Hasta hace relativamente poco se creía que cualquier malware no tenía capacidad para destruir equipos físicos, que sólo podía dañar datos, ya sean aplicaciones, bases de datos, respaldos de información, imágenes, etcétera, sin embargo ese paradigma ha sido destruido: ya es posible dañar hardware.

Al día de hoy se tienen registrados dos ataques de este tipo, el primero ocurrió en 2010 a unas instalaciones donde se procesaba combustible nuclear y la otra, en 2014, fue a una fábrica de acero.

En ambos casos se utilizó un gusano llamado Stuxnet que fue infiltrado dentro del software de ambas instalaciones utilizando una combinación de ataques directos e ingeniería social.

Ésta penetración, además de romper el paradigma mencionado, marcó el inicio de los ciberataques producto de una compleja operación que incluye no sólo grandes equipos humanos especializados sino también muchos recursos económicos que son utilizados coordinadamente para causar daños en lo que se llama infraestructura crítica y que podrían causar una ciberguerra.

Las infraestructuras críticas, son, de acuerdo con las disposiciones para la Estrategia Digital Nacional, en Materia de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información de México, “Las infraestructuras de información esenciales consideradas estratégicas, por estar relacionadas con la provisión de bienes y prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer la Seguridad Nacional en términos de la Ley de la materia”.

Las infraestructuras críticas pueden encontrarse en instituciones dedicadas a manejar agua: presas, tratamiento y redes de distribución; en centrales de energía (incluye redes); del sector salud: hospitales; el transporte: aeropuertos, terminales de autobuses; en la industria química y nuclear (que incluye la transportación de mercancías de manejo riesgoso como materiales químicos, biológicos y radiológicos),  así como en el sistema financiero (bancos, bolsas de valores) y recaudador de impuestos.

El tamaño de la amenaza

De acuerdo con el estudio sobre Predicciones de amenazas 2016, realizado por Intel Security, el virus Stuxnet —principal protagonista de los ataques a la infraestructura crítica— tiene unos descendientes peligrosos, entre los cuales se encuentran Duqu Flame y Gauss,  éstos dos últimos mencionados en el documento elaborado por la compañía, quien es uno de los líderes de seguridad de la información más importantes a nivel mundial. Dichas versiones de malware han sido encontradas en al menos ocho instalaciones de plantas de energía en todo el mundo.

Estudiar los ataques ocurridos a las infraestructuras críticas puede servir a las instituciones para tomar conciencia de la magnitud de las amenazas, además de ayudar a diseñar un proyecto que proteja activos fundamentales para cualquier nación.

Los ciberataques a la infraestructura crítica se han incrementado, entre otros factores, porque la superficie de ataque es mayor; además la cantidad de vulnerabilidades va en aumento afectando a este tipo de infraestructuras, sumando a los canales tradicionales, las comunicaciones IP, las inalámbricas, los dispositivos móviles; asimismo, se manejan sistemas operativos y aplicaciones comunes, lo cual ha llevado a una mayor eficiencia en las operaciones y las mediciones, así como a nuevos riesgos.

Las implicaciones de esta amenaza son tales, que en una encuesta realizada por Intel Security nombrada Critical Infraestructure Readiness Report, 48% de los representantes de organizaciones que cuentan con infraestructura crítica afirmaron que en un periodo de tres años es muy probable que un ataque de este tipo pueda “tirar” las instalaciones e incluso causar la pérdida de vidas humanas.

Mejorar la ciberseguridad

Lo que se conoce como protección a la infraestructura crítica incluye tres áreas, la infraestructura empresarial de TI, los sistemas SCADA y los sistemas de control industrial, los cuales están más interconectados en la actualidad.

Aunque la ciberseguridad es vista como un reto de seguridad nacional y económica, una encuesta hecha por el Aspen Institute Homeland Security Program e Intel Security reveló que muchos profesionales de Tecnología de la Información se ven a sí mismos más protegidos que a la infraestructura en general.

De los encuestados (en total 625 tomadores de decisiones sobre TI), 40% se considera tan vulnerable como sus compañeros, mientras que 25% cree ser menos vulnerable y 33% piensa que son más vulnerables.

La percepción de quienes contestaron la encuesta debería servir para discutir el área de la seguridad de la infraestructura crítica, ya que muchas organizaciones que sufren violaciones de datos pueden no haber tomado todas las medidas necesarias para mantener actualizadas sus tecnologías de defensa o hacer conscientes a sus empleados del costo del comportamiento de error, que es muy común.

Los profesionales de la seguridad, de acuerdo con ese estudio, consideran necesario un mayor intercambio de información, relaciones más cercanas y cooperación entre gobierno e industria, además de un trabajo continuo entre los usuarios básicos para que conozcan las amenazas.

Asimismo, la educación continua del usuario sobre las ciberamenazas y las prácticas de seguridad fundamentales, son esenciales para ayudar a reducir el riesgo de error y fortalecer áreas de colaboración.

Una arquitectura integral de seguridad que vincule las funciones de protección, detección y corrección en un ciclo de actualización continua, mejora la administración de riesgos y la combinación de nuevas herramientas.

Reducir los riesgos de la infraestructura crítica es un desafío estratégico global que requiere un intercambio mucho más amplio de estrategias de TI y la inteligencia de amenazas dirigidas.

Cinco recomendaciones para proteger la infraestructura crítica:

1. Debido a que la protección de la infraestructura crítica es un problema de seguridad nacional es necesario crear una estrategia de ciberseguridad en cada país y así formar un frente de defensa que permita intercambiar eficientemente información de alertas, vulnerabilidades y amenazas para actuar rápida y coordinadamente.
2. Las autoridades podrían mejorar la capacidad de inteligencia al incluir la protección de la infraestructura crítica dentro de las responsabilidades del Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT).
3. Continuar con la implementación del Manual Administrativo de Aplicación General en las materias de tecnologías de la información y comunicaciones, y en la de seguridad (MAAGTICSI).
4. Proseguir con la actualización del Catálogo de infraestructuras críticas, así como con la actualización del concepto (recientemente realizada), lo cual es un avance notable.
5. Realizar auditorías regulares que además de revisar el estado de la seguridad de la infraestructura crítica, permitan conocer el nivel de conocimiento de la cultura de seguridad al utilizar las TIC entre todos los empleados relacionados directa o indirectamente con las dependencias que administran infraestructuras críticas.

Algunas conclusiones

Los ataques a la infraestructura crítica son una potencial amenaza a instituciones y empresas en todo el mundo, no sólo por los perjuicios económicos que pueden causar sino también por los riesgos a las vidas humanas.

A la par de este riesgo externo, hay uno interno relacionado con las debilidades en la cultura de seguridad en Tecnologías de la Información y Comunicación que podría resolverse con capacitación, política de seguridad claras y la creación de una conciencia de la amenazas, para la mejora de la postura de ciberseguridad.

Además la innovación en tecnología está borrando las diferencias entre los equipos de seguridad física y cibernética que regularmente actuaban de manera independiente. Actualmente las herramientas usadas para la protección física están relacionadas o dependen de las redes digitales, la nube, el software y el hardware, elementos que están expuestos a  amenazas cibernéticas.

El creciente incremento del llamado Internet de las Cosas está acelerando la convergencia entre la seguridad física y cibernética; los ataques a blancos cibernéticos y físicos posiblemente se originarán en el mundo digital, por lo que la ciberseguridad de ahora en adelante deberá incluir esta nueva tendencia para mantener a salvo las instituciones que cuenten con infraestructura crítica.

-Edgar Vásquez Cruz, Field Account Manager en Intel Security