El largo camino de la ciberseguridad en las modernas infraestructuras críticas
La pandemia de Covid-19 ha movido a primera plana de la actualidad aspectos que dábamos por sentados en nuestra vida diaria: la sanidad, el transporte, las telecomunicaciones… Elementos todos ellos indispensables que se han visto sometidos a una prueba de fuego.
Por primera vez, muchos se habrán parado a pensar lo que significan los servicios esenciales, estratégicos o críticos y comprobar cómo estos se comportan en situaciones de estrés.
Infraestructuras esenciales, críticas y estratégicas, ¿son lo mismo?
En muchas ocasiones utilizamos diferentes palabras para coloquialmente expresar el mismo concepto. Cuando nos referimos a servicios esenciales, los expertos lo definen como “un servicio (brindado por una empresa pública o privada) sin el cual la seguridad, la salud o el bienestar de toda o parte de la comunidad estaría en peligro o se vería seriamente perjudicada”.
Partiendo de esta concepción, una infraestructura estratégica seríaaquella cuyo funcionamiento resultaría necesario para la prestación de los servicios esenciales.
Del mismo modo, una infraestructura crítica seríaaquella cuyo funcionamiento sería indispensable —sin soluciones alternativas— para la prestación de un servicio esencial.
Básicamente podríamos decir que las infraestructuras estratégicas y críticas figuran en la clave de bóveda para funcionamiento de cualquier sociedad.
CNPIC, elemento de cohesión
En España hay catalogadas más de 150 infraestructuras llamadas estratégicas. Se sitúan en 12 sectores críticos: financiero, administración, agua, alimentación, energía, espacio, nuclear, químico, investigación, salud, TIC y transporte.
El organismo encargado de su coordinación y supervisión es el CNPIC y sus competencias están reguladas por la Ley 8/2011 de 28 de abril.
El CNPIC es el encargado de custodiar y actualizar el Plan de Seguridad de Infraestructuras Críticas y el Catálogo Nacional de Infraestructuras Críticas planteado a través de:
- Un Plan Nacional de Protección de Infraestructuras Críticas,
- Planes Estratégicos Sectoriales (PES),
- Planes de Seguridad de Operadores (PSO),
- Planes de Protección Específicos (PPE) y
- Planes de Apoyo Operativo (PAO).
Este modelo en cascada permite concretar medidas para proteger a los operadores de las infraestructuras críticas de las amenazas a las que diariamente se ven sometidas.
Su funcionamiento está basado una estructura cohesionada de cooperación entre la Administración y la mayoría de los actores privados. Porque, seamos claros, más del 90% de las infraestructuras críticas del país están en manos de operadores privados.
Actualmente no existe un listado público de la catalogación de las infraestructuras críticas que tenemos en España. Eso no quiere decir que no exista. El CNPIC dispone de un sistema conocido como HERMES que custodia, gestiona y mantiene el Catálogo Nacional de Infraestructuras Estratégicas a la vez que sirven como canal de comunicación y enlace entre los agentes del sistema.
CSIRT y ciberseguridad
La Unión Europea desarrolló hace apenas cinco años la directiva NIS 2016/1148 cuyo objetivo era conseguir una mayor colaboración entre los miembros de la Unión en el tratamiento y respuesta a una de sus principales amenazas: los ciberataques.
La directiva fue adoptada por España en el Real Decreto 12/2018 y se designaron tres CSIRT —Computer Security Incident Response Teams— para recibir los incidentes de ciberseguridad y elevarlos a los puntos de contacto adecuados tanto nacionales como europeos:
- El CCN-CERT del Centro Criptológico Nacional actúa como centro de referencia para el sector público;
- El INCIBE-CERT —operado conjuntamente por el INCIBE y el CNPIC— se encarga de los incidentes que afectan a ciudadanos y a los operadores críticos;
- El ESPDEF-CERT, del Mando Conjunto de Defensa, coopera con los dos anteriores cuando los incidentes tienen una implicación en la defensa nacional.
Más recientemente, el Gobierno de España publicó un Real Decreto, RD43/2021, que desarrolla aquellos aspectos relacionados con la seguridad de las redes y sistemas de información en cuanto al marco estratégico e institucional, la supervisión de los operadores esenciales y la gestión de incidentes.
Ataques a Infraestructuras Críticas
Porque los incidentes no son tan excepcionales, sobre todo a nivel internacional. Uno de esos incidentes se produjo en 2010 cuando un ciberataque tuvo como objetivo las instalaciones del programa nuclear iraní a través de un malware llamado Stuxnet. Entonces saltaron todas las alarmas.
Aquellos entornos industriales, que otrora fueran considerados seguros y herméticos, se convirtieron en foco de interés. Expresiones como “los sistemas de control industrial no están conectados a Internet” o “los delincuentes no entienden de sistemas industriales” perdieron todo su sentido.
Apenas unos años después de Stuxnet, en 2014, un nuevo ciberataque, conocido como DragonFly, dio lugar al espionaje de los datos de centrales energéticas de 84 países. El incidente puso en evidencia como muchas vulnerabilidades de los sistemas industriales podían ser explotadas desde el interior de las propias infraestructuras. Pero no quedó ahí.
Más recientemente, un nuevo grupo de ciberdelincuentes llamado Sandworm vulneró el interfaz hombre-maquina (HMI) de varios fabricantes de equipamiento industrial a través de las conexiones a Internet que tenían establecidas.
Y la tendencia sigue… Las noticias de ciberataques a infraestructuras esenciales durante los últimos meses en EEUU no han hecho sino acelerar la atención sobre su objetivo de protección y control. El resultado de esta sucesión de eventos ha sido una creciente sensación de vulnerabilidad.
Resiliencia, la clave
Una de las características que más se intenta fortalecer en los sistemas críticos es la resiliencia —incluso, por encima de la confidencialidad de los datos.
Los tiempos de respuestas en estas infraestructuras son clave y las paradas en muchos casos pueden resultar inadmisibles. Este hecho resulta más relevante si pensamos que a menudo estas deben funcionar durante 20 o 30 años con aplicaciones especiales que apenas sufren cambios y cuyo fallo puede provocar pérdidas económicas y humanas muy importantes.
Cualquier modificación deben planificarse con enorme cuidado ya que no pueden hacerse pruebas sobre los sistemas en producción y el roll-back resulta demasiado costoso. En este contexto, la resiliencia de los sistemas resulta una propiedad fundamental, pero no es la única.
De fortalezas a debilidades
Desde siempre, ha existido una increíble diversidad de sistemas críticos que combinan multitud de sensores y dispositivos.
Los sistemas modernos ya no son herméticos. La integración con redes Internet los exponen a las mismas vulnerabilidades que cualquier otro sistema TI: nuevos dispositivos IoT, segmentación de redes, configuraciones por defecto, gestión de privilegios y accesos remotos, cifrado de comunicaciones y datos, vulnerabilidades en interfaces Web de aplicaciones, parcheado y sistemas operativos obsoletos, manipulación de parámetros o inyección de comandos e incluso aplicaciones maliciosas. Numerosas, cierto, pero al menos compartidas por los colectivos profesionales que luchan contra ellas.
Esta arquitectura heterogénea ha disuadido a los posibles ciberdelincuentes de elaborar, desarrollar y lanzar ataques con malwares dirigidos debido a su elevado coste. Sin embargo, la estandarización tecnológica ha cambiado el panorama. Por un lado, los problemas relacionados con los sistemas legacy han sido resueltos con soluciones técnicamente más robustas y configurables. Por otro, la estandarización ha abierto la posibilidad a la automatización de nuevos modelos de ataques.
En este escenario, a muchos se les plantea la duda de si aquellas históricas fortalezas en realidad era más bien ignoradas debilidades.
Y después está el 5G
Por si esto fuera poco, hay un elemento adicional que entrará en escena casi de forma inmediata: el 5G. El futuro desarrollo de la nueva generación de redes móviles acentuará los intentos de vulnerar las infraestructuras críticas.
Entre sus riesgos —consecuencia de sus nuevas ventajas— está el incremento de dispositivos conectados, la complejidad de las redes o incluso la posibilidad de manipular las propias comunicaciones. Podríamos afirmar que la red 5G será considerada como una más de esas modernas infraestructuras críticas. Quizás, la más crítica de todas.
La red 5G redefinirá los modelos de transporte, los servicios médicos, la agricultura, las finanzas, los servicios de emergencia, la energía, la defensa… y así podríamos continuar en una lista interminable. La red 5G articulará muy posiblemente los ejes centrales de funcionamiento de casi cualquier infraestructura crítica. Por eso, el gobierno español ya ha comenzado a estudiar un anteproyecto de ley de ciberseguridad del 5G.
¿Se pueden minimizar los riesgos en las modernas infraestructuras críticas?
Mucho se ha escrito en torno a qué medidas —tecnológicas, organizativas y procedimentales— se deben tomar para proteger las infraestructuras críticas.
La aplicación de estándares y normativas internacionales tiene mucho que decir en esta tarea. La adopción de buenas prácticas recogidas en estándares de Ciberseguridad industrial —por ejemplo, IEC 62443, el NIST CSF o la norma ISO 27001— resultan clave para ese objetivo.
Respecto a las recomendaciones técnicas, la lista sería demasiado extensa y posiblemente redundante con muchas otras aplicadas a entornos TI tradicionales.
Solo a modo de reflexión podríamos pensar en situaciones en las que muchos de estos sistemas aún utilizan sistemas operativos y aplicaciones desactualizadas o entornos que tienen interconectadas las redes de producción con sus sistemas corporativos.
Sea cual sea el caso, debemos concluir que la ciberseguridad de los nuevos sistemas críticos deberá estar sometida a mecanismos supervisión y coordinación permanente, convirtiéndose ellos mismos —los sistemas de supervisión y coordinación— incluso en posibles sistemas críticos. No en vano, los operadores que los gestionen y los propios Estados que actúen como coordinadores deberán velar por su seguridad en un entorno económico y social en continua y acelerada transformación digital.