industrial que 50 red seguridad primer trimestre 2017 especial Josep Albors Head of Awareness and Research de Eset España A rtículo ciberseguridad industrial monográfico