El reciente sabotaje a los gaseoductos submarinos Nord Stream I y II ha vuelto a hacer sonar las alarmas sobre lo imperativo de proteger las infraestructuras críticas. Esta no es la única noticia que pone de manifiesto la vulnerabilidad de estas infraestructuras y que explica también el aumento constante de la inversión en seguridad y ciberseguridad.

De acuerdo con la consultora Gartner, la inversión en seguridad de la información y gestión de riesgos ascenderá a 172.000 millones de dólares en 2022, una cifra que se situó en 155.000 millones y 137.000 millones en 2021 y 2020, respectivamente. Por su parte, ABI Research prevé que el gasto mundial en ciberseguridad para tecnologías operativas e IoT industrial en infraestructuras crítica se elevará hasta los 21.000 millones de dólares en el horizonte de 2027.

La seguridad exige tener un perfecto conocimiento de los riesgos y estar preparados para mitigar al máximo su impacto

Desde el ataque del gusano informático Stuxnet en 2010 —que interrumpió la operación del programa nuclear iraní— hasta el último conocido —de septiembre de 2022, en el que piratas informáticos iraníes atacaron los sistemas de Albania obligando a cerrar temporalmente el sistema para el registro de las personas que entran y salen del país—, los ciberataques a infraestructuras críticas han comprometido la operativa de organizaciones en muy diversos sectores: desde las compuertas de la presa de Nueva York en 2013 hasta el sistema de suministro de agua de Tampa (Florida) en 2021, pasando por el sistema luminoso de gestión del tráfico en Michigan, hackeado en 2015, o la parada global, en 2017, de las operaciones de Maersk Shipping por un ataque de malware que supuso unas pérdidas de 250 millones de dólares.

Los ataques a infraestructuras críticas no han dejado de crecer. Ahora, además, nos encontramos con el desafío adicional que suponen aquellos que están dirigidos solo a dañarlas y no tanto al robo de datos, como sucede en el mundo informacional. El objetivo de estas agresiones es quebrar la disponibilidad de las infraestructuras e impedir la continuidad de las operaciones, elementos que constituyen las prioridades de los sistemas operacionales de las organizaciones.

Las empresas que operan en los doce sectores (financiero, Administración Pública, agua y energía, alimentación, salud, industria química y nuclear, etc.) incluidos en la lista del Centro Nacional de protección de Infraestructuras Críticas (CNPIC), responsable de determinar el Nivel de Alerta de las Infraestructuras Críticas (NAIC), deben garantizar que se encuentran a salvo de estos ataques, cuyas consecuencias pueden ser catastróficas. La seguridad de las infraestructuras críticas exige tener un perfecto conocimiento de los riesgos y estar preparados para mitigar al máximo su impacto.

La industria, en el punto de mira

El sector industrial, esencial para la economía de los países y para la salud y el bienestar de los ciudadanos, tal y como se demostró en la pandemia, se ha convertido en uno de los objetivos prioritarios de los ciberdelincuentes. De hecho, históricamente, banca y seguros han sido los sectores más atacados, pero en 2021 el mayor número de ciberataques (casi una cuarta parte) se dirigió al sector industrial y fabril, donde la continuidad de la actividad es igualmente crítica. Cabe destacar que uno de los métodos más utilizados para interrumpir la actividad de las industrias es el ransomware, que representa dos tercios de los ataques a este sector.

El avance de la digitalización del sector industrial (industria 4.0) supone una clara ventaja en términos de productividad, optimización y eficiencia; por tanto, de competitividad. Pero también puede convertirse en un nuevo vector de vulnerabilidad cuando no se acompaña de las políticas, herramientas, monitorización y gobierno adecuados.

Además, el riesgo de una mayor exposición a los ataques que puede suponer la industria 4.0 hay que abordarlo desde una doble vertiente: se trata de proteger tanto los sistemas TI (tecnología de la información) como los operacionales (OT o tecnologías de operación), que, en muchos casos, son convergentes.

Las plantas de fabricación son buenos ejemplos en sectores como el de la automoción, el farmacéutico, el alimentario o el de las industrias plástica y cerámica. En estos entornos, en los que los procesos de fabricación están automatizados, el objetivo de los ciberdelincuentes ya no se basa solo en capturar la información residente en los activos TI (redes, servidores, ordenadores y todo tipo de dispositivos móviles). A todo esto hay que sumarle también los activos operacionales. La denominada Internet Industrial de las Cosas (IIoT) ha introducido nuevos desafíos que extienden las amenazas a sistemas de control, sensores, maquinaria, robots, autómatas y un abanico muy diverso de activos y herramientas que necesariamente tienen que funcionar con niveles máximos de fiabilidad y seguridad.

Por tanto, del mismo modo que la ciberseguridad debe ser uno de los pilares en los que se asiente cualquier proceso de transformación digital, también ha de ser inherente al salto a la industria 4.0.

Conocer las fortalezas y las  debilidades

La experiencia acumulada durante estos años nos ha demostrado que el primer paso para asegurar la protección y la continuidad del negocio es contar con un conocimiento claro y detallado de los riesgos, para, a partir de ellos, definir una estrategia de ciberseguridad.

Este modelo de protección debe incluir soluciones de prevención, de monitorización y de mitigación de riesgos, pero también tiene que contemplar la formación de los empleados en este ámbito —este es un aspecto capital—, así como el desarrollo de auditorías de ciberseguridad que permitan determinar el estado de las ciberdefensas de la organización.

Por tanto, el punto de partida debe ser esta auditoría de ciberseguridad. De este modo es como la empresa descubrirá qué datos y qué activos son críticos para la organización. En esencia, se trata de identificar de forma clara las fortalezas y debilidades de la organización, para poder actuar en consecuencia, implementar las soluciones y contratar los servicios que se ajusten a sus requerimientos.

A partir de ese conocimiento de los riesgos y amenazas que hemos ido recopilando durante estos últimos años, hemos construido Cloud & Cibersecurity by aggity. Se trata de un portfolio de soluciones y servicios gestionados de seguridad que hacen uso de herramientas propias y de terceros, y que se pone a disposición de las empresas en modo SaaS.

Gracias a este modelo, el coste ya no es un pretexto para establecer y mejorar de forma continua la estrategia de ciberseguridad, algo que, en el caso de las infraestructuras críticas, es sencillamente vital.