Opinión
Las infraestructuras críticas nacionales están en plena transformación
Nathan Howe
VP general de innovación
Zscaler
La aparición de toda una serie nueva de infraestructuras críticas en manos o dirigidas a consumidores es una tendencia creciente en estos momentos en todo el mundo. Entre estas infraestructuras se incluyen las comunicaciones por satélite dirigidas al público en general (de las que más de la mitad ya son privadas), servicios ferroviarios o industrias más recientes y ecológicas como la recarga de vehículos eléctricos y el consumo de energía solar en el hogar. No es extraño que crezca, al mismo tiempo, la preocupación por la seguridad y la protección de este ecosistema ampliado, y que los equipos de seguridad se esfuercen por protegerlo de la mejor manera posible.
Estas industrias siguen creciendo y evolucionando de forma impredecible, pero una cosa es cierta: para protegerlas, primero hay que identificarlas y definirlas. Eso incluye comprender mejor y de forma urgente la magnitud y el alcance de las Infraestructuras Críticas Nacionales (ICN) de un país, perfilar cómo las definimos y decidir qué nuevas infraestructuras entran en la categoría de «protección prioritaria».
¿Qué se entiende por infraestructuras críticas?
En España, las infraestructuras se consideran «críticas» si “su funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
En abril de 2023, el Gobierno británico actualizó su definición y categorización de las ICN, especificando que se trata de «aquellos elementos críticos de las infraestructuras (a saber, activos, instalaciones, sistemas, redes o procesos y los trabajadores esenciales que los operan y facilitan), cuya pérdida o puesta en peligro podría dar lugar a: grave impacto perjudicial en la disponibilidad, integridad o prestación de servicios esenciales -incluidos aquellos servicios cuya integridad, en caso de verse comprometida, podría ocasionar importantes pérdidas de vidas humanas o víctimas-, teniendo en cuenta sus importantes repercusiones económicas o sociales; y/o impacto significativo en la seguridad nacional, la defensa nacional o el funcionamiento del Estado”.
En esa línea, España ya emprendió diversas actuaciones a nivel nacional, como la aprobación, por la Secretaría de Estado de Seguridad del Ministerio del Interior, de un primer Plan Nacional de Protección de las Infraestructuras Críticas, de 7 de mayo de 2007, así como la elaboración de un primer Catálogo Nacional de Infraestructuras Estratégicas. Así mismo, con fecha 2 de noviembre de 2007, el Consejo de Ministros aprobó un Acuerdo sobre Protección de Infraestructuras Críticas, mediante el cual se dio un impulso decisivo en dicha materia. El desarrollo y aplicación de este Acuerdo supuso un avance cualitativo de primer orden para garantizar la seguridad de los ciudadanos y el correcto funcionamiento de los servicios esenciales. Finalmente, en 2011 se promulgó la Ley 8/2011, de 28 de abril, modificada por la Ley Orgánica 9/2022, por la que se establece la definición y las medidas para la protección de las infraestructuras críticas.
Mientras que muchos países, como España, ya se han ocupado de determinar qué sectores deben definirse como críticos para protegerlos mejor frente al cambiante panorama de las ciberamenazas, otros aún carecen de una definición similar. El hecho de que no exista una homologación mundial significa que hay una falta de protección y normalización coherentes y, por tanto, más oportunidades para que los piratas informáticos se aprovechen y causen estragos desmesurados.
Uno de los elementos más importantes de este debate es el mayor riesgo que entraña el avance tecnológico. Las infraestructuras críticas más antiguas, como la industria nuclear civil y la química, están fuertemente protegidas por defensas físicas para mantener alejados a los intrusos. Sin embargo, los nuevos campos, como la recarga de vehículos eléctricos y la energía solar, por ejemplo, no pueden presumir de esa seguridad. Como muchas de estas nuevas tecnologías se desarrollan para ser utilizadas directamente por el gran público, las soluciones de ciberseguridad son la única alternativa a los muros físicos y las cerraduras que pueden impedir que se pongan en peligro.
Los riesgos que puede entrañar la innovación
Si nos fijamos en los cargadores de vehículos eléctricos, la tecnología en sí es accesible y se puede encontrar en las gasolineras o en zonas menos protegidas a las que el público puede acceder fácilmente y que pueden implicar un riesgo. En este caso, los posibles riesgos van desde personas que simplemente se aprovechan y buscan ancho de banda de Internet hasta quienes pretenden piratear los sistemas de pago. Dado que los cargadores de vehículos eléctricos pueden tocarse y, a menudo, abrirse fácilmente, constituyen un gran riesgo para las infraestructuras críticas nacionales más extensas a las que están conectados y con las que interactúan, como las redes eléctricas, las de finanzas e Internet.
Los puertos de carga de los vehículos eléctricos suelen ofrecer a los usuarios la posibilidad de navegar por Internet a través de la conexión Wi-Fi. En teoría, esto significa: los usuarios podrían manipular terminales de pago o acceder a sitios desconocidos que presentan sus propios peligros individuales. Cuando se pierden los controles físicos, los fundamentos de la ciberseguridad son cruciales para limitar el vector de ataque. Recuperar el control informático una vez que ya se ha perdido es una de las batallas más difíciles de las industrias del ciberespacio.
Los paneles solares son otro ejemplo actual. A pesar de su importancia para la sociedad de hoy, el sector de la energía se ha adaptado más lentamente que otras industrias a la tecnología digital debido a su envergadura global y a la necesidad de una alta disponibilidad de los sistemas. Este aspecto se refleja en la legislación de todo el mundo, en la que las redes eléctricas se clasifican como uno de los elementos más críticos.
Al popularizarse alternativas más ecológicas a la energía tradicional, se ha producido un auge de las energías renovables, desde los parques eólicos marinos hasta la generación de energía solar doméstica. Este creciente uso de tecnologías digitales requiere más capacidad de interconexión y, lo que es más importante, conecta componentes antes aislados con redes de comunicación más extensas. Esto hace que estén cada vez más expuestos a redes externas, como Internet, lo que se traduce en una mayor superficie de ataque.
Es evidente que en el caso de estas nuevas soluciones, como los paneles solares domésticos, el control de sus sistemas no es tan estricto como el de los de las compañías suministradoras de energía nacionales. Por ello, el hardware y el software pueden ser identificados por delincuentes que pueden tomar el control de la energía que se vierte a la red. De este modo, un atacante puede causar daños importantes incluso controlando una cantidad de energía comparativamente pequeña, aprovechándose de los efectos en cascada. En última instancia, un atacante podría provocar apagones en todo el sistema, afectando a la distribución y transmisión a escala nacional.
¿De quién es la responsabilidad de proteger las infraestructuras nacionales?
Teniendo en cuenta lo que está cada vez más en juego, hay interrogantes que van apareciendo en torno a quién tiene la responsabilidad de proteger el cambiante y creciente panorama de las infraestructuras. Tanto si se trata de gobiernos como de organizaciones o de los propios individuos, es importante que la parte o partes responsables busquen el equilibrio adecuado entre innovación y regulación.
En la Unión Europea, la entrada en vigor de la Directiva 2008/114, del Consejo, de 8 de diciembre, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección (en adelante, Directiva 2008/114/CE), constituye un importante paso en la cooperación en esta materia en el seno de la Unión. En dicha Directiva se establece que la responsabilidad principal y última de proteger las infraestructuras críticas europeas corresponde a los Estados miembros y a los operadores de estas, y se determina el desarrollo de una serie de obligaciones y de actuaciones por dichos Estados, que deben incorporarse a las legislaciones nacionales.
Sin embargo, en una dimensión mundial, para evitar posibles catástrofes en el futuro, los países deben comprometerse a hacer ya sus deberes para crear unos cimientos seguros sobre los que pueda prosperar la sociedad moderna, sin el riesgo inminente de la amenaza cibernética.
Una solución de confianza cero
Para proteger a las infraestructuras críticas nacionales de los peligros derivados de la privatización y de la rápida innovación sin regulación, son fundamentales tres pasos, y la confianza cero está concebida para cumplir los tres: En primer lugar, la visibilidad del peligro; en segundo lugar, la identificación de los datos críticos que deben protegerse y, por último, la implantación de la protección de esos datos. Como solución, la confianza cero puede ofrecer a países, gobiernos y organizaciones una visión del panorama de riesgos que tienen ante sí, así como crear las vías adecuadas para protegerse de ellos.
Cuanto más granular pueda ser la protección frente a la ciberdelincuencia, mejor. Podría decirse que la lección más importante para los responsables de la protección de las ICN es la trascendencia de desplegar la estrategia de infraestructura adecuada desde el primer momento. Ser seguro desde un principio, antes de que se produzca una brecha, es la forma más segura de proteger la infraestructura, especialmente mientras el mundo espera una normativa global o nacional sobre cómo debe ser la seguridad de estos sectores nuevos y cada vez más privatizados.