OPINIÓN

Josep Albors, Head of Awareness and Research de Eset España

Infraestructuras críticas y su ciberseguridad. ¿Tan mal como la pintan?

La seguridad en infraestructuras críticas ha despertado mucho interés en los últimos años, especialmente tras el descubrimiento de Stuxnet, algo que generó mucho revuelo mediático en 2010.

Y es que tras la aparición de este malware pensado para retrasar el programa nuclear iraní, que afectó a centenares de centrifugadores de uranio para evitar que produjeran combustible nuclear, hemos conocido otras amenazas a infraestructuras críticas que llevaban activas durante mucho tiempo sin que nadie las descubriera.

Los orígenes de este tipo de ciberataques se remontan a varias décadas atrás –algunos investigadores incluso apuntan a la segunda mitad de los años noventa–, lo que demuestra el interés que había y hay por parte de gobiernos y grupos de ciberdelincuentes de atacar este tipo de infraestructuras. Pero para saber por qué hay tanto interés en atacarlas debemos conocer su nivel de importancia.  

¿Qué es una infraestructura crítica?

Al hablar de infraestructuras críticas en España no podemos dejar de mencionar al Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC). Este organismo, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, se encarga de impulsar y coordinar los mecanismos necesarios para garantizar la seguridad de las infraestructuras críticas. Además de la defensa física, también incluye apartados con guías de protección frente a ciberataques.

Es importante destacar la existencia de un organismo así en nuestro país, puesto que facilita, y mucho, la gestión de incidentes que afectan a este tipo de infraestructuras. Además, en la catalogación como infraestructura crítica se incluyen sectores como la Administración Pública, la gestión del agua, alimentación, energía, el espacio, la industria química, la industria nuclear, la salud, el sistema financiero y tributario, las tecnologías de la información y comunicaciones o el transporte, entre otras.

Así pues, podríamos definir como críticas todas aquellas infraestructuras cuyo funcionamiento es indispensable y que no pueden ser sustituidas, puesto que en caso de que algo fallase, esto tendría un impacto grave sobre los servicios esenciales en caso de  perturbación o destrucción.

¿Qué amenazas les afectan?

Además de los riesgos físicos, como los derivados de un desastre natural, accidente o atentado terrorista convencional, el CNPIC (junto con el Instituto Nacional de Ciberseguridad) contempla también la posibilidad de que se produzcan incidentes de seguridad derivados de un ciberataque.

Este punto es el que ha cobrado más importancia en los últimos años, puesto que, con la tendencia a interconectar cada vez más todo tipo de dispositivos e infraestructuras, se amplían también los posibles vectores de ataque. Si pensamos en cómo deberían estar organizados los sistemas de control de una de esas infraestructuras, normalmente éstos se encontrarían en su mayoría aislados de Internet y solo se comunicarían entre sí a través de una red interna debidamente protegida.

Sin embargo, en la práctica nos encontramos con ejemplos que demuestran que eso no siempre es así y no es difícil encontrar ejemplos de sistemas de control industrial que se hallan visibles e incluso accesibles desde Internet. La mayoría de estos sistemas no tienen una relación directa con aquellos que se encargan de gestionar las infraestructuras críticas, pero pueden ser una puerta de entrada para que un atacante obtenga información confidencial que le permita elaborar un ataque más sofisticado en el futuro. 

eset_simbólica
Los dispositivos conectados a Internet son los que más se han de vigilar; pueden proporcionar acceso a un atacante a ciertos sistemas que no deberían ser manipulados.

Un ciberdelincuente que esté preparando un ataque a una de estas infraestructuras críticas podría buscar información relacionada con alguno de los controladores lógicos programables (PLC, por sus siglas en inglés) de ciertos fabricantes conocidos, tales como Siemens, RockWell o Schneider Electrics, por poner solo unos ejemplos. A partir de ahí podría intentar acceder a los dispositivos de este tipo que estén conectados a Internet probando, por ejemplo, alguna de las contraseñas por defecto que estos PLC suelen tener implementadas y que, en algunos casos, no pueden ser cambiadas.

Son precisamente estos dispositivos conectados a Internet los que más se han de vigilar, puesto que pueden proporcionar acceso a un atacante a ciertos sistemas de control que no deberían ser manipulados alegremente. Además, aunque un atacante no consiga tomar el control de estos sistemas, podría obtener información valiosa para intentar otros vectores de ataque. Muchas veces, estos dispositivos tienen conexión a Internet para facilitar su gestión remota, pero... se descuida su seguridad. Ésto es algo que se debe revisar a conciencia, puesto que si el riesgo es mucho mayor a los beneficios nunca deberíamos conectarlos a una red pública.

¿Su seguridad es la adecuada?

Contestar a esta pregunta, al menos de forma categórica, es difícil a día de hoy. Sabemos que la ciberseguridad de las infraestructuras críticas, al menos en España, está vigilada por un organismo público, y eso es algo a nuestro favor. No obstante, tampoco conocemos toda la información o técnicas (aunque sí un buen número de ellas) que pueden utilizar los ciberdelincuentes, por lo que nunca podemos estar seguros al cien por cien.

También hemos de ser conscientes de que la catalogación de infraestructuras críticas abarca tantas empresas, de sectores diferentes, que no se puede generalizar; no es lo mismo la seguridad que pueda aplicarse a una estación de televisión que a una central nuclear.

Lo que sí se puede mejorar es la protección frente a aquellos ataques conocidos, que pueden ser evitados adoptando una serie de buenas prácticas como las que indicamos a continuación:

  • La formación de los usuarios de estos sistemas debe ser continua y actualizada. No podemos permitir que, en pleno 2017, un usuario desprevenido abra un fichero malicioso sin revisar siquiera si el remitente es de confianza o si el archivo había sido solicitado.
  • Auditar los sistemas en busca de vulnerabilidades, especialmente aquellos que tengan agujeros de seguridad conocidos desde hace tiempo. También es recomendable  contactar periódicamente con el fabricante de los dispositivos más críticos para comprobar si existen actualizaciones de seguridad.
  • Las redes utilizadas para controlar estas infraestructuras deben estar lo suficientemente vigiladas y, en aquellos casos que lo requieran, aisladas del exterior. De esta forma se podrían detectar ataques desde el exterior y se impediría que se accediese a sistemas controlados desde una red interna.
  • El control de medios extraíbles es esencial en una infraestructura crítica, y no solo porque haya sido el vector de ataque usado en casos como Stuxnet. A la hora de proteger una infraestructura crítica, tan crítico es evitar que un pendrive con código malicioso se cuele en la red interna como que sea utilizado para sustraer información confidencial.

Conclusión

Los responsables de las infraestructuras críticas tienen ante sí un importante desafío a la hora de protegerse de ciberataques presentes y futuros. No obstante, tampoco hay que caer en el alarmismo innecesario, puesto que se están haciendo progresos a la hora de proteger dichas infraestructuras. Gobiernos y empresas son conscientes de los riesgos a los que se enfrentan y están tomando medidas para protegerse. Ahora falta que se inviertan los recursos necesarios y que se piense proactivamente, no solo cuando ya se ha producido el incidente.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual