Infraestructuras críticas y la vulnerabilidad digital

La pandemia del COVID-19 ha movido a primera plana de la actualidad aspectos que dábamos por sentados en nuestra vida diaria: la sanidad, la seguridad, el derecho al trabajo, a la información, a la movilidad… Elementos básicos y esenciales que se han visto sometidos a una prueba de fuego. Por primera vez, muchos se habrán parado a pensar lo que significan los servicios esenciales, estratégicos o críticos y comprobar cómo estos se comportan en situaciones de estrés.

Todos forman parte de una infraestructura crítica, aquella cuyo funcionamiento sería indispensable —sin soluciones alternativas— para la prestación de un servicio esencial. En España hay catalogadas más de 150 infraestructuras llamadas estratégicas que se sitúan en 12 sectores críticos: financiero, administración, agua, alimentación, energía, espacio, nuclear, químico, investigación, salud, TIC y transporte.

Pero, ¿Qué pasa cuando una de estas infraestructuras es atacada? ¿Cuál es la gravedad? Pongamos un ejemplo, uno de los casos más conocidos se produjo en 2010 cuando un ciberataque tuvo como objetivo las instalaciones del programa nuclear iraní a través de un malware llamado Stuxnet. Entonces saltaron todas las alarmas. Aquellos entornos industriales, que antes se consideraban seguros y herméticos, se convirtieron en foco de interés. Expresiones como “los sistemas de control industrial no están conectados a Internet” o “los delincuentes no entienden de sistemas industriales” perdieron todo su sentido.

Apenas unos años después de Stuxnet, en 2014, un nuevo ciberataque, conocido como DragonFly, dio lugar al espionaje de los datos de centrales energéticas de 84 países. El incidente puso en evidencia cómo muchas vulnerabilidades de los sistemas industriales podían ser explotadas desde el interior de las propias infraestructuras. Pero no quedó ahí. Más recientemente, un nuevo grupo de ciberdelincuentes llamado Sandworm vulneró el interfaz hombre-máquina (HMI) de varios fabricantes de equipamiento industrial a través de las conexiones a Internet que tenían establecidas.

El resultado de esta sucesión de eventos ha sido una creciente sensación de vulnerabilidad. Una de las características que más se intenta fortalecer en los sistemas críticos es la resiliencia —incluso, por encima de la confidencialidad de los datos. Los tiempos de respuestas en estas infraestructuras son clave y las paradas en muchos casos pueden resultar inadmisibles. Este hecho resulta más relevante si pensamos que a menudo estas deben funcionar durante 20 o 30 años con aplicaciones especiales que apenas sufren cambios y cuyo fallo puede provocar pérdidas económicas y humanas muy importantes. Cualquier modificación ha de ser planificada con enorme cuidado ya que no pueden hacerse pruebas sobre los sistemas en producción y el roll-back resulta demasiado costoso. En este contexto, la resiliencia de los sistemas resulta una propiedad fundamental, pero no es la única.

Desde siempre ha existido una increíble diversidad de sistemas críticos que combinan multitud de sensores y dispositivos. Esta arquitectura heterogénea ha disuadido a los posibles ciberdelincuentes de elaborar, desarrollar y lanzar ataques con malwares dirigidos debido a su elevado coste. Sin embargo, la estandarización tecnológica ha cambiado el panorama. Por un lado, los problemas relacionados con los sistemas legacy han sido resueltos con soluciones técnicamente más robustas y configurables. Por otro lado, la estandarización ha abierto la posibilidad a la automatización de nuevos modelos de ataques.

Los sistemas modernos ya no son herméticos. La integración con redes Internet los exponen a las mismas vulnerabilidades que cualquier otro sistema TI: nuevos dispositivos IoT, segmentación de redes, configuraciones por defecto, gestión de privilegios y accesos remotos, cifrado de comunicaciones y datos, vulnerabilidades en interfaces Web de aplicaciones, parcheado y sistemas operativos obsoletos, manipulación de parámetros o inyección de comandos e incluso aplicaciones maliciosas. Numerosas, cierto, pero al menos compartidas por los colectivos profesionales que luchan contra ellas. En este escenario a muchos se les plantea la duda de si aquellas históricas fortalezas en realidad eran más bien ignoradas debilidades.

Por si esto fuera poco, hay un elemento adicional que entrará en escena casi de forma inmediata: el 5G. El futuro desarrollo de la nueva generación de redes móviles acentuará los intentos de vulnerar las infraestructuras críticas. Entre sus riesgos —consecuencia de sus nuevas ventajas— está el incremento de dispositivos conectados, la complejidad de las redes o incluso la posibilidad de manipular las propias comunicaciones. Podríamos afirmar que la red 5G será considerada como una más de esas modernas infraestructuras críticas. Quizás, la más crítica de todas.

La red 5G redefinirá los modelos de transporte, los servicios médicos, la agricultura, la distribución de agua, las finanzas, los servicios de tratamiento de residuos, los servicios de emergencia, la energía, la defensa… y así podríamos continuar en una lista interminable. La red 5G articulará muy posiblemente los ejes centrales de funcionamiento de casi cualquier infraestructura crítica.

Mucho se ha escrito en torno a qué medidas se deben tomar para proteger las infraestructuras críticas, no solo tecnológicas sino también organizativas y de procedimientos.

La aplicación de estándares y normativas internacionales tiene mucho que decir en esta tarea. La adopción de buenas prácticas recogidas en estándares de Ciberseguridad industrial —por ejemplo, IEC 62443, el NIST CSF o la norma ISO 27001 — resultan clave para ese objetivo.

Respecto a las recomendaciones técnicas, la lista sería demasiado extensa y posiblemente redundante con muchas otras aplicadas a entornos TI tradicionales. Solo a modo de reflexión podríamos pensar en situaciones en las que muchos de estos sistemas continúan utilizando sistemas operativos y aplicaciones completamente desactualizadas o en entornos que tienen interconectadas las redes de producción con sus sistemas corporativos.

Sea cual sea el caso, debemos concluir que la ciberseguridad de los nuevos sistemas críticos deberá estar sometida a mecanismos de supervisión y coordinación permanente, convirtiéndose ellos mismos —los sistemas de supervisión y coordinación— incluso en posibles sistemas críticos. No en vano, los operadores que los gestionen y los propios Estados que actúen como coordinadores deberán velar por su seguridad en un entorno económico y social en continua y acelerada transformación digital.