Comparto este artículo publicado originalmente en la revista SeguriLatam en marzo de 2017. Como siempre les agradeceré sus comentarios y aportaciones.
La creciente digitalización de las actividades humanas ha creado una mayor superficie de dispositivos expuesta a ciberataques, lo cual ha incrementado también los riesgos de amenazas no sólo a usuarios, sino a empresas e infraestructuras de información (Infraestructura crítica) que están vinculadas con los servicios públicos –y que por lo tanto son consideradas estratégicas–, las cuales en México están bajo el control del gobierno.
En efecto, la mayor superficie de ataque se debe a que el ambiente de trabajo es ahora más dinámico debido, entre otros factores a que los empleados tienen acceso a dispositivos móviles y, en algunos casos, realizan teletrabajo, todo lo cual ha cambiado el concepto de perímetro, pues los trabajadores realizan su trabajo solamente dentro de los límites de la red, sino que además utilizan más de un dispositivo para realizar sus labores.
Retos en seguridad de la Infraestructura Crítica
La digitalización se ha extendido a Infraestructura Crítica y ahora es parte también de la superficie que podría estar expuesta a ciberataques, pero ¿qué es la Infraestructura Crítica? En México, de acuerdo con la definición de la Estrategia Digital Nacional, en Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información, las infraestructuras críticas son “Las infraestructuras de información esenciales consideradas estratégicas, por estar relacionadas con la provisión de bienes y prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer la Seguridad Nacional en términos de la Ley de la materia”.
Algunos ejemplos de Infraestructura Crítica son las instalaciones industriales de organizaciones que administran el suministro de agua como las presas, así como el tratamiento y distribución de ese líquido; centrales de energía (también las redes de distribución); los hospitales; los aeropuertos, centrales de autobuses; plantas nucleares y químicas (así como la transportación de mercancías cuyo manejo implica riesgos como materiales biológicos, radiológicos y químicos), así como bancos, bolsas de valores y oficinas de recaudación de impuestos.
Los riesgos de la infraestructura crítica provienen sobre todo de los ataques lanzados por naciones-estado, acciones se han convertido en una tendencia, tal y como lo advertía McAfee Labs en un documento llamado «Predicciones sobre amenazas para 2016”, en cual advertía que los ataques a la seguridad digital que más impactaban provenían de estados, no de amateurs, y que por la gran cantidad de recursos utilizados eran lo más semejante a una ciberguerra.
Ciberamenazas, un riesgo para la Infraestructura Crítica
En el estudio «Predicciones sobre amenazas para 2017” de McAfee Labs se mencionan los resultados de una encuesta hecha por The Aspen Institute entre 625 tomadores de decisiones de tecnologías de la información (TI) con capacidad para influir en las soluciones de seguridad de sus organizaciones, que son tanto públicas como privadas y que tienen más de 500 empleados, además los encuestados tienen una enfoque especial en la Infraestructura Crítica.
De acuerdo con las respuestas, más del 70 por ciento de los entrevistados considera que las amenazas contra la ciberseguridad de su organización están creciendo, en tanto que 48 por ciento piensa que es probable que un ciberataque dañe infraestructuras críticas con posibles víctimas mortales.
En el mismo estudio, 40 por ciento de los entrevistados dijeron que se consideran no más o menos vulnerables que sus compañeros, mientras que 25 por ciento cree ser menos vulnerable, y 33 por ciento piensa que son más vulnerables.
Ciberataques a la Infraestructura Crítica en el mundo y en México
A pesar de que los ciberataques a infraestructura críticas han ocurrido en varios lugares del mundo, quizá los más conocidos sean el de Natanz en Irán, y a una fábrica de acero en Alemania. En el primero se utilizó Stuxnet, un virus tipo gusano, con el que se dañaron mil de 5 mil centrifugadoras de uranio, lo cual provocó el retraso del plan iraní para enriquecer este elemento.
Este ataque se considerado como el primero en que se usó un código malicioso diseñado a la medida que causó daños en una infraestructura física, y en que probablemente un Estado participó en su creación y aplicación.
En el segundo caso, se trató de un alto horno en una fábrica de acero alemán que sufrió «daños masivos» a raíz de un ataque cibernético en la red de la planta, que obligó a hacer una parada no programada, de acuerdo con información proveniente del informe anual de la Oficina Federal Alemana para la Seguridad de la Información (BSI).
Ambos ciberataques tuvieron un gran impacto por la dimensión de sus consecuencias así como porque posiblemente también en este caso algún Estado participó en su preparación y operación, en otras palabras, no es simplemente un malware que haya afectado a usuarios comunes de computadoras.
Previsiones para el futuro
A pesar de que cada vez contamos con más datos que nos permiten vislumbrar escenarios de futuras amenazas, lo que ocurre en Internet es cada vez más complejo y en ocasiones inesperado, tal y como ocurrió con el ataque del 21 de octubre de 2016 contra varios de los servicios web más conocidos como Twitter, Spotify o Whatsapp, el cual fue realizado utilizando el botnet Mirai.
Este ataque (considerado el más grande de su tipo) dirigido contra Dyn, una empresa dedicada proporciones soluciones de DNS a direcciones IP (proveedora de servicios web como los mencionados) fue un ataque de denegación de servicio distribuido (DDoS) mediante botnets que usaron Mirai (un código distribuido con licencia Creative Commons, es decir libre para cualquiera que desee utilizarlo) e infectaron miles de dispositivos (impresoras, cámaras de videovigilancia, etcétera) conectados a Internet es decir, Internet de las Cosas (IoT).
Pese a estos incidentes, es muy probable que los ataques de estados-nación contra la infraestructura crítica ocurrirán con moderación debido a las preocupaciones por las represalias físicas o cibernéticas que puedan realizar los países afectados.
No obstante la posibilidad de los ataques contra las capacidades militares o económicas, bases de datos e infraestructuras digitales de otro país, es real, sobre todo contra sistemas SCADA (como los de la central de Natanz en Irán), que son un tipo de dispositivo IoT.
Finalmente, considero que España es ejemplo de un país que trabaja y está preparado para enfrentar ciberataques contra infraestructuras críticas mediante su Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y que otros países harían muy bien en estudiar su modelo para comenzar a proteger esa área tan importante para cualquier nación.