Las infraestructuras críticas y las entidades críticas (las industrias y organizaciones esenciales para el funcionamiento económico y social) son un objetivo obvio para los ciberdelincuentes. Es fundamental que las tecnologías que utilizan para la seguridad y la eficiencia operativa no creen vulnerabilidades de ciberseguridad. Aquí analizamos los problemas y cómo crear resiliencia.
Lamentablemente, es más fácil que nunca encontrar ejemplos del creciente número y gravedad de los ciberataques contra infraestructuras críticas. El Centro de Estudios Estratégicos e Internacionales mantiene una lista de incidentes y ataques cibernéticos significativos contra organismos gubernamentales y otras organizaciones, una lista que incluye más de 50 ejemplos solo en 2024. Y estos son solo los que llegan al dominio público.
Aunque no todos estos incidentes se relacionan específicamente con ataques contra lo que se consideraría una infraestructura crítica, está claro que para aquellos que desean crear la máxima disrupción, los servicios esenciales para el bienestar económico y social de un país son un objetivo clave.
Por ejemplo, recientemente, un hacker consiguió acceder a los sistemas de una planta de tratamiento de aguas de la ciudad de Oldsmar, en Florida. Durante el ataque, el hacker consiguió aumentar brevemente los niveles de hidróxido de sodio a niveles peligrosamente altos, de 100 partes por millón a 11.100 partes por millón.
En mayo de 2023, el sector energético de Dinamarca sufrió el mayor ciberataque coordinado de su historia, que afectó a 22 empresas energéticas. El acceso inicial a la red se produjo debido a las múltiples vulnerabilidades de los cortafuegos, mientras que la posterior ejecución del código dio a los hackers un control completo sobre los sistemas afectados.
Aunque las vulnerabilidades se corrigieron rápidamente y las redes afectadas se protegieron, es otro ejemplo de los riesgos potenciales y el impacto de los sectores clave cuyo funcionamiento se está interrumpiendo. También muestra cómo los ciberdelincuentes buscan constantemente puntos débiles en la seguridad de la red y posibles vulnerabilidades que poder explotar. En nuestro mundo cada vez más conectado, cualquier punto final de red puede ofrecer una oportunidad de ataque.
Por lo tanto, no es de extrañar que la frecuencia de los ciberataques siga aumentando. Las investigaciones han descubierto que los ciberataques contra infraestructuras críticas han aumentado un 30 % desde 2022, con más de 420 millones de ataques que se producen entre enero de 2023 y enero de 2024, lo que equivale a la asombrosa cifra de 13 ataques por segundo.
Un mundo conectado significa un mundo «hackeable»
El mundo está más conectado que nunca. El Internet de las cosas (IoT) representa a miles de millones de dispositivos y sensores conectados entre sí, desde altavoces inteligentes hasta cámaras de vigilancia, ofreciendo servicios valiosos y creando enormes eficiencias para los consumidores y las empresas. Los perímetros situados alrededor de las redes corporativas se han vuelto más permeables por diseño, facilitando las conexiones externas de empleados, proveedores, clientes y millones de dispositivos.
Las redes presentes en las infraestructuras críticas no son diferentes. Aunque la necesidad de proteger cualquier red es importante, los riesgos asociados a las filtraciones de las redes de infraestructuras críticas son tan significativos que un enfoque sólido de la ciberseguridad en el sector es aún más importante.
Además, las normativas han evolucionado y se han creado para incluir entidades críticas, que incluyen cualquier organización involucrada en la cadena de suministro de infraestructuras críticas, y para centrarse en la resiliencia de estas organizaciones frente a las ciberamenazas. La amplitud de los factores que deben tenerse en cuenta ahora se pone de relieve en la definición de resiliencia de la UE: «La capacidad de una entidad crítica para prevenir, proteger contra, responder a, resistir, mitigar, absorber, acomodar y recuperarse de un incidente».
Regulaciones como la Directiva de Resiliencia de Entidades Críticas (REC) y la Directiva NIS 2 han definido requisitos mucho más estrictos en toda la cadena de suministro de infraestructuras críticas, junto con importantes sanciones por infracciones.
Lamentablemente, todos los dispositivos y sistemas conectados a la red pueden ser vulnerables. Cualquier dispositivo, si no está protegido de acuerdo con las instrucciones del proveedor, puede ser un eslabón débil que dé a un hacker acceso al sistema y provocar un ciberataque potencialmente catastrófico.
Mientras que las cámaras de vigilancia de red desempeñan un papel central en la seguridad física de las infraestructuras críticas, la ironía máxima se daría si estos mismos dispositivos fueran el punto de entrada para una filtración de la red de infraestructuras críticas.
La mejor práctica es no confiar en nadie hasta que se verifique
Ninguna red puede ser 100 % cibersegura. Los ciberdelincuentes, que no se ven afectados por las normativas y con la misma financiación que cualquier start-up, buscan constantemente innovar en sus métodos de ataque. Por lo tanto, es esencial que los operadores de infraestructuras críticas trabajen igual de duro para comprender el panorama de las amenazas y mantenerse un paso por delante.
A medida que más dispositivos se conectan a las redes utilizadas por las infraestructuras críticas, existe una mayor necesidad de ir más allá de una solución de cortafuegos centralizada para mejorar la seguridad de la red. Un nuevo enfoque es tener capas de seguridad en forma de redes de confianza cero.
En pocas palabras, como su nombre indica, las redes de confianza cero se basan en la suposición de que no se puede confiar en ninguna entidad que se conecte a la red y que esté en su interior, tanto si se trata de una presencia humana como de una máquina. Sea cual sea su apariencia, desde donde se conecten y sin importar cómo se conecten, no se confía en nadie hasta que se haya verificado.
Esta verificación se puede realizar de varias maneras y varias veces, y a menudo también implica conceder acceso solo a la parte específica de la red necesaria para realizar una tarea. La verificación también se aplica tanto a los dispositivos, incluidas las cámaras, como a las personas. La capacidad de cualquier dispositivo conectado para verificar irrefutablemente su identidad es esencial en una arquitectura de red de confianza cero.
Se deben adoptar medidas adicionales para garantizar que todos los aspectos de la solución de vigilancia sean lo más seguros posible: hay muchos recursos disponibles para abordar la ciberseguridad.
Supervisión y gestión del estado del sistema
Al igual que la supervisión de nuestra propia salud es esencial para detectar problemas menores y debilidades que podrían convertirse en problemas más importantes en el futuro, la supervisión eficaz de la salud de las soluciones de vigilancia desempeña el mismo papel a la hora de descubrir problemas, como dispositivos desconectados y conexiones deficientes.
La visibilidad completa de todos los dispositivos de vigilancia conectados a la red y su estado proporciona un conocimiento completo del sistema. Esto favorece la identificación, resolución y limitación de posibles problemas.
Además de la supervisión del estado, las herramientas de software pueden facilitar la actualización del software del dispositivo. Esto es fundamental a la hora de solucionar las últimas vulnerabilidades detectadas y mantener seguras las soluciones de vigilancia, especialmente a medida que las organizaciones añaden más dispositivos IoT a sus redes.
Ciberseguridad a través de la cadena de valor
Las soluciones de vigilancia modernas y eficaces son la suma de muchas partes. A medida que las propias cámaras de vigilancia se han convertido en dispositivos informáticos más potentes, y que tienen la capacidad de alojar software de analítica de IA en el propio dispositivo, un aspecto clave de la ciberseguridad es una visión completa de la resiliencia en toda la cadena de valor.
Es obvio decir que las infraestructuras críticas siempre se han centrado en la protección física de esos emplazamientos, instalaciones y edificios en los que confían millones de personas en todo el mundo para los servicios fundamentales de la vida cotidiana. Dado que las amenazas actuales son tanto digitales como físicas, probablemente incluso más, es fundamental que se preste la misma atención a la ciberseguridad. Este enfoque seguirá siendo una prioridad para Axis y nuestros socios.
