REDSEGURIDAD 083

Ciberseguridad en las infraestructuras críticas S e denominan infraestructuras crí- ticas a aquellos sistemas y servi- cios que soportan infraestructuras esenciales para el desarrollo de la sociedad tal y como las conocemos actualmente, y que garantizan el normal funcionamiento de los servi- cios prestados por los estados. De acuerdo con esta definición, existen sectores que por sus características son especialmente sensibles, como, por ejemplo, el eléctrico, el agua, el gas, el transporte, el químico, las comunicaciones, el sistema finan- ciero, el sanitario, etc. Todos tienen la particularidad de que la disponibi- lidad de los servicios y suministros que prestan son críticos, ya que cualquier tipo de incidente que les ocurra podría afectar a los servicios de una sociedad. También debemos tener en cuen- ta que existe una interdependencia de las infraestructuras críticas entre ellas, al estar interconectadas desde varios Estados. Esto se debe al desarrollo del Espacio Económico Común Europeo, que avanza hacia la interconexión de infraestructuras esenciales entre Estados europeos, realizando un aprovechamiento común de los recursos y servicios. Este nuevo panorama tiene como consecuencia que un incidente de seguridad en una de las infraestruc- turas críticas de un Estado miembro podría afectar a terceros países. Dada la importancia que tienen las infraestructuras críticas y el contexto geopolítico en el que nos encon- tramos, el empleo de ciberataques como elemento desestabilizador se ha convertido en una realidad. Este tipo de ataques nos plantean un nuevo escenario en el que los ciberataques se enmarcan en el concepto de "guerras híbridas", en las que éstos formarían parte de ese nuevo concepto, convirtiendo a las infraestructuras críticas del contrario en principales objetivos. Debido a que cualquier ataque destinado a este tipo de sectores podría afectar a la estabilidad de un Estado o de varios, en el contexto europeo se da la circunstancia de que la responsabilidad de estos sistemas recae en empresas pri- vadas, lo que obliga a disponer de una serie de medidas de seguridad adicionales para protegerlas. Sistemas industriales En concordancia con lo anterior, debemos tener en cuenta la proble- mática específica de los sistemas industriales, ya que en su origen no han sido diseñados teniendo presen- te la implementación de medidas de seguridad. Habitualmente nos encontramos con la falta de actualizaciones de seguridad por obsolescencia de los equipos, la aplicación del principio basado en "seguridad por oscu- ridad" –los sistemas no disponen de conexiones fuera de las redes de operación–, la falta de parchea- do para resolver las vulnerabilidades detectadas, contraseñas por defecto y sistemas que carecen de cualquier medida de seguridad, además de una gran variedad de dispositivos conectados a redes no confiables. Adicionalmente, nos encontramos en un momento de cambio tecno- lógico profundo que afecta a los entornos industriales, debido a que se requiere una mayor accesibilidad a la información en tiempo real para una mejor toma de decisiones y conseguir una mayor eficiencia en los procesos productivos. Además de aplicarse, en un futuro próximo, tecnologías disruptivas en entornos industriales como Internet de las Cosas, Big Data o cloud computing . Ejemplo de ataques Por último, es necesario hacer un repaso a algún caso de ciberataque a infraestructuras críticas, que van desde la afectación a una planta de gas o una estación de tratamiento de agua, hasta la manipulación de siste- mas de gestión de tráfico o el ataque cibernético a una central nuclear. Contamos con una serie de casos que se han producido en el pasado como, por ejemplo, el que tuvo lugar en 2008, cuando un joven hacker consiguió manipular el control de cambio de vías del tren; u otra tipolo- gía de ataque conocido como Night Dragon, cuyo principal objetivo era realizar tareas de espionaje y robo de información sensible en el sector de las utilities . Otro ejemplo de ataque se dio a través del troyano BlackEnergy, 20 red seguridad cuarto trimestre 2018 Equipo de ciberseguridad de everis Aeroespacial y Defensa opinión pic monográfico