Ciberseguridad en infraestructuras críticas
Autor: carla
Los sistemas y servicios que soportan infraestructuras esenciales para el desarrollo de la sociedad y que garantizan el normal funcionamiento de los servicios prestados por los estados, es lo que conocemos por infraestructuras críticas. Por ello, existen sectores especialmente sensibles como el eléctrico, el agua, el gas, transportes, químico, comunicaciones, sistema financiero y el sanitario, entre otros.
Por ejemplo, lo que en diciembre de 2016 fue un corte de luz en una población ucraniana en Kiev de 1,4 millones de habitantes, podría ser hoy algo aún más perjudicial para las personas. Mientras más dispositivos se conectan a la Internet de las Cosas (lavadoras, hornos, alarmas, etc), la superficie de ataque aumenta considerablemente y esa comodidad que nos proporciona la tecnología abre un flanco importante a explotación de vulnerabilidades por parte de criminales. Aunque parezca lejano, Chile es un blanco perfecto debido a la aún baja inversión en Ciberseguridad (50 % de países de OCDE).
La OEA junto a Microsoft realizaron el primer reporte de «Protección a infraestructura crítica en Latinoamérica y el Caribe», donde encuestaron a más de 500 dueños y operadores del sector en la región. Del estudio se extrae que, entre 2016 y 2017, el 73% de las organizaciones y empresas ligadas a este tipo de infraestructuras recibieron ataques de terceros. Sólo en España, los ataques a infraestructura crítica los dos primeros meses del 2018, duplicaron a todos los del 2017.
Por su parte, Kepler (www.kepler.cl) realizó un estudio el año 2018 concluyendo que los objetivos de un cibercriminal son: mayoritariamente obtener ilícitamente información de terceros (40%) y utilidades financieras directas (39%), pero que un preocupante 19% es realizado por activismo digital y un 2% por ataques geopolíticos. En este 21%, un objetivo relevante es la infraestructura crítica. Plantas eléctricas, transporte público o gaseoductos son blancos preferidos por este tipo de criminales y activistas, producto de la baja inversión promedio en ciberseguridad (3 a 6% versus un deseable 10 a 13% de su presupuesto en TI) y por el revuelo que generan en la población la posible falla en la continuidad operativa de un país completo.
Si en Chile se produjese un evento de ese calibre y envergadura, afectaría a hospitales, medios de pago y otros servicios básicos como el agua potable. Esta incomunicación ocasionaría un caos como el que generaría un desastre natural, con las consecuencias en la población similares a lo ocurrido con el terremoto en Concepción el 2010.
En nuestro país, desde mediados del 2018 se viene trabajando el proyecto que comprende la tipificación de los delitos en relación al Convenio de Budapest, el primer tratado internacional en materia de ciberseguridad. Aunque entró en vigencia en el 2004, Chile lo ratificó el 2017 y ahora es el marco para lo que se viene.
Ciertos aspectos de vulnerabilidades a la infraestructura crítica son: compromiso de información con señales de interferencia e interceptación que comprometen espionaje remoto, escucha secreta, robo de medios, documentos o equipos, recuperación de medios reciclados o descartados, divulgación, datos de fuentes poco fiables, manipulación con hardware y software y detección de posición.
Están también las fallas técnicas con saturación de sistemas críticos de información, mal funcionamiento del software, brecha/fisura de mantenimiento del sistema de información; las acciones no autorizadas con usos no autorizados del equipo, copia fraudulenta de software, uso de software falsificado o copiado, corrupción de datos y procesamiento ilegal de datos.
Destaca además el compromiso de funciones: con error de uso, abuso de derechos, falsificación de derechos, negación de acciones, brecha de disponibilidad de personal. Y las fuentes de amenazas humanas: hackers, delitos informáticos, terrorismo y espionaje industrial.
Por su parte, los resguardos para lo descrito anteriormente se harían a través del Sistema Nacional de Ciberseguridad, el cual tendría la siguiente estructura: Un coordinador del Sistema Nacional de Ciberseguridad, que dependerá del Ministerio del Interior, y que articulará toda la red dividida en tres grandes áreas: el Centro de Incidencias de Defensa, que corresponde al Ministerio de Defensa; el Centro Nacional de Incidencias Informáticas, que corresponde al Ministerio del Interior, y el Centro de Incidencias Industriales de Sectores Estratégicos, que dependerá del Ministerio de Economía, este último se preocupará que la empresa privada cumpla con los estándares de seguridad definidos; Interior con el sector público, y Defensa con las Fuerzas Armadas.
Ningún país, compañía o persona puede estar segura de que nunca va a sufrir un ataque que ponga en peligro su ciberseguridad, pero lo que sí debe hacer es tomar las medidas adecuadas para reducir las probabilidades y evitar así los daños siempre que sea posible. Si además tenemos en cuenta el impacto que puede tener un ciberataque contra la infraestructura crítica de un país, cualquier mejora en la estrategia de ciberseguridad es fundamental.
Importante es la acción y prevención privada, incluyendo sistemas de seguridad que incluyan, pero no se limiten a estudiar el comportamiento de las entidad y flujos de datos, con capacidad de aprender (IA), para poder encontrar desviaciones en los sistemas que indiquen o hagan sospechar de un posible ataque, como también la ayuda estatal para defender, coordinar, robustecer y restablecer frente a ataques que pueden ser incluso financiados por gobiernos extranjeros.
Hugo Galilea, Socio de KEPLER, protegemos tus datos.