Cada vez con más frecuencia, escuchamos o leemos noticias relativas a ataques o secuestros de información en hospitales, compañías aéreas, entidades públicas y otros organismos similares. El impacto en términos sociales y de servicio para la comunidad puede llegar a ser colosal, dado que eventos de ese tipo pueden golpear sobre los elementos más básicos para nuestra convivencia como sociedad.
Posiblemente, la primera vez que oímos hablar de servicios esenciales fue en la pandemia motivada por el COVID-19. De repente, un factor externo puso en peligro no solo nuestra salud, sino también el día a día de nuestra sociedad. Por tanto, cuando hablamos de servicios esenciales, nos referimos a aquellos que son imprescindibles para el funcionamiento de la sociedad y el bienestar de las personas.
Todos acudimos antes o después a un centro médico, consumimos agua del grifo cada día, confiamos nuestros ahorros a una entidad bancaria y estamos acostumbrados a comunicarnos con nuestro entorno por teléfono o Internet. Todos ellos son servicios esenciales. Por otro lado, tenemos las infraestructuras críticas necesarias para el adecuado desarrollo de esos servicios esenciales: centrales eléctricas, transporte, sistema bancario, telecomunicaciones o administraciones públicas, son claros ejemplos.
Hasta una valoración muy optimista puede intuir la envergadura del impacto de un eventual incidente de seguridad en una de las más de 3.500 infraestructuras críticas existentes en España. Pero ¿qué decir respecto a la probabilidad de que ocurra algún incidente de este tipo? El número de ataques cuyo objetivo son infraestructuras críticas ha aumentado de forma significativa en los últimos años. Así lo confirma el Security Report 2023 del proveedor de seguridad Check Point, donde se puede comprobar que los primeros puestos del ranking 2022 de los más atacados lo ocupan sectores relacionados con las infraestructuras críticas. Es muy significativo el tercer puesto del sector sanitario, que además ha experimentado un incremento de un 74 por ciento en el número de ataques respecto a 2021, según este estudio.
Este aumento ocurre por el creciente interés económico que suscita este tipo de acciones, pero también por su aspecto estratégico y geopolítico. En este sentido, la guerra de Ucrania ha sido un punto de inflexión, puesto que el ciberespacio supone una superficie más en términos de ataque, tanto en momentos de guerra como en sus preludios. Por supuesto, con las particularidades que tiene Internet, por ejemplo, en su alcance a nivel mundial, en la dificultad de atribución y en el objetivo de estos ataques, normalmente muy orientados a poner en jaque las infraestructuras críticas de un país.
Tecnologías en riesgo en las infraestructuras críticas
En este punto del texto, posiblemente estemos imaginando y pensando situaciones en las que se vean afectados recursos como grandes bases de datos, importantes sistemas de gestión (ERP, CRM…) y, en general, pérdidas de datos en el ámbito clásico de las tecnologías de la información (IT) que, efectivamente, pueden comprometer la actividad normal de un servicio esencial.
En el momento tecnológico que vivimos es muy relevante contar con estrategias de seguridad para el Internet de las Cosas
Pero cuando hablamos de infraestructuras críticas no debemos perder de vista la tecnología más íntimamente relacionada con la operación (OT). Quizá fuese en 2010, con Stuxnet, cuando se dio la primera evidencia de código malicioso diseñado específicamente para espiar y alterar el funcionamiento de sistemas SCADA (Supervisory Control And Data Acquisition), responsables del control de las propias instalaciones.
En el momento tecnológico que vivimos de crecimiento en la adopción de dispositivos conectados y controlados en remoto, el tan mencionado Internet de las cosas (IoT), es muy relevante contar con estrategias de seguridad también para esta tecnología. Nos referimos, por ejemplo, a proteger asuntos críticos como puede ser interferir en los sistemas que controlan una planta de generación eléctrica u otros más moderados en apariencia, como la intervención remota de un ascensor. Y digo en apariencia con conocimiento de causa, porque el ascensor es el medio de transporte más usado a diario, algunos de ellos cumplen funciones clave, su funcionamiento seguro es fundamental y, también están conectados en gran parte.
Ecosistema PIC
Pues bien, todo lo anterior se encuentra en manos de los llamados operadores críticos, entidades u organismos responsables de las inversiones o de la actuación día a día de una infraestructura crítica. Su actividad viene regulada por la Ley 8/2011, en la cual se crea la Comisión Nacional para la Protección de las Infraestructuras Críticas, responsable de la designación de estos operadores críticos. Pero no solo los operadores críticos, sino también todos los actores que son parte de sus cadenas de suministro y valor tienen retos muy relevantes, particularmente en el área de ciberseguridad. Un ecosistema de cientos o miles de empresas que, en mayor o menor medida, son responsables de elementos básicos de nuestro bienestar diario.
En primer lugar, es necesario invertir en elementos tecnológicos (hardware y software), así como en equipos de trabajo y perfiles especializados. Todo ello dirigido hacia la identificación, valoración y mitigación de riesgos. Riesgos cuya base cada vez es más sofisticada y que tienen una superficie de afección mayor. Pensemos, por ejemplo, en el exponencial crecimiento de uso de técnicas basadas en inteligencia artificial, también en el desarrollo de estrategias maliciosas de ataque y, por supuesto, en la innovación en técnicas de detección y respuesta.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el artículo completo?
