Últimamente, mucho se ha escuchado en los medios de comunicación la expresión de «infraestructura crítica». Pero cuando se menciona esta expresión, algunos tienden a pensar o imaginar una torre eléctrica, un puente o una industria. Si bien ese pensamiento no está muy alejado de la realidad, el concepto de infraestructura crítica abarca aspectos mucho más amplios y profundos que impactan de forma crucial la vida cotidiana de las personas.
A diario utilizamos la electricidad, bebemos agua, utilizamos los transportes públicos, acudimos a un centro médico, compramos en el supermercado, solicitamos servicios de emergencia como policía o ambulancia, realizamos pagos con tarjetas bancarias, buscamos rutas a través de mapas en línea y nos guiamos por GPS, llamamos por teléfono, nos conectamos a Internet o realizamos trámites con entes privados o de Gobierno, etc.
Todas esas actividades son parte de lo que se define como «servicios esenciales», los cuales deben mantenerse operativos y disponibles, en su mayoría, las 24 horas del día.
Figura 1: Servicios Esenciales
Para entender un poco mejor en qué consisten y cómo se soportan, nos basaremos en las siguientes definiciones.
- Servicios esenciales: son los servicios necesarios para el mantenimiento de las funciones sociales básicas; la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas.
- Infraestructura crítica: son los sistemas y/o sectores estratégicos que proporcionan dichos servicios esenciales, cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.
- Infraestructura estratégica: son las instalaciones, redes, sistemas y equipos físicos incluyendo las tecnologías de la información sobre las que descansa el funcionamiento de los sectores críticos.
Infraestructura Crítica
En otras palabras, las infraestructuras críticas son todos aquellos sistemas físicos o virtuales que facilitan funciones y servicios esenciales para apoyar a los sistemas más básicos a nivel social, económico, medioambiental y político. Una alteración o interrupción en su funcionamiento debido a causas naturales (por ejemplo: una inundación que afecta al suministro eléctrico) o provocada por el hombre (un atentado terrorista o un ataque cibernético a una central de energía, una entidad financiera o de tratamiento de agua potable) podría conllevar graves consecuencias.
Figura 2: Sistemas Básicos de Servicios Esenciales
Ahora que conocemos la importancia de estas infraestructuras, comienzan las inquietudes, por ejemplo:
- ¿Están definidos estos sectores de infraestructura crítica en mi país?
- ¿Si no están definidos, quién los define y cómo?
- ¿Se encuentran estos catalogados y protegidos?
Sin duda estas preguntas se tornan difíciles de responder, ya que están directamente relacionadas con la madurez de cada país en esta materia. Pero podemos suponer que cada país define en su constitución política, o en otra instancia, que es deber del Estado proteger la vida y la salud de sus ciudadanos. De esto, podemos desprender cuáles son los sectores más importantes y que se definirán en primer lugar como «infraestructura crítica», es decir, sectores que también podríamos denominar «sectores vitales».
Durante una emergencia, comunicarse y obtener información es crucial para tomar buenas decisiones. Asimismo, es vital poder contar con energía eléctrica o con los elementos necesarios para generarla, como el combustible para abastecer los equipos de soporte de vida y de comunicación. Tener la capacidad de transportar alimentos e insumo a la población, tener la capacidad de entregar agua potable y atención médica, son todos elementos indispensables para la protección de la salud y la vida. Es más, como hemos visto en los últimos años, incluso en ausencia de cualquier emergencia, la mera falta de alguno de estos servicios ya afecta significativamente a la calidad de vida de los habitantes de un país.
El resto de los sectores a definir depende de cada país y está sujeto a variables tanto económicas como tecnológicas, físicas y socioculturales. Por ello, existe una amplia variedad en cuanto al número de sectores según los países. Un ejemplo bien conocido es el de Estados Unidos, que ha definido 16 sectores de infraestructura crítica, mientras que Nueva Zelanda solo tiene 4 (uno de estos agrupa transporte y energía). Del mismo modo, cada país tiene dependencias particulares de ciertos servicios, y la importancia que se les atribuye varía de un país a otro. Un buen ejemplo de ello es el Reino Unido, que considera el «espacio» como un sector de infraestructura crítica, al tiempo que Alemania cuenta los objetos culturales (elementos del patrimonio cultural) como parte de su «infraestructura de servicios socioeconómicos».
Figura 3: Los 16 sectores de infraestructura crítica
Ciberespacio
¿Y qué tiene que ver el ciberespacio en todo esto? Al igual que con la expresión «infraestructura crítica» que comúnmente se asocia solo a unos componentes, el ciberespacio tiende a asociarse solo a Internet, aunque va mucho más allá. El ciberespacio se ha convertido en un ambiente transversal a cualquier actividad realizada por el hombre. Con esto, se ha generado una gran dependencia de el y, a menudo, la existencia de un único punto de falla en las infraestructuras críticas de los países más desarrollados o en vías de desarrollo. Por lo tanto, al lograr vulnerar este punto, se afectaría de manera importante a múltiples procesos críticos de los que dependen muchos servicios.
Si nos fijamos por ejemplo en el cuadro que contiene los 16 sectores definidos por los Estados Unidos, podemos afirmar con toda seguridad que todos ellos poseen elementos del ciberespacio, lo cual lo hace un elemento único y estratégico para la vida moderna de nuestra sociedad. Es por eso que definirlo es muy importante, ya que, basándonos en esa definición, podremos determinar hacia donde mirar al momento de comenzar a evaluar los riesgos que se encuentran en el. Si bien existen definiciones en varios diccionarios, nunca está de más tener una definición propia que nos ayude como guía para este objetivo. Por ello, basándome en mi experiencia, comparto mi definición.
«El ciberespacio es un ambiente creado por el envío de información a través de elementos electrónicos (o con características electrónicas), que debe ser procesada, sin importar la distancia o el medio, para obtener un resultado, el cual puede ser una acción o el consumo de algún otro tipo información.» - Javier Pérez
El uso y la interconectividad mediante elementos electrónicos ha expuesto todo tipo de infraestructura estratégica a sufrir daños o recibir ataques a través de distintos vectores. Dichos daños pueden ser provocados por causas naturales o hechos por el hombre.
Un ejemplo muy común es el clima espacial. El clima espacial se refiere a las condiciones variables en el sol y en el espacio que pueden influir en el rendimiento y la confiabilidad de los sistemas tecnológicos espaciales y terrestres, los que podrían poner en peligro la vida y la salud. Así, pues, las tormentas solares.
Figura 4: El Clima Espacial
Las eyecciones de masa coronal del sol, cuando se dirigen a la Tierra, pueden crear perturbaciones en el campo magnético terrestre. Estas tormentas solares pueden producir campos geomagnéticos cargados que, a su vez, pueden crear corrientes inducidas geomagnéticamente (GIC).
Por ejemplo, el Sistema Global de Navegación por Satélite (GNSS), que es una de las tecnologías que respaldan nuestro mundo moderno, está amenazado por la meteorología espacial. A medida que la información satelital pasa a través de la ionosfera se producen retrasos, y estos pueden empeorar debido a los fenómenos meteorológicos espaciales. Es preocupante que un evento meteorológico espacial importante o una perturbación geomagnética (GMD) puedan denegar el acceso al GNSS.
Ejemplos de cómo la naturaleza puede afectar los sistemas hay muchos. Por lo tanto, predecirlos, lanzar alertas y disponer de sistemas de contingencia, son todas acciones que se basan en técnicas y herramientas que requieren de componentes del ciberespacio. Como vemos, la calidad de nuestra vida moderna depende mucho de el.
El ciberespacio se convirtió en algo tan importante, que recién en el año 2018, más precisamente el 16 de noviembre, en los Estados Unidos, se promulgó la ley de «Cybersecurity and Infrastructure Security Agency». Esta legislación enfatizó la seguridad cibernética por primera vez y reemplazó la Dirección de Programas y Protección Nacional (NPPD) por la «Cybersecurity and Infrastructure Security Agency» también mencionada como CISA.
Esta agencia quedó al mismo nivel que los servicios secretos, la oficina de inteligencia y análisis, o también la oficina de lucha contra las armas de destrucción masiva, entre otros.
La estructura de las oficinas de ciberseguridad y protección de la infraestructura dentro del Departamento de Seguridad Nacional, a partir de 2019, se centra en la ciberseguridad, las comunicaciones de emergencia, la seguridad de la infraestructura y la gestión de riesgos.
Ciberataques
En las últimas décadas hemos visto como han evolucionado los ataques a la infraestructura estratégica de la infraestructura crítica. Se dieron a conocer acontecimientos importantes como el caso del gusano informático Stuxnet que habría sido usado para atacar las infraestructuras nucleares iraníes en el cuadro de la operación estadounidense Olympic Games y, a la fecha, el conflicto bélico entre Rusia y Ucrania, donde hemos visto lo relevante que ha sido el ciberespacio en el desarrollo de los eventos, como los ataques de borrado de información, hasta el punto de llamar a la construcción de un ciberejército mundial para atacar a Rusia.
Figura 5: Comunicado alentando a hackers a atacar a Rusia
Los ciberataques son muy atractivos para quienes los ejecutan. Por ejemplo, en el caso de que un país ataque a otro, es casi imposible atribuir la responsabilidad del ataque a un país en específico debido a las técnicas de anonimización que se pueden utilizar. Lo mismo ocurre con los ciberdelincuentes, que en la mayoría de las ocasiones tienen éxito en sus ataques y no pueden ser identificados para su posterior captura.
Es en este contexto que los «sectores vitales», que poseen redes de tecnología operacional (OT) que incluyen redes de sistemas de control (ICS y SCADA), se vuelven tan apetecibles por los atacantes, ya que la posibilidad de afectar a miles de personas con un solo ataque es muy factible.
Conclusión
Al indagar en la importancia del ciberespacio en las infraestructuras críticas se abren varias interrogantes. Muchos países no las tienen definidas y, al no saber cuáles son, se hacen más difíciles de proteger. Además, la mayoría de las infraestructuras críticas corresponden al sector privado y un pequeño porcentaje al sector público. Entonces, ¿cómo puedo saber, como individuo, si mi compañía pertenece a la categoría de infraestructura crítica? ¿Soy un blanco expuesto para ataques que provengan de otras naciones o hacktivistas? ¿Es el Estado el encargado de protegerme o debo hacerlo yo mismo? Estas son algunas de las numerosas preguntas legítimas que surgen sobre este tema.
En los próximos artículos, iremos definiendo cuáles son los sectores privados y públicos más expuestos, qué estándares aplican a cada industria del sector y cómo ir avanzando en la mejora de la ciberseguridad que soporta nuestros servicios esenciales.
_____
Figura 1: https://eltijuanense.com/cuales-son-las-actividades-esenciales/
Figura 3: https://www.cisa.gov/sites/default/files/publications/2019-CSSS-CISA-Regional-Services-508.pdf
Figura 4: https://www.nasa.gov/sites/default/files/thumbnails/image/faq13.jpg
