La vital salvaguarda de las instalaciones esenciales

El panorama socioeconómico y geopolítico ha presenciado un drástico aumento en los riesgos de seguridad a escala mundial: desde el cambio climático hasta las pandemias o la creciente amenaza de las ciberguerras. En un mundo interconectado y dependiente de la tecnología, este contexto adquiere una dimensión crucial cuando se trata de salvaguardar las infraestructuras críticas que sustentan el funcionamiento de un Estado.

Empresas de sectores esenc...

El panorama socioeconómico y geopolítico ha presenciado un drástico aumento en los riesgos de seguridad a escala mundial: desde el cambio climático hasta las pandemias o la creciente amenaza de las ciberguerras. En un mundo interconectado y dependiente de la tecnología, este contexto adquiere una dimensión crucial cuando se trata de salvaguardar las infraestructuras críticas que sustentan el funcionamiento de un Estado.

Empresas de sectores esenciales —como pueden ser los de suministro eléctrico, agua, gas— se ven obligadas a garantizar su funcionamiento en todo momento ante estos peligros. La ciberseguridad se convierte así en una prioridad ineludible, no solo para preservar la integridad de las operaciones sino también para conservar la confianza pública.

La respuesta por parte de Europa se refleja en las normativas CER y NIS2, adoptadas en diciembre de 2022. Que suponen, como señala José Luis Pérez Pajuelo, director del Centro Nacional de Protección de Infraestructuras Críticas, “el paso más reciente de un largo recorrido iniciado en 2004, cuando la Comisión Europea decidió priorizar la protección de infraestructuras críticas de los Estados miembros. Un concepto que ha evolucionado hacia la resiliencia, esto es, que las entidades críticas tengan la capacidad de resistir, absorber, adaptarse y recuperarse ante los incidentes; y hacia promover una respuesta colectiva frente a los mismos, lo que está relacionado con el objetivo de garantizar un nivel común en ciberseguridad dentro de toda la Unión Europea”.

Frente a esto, como apunta Marcos Gómez, director de Seguridad de la Información del Instituto Nacional de Ciberseguridad (INCIBE) y subdirector de INCIBE CERT, “la digitalización ha hecho crecer el número de empresas y administraciones conectadas, lo que requiere de un enfoque en ciberseguridad que abarque toda la cadena de suministro”.

Verificación de identidad

Dentro de esas aspiraciones por fortalecer la ciberresiliencia de las instalaciones críticas, la identificación y la autenticación destacan como elementos clave en su protección. No en vano, como señala Pajuelo, “garantizar que solo las personas autorizadas puedan acceder a áreas sensibles o sistemas esenciales se convierte en elemento troncal de cualquier sistema de seguridad y, por supuesto, de aquellos que tratan de evitar amenazas, incluso de carácter interno”.

Y aún lo son más teniendo en cuenta la propagación del teletrabajo entre las organizaciones; e incluso “dispositivos como los smartphones y los relojes inteligentes desempeñan un papel cada vez más importante en el control de accesos”, explica José María Rico, jefe del departamento de Seguridad Corporativa de Redeia, para quien estamos “en un contexto en plena evolución donde la seguridad y la accesibilidad se entrelazan de manera cada vez más dinámica”. Un tránsito que tiene doble sentido, y es que, como apunta Rico, “la tecnología brinda novedosas herramientas para prevenir el fraude y la corrupción, pero también proporciona nuevas formas de delinquir y alcanzar mayores niveles en la sofisticación de los ataques cibernéticos”.

Así, entre los instrumentos que deben formar parte de una estrategia integral de seguridad de la identidad, este experto incluye la protección de accesos lógicos y físicos mediante monitorización, el uso de VPN, la aplicación de políticas que garanticen la seguridad de las contraseñas, así como sistemas de autenticación de doble o triple factor para la vigilancia del correo electrónico. Por otro lado, en línea con la resiliencia, enfatiza la importancia de establecer unos procedimientos para afrontar la recuperación de las operaciones, detallados en planes de continuidad de negocio, así como políticas efectivas para la protección contra vulnerabilidades.

Sin olvidar el cumplimiento de las obligaciones establecidas en las distintas regulaciones y de los estándares de seguridad y de calidad específicos, incluyendo asimismo las políticas de privacidad. De cara al futuro, las miradas están puestas “en el uso de IA, de nuevo, tanto en las estrategias de ataque como de defensa, drones y las aplicaciones en la nube, ante una preocupante falta de profesionales en seguridad a escala mundial”, apunta Rico.

En la práctica, las herramientas disponibles en la actualidad cumplen sobradamente con las necesidades de cualquier sistema de verificación; pero, como afirma David Corral, subdirector de Arquitectura de Ciberseguridad de Repsol, existe el problema de que “en instalaciones críticas es frecuente encontrar sistemas basados en tecnologías antiguas, donde es difícil implementar todas las medidas de seguridad que se utilizarían en entornos IT tradicionales”. Un ejemplo manifiesto lo encontramos en Estados Unidos, donde hasta 2019 los sistemas informáticos de sus arsenales nucleares funcionaban con disquetes, una tecnología de los años setenta.