La seguridad informática es algo que incumbe a todos los sectores. Sin embargo, las infraestructuras y los servicios críticos afrontan un gran reto en materia de ciberseguridad. Pues la transformación digital, así como las exigencias legales entre muchos otros condicionantes exigen mayor protección y seguridad informática para dichas infraestructuras críticas.
¿Qué son las infraestructuras críticas?
Según el Plan Nacional de Protección de Infraestructuras Críticas se define del siguiente modo:
“Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas “
Es decir, son todas aquellas infraestructuras cuyos sistemas, medios y servicios son fundamentales para el progreso de la sociedad; y aquellas que aseguran la continuidad en el funcionamiento normal de los servicios prestados por los estados y administraciones públicas.
Siguiendo la definición, las infraestructuras críticas no son solo cosa de los Gobiernos, pues engloba sectores tales como Utilities, Transporte, Químico, Telecomunicaciones, Finanzas, Sanidad, etc. A continuación, puede ver las industrias que son consideradas críticas:
Las infraestructuras críticas son altamente susceptibles a los ciberataques
La preocupación por la ciberseguridad radica en dar continuidad a la actividad y los servicios prestados a los ciudadanos. Una mínima interrupción del servicio puede generar un alto impacto sobre una organización y, por consiguiente, un gran número de personas.
A su vez, el objetivo de los ciberataques ha cambiado. El beneficio económico buscado por los ciber delincuentes pasa a un segundo plano, sus intenciones van mucho más allá de obtener un dinero mediante una actividad ilícita, la ambición va en aumento.
El ciber delincuente actual busca vulnerabilidades en los sistemas de las infraestructuras críticas con fines de obtener información relevante, tomar el control de una actividad o de una organización completa y lo que podría ser peor, paralizar o acabar con la actividad.
Por tanto, la seguridad y las medidas de protección se vuelven imprescindibles en un entorno cada vez más complejo, más interconectado y en constante evolución.
¿Cuáles son las problemáticas comunes en materia de ciberseguridad que afrontan las infraestructuras críticas?
La ciberseguridad viene condicionada por factores internos y externos. Garantizar la calidad y la continuidad del servicio, así como ser cumplir con la legislación vigente empuja a las infraestructuras críticas a repensar sus estrategias de ciberseguridad.
- Sistemas desactualizados o sin seguridad alguna.
- Hardware obsoleto.
- Falta de talento.
- Agujeros de seguridad desde el diseño.
- Aumento de nº de dispositivos conectados.
- Protección de la red.
- Falta de preparación y concienciación.
- Mayor nº de ciberataques.
- Mayores exigencias legales.
¿Cómo se producen los ciberataques en las infraestructuras críticas?
La red es el punto de entrada favorito de los ciberdelincuentes. Buscan métodos de entrada a la red con el fin de ejecutar el ciberataque. Lo suelen hacer mediante una de las dos técnicas más comunes, la primera es buscar vulnerabilidades en los equipos y sistemas o introduciendo algún tipo de malware en los equipos para tomar el control de la infraestructura critica.
Es importante tener en cuenta que muchas organizaciones desconocen estar infectados por un malware. Pasar un tiempo prolongado infectado por un malware y no darse cuenta de ello es uno de los riesgos más importantes a considerar.
¿Cuáles son las consecuencias de un ciberataque en las infraestructuras críticas?
Hace un par de meses desde El Confidencial lanzaron un artículo llamado:
“La crisis que llegará a España: ¿qué pasará cuando un ‘hackeo’ deje sin luz a todo el país?”
Como podemos ver las consecuencias de un ciber ataque pueden resultar dramáticas, un país entero sin luz, sistemas de tratamiento de agua deficientes, filtrado de datos sanitarios, caída de redes de telecomunicaciones, fallos en sistemas de transporte… un sin fin de desastres.
Algunos ejemplos reales de ciber ataques producidos a las infraestructuras críticas
2000 – Un exempleado molesto con claves de acceso
En el condado de Maroochy en Australia, un exempleado tomó el control de la compañía de agua en la que trabajaba y provocó un importante vertido de aguas residuales a parques y ríos de la región. En este caso, este particular ciber delincuente utilizó un ordenador portátil y un software de control que le permitieron ejecutar su ataque.
2006 – 2011 Ataques chinos y Utilities vulnerables
El ciber ataque Night Dragon descubierto e investigado por McAfee, se convirtió en la pesadilla de las Utilities. Se trataba de una serie de ciberataques dirigidos desde China hacía las grandes compañías de Utilities, con el objetivo de obtener información sensible y ciber espiar las actividades en las compañías de Utilities. En este caso los ciberdelincuentes elaboraron un plan en diferentes fases para llegar a su objetivo. Su primer paso fue vulnerar los servidores públicos (sitios web) lo que les abrió un puente hacia la red interna de las organizaciones. Es decir, emplearon una serie de ataques que les permitió vulnerar más de 71 organizaciones.
2008 – Ferrocarriles hackeados en Polonia
En 2008 en Polonia un chico de tan sólo 14 años logró descarrilar 4 trenes por medio de un ciber ataque. Este joven estudió el funcionamiento del sistema de control de las vías y elaboró algo parecido a un control remoto con el que podía controlar y cambiar las intersecciones de las vías de tren.
2017 – Ciberataque con Triton en Arabia Saudí
El malware Triton fue empleado para atacar una planta petroquímica en Arabia Saudí.
El tercer y más alarmante ataque que conocemos tuvo lugar en 2017. Los ciber terroristas asumieron el control remoto de una estación de trabajo ampliamente conocida que estaba en Arabia Saudita. Utilizaron un nuevo tipo de programa malicioso, llamado Triton, para tomar el control del sistema de seguridad instrumentado (SIS por sus siglas en inglés). Nuevamente, el programa malicioso se configuró específicamente para sistemas de control industrial, también conocidos como tecnología operativa (TO).
2015- 2016 Las redes eléctricas de Ucrania, el Black Energy y el apagón de 6 horas en pleno invierno
Este fue uno de los primeros ciberataques y/o casos cuyo alcance afectó a un servicio crítico imprescindible. En Ucrania en 2016 miles de hogares se quedaron sin luz en pleno invierno, en 2015 se registró un suceso parecido. El principal desencadenante de este apagón en pleno invierno fueron una serie de ciberataques ejecutados a más de 30 plantas eléctricas del país. En este caso, los ciber atacantes buscaban una denegación de servicio en la infraestructura crítica, parando la generación de energía en dichas instalaciones. Los investigadores de este ataque apuntaron a un claro caso de phishing, mediante el cual se propagó el programa malicioso que hizo posible aquel apagón.
2010 – Sospechosos fallos en las máquinas
En enero de 2010 en la central nuclear de Natanz en Irán las centrifugadoras de uranio empezaron a fallar. Pasaron 5 meses hasta que se dieron cuenta de que se trataba de un ciberataque por medio de un malicioso virus informático. Este virus hizo posible atacar los controladores lógicos programables PLC´s tomando el control sobre los equipos, y por consiguiente causar fallas o inutilizar las centrifugadoras. Hasta mil centrifugadoras fueron afectadas en ese ciber ataque, además de provocar la inactividad durante un tiempo de la central nuclear de Natanz.
2017 – Finanzas, transporte, energía y otras infraestructuras críticas de Ucrania atacadas.
En 2017 Ucrania se vio paralizada. El transporte sufría anomalías en su actividad diaria, los aeropuertos no mostraban información de los vuelos, en el metro dejaron de funcionar las máquinas de pago. El Gobierno registra fallas en sus ordenadores, la radiación de Chernóbil ya no se puede medir y el Banco Central de Ucrania también es atacado.
Un escenario que parece imposible, pero, ha sucedido y el desencadenante fue un malware, es decir, un virus informático.
2017 – La salud de los británicos al descubierto
En 2017, “WannaCry” el malware más famoso paralizó el funcionamiento de 16 hospitales en Reino Unido restringiendo el acceso a los historiales médicos de los pacientes de dichos hospitales.
2019 – América del Sur vigilada por Machete
En América del Sur “Machete “un malware descubierto en 2010 no para de extenderse. Este malware se dedica a robar datos del ejército latinoaméricano sobre sus tropas. Según expertos el virus fue propagado por medio del phishing y, después de 9 años de vida sigue en circulación infectando equipos del Gobierno Latinoamericano.
La lista puede seguir, pues son muchas las infraestructuras críticas que se vieron amenazadas por ciberataques. Y probablemente no te lo creas, pero, en España las infraestructuras críticas y el Gobierno ya han sido objetivo de intentos de ciberataque.
¿Qué revelan los datos sobre la protección de las infraestructuras críticas?
Según los datos de INCIBE en España los incidentes de seguridad informática en las infraestructuras críticas aumentaron hasta 6 veces en los últimos años. En 2015 se registraron 134 incidentes, en 2017 esta cifra pasó a ser de 900 ciber incidentes registrados. Finanzas y Utilities son los sectores que más afectados se han visto.
Además, según un estudio de Accenture realizado en 2017:
“El 50% de los ejecutivos de las Utilities creen que sus países podrían sufrir cortes de suministro eléctrico por ciberataques en los próximos 5 años”
Como pudimos ver anteriormente el sector de Utilities es uno de los más susceptibles de ser ciber atacado. Las Utilities engloban los sectores de petróleo y gas, así como de energía eléctrica que proveen servicios de los denominados críticos.
¿Por qué son considerados servicios críticos y cómo protegerlos?
Unas horas de inactividad para las compañías de Utilities pueden suponer grandes repercusiones para la ciudadanía, empezando por dejar a millones de personas sin electricidad en sus hogares por unas horas o tal vez por un día o dos. Lo cual deteriora seriamente la imagen de la compañía, genera pérdidas económicas y a su vez requiere tener la capacidad de dar una respuesta rápida ante los incidentes y restablecer el servicio en el menor tiempo posible. La criticidad de dichos servicios es alta.
A su vez, el sector evoluciona, con la entrada de redes de distribución eléctrica inteligentes (Smart Grids, en inglés) conectadas con otros sistemas como SCADAs, IoT…etc. requieren de mayor monitorización de seguridad, pues son una vía de entrada para los ciber delincuentes. La combinación de TI, OT y el IoT son puertas a través de las cuales los ciberdelincuentes son capaces de entrar. Por tanto, las estrategias efectivas para asegurar las redes inteligentes contra posibles ciber ataques se vuelve en una necesidad urgente.
Definitivamente, es un reto para la industria de Utilities la protección de sus infraestructuras. Desde la explotación de los recursos hasta su entrega a los usuarios, la cadena de valor ha de estar segura.
Se trata de estar protegidos ante las interrupciones en la entrega del servicio, asegurar los sistemas conectados, así como prevenir las posibles pérdidas económicas generadas por una interrupción del servicio provocado por un ciberataque.
En Open Data Security tenemos especial compromiso con la ciberseguridad de las infraestructuras críticas, puesto que desde el comienzo de nuestra actividad trabajamos para empresas del sector. Estamos especializados en dar respuesta a los retos presentados en materia de ciberseguridad en las empresas de petróleo, gas, de distribución eléctrica y de energías renovables entre otras. En ODS somos especialistas en ciberseguridad y ayudamos a negocios del sector a ir un paso más allá en la seguridad informática. ¡Contacta con nosotros y aumenta la seguridad de tu infraestructura crítica![:]