Se denominan infraestructuras críticas a aquellos sistemas y servicios que soportan infraestructuras esenciales para el desarrollo de la sociedad tal y como las conocemos actualmente, y que garantizan el normal funcionamiento de los servicios prestados por los estados. De acuerdo con esta definición, existen sectores que por sus características son especialmente sensibles, como, por ejemplo, el eléctrico, el agua, el gas, el transporte, el químico, las comunicaciones, el sistema financiero, el sanitario, etc. Todos tienen la particularidad de que la disponibilidad de los servicios y suministros que prestan son críticos, ya que cualquier tipo de incidente que les ocurra podría afectar a los servicios de una sociedad.
También debemos tener en cuenta que existe una interdependencia de las infraestructuras críticas entre ellas, al estar interconectadas desde varios Estados. Esto se debe al desarrollo del Espacio Económico Común Europeo, que avanza hacia la interconexión de infraestructuras esenciales entre Estados europeos, realizando un aprovechamiento común de los recursos y servicios. Este nuevo panorama tiene como consecuencia que un incidente de seguridad en una de las infraestructuras críticas de un Estado miembro podría afectar a terceros países.
Dada la importancia que tienen las infraestructuras críticas y el contexto geopolítico en el que nos encontramos, el empleo de ciberataques como elemento desestabilizador se ha convertido en una realidad. Este tipo de ataques nos plantean un nuevo escenario en el que los ciberataques se enmarcan en el concepto de «guerras híbridas», en las que éstos formarían parte de ese nuevo concepto, convirtiendo a las infraestructuras críticas del contrario en principales objetivos.
Debido a que cualquier ataque destinado a este tipo de sectores podría afectar a la estabilidad de un Estado o de varios, en el contexto europeo se da la circunstancia de que la responsabilidad de estos sistemas recae en empresas privadas, lo que obliga a disponer de una serie de medidas de seguridad adicionales para protegerlas.
Sistemas industriales
En concordancia con lo anterior, debemos tener en cuenta la problemática específica de los sistemas industriales, ya que en su origen no han sido diseñados teniendo presente la implementación de medidas de seguridad.
Habitualmente nos encontramos con la falta de actualizaciones de seguridad por obsolescencia de los equipos, la aplicación del principio basado en «seguridad por oscuridad» –los sistemas no disponen de conexiones fuera de las redes de operación–, la falta de parcheado para resolver las vulnerabilidades detectadas, contraseñas por defecto y sistemas que carecen de cualquier medida de seguridad, además de una gran variedad de dispositivos conectados a redes no confiables.
Adicionalmente, nos encontramos en un momento de cambio tecnológico profundo que afecta a los entornos industriales, debido a que se requiere una mayor accesibilidad a la información en tiempo real para una mejor toma de decisiones y conseguir una mayor eficiencia en los procesos productivos. Además de aplicarse, en un futuro próximo, tecnologías disruptivas en entornos industriales como Internet de las Cosas, Big Data o cloud computing.
Ejemplo de ataques
Por último, es necesario hacer un repaso a algún caso de ciberataques a infraestructuras críticas, que van desde la afectación a una planta de gas o una estación de tratamiento de agua, hasta la manipulación de sistemas de gestión de tráfico o el ataque cibernético a una central nuclear.
Contamos con una serie de casos que se han producido en el pasado como, por ejemplo, el que tuvo lugar en 2008, cuando un joven hacker consiguió manipular el control de cambio de vías del tren; u otra tipología de ataque conocido como Night Dragon, cuyo principal objetivo era realizar tareas de espionaje y robo de información sensible en el sector de las utilities.
Otro ejemplo de ataque se dio a través del troyano BlackEnergy, que tenía como objetivo la industria eléctrica de Europa del Este y que pretendía conseguir una denegación de servicio en la industria infectada mediante sabotaje. Este ataque supuso el primer ciberataques que logró afectar a un servicio esencial.
Sabotajes como el de Maroochy Shire (Australia), que supuso el vertido de aguas residuales por parte de un antiguo empleado despedido que disponía de las claves de acceso, y el ataque a la central nuclear de Natanz (Irán) mediante el empleo de Stuxnet, que permitía atacar a los PLC reprogramándolos y permitiendo apagar y encender los refrigeradores, son otros ejemplos.
Obviamente, a lo largo de los últimos años hemos conocido diversos ataques que, en ocasiones, han pasado desapercibidos para el público en general; pero que, por su impacto, se deben tomar como referencia de lo que puede implicar para la sociedad una amenaza de este tipo.
Concienciación de los Estados
Para hacer frente a esta situación, desde los gobiernos se están realizando diferentes esfuerzos en varios ámbitos, con el fin de hacer frente a la problemática y afrontar los retos de los sistemas industriales. Desde el ámbito europeo, se ha desarrollado una nueva normativa con el objetivo de que las infraestructuras dispongan de unas medidas de seguridad mínimas. Dichas medidas se enmarcan dentro de la Directiva europea destinada a garantizar un elevado grado común de seguridad de las redes y sistemas de información en la Unión (UE 2016/1148), también conocida como Directiva NIS, de reciente transposición a la legislación nacional española.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este contenido.
¿Quieres leer el contenido completo?
