Antonio Ramos, Leet Security
Antonio Ramos CEO Leet Security

Las infraestructuras digitales son servicios esenciales

Centro de procesamiento de datos

Nuestros datos se manejan en gran medida, y cada vez más, en infraestructuras digitales gestionadas por cada vez menos empresas de las que una de cada cuatro ha sufrido un ciberataque el pasado año. Para proteger estas infraestructuras es necesario primero entender cuál es su nivel de capacidades de ciberseguridad. Ya lo sabíamos, una consecuencia de la creciente digitalización de la sociedad es una dependencia cada vez mayor de las infraestructuras digitales. En la medida en la que los procesos se automatizan, más y más sistemas informáticos se van haciendo más y más críticos y esenciales. A esto se le suma además lo que podríamos denominar como efecto «the winner takes it all»: el reducido coste marginal de las operaciones conduce a una situación de concentración (los operadores deben fusionarse para que, el cada vez menor margen, siga siendo rentable económicamente).

Combinando ambos fenómenos, vemos que cada vez somos más dependientes de cada vez menos prestadores de servicios. Por ejemplo, en el mercado de cables submarinos, menos de 20 compañías (entre las que figuran nombres tan conocidos como Google, Microsoft, Facebook o Amazon) copan el 80 por ciento del mercado. Un mercado, por cierto, que se espera que crezca a una tasa de crecimiento anual compuesto (CAGR) de entre un 10 y un 20 por ciento entre 2023 y 2030.

En el mercado de centros de procesamiento de datos la situación es similar y nos encontramos con un CAGR esperado del 10 por ciento para el mismo período. Como dato anecdótico, vemos que en 2022 se produjeron 187 operaciones de fusiones y adquisiciones (es decir, concentración). Además, según Synergy Research Group, en 2022 el número de centros de datos hiperescalares excedía los 800, o sea que podríamos decir que Internet reside en algo más de 800 ubicaciones.

Para abundar en esta concentración hay, además, una la tendencia hacia el outsourcing. Según el último estudio Global Data Center Survey de 2023 de Uptime Institute1, por primera vez, el porcentaje de la carga de procesamiento alojado en centros propios ha caído por debajo del 50 por ciento (en concreto, un 48 por ciento) y la previsión para 2025 es que baje aún más hasta el 43 por ciento.

Los centros de procesamiento de datos son parte de las infraestructuras esenciales para el funcionamiento de la sociedad

En definitiva, parece que la historia se repite. Al igual que en la revolución industrial la energía pasó de generarse de manera individual a ser consumida de compañías eléctricas que concentran la producción y distribución, parece que en la «Era del Conocimiento» la capacidad de almacenamiento y procesamiento (la nueva energía) también está pasando de realizarse de manera individual a consumirse de grandes productores.

Centros de procesamiento

En los últimos meses hemos visto a grupos como APT41 dirigir sus ataques hacia infraestructuras energéticas2 como parte de su estrategia para vulnerar las infraestructuras digitales. Siendo conscientes de que los centros a los que dan servicio alojan modelos de inteligencia artificial y machine learning, estos atacantes se enfocan en los sistemas de refrigeración, deshabilitando los flujos de aire y dañando los servidores, CPU y GPU asumiendo que los servidores web, las VPN y los equipos finales no cuentan con una adecuada protección y microsegmentación3.

Por circunstancias como ésta se han puesto en marcha iniciativas en diferentes países para mejorar la protección de este tipo de infraestructuras. Por ejemplo, recientemente el Parlamento del Reino Unido ha lanzado una consulta sobre la ciberresiliencia de las infraestructuras digitales como parte de su estrategia de protección de las infraestructuras críticas4.

Ciberseguridad de las infraestructuras digitales

La encuesta Data Center Security de Uptime Institute realizada entre abril y mayo de 20235 pone de manifiesto conclusiones muy relevantes:

  • Una de cada cuatro organizaciones han experimentado un ciberataque o un acceso no autorizado a sus sistemas (tanto IT como OT) en el pasado año. Dado que los centros de procesamiento están cada vez más conectados, es de esperar que estos incidentes sean cada vez más frecuentes.
  • Las aproximaciones a la ciberseguridad varían mucho entre los operadores. Algunos encuestados realizan revisiones con más frecuencia que otros y con un nivel de detalle también variable, en función de factores como el coste y la regulación aplicable.
  • La confidencialidad de los datos de los clientes es la preocupación más relevante en relación a la ciberseguridad. Probablemente debido a la gravedad de las consecuencias en caso de brechas de datos.
  • La mayoría de los sistemas IT y OT pueden ser gestionados remotamente, lo que puede mejorar la eficiencia, pero también introduce mayores vulnerabilidades en ciberseguridad.

Conclusión

Viendo la vital importancia actual y creciente de los centros de procesamiento, es indudable que estas instalaciones son parte de las infraestructuras esenciales para el funcionamiento de la sociedad. Ya hace tiempo que los nodos de conexión a Internet eran infraestructuras protegidas, pero desde la aparición de la Directiva NIS y, en particular, cuando se trasponga la nueva NIS 2, los servicios de centros de datos serán considerados de alta criticidad y eso conllevará que sea necesario mejorar su nivel de ciberseguridad; es decir, aumentar el nivel de protección de los sistemas IT y OT que permiten operar dichas instalaciones. Para ello, lo primero es entender cuál es el nivel de capacidades de ciberseguridad de esos sistemas. Es esencial.

Referencias

1https://uptimeinstitute.com/resources/research-and-reports/uptime-institute-global-data-center-survey-results-2023

2China-Linked Hackers Breached a Power Grid—Again, https://www.wired.com/story/china-redfly-power-grid-cyberattack-asia/

3Securing generative AI starts with sustainable data centers, https://venturebeat.com/data-infrastructure/securing-generative-ai-starts-with-sustainable-data-centers/

4https://committees.parliament.uk/work/7934/cyber-resilience-of-the-uks-critical-national-infrastructure/

5UI Data Report 113, de octubre de 2023, Network complexity heightens cyber-risks for data centers, https://intelligence.uptimeinstitute.com/resource/network-complexity-heightens-cyber-risks-data-centers

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad