En diciembre de 2015, víspera de Navidad, una planta de energía eléctrica de la región Ivano-Frankivsk de Ucrania sufrió un ciberataque que dejó sin suministro a un millón y medio de hogares durante unas horas. “BlackEnergy”, el malware utilizado por los atacantes, fue usado como puerta trasera por los atacantes para infectar los equipos informáticos e impedir que arrancasen.

Es considerado como el primer ciberataque de la historia contra una eléctrica, y puso en alerta a todo el sector. Pero no solo al relacionado con la energía, también al nuclear, financiero, transportes, alimentación, agua, industria, administración… Todos ellos considerados sectores estratégicos que proporcionan servicios esenciales y cuyo funcionamiento es indispensable para la sociedad. Sus sistemas están sufriendo todo tipo de ataques informáticos, y su protección en este sentido es vital.

Sin ir más lejos: los hospitales y el sector sanitario están siendo en estos momentos objeto de todo tipo de ciberataques. La criticidad de que sus sistemas puedan quedar paralizados tan solo un instante está girando las mirillas del cibercrimen hacia este tipo de objetivos.

El reciente ciberataque a la Agencia Europea del Medicamento ha sido uno de los últimos (pero no el único) en unos meses que ya estaban marcados en rojo en el calendario para el ámbito de la salud.

El Centro Criptológico Nacional se hacía eco de un informe del Instituto SANS que advierte de que en el último año se detectaron 50.000 ataques dañinos contra organizaciones dedicadas al sector de la salud. De ellos, 375 han sido exitosos, lo que confirma que el cibercrimen ha puesto sus ojos en esta industria, y en toda infraestructura considerada crítica.

Amenazas reales: ¿qué está fallando?

ciberseguridad en infraestructuras criticasTan solo es necesario analizar estos datos y algunos de los ciberataques que se han producido durante los últimos años para darse cuenta de que la tendencia es creciente. Además del ya mencionado sector sanitario y energético, industrias como la de transportes están expuestas a vulnerabilidades intrínsecas a sus características particulares.

Sistemas desactualizados y obsoletos. Es muy habitual que en este tipo de entornos coexistan sistemas antiguos con otros más modernos. Los más veteranos probablemente ni siquiera estén conectados a internet, otros se han ido conectando paulatinamente. Y otros servicios se digitalizaron en su día, pero dejaron de actualizarse. Es muy común, por ejemplo, encontrar en entornos industriales dispositivos con sistemas operativos como Windows XP que ya no cuentan con soporte de actualizaciones de seguridad. Lo que expone a esos dispositivos, y por ende a toda la red, a ataques informáticos que aprovechen sus vulnerabilidades.

Vigilar los dispositivos conectados. Por otro lado, gracias a esa digitalización constante, muchos entornos críticos han ido añadiendo nuevas tecnologías que mejoran su operatividad. Tecnologías como el Internet de las Cosas se están añadiendo cada vez más en este tipo de infraestructuras. Por ejemplo, sensores que permiten mejorar la eficiencia midiendo y ajustando temperaturas y otro tipo de medidas. Funcionalidades que aumentan la operatividad, pero que al mismo tiempo abren una ventana a las vulnerabilidades a través de su conexión a internet, si estos dispositivos son inseguros.

Falta de plan de ciberseguridad. El hecho de no contar con una estrategia clara de ciberseguridad puede poner en riesgo a cualquier organización. Es vital realizar una auditoría previa para conocer el estado inicial en el que se encuentran los sistemas, así como desarrollar una estrategia global de ciberseguridad adaptada a las necesidades de la infraestructura. En ambos sentidos, apoyarse en empresas expertas en ciberseguridad, especializadas en la consultoría y elaboración de este tipo de estrategias puede ser un importante punto de partida, así como ceder la gestión de la propia seguridad digital a mano de esos técnicos cualificados que puedan proteger sus activos críticos de las amenazas.

Tecnologías adecuadas. Como parte de esa estrategia global, la incorporación de tecnologías de ciberseguridad punteras que permitan detectar de forma proactiva y prevenir los ciberataques es vital. Firewall, antimalware, gestión de accesos o soluciones de seguridad del correo electrónico, entre otras, y todas adaptadas a las necesidades concretas en cada caso. En este sentido, no se deben olvidar las medidas reactivas, en el caso de que ocurra un incidente. Estar preparados para esa situación con un plan de crisis preparado y medidas de recuperación ante incidentes hará que la respuesta sea más rápida y el daño se minimice al máximo.

Deficiencia de concienciación y formación. Los usuarios son un punto de entrada de amenazas de seguridad en cualquier entorno, también en el ámbito de las infraestructuras críticas. Los usuarios que manipulan los sistemas o tienen acceso a ellos deben estar capacitados y formados para detectar los posibles riesgos y la forma en la que actúan los atacantes, para minimizar que puedan ser engañados y usados como vía de acceso.

Instituciones y normativa

Además de estas buenas prácticas a seguir, estas infraestructuras críticas cuentan con una normativa específica que establece los mínimos que deben seguir en términos de seguridad, también la digital. Por ejemplo, la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011), determina no solamente la propia definición de estas infraestructuras y el catálogo existente, sino la propia organización de la gestión de incidentes.

En este ámbito entran en juego el CNPIC e INCIBE, las instituciones encargadas de velar por la adecuación de estas infraestructuras así como el apoyo en su protección.

El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) es el organismo encargado de la coordinación y supervisión de las actividades relacionadas con su protección.

En el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, se coordina conjuntamente entre este organismo y el Instituto Nacional de Ciberseguridad (INCIBE). Entre sus cometidos se encuentra la respuesta ante incidentes para operadores considerados críticos tras el reporte de los incidentes.

Nuevas amenazas, nuevas implicaciones

Van a seguir produciendo con total certeza ciberataques contra este tipo de infraestructuras, el objetivo es evitar los ataques exitosos. A esto hay que añadir el “estrés” adicional que se está produciendo sobre estas infraestructuras críticas en estos momentos. Tomar medidas para proteger los sistemas conectados, así como implementar mejores prácticas reducirá el riesgo de indeseadas interrupciones que pueden poner en peligro no solo la continuidad de las operaciones, sino en estos casos la integridad de las personas.

NOTA: Hemos publicado una infografía para resumir, de forma visual, el contenido de este artículo.