Red Seguridad 103

red seguridad cuarto trimestre 2023 21 servicios esenciales monográfico pasa a prestar mayor atención al refuer- zo de las capacidades de prevención, protección, respuesta, resistencia, mi- tigación, absorción, adaptación y recu- peración ante incidentes, entre las que se incluyen los ciberataques, que pue- dan perturbar la prestación de servicios esenciales. La nueva directiva de la Unión Euro- pea también resalta que, al poner en marcha sus estrategias, los Estados miembros deben tener en cuenta la na- turaleza híbrida de las amenazas para las entidades críticas. Panorama español En España, los ciberataques continúan siendo una de las principales amenazas para las infraestructuras estratégicas, ha- biendo crecido la superficie de exposición −y con ello el riesgo− con la implantación del teletrabajo. El último informe anual del Departamento de Seguridad Nacional afirma que se ha incrementado notable- mente el riesgo de sufrir ciberincidentes, especialmente cibersabotajes, presumi- blemente encubiertos como cibercrimen ( ransomware ), y ciberhacktivismo (ata- ques como los de denegación de servi- cio distribuidos) contra infraestructuras críticas nacionales, particularmente las relacionadas con el sector energético. Por otro lado, la creciente preocupación en torno a las posibles backdoor implan- tadas en los equipos de determinados fabricantes ha llevado a muchos países a replantearse su disposición a permitir que estos proveedores suministren equipos para sus infraestructuras críticas. Pero en el escenario actual no debe- mos ser alarmistas, sino realistas. Por un lado, los ataques que pueden generar efectos persistentes y de gravedad –más allá de meros daños sobre la reputa- ción− no son tan sencillos de perpetrar como algunos consideran, pues, aunque inicialmente utilizan los mismos vectores de entrada y técnicas que otro tipo de acciones, posteriormente deben utilizar malware diseñado contra protocolos in- dustriales específicos, lo que implica un mayor nivel de sofisticación. En otro orden de cosas, la decisión de un Estado de lanzar esta clase de ata- ques no es trivial y existen numerosas consideraciones a ponderar sobre su legitimidad, ya que, en la mayoría de los casos, las infraestructuras críticas proporcionan servicio tanto a militares como a civiles. Avances Como aspecto sumamente positivo se debe reseñar que, en los últimos años, se han realizado avances relevantes en la protección de infraestructuras críticas al aumentar la colaboración entre los actores internacionales y nacionales in- volucrados. En el caso de España, se ha incrementado significativamente la coo- peración entre los centros nacionales de respuesta a incidentes de seguridad de la información con competencias en la materia. Además, se han implantado medidas donde las Fuerzas Armadas (FAS) desempeñan un papel propio: Se está elaborando el catálogo de operadores esenciales con incidencia en la defensa nacional que debe per- mitir una mejor coordinación y apoyo entre los tres CERT de referencia: CCN- CERT, Incibe-CERT y ESPDEF-CERT del Mando Conjunto del Ciberespacio. Las Fuerzas y Cuerpos de Seguridad y las FAS aportan capacidades median- te distintas operaciones permanentes, entre las que destacan las patrullas de vigilancia para reforzar la monitoriza- ción y seguridad de las infraestructu- ras críticas en los espacios de sobera- nía e interés nacional, que incluyen el ciberespacio. En el aspecto formativo, se han reali- zado seminarios con las FAS y las au- toridades civiles sobre la “zona gris” con el fin de mejorar el conocimiento mutuo, la coordinación y apoyo de las FAS a las autoridades del Estado en el ciberespacio. En definitiva, no se pretende destacar exclusivamente el punto de vista militar respecto a la protección de las infraes- tructuras críticas, sino resaltar la impor- tancia de integrar el esfuerzo de todos los actores involucrados, incluyendo a las FAS a través de entidades como el Mando Conjunto del Ciberespacio, para afrontar las amenazas en el ámbito digital. Y todo, dentro de un esfuerzo común que tiene como objetivo garantizar la eficaz pro- tección de nuestras infraestructuras y la seguridad nacional.