Ciberseguridad para Infraestructuras críticas
Introducción
2010 marca uno de los parteaguas en la historia de la ciberseguridad, pues fue la primera vez que se detectó un ciberataque que logró dañar infraestructura del mundo físico. En junio de 2010 fue descubierto el malware “Stuxnet” que atacó la planta nuclear de Natanz, localizada en Irán, lográndola paralizar. “Stuxnet” fue diseñado para dañar los motores que se usaban en las centrifugadoras para enriquecer uranio y con ello logró afectar a cerca de mil centrifugadoras.
Cinco años después, en diciembre de 2015, Ucrania experimentó un ataque sin precedentes en su red eléctrica. Los ciber atacantes se infiltraron en tres subestaciones de energía eléctrica y afectaron tres regiones de Ucrania, dejando a casi un cuarto de millón de personas sin electricidad por seis horas en pleno invierno. Los atacantes utilizaron el malware “BlackEnergy 3”.
En 2017 una planta petroquímica en Arabia Saudita quedó paralizada debido a un ciberataque hacia los Sistemas Instrumentados de Seguridad de la planta. “Triton” fue el malware utilizado. Afortunadamente, un error en su código permitió que los ciber atacantes fueran descubiertos antes de que pudieran hacer más daño.
En mayo de 2021, Colonial Pipeline, el sistema de oleoductos más grande en Estados Unidos, tuvo que parar su operación por tres días debido a un ataque de ransomware por parte del grupo de cibercriminales “Darkside”, quienes se aprovecharon de varias fallas de seguridad en los sistemas y, tras cifrarlos, exigieron un rescate de 4,4 millones de dólares para desbloquearlos. El CEO de Colonial Pipeline admitió haber pagado el rescate para poder recuperar la operación de los oleoductos.
Sin lugar a duda, este tipo de incidentes han puesto en manifiesto la necesidad de disponer de estrategias nacionales para proteger con mayores y mejores medios las infraestructuras críticas contra los ciberataques.
¿Qué son las infraestructuras críticas?
Identifiquemos ahora qué son las denominadas infraestructuras críticas. De acuerdo con el Centro Nacional de Protección de Infraestructuras y Ciberseguridad de España (CNPIC) son: “Las infraestructuras estratégicas, que proporcionan servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
Previo a la llegada de Internet, la protección de este tipo de infraestructuras se basaba en el establecimiento de estrictos controles seguridad física y de acceso a las instalaciones, con ello se prevenían los ataques o sabotajes desde el exterior. Una vez que Internet abrió las posibilidades de interconectar hacia el mundo exterior los equipos de control que existen en las infraestructuras críticas, tales como: centrales nucleares, presas, estaciones eléctricas, etc., los riesgos aumentaron:
Riesgos
- Creció la superficie de ataque, lo que condujo a un aumento de los eventos de ciberseguridad.
- Se difuminó la segmentación de red entre las TIs (Sistemas de Tecnologías de Información), las TOs (Sistemas de Tecnología Operativa, P. Ej., SCADA) y los dispositivos IoT (Internet of Things), lo que dio lugar a un mayor acceso a los sistemas que operan las infraestructuras críticas.
- Hubo una mayor exposición al malware y al ransomware, lo que ha ocasionado interrupciones en la operación de las infraestructuras críticas.
Para mitigar estos riesgos, se han desarrollado algunas recomendaciones. Por ejemplo, en Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha publicado unas recomendaciones de ciberseguridad, agrupadas en 9 categorías, que contemplan:
Recomendaciones
- Gestión de Riesgos y el Gobierno de la Ciberseguridad
- Arquitectura y diseño de sistemas
- Gestión de las Configuraciones y Gestión de los Cambios
- Seguridad Física
- Integridad, Disponibilidad y Confidencialidad de los Sistemas y los Datos
- Monitoreo continuo y Gestión de las Vulnerabilidades
- Formación y concienciación
- Respuesta y Recuperación contra Incidentes
- Gestión de Riesgos en la Cadena de Suministro
Conclusión
Estas recomendaciones se basan en las medidas mínimas de ciberseguridad que los operadores de infraestructuras críticas deberían contemplar. Las mismas se han desarrollado a partir de estándares y controles ya publicados por CISA y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).
Sabemos que Internet dio origen a un mundo hiperconectado, sin fronteras, abierto a un sinfín de interacciones entre individuos y organizaciones; que facilita el intercambio de información, de bienes, de servicios y de experiencias. Aprovechándose de esta apertura, los criminales encontraron la manera de extender sus actividades ilícitas hacia Internet, a la sombra del anonimato, a la falta de cuidado por parte de las personas y de las organizaciones; a la falta de coordinación entre los gobiernos y de una regulación global que garantice que este tipo de ilícitos sea castigado.
¿Alguna vez han pensado qué ocurriría si la planta nuclear de Laguna Verde o las refinerías de PEMEX se vieran afectados en su operación por un ciberataque?
John Chamber, el ex CEO de Cisco, alguna vez dijo: ¨Existen dos tipos de empresas: las que ya han sido hackeadas y las que aún no lo saben¨. Y es una realidad. Los que trabajamos en este ambiente nos damos cuenta de que así es. No importa la cantidad de políticas, de procesos, de controles, de equipos y de seguros en los que una organización invierta, basta que por desconocimiento se cometa un error o una omisión para que una organización se vea comprometida.
En México contamos con una “Estrategia Nacional de Ciberseguridad”, en la que está contemplada la protección de nuestras infraestructuras críticas.
Sin embargo, aún falta mucho camino por andar. Comenzando por la falta de personal de ciberseguridad calificado. De acuerdo con el estudio “(ISC)² Cybersecurity Workforce Study” de 2021, el déficit de personal en ciberseguridad en todo el mundo alcanzó los 2.72 millones para ese año.
Hoy más que nunca hay que conformar equipos con conocimiento y experiencia en materia de ciberseguridad, también hay que preparar a nuestras organizaciones para reducir la posibilidad de que se vuelvan una víctima más y, en caso de sufrir un ciberataque, que sepan cómo actuar.
¿Quieres conocer nuestra oferta educativa? ¡Contáctanos!