La digitalización de todas las áreas de nuestra vida trae consigo muchas ventajas. Sin embargo, también entraña riesgos, ya que ofrece a los hackers y ciberdelincuentes objetivos lucrativos para sus ataques. Primero la pandemia de Covid-19 y ahora la guerra de agresión rusa nos muestran la importancia del funcionamiento de la infraestructura crítica y lo dependientes que somos de ella. En esta entrada del blog, le mostraremos brevemente qué se considera infraestructura crítica, a qué nuevos desafíos se enfrentan los operadores en la defensa contra peligros (digitales) y cómo todos podemos contribuir un poco a la protección de la infraestructura crítica.
¿Qué es la infraestructura crítica / qué son las infraestructuras críticas?
Se denomina infraestructura crítica / infraestructuras críticas (Kritis) a las organizaciones e instalaciones que tienen una importancia muy alta para nuestra convivencia y el funcionamiento del bien común estatal. Las Kritis son las arterias vitales de nuestra sociedad moderna.
¿Qué empresas o sectores pertenecen a la infraestructura crítica?
En 2009, se definieron 9 sectores para la República Federal de Alemania que se consideran infraestructura crítica. Estas Kritis son:
- Energía
- Salud
- Tecnología de la información y telecomunicaciones
- Transporte y tráfico
- Medios y cultura
- Agua
- Finanzas y seguros
- Alimentación
- Estado y administración
No importa si las empresas de estos sectores son de propiedad estatal, si son instituciones públicas o si las empresas son operadas por el sector privado. El tamaño de las respectivas empresas (facturación, número de empleados, etc.) tampoco juega un papel.
¿Por qué es tan importante la protección de la infraestructura crítica?
Ya sean ciberataques a centrales nucleares, a instalaciones sanitarias o a autoridades estatales: no hace falta mucha imaginación para reconocer los peligros que podría conllevar un ataque exitoso a infraestructuras críticas. Las consecuencias de un corte de energía repentino y prolongado, por ejemplo, en el tráfico rodado, en la atención sanitaria o en el tratamiento del agua potable, serían sin duda devastadoras.
Lamentablemente, los ciberataques a infraestructuras críticas son una realidad desde hace tiempo. Dado que estos objetivos están cada vez más en el punto de mira de delincuentes (por ejemplo, extorsionadores), terroristas o incluso otros estados, una protección fiable contra los ataques digitales es cada vez más importante. Porque un ataque exitoso a estas Kritis tendría consecuencias dramáticas.
¿A qué desafíos y peligros se enfrentan los operadores de infraestructuras críticas?
La lista de posibles peligros y desafíos contra los que deben protegerse las Kritis es larga. Los ciberataques de delincuentes o terroristas, los virus y los programas maliciosos son solo una parte de la amenaza. También deben tenerse en cuenta los peligros naturales y las catástrofes naturales como tormentas, lluvias intensas, inundaciones, terremotos, tsunamis, etc. A esto se suman los fallos y accidentes basados en errores humanos. La falta de personal bien capacitado (especialmente personal informático) también es un gran problema para algunos operadores de infraestructuras críticas.
Lamentablemente, con la pandemia de Covid-19 y la guerra de agresión rusa contra Ucrania, se han añadido otros dos desafíos para los operadores de infraestructuras críticas.
1. Guerra de agresión de Rusia: la ciberguerra como nueva amenaza real
La ciberguerra también ha aumentado desde la invasión rusa de Ucrania. Aunque los ataques se dirigen actualmente principalmente contra Ucrania y sus Kritis, los expertos también consideran que el riesgo de ciberataques estatales contra la infraestructura crítica de otros países que apoyan a Ucrania ha aumentado. Por ejemplo, un ciberataque ruso a la red de satélites KA-SAT provocó una interrupción a escala europea de numerosas turbinas eólicas. Aunque este ciberataque probablemente estaba dirigido principalmente a las estructuras de mando del ejército ucraniano, el daño colateral fue ciertamente bienvenido en Rusia.
Ciberataques a las opiniones, los hechos y la verdad
En otro sector, que según la definición también se considera infraestructura crítica, los ciberataques y los ataques de "trolls" llevan muchos años en pleno apogeo. Los medios de comunicación, la cultura y los operadores de tecnología de la información se ven afectados, lo que demuestran claramente la actual abundancia de absurdas teorías conspirativas, fantasías de "pensamiento lateral" y noticias falsas en la red y, sobre todo, en las redes sociales. Todos ellos tienen como objetivo socavar la confianza de la propia población en las instituciones y estructuras democráticas de su propio país.
En el caso del Brexit de 2016, las elecciones estadounidenses de 2016 y las elecciones francesas de 2022, también se pudo ver (o casi ver) las consecuencias de gran alcance que pueden tener los ataques permanentes a los hechos y la verdad. Para proteger nuestra infraestructura crítica / Kritis de las noticias falsas, la información errónea y las mentiras, en última instancia, todos estamos llamados a actuar, porque todos podemos ayudar a frenar las falsedades (en línea y fuera de línea), al menos un poco. Porque todavía no existe una estrategia eficaz por parte del Estado contra estos ataques a nuestra infraestructura crítica.
2. Pandemia de Covid-19: nuevas opciones de ataque a las Kritis para ciberdelincuentes, terroristas y compañía.
Las restricciones de contacto y los confinamientos de los años 2020 y 2021 plantearon enormes desafíos para muchos operadores de infraestructuras críticas, ya que la pandemia hizo que muchos empleados tuvieran que realizar sus tareas desde casa. Y aquí reside un punto de peligro importante: los accesos remotos a infraestructuras críticas a través de la línea abierta (normalmente menos protegida) en el teletrabajo son lógicamente mucho más vulnerables a los ataques de hackers que el control directo in situ. No todos los empleados tenían ya un nivel de seguridad suficientemente alto en su domicilio particular para el teletrabajo. Hubo que mejorar muchas cosas.
Vulnerabilidades en las soluciones de videoconferencia
Las reuniones, que cada vez más se tenían que celebrar en forma de teleconferencias y videoconferencias digitales –por ejemplo, a través de Zoom o Microsoft Teams– tampoco estaban, al menos en la fase inicial de la pandemia, a salvo de los hackers. Sobre todo de Zoom se conocen numerosos fallos de seguridad de aquella época. Esto ya se lo presentamos en esta comparación de Zoom y Teams:
Zoom o Teams: ¿qué software para soluciones de videoconferencia lleva la delantera?
Aumento de la ingeniería social durante la pandemia
También los ataques de ingeniería social –ataques que identifican y explotan a las personas como punto débil en lugar de a la infraestructura informática– aumentaron durante la pandemia. Así, el envío de documentos relevantes para el Covid-19 (con archivos adjuntos manipulados o enlaces maliciosos) se observó con mayor frecuencia durante la pandemia. Los delincuentes aprovecharon la incertidumbre de muchos usuarios y pudieron confiar en que muchos caerían en la información manipulada.
En el caso de la ingeniería social, ni siquiera sería necesario ser un experto en TI, equipado con un sistema de seguridad informática de alta gama, para protegerse de este tipo de ataques. Aquí basta con cumplir unas sencillas reglas de seguridad y utilizar las herramientas de seguridad más básicas, como las que le hemos descrito y presentado en estas entradas del blog:
- Protección contra el ransomware: cuatro consejos para protegerse del fraude extorsionador
- Actualizar software, cerrar brechas de seguridad
- Seguridad en la red para personas mayores: 5 reglas para un uso seguro de Internet
- Seguridad de los sitios web: consejos y trucos para navegar de forma segura por la red
Infraestructura crítica: todos podemos contribuir a su protección
Aunque la protección técnica y digital de las Kritis es principalmente tarea del Estado (Federación / BSI, Oficina Federal de Seguridad de la Información) y de los respectivos operadores, como se ha demostrado en los dos últimos desafíos actuales, todos podemos contribuir un poco a esta protección. Porque cada virus, cada troyano y cada malware que no propaguemos (accidentalmente), así como cada falsedad, cada noticia falsa y cada teoría de la conspiración a la que nos opongamos "y retiremos de la circulación", en lugar de seguir propagándolas, sirve en última instancia para proteger nuestra infraestructura en su conjunto. Y si todos protegemos nuestra infraestructura común, también protegemos la infraestructura crítica, al menos un poco.
