La seguridad es un tema importante que afecta a todo el mundo. No se trata sólo de protegerse de los hackers que intentan atacar su ordenador o dispositivo inteligente o de engañarle para que muerda el anzuelo de un correo electrónico de phishing. Es mucho más que eso.
Se trata de proteger nuestras Infraestructuras Nacionales Críticas (Critical National Infrastructures), como las instalaciones de tratamiento de agua, las centrales nucleares y las presas. Las CNI de un país requieren una planificación estratégica que garantice una sólida defensa frente a catástrofes naturales, como inundaciones, huracanes, terremotos, tsunamis y tormentas eléctricas, y frente a catástrofes no naturales, como incendios provocados y ciberataques por parte de un Estado-nación, un hacktivista o un ciberdelincuente.
Las CNI abarcan los activos, sistemas y redes esenciales para el buen funcionamiento de la sociedad y la economía. Estos elementos son de suma importancia y merecen una protección especial; su incapacidad o destrucción tendría graves repercusiones en la seguridad, la estabilidad económica nacional y la salud y seguridad públicas.
Protegiendo la columna vertebral de una nación
La naturaleza de las ICN significa que cualquier amenaza a estos sectores puede tener un efecto en cadena con consecuencias de amplio alcance. La protección de las infraestructuras críticas requiere el establecimiento de una capacidad nacional para identificar y vigilar los elementos críticos. Esta capacidad permite determinar si los elementos están siendo atacados o afectados por fenómenos naturales destructivos.
Un enfoque proactivo es crucial a la hora de proteger los componentes que conforman nuestras infraestructuras nacionales críticas, ya que son la base misma de nuestra sociedad.
¿Qué se entiende por infraestructuras críticas?
El Departamento de Seguridad Nacional (Department of Homeland Security) de Estados Unidos ha identificado aproximadamente dieciséis sectores que considera infraestructuras vitales o críticas.
Los sectores que entran dentro de las infraestructuras críticas son
- Química: Industrias relacionadas con la producción y distribución de productos químicos.
- Instalaciones comerciales: Empresas que prestan servicios al público, como centros comerciales, hoteles y estadios deportivos.
- Comunicaciones: Empresas que prestan servicios de comunicación, incluidos los proveedores de servicios de telecomunicaciones e Internet.
- Fabricación crítica: Industrias dedicadas a la producción de bienes esenciales, como equipos médicos y productos relacionados con la defensa.
- Presas: Estructuras utilizadas para el almacenamiento de agua, el control de inundaciones y la generación de energía.
- Defensa: Industrias relacionadas con la defensa nacional y las operaciones militares.
- Base industrial: Empresas que apoyan a los sectores de infraestructuras críticas mediante operaciones de fabricación y cadena de suministro.
- Servicios de emergencia: Organizaciones responsables de responder a emergencias y proporcionar seguridad pública.
- Energía: Industrias implicadas en la producción, distribución y almacenamiento de energía, incluida la electricidad, el petróleo y el gas.
- Servicios financieros: Instituciones que prestan servicios financieros, como bancos y compañías de seguros.
- Alimentación y agricultura: Industrias dedicadas a la producción, transformación y distribución de alimentos y productos agrícolas.
- Instalaciones gubernamentales: Edificios e infraestructuras utilizados por los organismos gubernamentales para prestar servicios públicos.
- Sanidad y salud pública: Organizaciones dedicadas a servicios sanitarios, investigación médica e iniciativas de salud pública.
- Tecnologías de la información: Empresas que prestan servicios de TI, desarrollo de software y gestión de datos.
- Nuclear: Industrias dedicadas a la generación de energía nuclear y actividades relacionadas.
¿Por qué son tan importantes las infraestructuras nacionales críticas?
Nunca se insistirá lo suficiente en la importancia de las infraestructuras nacionales críticas. Son los sectores que albergan activos, sistemas y redes cruciales para el funcionamiento de un país. Cualquier interrupción o daño en estos sectores tendría consecuencias catastróficas.
Para contextualizar los CNI, pensemos en nuestras rutinas domésticas cotidianas, cosas como ducharnos, lavar el coche, hervir la tetera o repostar en la gasolinera. No pensamos automáticamente en las instalaciones de tratamiento de aguas cuando utilizamos agua corriente limpia. O en la cadena de suministro que alimenta la gasolinera.
Como ya se ha dicho, la lista de sectores de la CNI es mucho más amplia, pero estos ejemplos ayudarán a mostrar la importancia de mantener nuestra CNI a salvo de ataques.
Garantizando que todo funcione
Para reforzar aún más la seguridad y resistencia de las infraestructuras críticas, el gobierno y los socios de la industria colaboran mediante ejercicios de seguridad cibernética y física. El objetivo de estos ejercicios es mejorar la preparación y la capacidad de respuesta de todas las partes implicadas.
En el Reino Unido, la National Protective Security Authority (NPSA) proporciona información, personal y asesoramiento sobre seguridad física a las empresas y organizaciones que componen la CNI del Reino Unido, ayudando a reducir su vulnerabilidad al terrorismo y otras amenazas. También puede recurrir a recursos de otros departamentos y agencias gubernamentales. Entre ellos figuran el MI5, el Grupo de Seguridad de las Comunicaciones y la Electrónica (CESG), el Centro Nacional de Ciberseguridad (NCSC) y otros departamentos gubernamentales responsables de sectores de infraestructuras nacionales.
Todos los años se realiza un ejercicio de respuesta ante catástrofes denominado SIMEX (abreviatura de Simulated Exercise, ejercicio simulado), que es el mayor de este tipo en el país. Este ejercicio incluye una serie de actividades, como eventos en vivo, simulaciones y ejercicios de mando y control, todos ellos destinados a poner a prueba los planes, políticas y procedimientos de respuesta ante catástrofes. Un aspecto importante de este ejercicio es poner a prueba sectores críticos, como el financiero, para evaluar su capacidad de resistir las perturbaciones y mantener la resistencia operativa.
Estados Unidos lleva a cabo numerosos ejercicios en toda su vasta extensión geográfica, adaptados a las necesidades específicas de cada estado. Pero imaginemos un mundo en el que se produce una catástrofe y nos quedamos desprevenidos, luchando por proteger a nuestras comunidades y recuperarnos del caos; ¿qué ocurriría entonces? Afortunadamente, estos ejercicios reúnen a las mejores mentes de los socios federales, estatales, locales, tribales, del sector privado e internacionales.
Uno de estos programas es el Programa Nacional de Ejercicios (NEP) de la FEMA, cuyo objetivo es establecer un marco coherente para diseñar, desarrollar, realizar, evaluar y planificar mejoras en los ejercicios.
Otra serie de ejercicios críticos es el Ejercicio de Nivel Nacional (NLE), que se celebra cada dos años y pone a prueba áreas que van desde la prevención y la protección hasta la mitigación, la respuesta y la recuperación.
El ejercicio Escudo Urbano, en la vibrante zona de la bahía de San Francisco, pone a prueba a los equipos de respuesta a emergencias, superando sus límites y evaluando su preparación. También está la serie de ejercicios Vigilant Guard, que se centra en mejorar la coordinación y las capacidades de respuesta de las unidades de la Guardia Nacional y sus socios civiles.
Estos ejercicios no son meros simulacros; son oportunidades para evaluar y perfeccionar los sistemas de respuesta a emergencias, fomentando la colaboración y la preparación entre las diversas partes interesadas.
El sector privado
El sector privado desarrolla sistemas robustos para identificar y prevenir eficazmente los intentos de ataques cibernéticos y físicos. Se realizan pruebas exhaustivas para identificar cualquier debilidad o vulnerabilidad potencial. Estas pruebas se llevan a cabo utilizando una mezcla de herramientas automatizadas y expertos en pruebas de penetración que emplean enfoques tanto tecnológicos como manuales. Al igual que un atacante decidido, los especialistas en pruebas de penetración suelen realizar visitas sobre el terreno para ver hasta dónde pueden acercarse a un sistema de control.
Los sistemas de control industrial (ICS) son cruciales para controlar y gestionar los procesos industriales de fabricación, transporte, energía y tratamiento de aguas. Estos sistemas requieren una protección permanente para garantizar un funcionamiento sin interrupciones y un rendimiento óptimo. El control de supervisión y adquisición de datos (SCADA) se emplea para gestionar eficazmente los ICS.
Mandato gubernamental
El gobierno federal exige que las industrias privadas de cada sector económico crítico evalúen sus riesgos potenciales de interrupción física y virtual y apliquen medidas para eliminar vulnerabilidades y prevenir ataques. El gobierno federal ha desempeñado un papel fundamental a la hora de facilitar el seguimiento y la preparación ante sucesos incapacitantes mediante el desarrollo de una descripción estandarizada de las infraestructuras críticas. Este marco normalizado permite una comprensión global y una gestión eficaz de las vulnerabilidades de las infraestructuras críticas.
Por último, la protección de las infraestructuras críticas requiere el establecimiento de una capacidad nacional para identificar y vigilar los elementos clave de las infraestructuras críticas. De este modo, se pueden identificar rápidamente las amenazas potenciales y adoptar las medidas adecuadas para salvaguardar estos activos críticos.
Seguridad de los proveedores clave del CNI
En febrero de 2021, Oldsmar, en la costa oeste de Florida, sufrió un ciberataque contra su suministro de agua. Un pirata informático se hizo cargo malintencionadamente de los Sistemas de Control Industrial (ICS) y elevó el nivel de hidróxido de sodio (lejía) 100 veces por encima de lo habitual. La intoxicación por lejía puede causar quemaduras, vómitos, dolor intenso y hemorragias.
El 7 de mayo de 2021, los ciberdelincuentes se hicieron con el control del oleoducto Colonial mediante un ataque de ransomware, que interrumpió temporalmente el suministro de combustible, provocando escasez de combustible, compras de pánico y largas colas. La Colonial Pipeline Company pagó rápidamente al grupo de hackers (DarkSide) un rescate de 75 bitcoin, que ascendía a 4,4 millones de dólares, en pocas horas.
Como puede verse, la interrupción de las cadenas de suministro dista mucho de ser trivial. El rápido pago del rescate pone de relieve el importante impacto que incluso una sola interrupción puede tener en las cadenas de suministro y en la economía en general.
Plan de protección de las infraestructuras nacionales
Salvaguardar cualquier CNI implica disponer de un plan de Respuesta a Incidentes (IR) y de una entidad responsable de aplicarlo, es decir, una organización que supervise la seguridad de una CNI.
Año | Evento |
---|---|
2006 | El Departamento de Seguridad Nacional (DHS) de EE. UU. establece el Plan Nacional de Protección de Infraestructuras (NIPP). |
2007 | El Reino Unido establece el Centro para la Protección de Infraestructuras Nacionales (CPNI). (En 2023, el CPNI es reemplazado por la Autoridad Nacional de Seguridad Protectora (NPSA), que tiene un alcance más amplio para asuntos de seguridad). |
2014 | Australia establece el Centro Australiano de Seguridad Cibernética (ACSC). |
2018 | Canadá crea el Centro de Ciberseguridad (CCS). |
La protección de las infraestructuras críticas y los recursos esenciales es un esfuerzo colectivo, en el que las distintas partes interesadas desempeñan papeles vitales. Es importante señalar que el sector privado posee alrededor del 85% de las infraestructuras críticas y los recursos esenciales de la nación, abarcando sectores importantes como los bancos y los servicios públicos.
- La protección de las infraestructuras nacionales críticas no es una tarea puntual que implique unos pocos controles de seguridad. Se trata más bien de un esfuerzo continuo e intrincado que exige la colaboración entre organismos gubernamentales, socios industriales y diversas partes interesadas.
- Una encuesta reciente realizada por Bridewell Security ha revelado que la ciberseguridad es una preocupación importante para las organizaciones que supervisan las infraestructuras nacionales críticas. Un asombroso 81% de los encuestados expresó su preocupación por los peligros potenciales de una guerra cibernética dirigida contra las infraestructuras nacionales críticas de Estados Unidos.
Lo esencial
El incidente de Florida ha demostrado lo perjudicial que puede ser que alguien ataque intencionadamente nuestros recursos hídricos vitales. Es fácil olvidarse del efecto dominó que pueden tener en nuestra sociedad las interrupciones de nuestras cadenas de suministro, como el reciente incidente del oleoducto. Pero cuando se producen actos de terrorismo o ciberataques, rápidamente nos damos cuenta del impacto personal que pueden tener en nuestras vidas.
Todos debemos permanecer vigilantes, reconocer la posibilidad de un ataque o sabotaje e informar de cualquier cosa inusual. Juntos, podemos crear un mundo en el que el desastre golpee, pero estemos preparados.