Las infraestructuras críticas, tal y como se definen en el Plan Nacional de Protección de Infraestructuras, son “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”. En otras palabras, las infraestructuras críticas son aquellos sistemas físicos y virtuales que proporcionan funciones y servicios esenciales para dar respaldo a los sistemas sociales, económicos y ambientales, englobando por tanto sectores como Administración, Agua, Salud, Industria Química y Nuclear o Transportes, entre otros.
En la actualidad, el mundo está inmerso en un contexto de hiperconectividad en el que las sociedades desarrolladas dependen en gran medida de los servicios esenciales. Este tipo de infraestructuras son imprescindibles para el correcto funcionamiento de servicios básicos y sistemas de producción, por lo que cualquier tipo de fallo en estas redes, ya sea por causas técnicas o ataques deliberados, tienen graves consecuencias para la sociedad en general.
La digitalización e industrialización de los sectores hace que la prestación de los servicios esenciales esté cada vez más ligada a las redes y sistemas de información, debido fundamentalmente al tratamiento tan intenso que realizan de los datos, ya sean personales o no, así como a la creciente automatización de los procesos internos. Este hecho implica una mayor exposición a los riesgos que existen en Internet, un canal que abre la puerta a infecciones y ciberataques que ponen en riesgo la seguridad de la información y comprometen el funcionamiento de estas instituciones. La protección de las infraestructuras críticas es una de las mayores preocupaciones de cualquier país, puesto que el desarrollo de las sociedades reside mayoritariamente en estos servicios.
Según el Centro Criptológico Nacional, en 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico en España, lo que supone un crecimiento del 25 por ciento con respecto a los datos obtenidos en el ejercicio anterior. En este sentido, algunos estudios indican que España fue objetivo de más del 70 por ciento de los ciberataques a dispositivos IoT en la primera mitad de 2018. El aumento de los puntos de conexión dentro del tejido tecnológico de las empresas les obliga a tener muy presentes los riesgos que pueden surgir en términos de ciberseguridad, puesto que tanto los dispositivos como los puntos de acceso a la Red se configuran como los eslabones más débiles. Estos dos factores hacen que las organizaciones encuentren muchas dificultades a la hora de adaptarse y, consecuentemente, no estén aplicando prácticas de seguridad adecuadas para protegerse.
El primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en ver si la gestión de los recursos y las soluciones de protección se realizará de forma interna o si se externalizará
Por otra parte, los ataques a dispositivos IoT son la principal amenaza a la que hacen frente los servicios esenciales, pero ni mucho menos es la única. Aunque en cada sector la tipología de ciberamenazas varíe, lo cierto es que las principales tendencias en términos generales marcan el malware como el segundo tipo de ataque que más afecta a las infraestructuras críticas, seguido por los ataques dirigidos y los multivectoriales. Las infecciones de malware son, sin duda, una de las ciberamenazas más peligrosas debido a las consecuencias tan devastadoras que pueden generar. Sin ir más lejos, a lo largo de los últimos años hemos visto cómo un ataque dirigido a centrales eléctricas de Ucrania dejaba sin suministro a toda una ciudad, cómo la principal compañía petrolera de Arabia Saudí necesitó 10 días para librarse de un troyano instalado en más de 30.000 ordenadores de su red o cómo un ciberataque paralizó hasta 16 hospitales en Reino Unido, evitando así el correcto funcionamiento del sistema sanitario.
Asignatura pendiente
Las infraestructuras críticas se encuentran muy desprotegidas frente a las ciberamenazas, mientras que la falta de capacidad de respuesta frente a ataques cibernéticos se mantiene como la asignatura pendiente para garantizar la seguridad de los servicios esenciales. El principal motivo reside en que las tecnologías que se emplean en este tipo de sectores son, en su mayoría, herramientas comerciales, que son a su vez la variante de tecnologías donde se han descubierto más vulnerabilidades. Por tanto, a pesar de que las organizaciones están incorporando cada vez medidas de ciberseguridad de mayor calado, además de los habituales antivirus, firewalls o IDS/IPS, las empresas involucradas en actividades críticas tienen ante sí la necesidad de impulsar sus estrategias de ciberseguridad con el objetivo de garantizar la protección de la información y evitar la pérdida de un servicio esencial.
Desde Check Point nos esforzamos por destacar una ley básica: la gestión de las ciberamenazas es un factor crucial a la hora de garantizar la máxima seguridad. En este sentido, el primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en ver si la gestión de los recursos y soluciones de protección se realizará de forma interna o si, por el contrario, se externalizará. La situación actual, unida a la variedad de proveedores de ciberseguridad y la falta de talento específico en las empresas, hace que una gran parte de la gestión de estos riesgos se lleve a cabo externamente.
Algunos estudios indican que España fue objetivo de más del 70 por ciento de los ciberataques a dispositivos IoT en la primera mitad de 2018.
La pérdida de un servicio esencial como la falta de suministro eléctrico o la contaminación del agua son, sin lugar a duda, algunos de los ciberincidentes más peligrosos a los que la sociedad puede enfrentarse hoy en día. Este riesgo es aún mayor si tenemos en cuenta que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad. Sin embargo, es importante destacar que, poco a poco, se está produciendo un cambio de escenario, puesto que la mayoría de las organizaciones industriales empiezan a contemplar, al menos, requisitos básicos de ciberseguridad industrial en sus nuevos proyectos, siendo los correspondientes a las infraestructuras de comunicaciones donde se contempla mayor exigencia, tanto en las redes WAN (conexiones y accesos a redes remotas) y LAN (redes locales).
En definitiva, el panorama actual de las ciberamenazas y el nivel tan dispar de protección de las empresas pone de manifiesto el hecho de que todavía algunas organizaciones que operan servicios esenciales no están suficientemente preparadas para dar respuesta a los incidentes de ciberseguridad, por lo que todavía tienen un largo camino por recorrer para alcanzar los niveles de seguridad necesarios hoy en día. Sin embargo, también debemos ver el lado positivo y saber que hay razones que invitan a ser optimistas, ya que las empresas que se dedican a este tipo de actividades muestran cada vez un mayor nivel de concienciación y, por tanto, están realizando grandes esfuerzos para optimizar sus niveles de protección. En este sentido, las noticias, preocupantes, acerca del volumen e importancia de incidentes de ciberseguridad en este tipo de entornos así como los esfuerzos de los gobiernos en el ámbito normativo, han contribuido decisivamente a que las empresas se protejan de forma activa cada vez con mayor grado de inversión y profesionalidad.
