Un gran escudo contra atentados sobre sistemas vitales
Cada vez hay más infraestructuras críticas y la digitalización las hace más vulnerables. Su defensa requiere una constante vigilancia y actualización de las herramientas
Stuxnet. Ese es el nombre del gusano informático que saboteó durante meses las centrifugadoras de la planta de Natanz y puso en jaque el programa nuclear iraní en 2010. En mayo del año pasado, Colonial Pipeline ...
Stuxnet. Ese es el nombre del gusano informático que saboteó durante meses las centrifugadoras de la planta de Natanz y puso en jaque el programa nuclear iraní en 2010. En mayo del año pasado, Colonial Pipeline se vio obligada a interrumpir la actividad en uno de sus oleoductos, que transporta combustible de Texas a Nueva York, después de un ciberataque. La compañía pagó cinco millones de dólares en bitcoin, de los que una parte fue recuperada más tarde por el FBI, para recobrar los datos robados. Estos dos ataques evidencian la importancia de proteger las infraestructuras críticas de un país sobre las que se apoyan acciones básicas que damos por sentadas, como encender la luz, llenar el depósito del coche o pagar con tarjeta.
Una infraestructura crítica es aquella estratégica—las instalaciones, redes, sistemas y equipos físicos y tecnologías de la información, sobre las que descansa la actividad de los servicios esenciales— cuyo funcionamiento es indispensable. Y que, además, no permite alternativas y cuyo fallo tendría un impacto grave en los servicios fundamentales a los que da soporte.
Se sabe qué son, pero no cuáles. Una infraestructura crítica puede ser, por ejemplo, una central energética, un aeropuerto, un hospital o un sistema de suministro de agua, pero el listado de instalaciones concretas catalogadas como tal es secreto. “Solo en España hay más de 3.000 y están en todos los sectores: financiero, administración, TIC, químico, nuclear…”, dice José Javier Martínez Herráiz, director de la cátedra de ISDEFE de Ciberseguridad y profesor del Área de Computación e Inteligencia Artificial de la Universidad de Alcalá. La ley establece doce sectores estratégicos entre los que, además de los mencionados, están también el transporte, la alimentación y la salud, entre otros.
“La seguridad de las infraestructuras críticas se aborda desde una perspectiva integral”, comentan fuentes del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) por correo electrónico. “Abarca desde la seguridad física, la seguridad corporativa, la seguridad interna o la seguridad de las redes y los sistemas de información y comunicación de estas instalaciones”. El objetivo es optimizar su seguridad principalmente, dicen, contra agresiones deliberadas. “Y, muy especialmente, contra ataques terroristas”.
Es precisamente la experiencia respecto a este tipo de amenazas lo que, a ojos de Manuel Sánchez Gómez-Merelo, ha dado cierta ventaja a España a la hora de abordar su protección. “Por nuestra época en temas de terrorismo local, pero también internacional, sí tenemos que considerar que se ha hecho un trabajo excepcional durante los últimos 30 años. Eso nos ha llevado a que nosotros ya tuviéramos mucho avanzado”, cuenta este consultor internacional de Seguridad y director de programas de Protección de Infraestructuras Críticas en el Instituto General Gutiérrez Mellado de la UNED.
Hoy en día, dice Félix Arteaga, investigador del think tank Real Instituto Elcano, España está más avanzada en la media general en materia de regulación, estrategia, planteamiento y políticas de seguridad que otros países. “Podemos considerar que hemos obtenido modelos de éxito que están siendo exportados desde hace años. Fundamentalmente, como no podría ser de otra forma, en nuestras relaciones en Latinoamérica”, dice por su parte Sánchez.
En 2008, la UE promulgó una directiva sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. De aquel texto derivó la Ley 8/2011 para su protección y de esta, el propio CNPIC, dependiente del Ministerio del Interior y formado por miembros de las Fuerzas y Cuerpos de Seguridad del Estado. Uno de los objetivos principales de esta ley fue proporcionar una base, a través del establecimiento de medidas de protección, para la coordinación eficaz de la Administración y los gestores o propietarios de estas infraestructuras para lograr una mayor seguridad.
Hasta el momento se han identificado alrededor de 250 de operadores críticos, de acuerdo con las cifras facilitadas por el CNPIC. “Más del 80% de las infraestructuras clasificadas como críticas están en manos de operadores privados”, comenta Sánchez. La cooperación entre segmentos de diferente titularidad resulta fundamental y el modelo establecido, de acuerdo con el experto, ha resultado exitoso. El CNPIC define “el espíritu de colaboración público-privada, así como el de la público-pública” como “la piedra angular” del avance hasta el sistema actual, que califica de “sólido y de reconocido prestigio a todos los niveles”.
Los gestores de estas infraestructuras son los que han de identificar, clasificar y evaluar los riesgos antes de establecer los planes de seguridad y contingencia, que han de enmarcarse dentro de la política de seguridad de cada sector y operador, definida por el CNPIC, cuenta Sánchez. Luego se establece el plan de gestión del riesgo, dice, que es diferente para cada instalación y en cada momento. Con todo esto se diseña y se desarrolla el plan específico para cada instalación crítica del operador en cada sector. “Esa es la base fundamental y son planes dinámicos. No se tienen en una estantería o un ordenador porque lo dice la ley”.
Las infraestructuras críticas necesitan escudarse frente a amenazas tanto en el mundo físico, desde ofensivas deliberadas a catástrofes naturales, como en el digital. “Quizá sí sea el ciberespacio un campo de actuación en alza para perpetrar actividades criminales sobre los operadores críticos”, dicen en el CNPIC. Sin embargo, recuerdan, el ataque a uno de estos actores no significa necesariamente un ataque a sus infraestructuras críticas o estratégicas.
Pero no hay duda de que la digitalización aumenta su exposición. “La hiperconectividad de la sociedad, las tecnologías disruptivas, en definitiva, la transformación digital supone en algunos campos una mejora de la productividad, la eficiencia, reducción de costes y otras ventajas”, cuentan en el Centro. “Pero, también, por otra parte, descubren unas nuevas vulnerabilidades que intentan ser explotadas por grupos delictivos”. La exposición, comenta Martínez, será todavía mayor con la llegada del 5G.
El mundo en ceros y unos ofrece a los atacantes una serie de ventajas estratégicas frente a las acciones convencionales, como el anonimato, la deslocalización o una relación coste-beneficio atractiva, entre otros aspectos. Así que, las incidencias en este ámbito no son raras. “Hay ataques diarios”, dice Martínez, “otra cosa es qué tipo de atacante está yendo contra ti. Que puede ser desde un descerebrado en su casa hasta grandes organizaciones”.
Detrás de este tipo de ciberofensivas, cuenta Rafael Pastor, director de la Escuela Informática de la UNED, “hay un poco de todo”. Pueden esconder una motivación terrorista, intereses del crimen organizado o el daño de la reputación de una institución, entre otras. “En áreas como la de la energía, la motivación es más económica. El espionaje industrial es lo que suele funcionar”, comenta.
“No se suele dar mucha publicidad porque es un tema delicado. Suele asustar a la gente”, señala Pastor. “Normalmente suelen ser leves. No ha habido últimamente ningún caso de ciberataque [en España] que haya ocasionado un grave perjuicio de esas infraestructuras y por ende a los ciudadanos”. Lo que no quiere decir que no haya habido intentos.
El CNPIC asegura que abordar los desafíos referentes a los ciberataques ha supuesto “una continua adaptación del ordenamiento jurídico” para garantizar la seguridad en este contexto. Este tipo de amenazas se combaten, dicen, a través de Estrategias Nacionales, planes específicos y otras acciones como la obligación de los operadores críticos y de servicios esenciales de establecer medidas de seguridad contra ellas. Estos deben incluirlas en su catálogo de riesgos sin olvidar “aquellas amenazas que parecen ahora prehistóricas pero que generan los escenarios más desoladores”.
“La tendencia es a aumentar el número de infraestructuras críticas y el de los actores implicados en su protección. No es un concepto estático, sino que está en evolución”, relata Arteaga. Con la apertura y conexión del mundo físico al digital, el perímetro a proteger es cada vez más extenso. “La protección se ha ido ampliando desde los operadores de las infraestructuras a las entidades críticas para proporcionar servicios digitales y a sus respectivas cadenas de suministro. No todos ellos tienen conciencia de los riesgos a los que se exponen ni adoptan las medidas que ahora se les exigen para reforzar la protección y resiliencia de las infraestructuras y de los servicios que se prestan a través de ellas”.
En lo que a externalización de procesos, proveedores y otras funciones se refiere, el CNPIC apunta que es algo natural y que los operadores críticos tienen un abanico amplio al que acudir en estos casos. También que los distintos planes de protección PIC deben incluir los proveedores de los servicios más importantes. Sin embargo, la correlación entre esta situación y la existencia de una vulnerabilidad añadida es clara.
“Es aquí donde los operadores críticos deben, una vez más, realizar un esfuerzo y analizar las distintas alternativas que existen en el mercado, para seleccionar la más adecuada y segura”, señalan en el CNPIC. Además, añaden, deben poner en marcha una gestión de riesgos apropiada para los proveedores y verificar la seguridad de los procesos que incorpora o los sistemas que adquiere. “Así como identificar cualquier otro escenario de riesgo, con el objetivo de gestionar esas nuevas vulnerabilidades”.
Asegurar cada vez más sectores, de una manera más profunda y con más garantías supone un esfuerzo económico para las empresas y la Administración. “No solo por lo que cuesta mantener las infraestructuras críticas”, apunta Arteaga, “sino por la falta de personal capacitado para ello”. Estos profesionales no abundan y los salarios españoles no son lo suficientemente competitivos. “Y esto genera estrés en el sector privado y mucho más en la Administración, que ve cómo no puede competir con los precios del mercado”.
La dependencia de la tecnología extranjera supone otro reto. “Nuestra capacidad de investigación, desarrollo e innovación es muy limitada”, comenta el experto. El hecho de estar sujetos en gran parte a tecnologías de protección extranjeras, dice, genera cierta vulnerabilidad del sector. “Sobre todo cuando contra estas infraestructuras críticas actúan no ya, digamos, otras empresas o el crimen organizado, sino Estados con capacidad de ciberataques muy alta”.
Las lecciones tras la época de pandemia
La covid-19 hizo que actividades de todo tipo migrasen del contexto físico al digital. “La ciberseguridad se ha convertido desde hace años, pero se ha notado especialmente con la pandemia, en una seguridad absolutamente transversal que afecta a cualquier actividad allá donde estemos”, dice José Javier Sánchez, consultor internacional de Seguridad. “Da igual si es a nivel personal, al de un puerto o al de un gran hospital”.
La crisis sociosanitaria trajo consigo en todo el mundo, en relación a infraestructuras críticas y sistemas ciberfísicos, el abuso de vulnerabilidades asociadas al acceso en remoto a sistemas de control industrial, según la edición de 2021 del informe Ciberamenazas y Tendencias del Equipo de Respuesta del Centro Criptológico Nacional, CCN-CERT. Además, puso en la diana las infraestructuras sanitarias y centros de investigación que trabajaban en la lucha contra el coronavirus y las infraestructuras industriales impactando en las operaciones de producción.
La situación sanitaria no lo puso fácil. “Hemos llegado en momentos a tener más del 20% del personal en teletrabajo”, dice Sánchez. “En muchos de estos casos, incluso de alguna infraestructura que se puede considerar crítica, se ha mandado a personas a sus casas con un ordenador, simplemente, que no podía garantizar la seguridad de esa información”.