En 1998, Richard Clarke, exasesor especial del presidente de los Estados Unidos, habló por primera vez de un «Pearl Harbor electrónico» asegurando que «iría dirigido contra nuestra infraestructura civil y nuestro poderío industrial, así que sería mucho, mucho peor que Pearl Harbor». Razonaba su afirmación añadiendo que «gradualmente, a lo largo de los últimos 20 años, hemos hecho que todos nuestros sistemas de nuestras infraestructuras clave dependan de ordenadores o de sistemas controlados por ordenador». Desde entonces se ha discutido si tal escenario es posible, y 25 años después, el incremento de las capacidades cibernéticas ofensivas de diversos actores confirma que los ciberataques graves contra infraestructuras críticas nacionales son ya una realidad.
Las amenazas a las infraestructuras críticas siempre han existido en tiempos de conflicto, pero los escenarios actuales incluyen ahora ciberataques en tiempos de paz por parte no solo de actores Estatales, sino también de nuevos actores como organizaciones criminales o grupos hacktivistas, patrocinados o no por algunos Estados. La preocupación de los responsables políticos es grande, no solo por la amenaza, sino también porque la mayoría de las infraestructuras pertenece al sector privado, lo que requiere un delicado equilibrio entre política, regulación e incentivos para mejorar la seguridad.
Como consecuencia, la mayoría de los Estados consideran las infraestructuras críticas una prioridad estratégica para la ciberseguridad nacional. Además, son uno de los objetivos más frecuentemente incluidos en las estrategias nacionales de ciberseguridad que afectan directamente a la seguridad nacional.
Escenario inquietante para las infraestructuras críticas
Este inquietante escenario queda reflejado en diversos documentos oficiales de alto nivel. Respecto a la OTAN, su Nuevo Concepto Estratégico (firmado en Madrid en 2022) destaca que el ciberespacio es objeto de disputa en todo momento, y que los actores maliciosos tratan de degradar nuestras infraestructuras críticas, interferir en nuestros servicios gubernamentales, extraer información de inteligencia, robar propiedad intelectual y obstaculizar nuestras actividades militares.
En el ámbito de la Unión Europea se puede afirmar que la evolución de las amenazas ha producido un cambio de paradigma en las políticas comunes relativas a las infraestructuras críticas, que han pasado de estar centradas en la protección al concepto más amplio de resiliencia. Así lo refleja la Directiva 2022/2557 del Parlamento Europeo y del Consejo, relativa a la resiliencia de las entidades críticas, que deroga la anterior Directiva 2008/114/CE del Consejo sobre la identificación y designación de infraestructuras críticas europeas.
La mayoría de los Estados consideran las infraestructuras críticas una prioridad estratégica para la ciberseguridad nacional
El documento más reciente reconoce que la directiva inicial se centraba exclusivamente en la protección de las infraestructuras, pero que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones de las Infraestructuras críticas, las medidas de protección no bastan para evitar que se produzcan perturbaciones. Por tanto, era necesario optimizar el enfoque, que pasa a prestar mayor atención al refuerzo de las capacidades de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes, entre las que se incluyen los ciberataques, que puedan perturbar la prestación de servicios esenciales.
La nueva directiva de la Unión Europea también resalta que, al poner en marcha sus estrategias, los Estados miembros deben tener en cuenta la naturaleza híbrida de las amenazas para las entidades críticas.
Panorama español
En España, los ciberataques continúan siendo una de las principales amenazas para las infraestructuras estratégicas, habiendo crecido la superficie de exposición −y con ello el riesgo− con la implantación del teletrabajo. El último informe anual del Departamento de Seguridad Nacional afirma que se ha incrementado notablemente el riesgo de sufrir ciberincidentes, especialmente cibersabotajes, presumiblemente encubiertos como cibercrimen (ransomware), y ciberhacktivismo (ataques como los de denegación de servicio distribuidos) contra infraestructuras críticas nacionales, particularmente las relacionadas con el sector energético.
Por otro lado, la creciente preocupación en torno a las posibles backdoor implantadas en los equipos de determinados fabricantes ha llevado a muchos países a replantearse su disposición a permitir que estos proveedores suministren equipos para sus infraestructuras críticas.
Pero en el escenario actual no debemos ser alarmistas, sino realistas. Por un lado, los ataques que pueden generar efectos persistentes y de gravedad –más allá de meros daños sobre la reputación− no son tan sencillos de perpetrar como algunos consideran, pues, aunque inicialmente utilizan los mismos vectores de entrada y técnicas que otro tipo de acciones, posteriormente deben utilizar malware diseñado contra protocolos industriales específicos, lo que implica un mayor nivel de sofisticación.
En otro orden de cosas, la decisión de un Estado de lanzar esta clase de ataques no es trivial y existen numerosas consideraciones a ponderar sobre su legitimidad, ya que, en la mayoría de los casos, las infraestructuras críticas proporcionan servicio tanto a militares como a civiles.
Avances
Como aspecto sumamente positivo se debe reseñar que, en los últimos años, se han realizado avances relevantes en la protección de infraestructuras críticas al aumentar la colaboración entre los actores internacionales y nacionales involucrados. En el caso de España, se ha incrementado significativamente la cooperación entre los centros nacionales de respuesta a incidentes de seguridad de la información con competencias en la materia. Además, se han implantado medidas donde las Fuerzas Armadas (FAS) desempeñan un papel propio:
- Se está elaborando el catálogo de operadores esenciales con incidencia en la defensa nacional que debe permitir una mejor coordinación y apoyo entre los tres CERT de referencia: CCNCERT, Incibe-CERT y ESPDEF-CERT del Mando Conjunto del Ciberespacio.
- Las Fuerzas y Cuerpos de Seguridad y las FAS aportan capacidades mediante distintas operaciones permanentes, entre las que destacan las patrullas de vigilancia para reforzar la monitorización y seguridad de las infraestructuras críticas en los espacios de soberanía e interés nacional, que incluyen el ciberespacio.
- En el aspecto formativo, se han realizado seminarios con las FAS y las autoridades civiles sobre la «zona gris» con el fin de mejorar el conocimiento mutuo, la coordinación y apoyo de las FAS a las autoridades del Estado en el ciberespacio.
En definitiva, no se pretende destacar exclusivamente el punto de vista militar respecto a la protección de las infraestructuras críticas, sino resaltar la importancia de integrar el esfuerzo de todos los actores involucrados, incluyendo a las FAS a través de entidades como el Mando Conjunto del Ciberespacio, para afrontar las amenazas en el ámbito digital. Y todo, dentro de un esfuerzo común que tiene como objetivo garantizar la eficaz protección de nuestras infraestructuras y la seguridad nacional.
