Al igual que las arterias transportan la sangre desde el corazón hasta los diferentes órganos para mantener las funciones vitales del cuerpo, las infraestructuras críticas de un país actúan como sus vasos sanguíneos socioeconómicos, sin los cuales las actividades esenciales para la vida diaria se desmoronan. España ha sido testigo recientemente del caos que se genera si estas instalaciones sufren fallos y, aunque la investigación del gran apagón no ha encontrado indicios de que la red eléctrica sufriese un ciberataque, el episodio nos puso frente al espejo de nuestra vulnerabilidad y sirvió para que la sociedad tomara conciencia de la importancia de reforzar la protección de los servicios esenciales, expuestos a envites de origen natural y humano, tanto físicos como virtuales, ya que con la creciente digitalización las amenazas cibernéticas han cobrado protagonismo. Blindarse de estos peligros se antoja un desafío mayúsculo que solo es posible con la unión de fuerzas entre empresas y administraciones, una fórmula de colaboración público-privada que se ha convertido imprescindible para velar por la seguridad de las telecomunicaciones, la energía, el transporte…Como evidenció la histórica jornada en la que la Península Ibérica se fundió a negro, cualquier perturbación, interrupción o destrucción de estos sistemas tiene consecuencias devastadoras. Semáforos apagados, trenes paralizados, vuelta al efectivo, degradación de la red de telefonía móvil y un sinfín de cosas que damos por supuestas se vienen abajo cuando estas infraestructuras, que carecen de soluciones que las reemplacen, quedan inoperativas.Noticia Relacionada estandar Si ¿De dónde viene la luz cuando enciendo el interruptor? José María CamareroDiversos estudios advierten del complejo escenario actual. El Informe Anual de Seguridad Nacional 2023 incide en que la protección de las infraestructuras críticas cobra especial relevancia en un contexto de inestabilidad política derivada tanto de los conflictos abiertos tras la agresión de Rusia contra Ucrania y el ataque de Hamás a Israel, como del creciente número de incidentes y ataques híbridos. «La preparación y la eficacia en materia de ciberseguridad son más esenciales que nunca», reza el documento.En el apartado relativo a las amenazas a las infraestructuras críticas, revela que en 2023 se notificaron 8.050 incidentes a la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior, con el sector financiero y tributario a la cabeza (27,84%), seguido de la administración (22,52%) y el transporte (21,24%). Eso sí, la cifra no refleja aquellos que han tenido como objetivo infraestructuras críticas específicas, que se comunican en el ámbito de alguno de los sectores estratégicos recogidos en el anexo de la Ley 8/2011, de 28 de abril.Por su parte, el Instituto Nacional de Ciberseguridad (Incibe), encargado de la gestión de incidentes en la ciudadanía, empresas, proveedores de servicios digitales, entidades de RedIRIS y operadores esenciales e importantes del sector privado, atendió 341 incidentes en el ámbito de los operadores esenciales e importantes en 2024, lo que supone un repunte del 43,88% interanual.El Centro Criptológico Nacional (CCN), que se ocupa de la gestión de ciberincidentes que afecten a organismos o empresas públicas, reconoce en su último Informe de Ciberamenazas y Tendencias que los ataques a las infraestructuras críticas son un objetivo muy valioso para los agresores por el alcance e impacto que tienen, y recuerda ejemplos como la infección de LockBit sobre la compañía estadounidense de transporte público Pierce Transit o la que sufrió DVN32, uno de los mayores proveedores de software marítimo. En el caso de operadores críticos del sector público español, la gestión de ciberincidentes se realiza por el CNN en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), responsable de salvaguardar los puntos determinantes del sistema, los que podrían alterar el funcionamiento de la sociedad si cayesen. Desde este órgano aseguran a ABC que los ciberataques más comunes dirigidos a las infraestructuras críticas españolas son el ‘ransomware’, ‘phishing’, ataques de denegación de servicios o de exfiltración de datos. Hacerles frente requiere un esfuerzo conjunto . «Existe un contacto directo y constante entre los operadores críticos y la Secretaría de Estado de Seguridad, a través del CNPIC, que dispone de un Centro de Coordinación y Alerta al que los operadores informan de cualquier incidencia que haya podido afectar a sus infraestructuras críticas», detallan. La red de contactos entre estos operadores y el CNPIC es tan amplia, explican, que en pocos segundos se puede poner en contacto a cualquier operador que identifique una incidencia sobre sus infraestructuras estratégicas, compartiendo información de valor con otro operador de cualquier sector estratégico, para facilitar o prevenir de situaciones similares que puedan afectar a las suyas, coordinando posibles respuestas ante estas amenazas. «Es un sistema ágil formado por unos 250 operadores que se encuentran conectados a través de este Centro, fomentando una comunidad de confianza entre el Estado y las entidades privadas y públicas», dicen.Amenaza de la IASegún informa a este periódico el CNPIC, tanto este órgano como los operadores críticos en España están adoptando un enfoque cada vez más proactivo, colaborativo y tecnológico para afrontar los desafíos emergentes, especialmente los potenciados por tecnologías como la inteligencia artificial . «Estos enfoques –precisan– están plasmados en los planes de protección, que se actualizan periódicamente, adaptándose a las nuevas amenazas como las derivadas de la IA, alertas tempranas, sistemas predictivos y otras de distinta naturaleza no tecnológica, que cada vez adquieren una mayor importancia como las amenazas híbridas o las conocidas como ‘insider’».No cabe duda de que atravesamos un momento de transformación constante, en el que, aunque la digitalización de las infraestructuras críticas ha traído posibilidades antes impensables, también ha dejado a las organizaciones más expuestas. José Rosell, CEO y cofundador de S2 Grupo, firma española especializada en ciberseguridad con una trayectoria de más de dos décadas, califica la situación actual en este terreno como «muy complicada y con un nivel de amenaza fuerte». Explica que hace veinte años los ataques eran fundamentalmente contra la información (robos de datos), hasta que en 2010 hubo un punto de inflexión: el primer gran incidente de la denominada ciberseguridad industrial. Ocurrió en la planta nuclear de Natanz, en Irán, donde el software malicioso Stuxnet deshabilitó temporalmente 1.000 centrifugadoras para enriquecer uranio. Desde entonces, convivimos con un problema de ciberseguridad en toda su amplitud, que afecta tanto a los entornos IT (tecnologías de información) como OT (tecnologías de la operación). Rosell explica que estos últimos son los sistemas de control, ordenadores que se instalan en infraestructuras críticas y están conectados a internet, pero como llevan bastante tiempo funcionando, pueden carecer de la actualización necesaria y ser vulnerables. «Con la invasión rusa de Ucrania hemos vivido la primera guerra digital de la historia, con unos ataques cibernéticos muy potentes . En el resto de Europa no ha sucedido, pero podría pasar», advierte. Embates que pueden ser perpetrados por «grupos ligados a Estados, las denominadas amenazas persistentes avanzadas (APT, por sus siglas en inglés), o grupos de cibercrimen, algunos muy bien dotados y otros menos».Preparación de EspañaEs un hecho que en la red los delincuentes informáticos han encontrado un nicho fértil donde actuar, pero, ¿cómo de preparada está España para garantizar la seguridad de sus infraestructuras críticas? El CEO de S2 Grupo es claro: «Las grandes compañías privadas y el sector público están trabajando muchísimo, pero la superficie de exposición digital es tan extensa que cualquier despiste puede ser aprovechado». El director de Seguridad de la firma, Antonio Villalón, expone que el ecosistema está adoptando una estrategia basada en tres pilares: prevención, detección y respuesta : «El primero comprende el bastionado de los sistemas y la concienciación de las personas. En el segundo se aplican las medidas clásicas, pero con inteligencia artificial por detrás, que ayuda a manejar grandes cantidades de información y buscar anomalías en esos conjuntos de datos. En la parte de respuesta, es clave la agilidad, a la cual contribuyen la IA y las tecnologías de automatización», repasa Villalón, que pone en valor el papel de la cooperación entre las entidades privadas y la Administración: «La colaboración es cada vez mayor y vamos en la línea correcta».Josep Albors, director de investigación y concienciación de Eset España, coincide en que la sinergia público-privada tiene mucho que aportar. «Gracias a la telemetría de la que disponemos, colaboramos con centros especializados en la monitorización de ataques a infraestructuras críticas cuando detectamos que existen campañas dirigidas. Si observamos que se están preparando o realizando ataques, podemos aportar inteligencia para que se tomen las medidas adecuadas. Es algo que se lleva a cabo tanto a nivel de ciberdelincuencia tradicional como de ataques más avanzados», comenta.En un contexto en el que «los incidentes que tienen en su punto de mira las infraestructuras críticas se han incrementado», Albors distingue entre los ataques accidentales, que persiguen un lucro económico a través del pago de un rescate o del chantaje con publicar información y que provocan la pérdida de operatividad de la infraestructura aunque no fuese su finalidad inicial, y los ataques dirigidos, normalmente realizados por un grupo apoyado por alguna nación. «Buscan recolectar inteligencia o producir un daño al enemigo para meterlo en problemas».Nuevas directivasEn España la protección de estas instalaciones se rige por la Ley 8/2011, de 28 de abril, que transpone al contexto español una directiva europea de 2008. En el año 2022 vieron la luz dos nuevas normas europeas , pero cuya transposición en España acumula retrasos.Una es la Directiva Europea 2022/2557, que fija obligaciones como adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de los riesgos; apoyar a las entidades críticas en la mejora de su resiliencia; garantizar que las autoridades nacionales tengan las competencias, recursos y medios necesarios para realizar sus tareas de supervisión…La otra es la directiva conocida como NIS2. Miguel Recio, profesor asociado de la Universidad CEU San Pablo, donde imparte materias relacionadas con derecho de la ciberseguridad y con protección de datos personales, señala algunos aspectos clave. «El texto hace referencia a la existencia de grandes diferencias en la aplicación de la anterior norma, la Directiva (UE) 2016/1148, por parte de los Estados miembros y la nueva ley trata de eliminar esas divergencias», indica. El docente resalta dos artículos del Anteproyecto de Ley de nuestro país: el 6, que recoge la creación de un Centro Nacional de Ciberseguridad, algo que plantea dudas sobre «en qué lugar quedará el Incibe», y el 28, que habla de mecanismos de intercambio de información sobre ciberseguridad. La directiva contempla también infracciones de distinta gravedad, que llevan aparejadas sanciones.«Sin embargo, el plazo para la transposición de ambas directivas al derecho interno español venció el 17 de octubre de 2024 », lamenta el profesor, que cree que no es algo baladí dada su finalidad: que la UE tenga un alto grado de protección frente a los ciberataques y lograr una mayor coordinación.La preparación y la eficacia en materia de ciberseguridad es más esencial que nuncaJuan Miguel Velasco, CEO de Aiuken Cybersecurity, desliza otras áreas de mejora de nuestro país. «Las empresas españolas de sectores como el de la electricidad, agua o petróleo y gas se mueven en un notable alto. Nuestros clientes, de hecho, han subido la inversión en protección un 5% desde el año pasado», dice. «El problema –continúa– es que cuando detectamos una nueva vulnerabilidad, como sus sistemas están en producción, entra en juego una lucha peligrosa entre negocio y ciberseguridad, pues a veces son reacios a parar la planta para poner el parche». El apagón , al menos, ha motivado un cambio: «Teníamos paradas algunas intervenciones críticas porque las empresas esgrimían que no eran urgentes. Después de este episodio, nos han dado luz verde. Hace falta concienciación para que entiendan que la instalación de parches de seguridad ha de ser prioritaria», ahonda.Y es que el mundo de la ciberseguridad vive un «riesgo creciente», en palabras de Víctor Villagrá, director del Máster de Ciberseguridad de la UPM, que apunta una fortaleza de España: talento de primer nivel formado en ciberseguridad para liderar el reto. «Hemos celebrado gran cantidad de congresos y tenemos una comunidad excelente de profesionales que han ido entrando en las empresas». A su juicio, eso sí, las compañías de nuestro país incurren en el error de no valorar lo suficiente ese capital humano. «Con frecuencia veo gente con capacidades tremendas que luego las organizaciones son incapaces de gestionar adecuadamente», apunta.El talento, en el centro En un mercado laboral donde los expertos en ciberseguridad son un activo escaso, para las empresas es estratégico ser capaces no solo de atraer talento, sino de generarlo. Bajo esa idea, S2 Grupo lanzó hace una década su propia escuela de formación, Enigma University, donde estudiantes de últimos cursos y recién titulados de disciplinas como Telecomunicaciones, Informática, Derecho o Criminología realizan prácticas con la posibilidad de incorporarse como empleados a la compañía tras superar el programa. Consciente de la evolución permanente de las ciberamenazas, la firma dispone también de un laboratorio de ciberseguridad industrial con distintos entornos simulados (una unidad de cuidados intensivos, una casa inteligente, un coche eléctrico…) que sirve para ‘jugar’ a atacar y defender, con el objetivo de diseñar tecnología para este último fin.Omar Benbouazza, co-organizador de RootedCON, una de las mayores citas europeas de ciberseguridad, coincide en que «España tiene un gran talento, y pequeñas empresas de nicho enfocadas a la ciberseguridad». Cuenta que en su evento, por ejemplo, «muchos investigadores han hecho públicos numerosos papers indicando que infraestructuras críticas del país tienen vulnerabilidades, y se ha reportado previamente y a conciencia de forma altruista, si bien es cierto que muchas de esas empresas se han quejado abiertamente de que investigadores se pongan a indagar en sus sistemas, exponiendo sus vergüenzas». En lo que respecta a la administración, piensa que el problema de raíz no es la colaboración en sí misma con el tejido empresarial, sino la contratación de compañías suficientemente validadas. Es decir, defiende la necesidad de diversificar la adjudicación de contratos, evitando la concentración en un número limitado de jugadores. «Las entidades públicas deben tomar más en serio a todas las startups nacionales, con un talento increíble, lo que ayudará a mejorar el estado del arte». Ante la amenaza que acecha a las infraestructuras críticas, expertos y autoridades coinciden en la urgencia de blindar estos activos estratégicos con todos los medios disponibles.
Leave a Reply