Por Alex Martínez, Presidente Asociación Ecuatoriana de Ciberseguridad, AECI.
La infraestructura crítica, esencial para el funcionamiento de la sociedad, incluye sectores como la energía, el transporte, la salud, la banca, las comunicaciones y el gobierno. Su protección no solo garantiza la seguridad nacional, la estabilidad económica y la seguridad pública, sino que también sostiene la vida diaria de las personas, protegiendo su salud y bienestar y facilitando la convivencia en sociedad. Por lo tanto, asegurar la continuidad de servicios fundamentales como la electricidad, el agua y las telecomunicaciones es una tarea neurálgica.
El informe de Ciespal, titulado Ciberataques a la logística y la infraestructura crítica en América Latina y el Caribe, resalta el impacto económico y social que pueden tener los ataques cibernéticos. “Según el Banco Interamericano de Desarrollo, los 27 millones de pequeñas y medianas empresas (PyMES) presentes en la región representan un sector de gran importancia económica y social en América Latina y el Caribe. La firma de ciberseguridad Kaspersky indica que estas PyMES pueden sufrir pérdidas de hasta 155 mil dólares estadounidenses al enfrentarse a un ciberataque, además de lidiar con consecuencias como multas, compensaciones a clientes y autoridades, pérdidas de socios comerciales o daños a su imagen y reputación”.
El documento también señala que, entre 2020 y 2022, se registraron 82 eventos en logística e infraestructura crítica en países como Brasil con 27 incidentes; Colombia con 20; Argentina con 19; Chile con 16; México con 15; Perú y Uruguay con 11 cada uno; Ecuador con 10; y la República Dominicana y Panamá con 7 cada uno. En Ecuador, como en muchos otros países, se reconoce la importancia de adoptar un enfoque más holístico e integral hacia la resiliencia física y cibernética, colaborando con los sectores público y privado y actualizando continuamente los protocolos ante emergencias y desastres naturales.
Las consecuencias de ataques a infraestructuras críticas pueden ser devastadoras. Por ejemplo, un ataque a una planta de tratamiento de agua potable que afecte la regulación de la dosificación de cloro podría provocar envenenamiento en la población abastecida. Asimismo, un ataque al sistema eléctrico puede causar apagones generalizados, y si se ataca el sistema de semaforización de una ciudad, podría ocasionar malestar en la población.
Los ataques cibernéticos a entornos críticos impactan económicamente y en el medio ambiente, interrumpiendo las operaciones comerciales y causando daños a la propiedad y al entorno. La explotación de vulnerabilidades en los sistemas de Tecnología Operativa (OT) por actores maliciosos, grupos cibercriminales o estados-nación, puede infligir daños a una industria o a un país. Estos sistemas están enfocados en el control directo y la automatización de máquinas, plantas industriales, infraestructuras críticas y otros entornos físicos.
Entre las principales amenazas y vulnerabilidades se encuentran:
Malware: Ransomware, caballos de Troya y otros tipos de malware que pueden infectar sistemas OT y causar interrupciones en las operaciones de la infraestructura.
Ataques a la cadena de suministro: Los ataques contra proveedores de software o hardware pueden afectar a una amplia gama de infraestructuras que utilizan sus productos.
Ataques de denegación de servicio (DoS): Estos ataques pueden sobrecargar los sistemas OT, dejándolos inutilizables.
Vulnerabilidades de día cero: Vulnerabilidades desconocidas para el fabricante del software o hardware que pueden ser explotadas por atacantes.
Obsolescencia tecnológica: Los entornos industriales e infraestructuras críticas raramente se mantienen actualizados y adecuadamente gestionados en relación con IT.
Además, la integración de sistemas industriales avanzados y la Internet de las Cosas, IoT, en la infraestructura crítica ha mostrado una tendencia al alza. A pesar de sus numerosas ventajas, estos sistemas a menudo presentan vulnerabilidades de seguridad, convirtiéndolos en objetivos para ataques cibernéticos. La falta de robustez en sus protocolos de seguridad puede facilitar el acceso indebido de actores malintencionados, poniendo en riesgo no solo la continuidad operativa de estos sistemas sino la convivencia de los ciudadanos.
Uno de los mayores desafíos es la escasez de recursos por parte de las entidades encargadas de estas infraestructuras, que a menudo no cuentan con los medios para invertir en ciberseguridad avanzada. Además, el personal encargado de la gestión de seguridad en dichas infraestructuras no siempre tiene el conocimiento técnico necesario para implementar y mantener adecuadamente estas medidas de protección. A esto se suma la falta de coordinación entre los diversos organismos y entidades responsables de asegurar la integridad de estas infraestructuras críticas.
Medidas de seguridad para infraestructuras críticas:
La ciberseguridad de las infraestructuras críticas es cada vez más importante en un mundo donde la dependencia de los sistemas digitales está en aumento. Los gobiernos y las organizaciones deben adoptar un enfoque proactivo, invirtiendo en tecnologías de seguridad avanzadas, capacitando a sus empleados en las mejores prácticas de ciberseguridad y promoviendo la cooperación entre diferentes industrias y países. Solo una estrategia global y colaborativa puede fortalecer la resiliencia a los ciberataques y garantizar la continuidad de los servicios esenciales para la sociedad.
Las organizaciones públicas y privadas que administran las infraestructuras críticas deben implementar medidas de seguridad para protegerlas de los ciberataques, tales como:
Implementar un programa de gestión de riesgos de ciberseguridad que permita la identificación de los activos críticos, amenazas y vulnerabilidades, y desarrollar e implementar medidas de seguridad para mitigar el riesgo.
Realizar una segmentación y microsegmentación de redes donde las redes OT estén segregadas de las redes TI para evitar que los atacantes se propaguen a sistemas críticos.
Utilizar dispositivos de seguridad, como firewalls y sistemas de detección de intrusos, para proteger la infraestructura de los ciberataques.
Formar al personal, especialmente a aquellos dedicados a la infraestructura crítica, para que sean conscientes de las amenazas y vulnerabilidades cibernéticas y sepan cómo responder a los incidentes de seguridad.