Para comprender la importancia y necesidad de aplicar ciberseguridad en infraestructuras críticas, en primer lugar, definiré el concepto de infraestructura crítica tal y como lo realiza el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC): “Son las infraestructuras estratégicas, que proporcionan servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Dichas infraestructuras se componen de sectores o servicios considerados esenciales, ya que como la misma palabra confirma, son vitales para el correcto y continuo desarrollo de la sociedad tal y como hoy en día conocemos, los cuales son los siguientes:
- Sector Financiero
- Administración
- Agua
- Alimentación
- Energía
- Espacio
- Industria Química
- Industria Nuclear
- Instalaciones de investigación
- Salud
- Tecnologías de la Información y las Comunicaciones (TIC)
- Transporte
A pesar de que cualquier tipo de incidente en dichos sectores afectaría de forma trágica e inesperada, el impacto en la seguridad de la información, ámbito en el que se enfoca la ciberseguridad, se basa en tres aspectos indispensables: disponibilidad, integridad y confidencialidad. Contextualizando estas condiciones con el tema en cuestión, obtenemos las siguientes amenazas: indisponibilidad de servicios, alteración o manipulación de la información y acceso a información privilegiada. Tal y como se establece en el informe de Ciberamenazas y Tendencias de 2019 publicado por el Centro Criptológico Nacional, los principales ataques sufridos por las infraestructuras críticas durante el año 2018 fueron la interrupción de servicios, sabotaje, espionaje, manipulación de sistemas y manipulación y robo de información. Dichos incidentes pueden ser perpetrados por distintos actores con diferentes motivaciones, ya sean económicas, geopolíticas, empresariales o ideológicas, entre otras. Las tendencias muestran que lo más frecuente es que sean realizadas por parte de Estados o grupos patrocinados por estos, aunque no es de extrañar que los ataques procedan de cibercriminales, ciberterroristas, hacktivistas o personal interno mediante lo denominado como ataques híbridos, que combinan distintos tipos de agresión. Y es tal el riesgo, que en la actualidad el Nivel de Alerta en Infraestructuras Críticas (NAIC) se encuentra en 4 sobre 5, considerado como riesgo alto.
Observando las amenazas y los posibles riesgos que sufren las infraestructuras críticas se percata la necesidad de tomar una serie de medidas para evitar su consecución. Pero la necesidad no solo reside en estos hechos, sino que es necesario emplear acciones en determinados activos como puedan ser: actualización de sistemas, renovación de hardware obsoleto, concienciación del personal, aumento de la seguridad de los dispositivos conectados o la aplicación de metodologías de seguridad como Threat Intelligence en busca de posibles vulnerabilidades, objetivos de ataque, amenazas o los actores de estas. Ciertas medidas que ya se están llevando a cabo son evaluar y auditar las instalaciones y a los propios proveedores de servicios, llegándose a exigir determinadas certificaciones de seguridad o responsabilidades legales con el único fin de garantizar la seguridad tanto del servicio esencial como la del mismo proveedor.
Un ejemplo de la necesidad de aplicar medidas, como se mostrará en algún caso real, se encuentra en las infraestructuras industriales, las cuales siguen manteniendo sistemas de control industrial con sistemas operativos desactualizados y fallos de seguridad en el diseño. Otro ejemplo se encuentra en el aumento de dispositivos conectados conocidos como Internet de las Cosas Industriales (IIOT), dispositivos que mejoran la productividad y los procesos pero que carecen de las medidas de seguridad necesarias.
Casos Reales
Todo lo anteriormente descrito se basa en las conclusiones extraídas de numerosos ataques ocurridos alrededor de todo el mundo, y es que no han sido pocos los ocurridos en los últimos años. En 2010, se dio a conocer uno de los ataques más famosos, el ataque a la central nuclear de Natanz, Irán. Distintas fuentes de investigación creen que el malware, conocido como “Stuxnet”, consiguió acceder a los sistemas informáticos de la central nuclear mediante un dispositivo de memoria extraíble como puede ser un USB. Una vez dentro del sistema informático, el gusano consiguió adentrarse y tomar control del software que gestiona las centrifugadoras, realizando modificaciones en la velocidad de rotación de estas, tanto aumentando como disminuyendo la velocidad. La consecuencia, y objetivo, fue la destrucción de las centrifugadoras, quedando inoperativas cerca de 1000 máquinas dentro de la central.
Otro de los ataques más críticos conocidos es el que afecto en 2017 a al menos 16 hospitales de Reino Unido. El ataque fue consecuencia de un ataque global de ransomware, concretamente “WannaCry”, en el que los cibercriminales secuestraron los dispositivos de los centros médicos y a cambio solicitaron un importe económico para su desencriptación. Esta tipología de ataque, sumado al objetivo en cuestión, supone graves consecuencias, y es que la vida de personas se encuentra en manos de delincuentes, así como el acceso por los mismos a grandes cantidades de información confidencial.
Un ejemplo de cómo los sistemas de control industrial son vulnerables lo encontramos en Ucrania, donde en 2016, determinadas regiones sufrieron un apagón de luz de varias horas debido a un ataque informático deliberado a varias centrales eléctricas. Concretamente, el malware utilizado trató del troyano “BlackEnergy”, visto con anterioridad en otros ataques a infraestructura crítica del mismo país. Por último, en 2007, Estonia sufrió uno de los primeros ciberataques registrados, siendo el país uno de los pioneros en realizar la transformación digital del sector público y privado, centralizando sus servicios en Internet. El ataque se basó en la denegación de servicios distribuido (DDOS) y marcó un antes y un después en el ámbito digital: se descubrió una nueva fuente de amenaza y una nueva tipología de ataque capaz de detener multitudes de servicios considerados como esenciales.
Organismos Competentes en España
España cuenta con el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), órgano responsable del impulso, coordinación y supervisión de todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas españolas y con la ciberseguridad. Colabora junto al Instituto Nacional de Ciberseguridad (INCIBE) en la respuesta a incidentes de seguridad de la información en infraestructuras críticas mediante un Equipo de Respuesta a Incidentes de Seguridad, conocido como CERT de Seguridad e Industria (CERTSI), destinado a las empresas del sector privado. La coordinación entre ambas instituciones se realiza mediante la Oficina de Coordinación Cibernética (OCC). En cambio, la gestión de incidentes dentro del sector público se realiza conjuntamente por parte del CNPIC y el Centro Criptológico Nacional (CCN) mediante su propio CERT, CCN-CERT.
En definitiva, queda demostrada la necesidad de proteger los sectores e infraestructuras críticas, ya que como se ha observado en algunos de los ejemplos reales mostrados, puede suponer la diferencia entre un mero incidente de seguridad o ver a la sociedad sumida bajo un caos con consecuencias incalculables. Por ello, la importancia de concienciar y formar adecuadamente no solo a empleados, sino a toda la sociedad, de las diferentes amenazas y riesgos digitales, puesto que hay mucho en juego y la diferencia puede ser vital.
Carlos Javier García García