Autores:
- Sergio Daniel Huamán Farro
- Héctor Francisco Fumarola Tejada
La propagación de nuevos mecanismos para vulnerar la seguridad de sistemas informáticos, asociado con la digitalización de la administración de servicios básicos que ofrecen los gobiernos a sus ciudadanos, ha permitido a la ciberdelincuencia y el terrorismo encontrar un nuevo flanco de ataque capaz de poner en jaque hasta las propias fuerzas armadas en cualquier país. Identificar en qué consisten estas intrusiones de los que son víctimas los estados a través de sus infraestructuras críticas, es lo que explicaremos a continuación.
¿Qué es un ciberataque?
En primero lugar, debemos comprender que un ciberataque no es más que un conjunto de acciones organizadas que tienen como finalidad alterar, obstruir o detener el funcionamiento de un sistema de información, como pueden ser bases de datos o redes computacionales; también, el intento de apoderarse de los datos que estos contienen, el espionaje de esta información obtenida, robada que incluso puede ser utilizada para extorsionar.
Existen diferentes modalidades o tipos en las que se dan los ciberataques, dependiendo de los objetivos y los instrumentos utilizados para llegar a cometerlos entre los que destacan el Phishing, la Inyección de SQL, los Ataques de Intermediario y los Ataques de Día Cero, sin embargo, como parte de esta investigación merecen especial mención aquellos llevados a cabo mediante el uso de Malware y los Ataques de Denegación de Servicios:
Malware: Los ataques de Malware son aquellos que son llevados a cabo mediante la introducción a un sistema informático de algún software de código malicioso (gusano, troyano, etc.), esta introducción se realiza generalmente cuando el usuario descarga inconscientemente el software al hacer clic en algún link de descarga o en un archivo adjunto en un email. El objetivo de este software va desde el bloqueo de los sistemas informáticos de una red (Ransomware) o la adquisición de información contenida en los sistemas atacados (Spyware).
Ataque de denegación de servicio: Este ciberataque se realiza mediante el envío masivo de solicitudes de acceso a un sistema, servidor o de una red con tráfico provocando su saturación.
La infraestructura crítica de un Estado
Para definir a que nos referimos cuando hablamos de una infraestructura crítica podemos remitirnos a La Directiva europea 2008/114/CE del 8 de diciembre de 2008, la cual define a una infraestructura crítica como:
“El elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población, cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones”.
En el caso español el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), las define como:
“Son las infraestructuras estratégicas, que proporcionan servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.”
En otras palabras, las infraestructuras críticas son todos aquellos sistemas físicos o digitales que facilitan funciones y servicios esenciales a nivel social, económico, medioambiental y político. Con el objeto de ejemplificar, podríamos mencionar entre las infraestructuras críticas de un Estado las siguientes:
Escalada de ciberataques a nivel mundial
A propósito de esto, resulta alarmante el aumento de los ataques cibernéticos a infraestructuras críticas de los últimos años, según una encuesta realizada a 600 directores de ciberseguridad de compañías con infraestructuras críticas de todo el mundo, muestra que más de la mitad (54%) ha experimentado ataques de gran escala, según el estudio de la empresa de seguridad McAfee.
La pandemia de Covid-19 también ha propiciado el drástico crecimiento de estas conductas, sobre todo de los ciberataques relacionados con el Ransomware. De acuerdo con la consultora Gartner en Latinoamérica el 27% de los incidentes de malware notificado en 2020 fue atribuido al Ransomware. Asimismo, estimaciones de Oswaldo Palacios, director de Ventas para México y América Latina de Guardicore, los ciberataques hacia la infraestructura crítica en 2020 se incrementaron en un 50%, mientras que para 2021 se espera un aumento del 80%.
En el caso de España El Ministerio del Interior ha registrado un aumento del 32% en los ciberdelitos en 2020, un año marcado por la pandemia de COVID-19 en la que también se contabilizaron 861 ataques a infraestructuras críticas, lo que representa un 5,26% más que en el año anterior.
Los ataques a los servicios críticos como un arma geopolítica
Como podemos imaginar, los ataques a infraestructuras críticas no solo provienen de ciberdelincuentes que buscan un objetivo económico, sino que también proceden de organizaciones terroristas y de otros estados que persiguen fines políticos en el país objeto del ataque. Un ejemplo de esto es lo que se vive en la actualidad con la invasión de Rusia a Ucrania que ha tenido un componente informático que precede desde hace mucho tiempo la intervención militar rusa, de hecho, ya en 2015 Ucrania sufrió un ataque del troyano BlackEnergy a una planta de energía eléctrica que provocó cortes en el suministro que afectaron a la mitad de los hogares en la región Ivano-Frankivsk. En 2016, otro ciberataque dejó sin energía eléctrica durante una hora a casi tres millones de personas. Otro ataque que tuvo como objetivo las infraestructuras críticas ucranianas fue la del Ransomware NotPetya en 2017 y que afectó al Banco Central de Ucrania para luego expandirse a otros países.
Como podemos apreciar, estos ataques suelen ser de distintos tipos y sus objetivos objetivos pueden variar; en síntesis mostramos a continuación algunos de los ciberincidentes más significativos ocurridos durante los últimos años considerando entre otros el sector afectado y la procedencia de estos ataques:
Teniendo en cuenta este panorama, en que los ataques cibernéticos ya no son sólo obra de ciberdelincuentes comunes, sino que son un nuevo tipo de arma a disposición del arsenal bélico de los estados, es menester preguntarnos hasta qué punto este tipo de ataques serán utilizados, ¿podríamos hablar de una III Guerra Mundial cibernética o 2.0, o en cambio nos encontramos ante conflictos aislado derivados de estrategias geopolíticas por parte de las grandes potencias?
La respuesta a esta interrogante no es sencilla, ya que todo dependerá de la escalada de tensiones que se den entre los estados, pero lo que sí es indudable es que las guerras futuras tendrán un alto componente informático, el cual los estados buscaran debilitar objetivos específicos dentro del otro, antes de despachar un ataque físico. En la antesala del conflicto armado y como parte de la llamada guerra híbrida rusa, un concepto que fue utilizado por primera vez a principios de los años 2000 y que tiene que ver con la implementación de una estrategia de confrontación que no pasa necesariamente por un combate de tipo militar, Ucrania sufrió en los meses previos a la invasión, una serie de ataques realizados mediante la utilización tanto de malware como de ataques de denegación de servicios dirigidos a diversas infraestructuras críticas del país.
Por otra parte, cabe destacar la efectividad de estos ataques, ya que los mismos ya no se realizan de forma manual, sino mediante el uso de Inteligencias Artificiales, que son las encargadas de detectar las vulnerabilidades y lanzar los ataques. Es por esto que posiblemente nos encontraremos en una carrera “armamentística”, donde las diferentes potencias compitan para producir más y mejores IA.
Lo anterior toma otra dimensión, si tomamos en cuenta que no sólo los ataques son realizados por estas IA, sino que en la actualidad la defensas de muchas de estas infraestructuras también se encuentran a cargo de Inteligencias Artificiales.
Esta es la razón por la que muchos estados, han pasado a considerar la protección de las infraestructuras críticas un asunto de Seguridad Nacional, reforzando los controles y protecciones alrededor de los sistemas que manejar estas infraestructuras.
Recomendaciones útiles
La protección a la infraestructura crítica incluye tres áreas, la infraestructura empresarial de TI, los sistemas SCADA y los sistemas de control industrial, los cuales están más interconectados en la actualidad y es una labor primordial cuando hablamos de ciberseguridad, por ello debemos tomar en cuenta las siguientes recomendaciones:
- Siendo la protección de la infraestructura crítica un problema de seguridad nacional se debe crear o fortalecer las estrategias de ciberseguridad en cada país y así formar un frente de defensa que permita intercambiar eficientemente información de alertas, vulnerabilidades y amenazas para actuar rápida y coordinadamente.
- Implementar soluciones de inteligencia de amenazas (Threat Intelligence) y proceso de búsqueda proactiva e iterativa a través de redes para detectar y aislar amenazas avanzadas (Threat Hunting) que evaden las soluciones de seguridad existentes.
- Realizar auditorías que permitan conocer el nivel de conocimiento de la cultura de seguridad al utilizar las TIC entre todos los empleados relacionados directa o indirectamente con los departamentos que administran infraestructuras críticas.
- Diseñar planes de respuesta ante incidentes, que sean claros y objetivos.
- Implementar un modelo Zero Trust, el cual asume que puede haber atacantes tanto dentro de nuestra red (insiders) como fuera de ella, por lo que no se debe confiar de forma predeterminada en ningún usuario o dispositivo.
