En una sociedad tan cambiante como en la que vivimos, y pese a la actual pandemia, existen diversas definiciones que han permanecido inalterables, como por ejemplo la definición de “infraestructuras críticas”. Esta definición hace mención, tanto a sectores privados como públicos, a aquellos sistemas y servicios que dan soporte esencial para el desarrollo de la sociedad y el funcionamiento normal de los servicios prestados por los estados y administraciones públicas. Así, dentro de esta categoría nos encontramos sectores tan diferentes, al menos a priori, como la propia administración pública, servicios de agua y energía, finanzas, sanidad o transporte. Hasta hace unos años, su mayor riesgo podría ser un robo, un desastre natural (como una inundación) o un sabotaje. Sin embargo, hoy en día los riesgos también se han actualizado y se abren nuevas posibilidades dada la sociedad global y conectada en la que vivimos. De hecho, es esta “sociedad global y conectada” la que representa uno de los mayores peligros: los ciberataques, un riesgo muy difícil de medir y evaluar que puede poner en entredicho la continuidad del negocio.
Desde el punto de vista de la ciberseguridad, estas empresas tienen un riesgo considerable por varios motivos. En primer lugar, porque son un objetivo muy atractivo por los ciberdelincuentes, tanto por la publicidad y reconocimiento de haber logrado acceder a sus sistemas, como por el botín conseguido (venta de los datos sustraídos, el pago para el rescate de los datos o el pago por provocar la caída de servicio). Existe otro motivo, que si bien no es común a todas las infraestructuras críticas, es muy relevante para la mayoría: los sistemas industriales y la desactualización de sistemas.
Obviamente, no todos los sistemas industriales son inseguros, pero en muchos casos la tecnología implementada está basada en sistemas SCADA (Sistemas de Supervisión, Control y Adquisición de Datos, desarrollados para supervisar y controlar una instalación de forma remota, de modo que integra la información de sensores, actuadores y autómatas), que en su origen fueron diseñados antes de interactuar en un entorno tan hiperconectado como el que tenemos ahora, siendo éste uno de los principales problemas. Además, suelen ser sistemas complejos en su diseño y actuación, con lo que la actualización de los mismos suele ser costosa y complicada. Exponer uno de esos sistemas a la red sin la consiguiente securización puede provocar múltiples riesgos:
Para otras infraestructuras críticas, como los hospitales, el problema no suele venir por sistemas SCADA, sino por la cantidad de dispositivos hiper especializados que adolecen de problemas similares a éstos, debido principalmente a la fecha de creación de los mismos. Así, podemos encontrar máquinas de resonancias con cierta antigüedad, totalmente funcionales, cuyos protocolos de conexión han quedado obsoletos. Por último, no podemos olvidarnos del factor humano, siempre clave como vector de entrada en un ciberataque.
En los últimos meses hemos visto publicadas noticias sobre múltiples infraestructuras críticas afectadas por ciberataques, desde bancos y compañías de seguros a hospitales. El impacto de estos ataques ha sido muy variado, desde la pérdida de continuidad de negocio tras el ataque por ransomware a los servidores, al robo de información para su venta en la dark web. En algunos casos, el impacto ha tenido unas consecuencias más graves, como los ataques en los hospitales, con la consiguiente replanificación de cirugías y traslado de pacientes a otros centros. Sin embargo, buscando en la hemeroteca tenemos el vertido de aguas residuales a parques y ríos en una región de Australia, el ataque a centrales nucleares en Irán mediante Stuxnet, empresas de distribución de electricidad en Ucrania mediante BlackEnergy y KillDisk o la gran cantidad de empresas que fueron afectadas por WannaCry.
5 pasos para empezar a securizar
Las medidas de ciberseguridad para este tipo de entornos no son fáciles de aplicar, ni podríamos clasificarlas de estándar. De hecho, la propia idiosincrasia de los mismos, dificulta en gran medida la securización. A nivel legislativo existen varios marcos de referencia, como NIST Cybersecurity Framework en Estados Unidos o European Programme for Critical Infrastructure Protection (EPCIP) en Europa. A nivel general, se puede establecer una línea base de actuación, que en cualquier caso deberá adaptarse a las características propias de la empresa. Habitualmente se debería empezar por los siguientes pasos:
Segmentación de redes:
Se trata de separar las diferentes subredes que componen la empresa, de forma que los entornos más críticos estén menos expuestos hacia el exterior. Además, tiene como beneficio que si los sistemas de una subred quedasen infectados, el resto de sistemas de otras subredes podrían no infectarse.
Actualización de los propios dispositivos:
En primer lugar habría que contactar con el fabricante para ver si existen parches o actualizaciones del software. Si existen, deberán aplicarse con la mayor brevedad. No obstante, cabe la posibilidad de que esto no sea posible, o que sea más rentable cambiarlo por modelos más modernos.
Adopción de nuevos sistemas de protección:
Dotados con inteligencia artificial y aprendizaje automático, permiten una mayor capacidad de detección y reacción ante un incidente, a la vez que aumenta la protección.
Actualizar y establecer políticas de seguridad más restrictivas:
Es posible que muchas empresas ya tengan políticas de seguridad, pero puede que no estén actualizadas tras los cambios de su arquitectura. Si no lo han hecho, es probable que dichos planes hayan quedado obsoletos.
Formación de los empleados:
Si bien muchas empresas tienen programas de formación contínua para los empleados, no todos incluyen materias de ciberseguridad para detectar los ataques por ingeniería social, un tipo de ataque en el que se intenta engañar al usuario para facilitar información por teléfono, correo electrónico o descargarse del mismo un archivo malicioso que permita infectar un sistema. Es un dato que no se puede obviar, pues los empleados son uno de los principales vectores de entrada de un ciberdelincuente.