Skip to main content

Contra los ciberataques a infraestructuras críticas, nuevas tecnologías

Published Date
Author Matt Alderton - ES

cyberattacks on critical infrastructure

  • Cada día se intentan cientos de millones de ciberataques contra intereses estadounidenses, y las infraestructuras críticas son un objetivo tan valioso como vulnerable.
  • Las arquitecturas de sistema modular y un enfoque de “confianza cero” son dos ejemplos de innovación en ciberseguridad de infraestructuras.
  • Si quieren seguir el ritmo de los ciberataques a infraestructuras críticas, tanto propietarios como operadores deben replantearse los sistemas heredados al mismo tiempo que reestructuran problemas ya existentes.
  • La CISA (siglas en inglés de la Agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense) se alza como un catalizador de innovación en ciberseguridad gracias a su trabajo colaborativo con el sector privado.

Si existiese una unidad de cuidados intensivos para infraestructuras, estaría a rebosar de víctimas de ciberataques. Algunas de las presas de ataques de ransomware de 2021 han sido el sistema de oleoductos Colonial Pipeline, la empresa de procesado cárnico JBS y la Autoridad Metropolitana del Transporte (MTA) de la ciudad de Nueva York, a las que los ciberdelincuentes instalaron software encubierto para secuestrar sus sistemas informáticos y exigirles rescates exorbitados.

Pero el ransomware no es la única arma en el arsenal cada vez más amplio de los ciberataques a infraestructuras críticas, lanzados por hackers maliciosos contra los sistemas en red de estructuras físicas. Hay un tipo de ataque más preocupante que el motivado por el beneficio económico: el que busca ocasionar daños.

En febrero de 2021, sin ir más lejos, unos hackers penetraron en los sistemas de una planta potabilizadora de Oldsmar, Florida, en un intento por envenenar el suministro local de agua. Concretamente, lo que hicieron fue sabotear el software que controla los aditivos químicos y utilizarlo para incrementar la cantidad de soda cáustica —el ingrediente principal de los limpiadores líquidos de desagües— a un nivel 100 veces el habitual. Si bien se detectó el ataque y se corrigió la modificación antes de que llegase a contaminarse el suministro de agua, las consecuencias podrían haber sido desastrosas.

“Estoy convencido de que nuestro siguiente Pearl Harbor o 11-S será cibernético”, declaró el senador Angus King en su testimonio durante una audiencia celebrada en junio en el senado estadounidense para abordar las vulnerabilidades de las infraestructuras en materia de ciberseguridad.

cyberattacks on critical infrastructure
Las plantas de tratamiento de aguas son un objetivo muy cotizado para los ciberataques.

Las brechas de ciberseguridad pueden pasar inadvertidas, de modo que a menudo no se registran, y esto a su vez hace que sea difícil evaluar las verdaderas dimensiones del problema. Aun así, no pinta bien. La empresa de ciberseguridad Deep Instinct afirma que se dan “cientos de millones” de intentos de ciberataques cada día. La empresa declaró en un estudio reciente que solo en 2020 hubo un aumento del 358 % en malware general y un 435 % en ransomware.

“El problema no se limita al ingente volumen de ataques —advierte Guy Caspi, director general de Deep Instinct—. Nuestro estudio muestra que también ha aumentado la sofisticación de los ataques, con unas tácticas avanzadas de evasión que los hace mucho más difíciles de detectar”.

En cuestión de ciberataques a infraestructuras críticas, la mejor manera de contrarrestar esa sofisticación en aumento es una mayor innovación. Así lo indica Si Katara, cofundador y presidente de HeadLight, un proveedor de tecnología de inspección de infraestructuras basada en fotografías.

Según Katara, “Las amenazas que se están dando hoy en el mundo están creciendo de forma exponencial. Para encontrar el antídoto, tenemos que poner la seguridad en marcha de una forma que le siga el ritmo (y esperemos pueda adelantarse) a la evolución de esas amenazas. Si no aceleramos la innovación en materia de seguridad, estaremos poniéndonos en peligro a nosotros mismos”.

Dado que la ciberseguridad es un problema digital, este necesita soluciones digitales. Pero la tecnología no es capaz por sí sola de reprimir a los ciberdelincuentes que tienen infraestructuras en el punto de mira. Lo que hace falta, según los expertos, es un enfoque de 360 grados en materia de innovación que dé pie a una unión entre nuevas herramientas, personas, procesos y perspectivas.

cyberattacks on critical infrastructure hacker
Cada día se intentan cientos de millones de ciberataques contra intereses estadounidenses.

De sistemas de infraestructuras monolíticos a modulares

Para proteger sus activos, tanto los propietarios como los operadores de infraestructuras críticas deben entender, en primer lugar, qué es lo que los hace tan vulnerables.

Todo comienza con su valor intrínseco como objetivos. La infraestructura es esencial: desde carreteras hasta puentes, pasando por centrales eléctricas y servicios hídricos, la desconexión de cualquiera de ellas puede acarrear consecuencias de gran magnitud. Con economías e incluso vidas humanas a merced de ese equilibrio, los delincuentes dan por hecho que los desesperados administradores estarán dispuestos a pagar enormes sumas por proteger estos activos vitales. Y suele ser el caso.

Ahí es cuando hay que fijarse en los sistemas heredados, que generalmente no se diseñaron con la ciberseguridad en mente. “El problema que tienen estos sistemas heredados, anticuados y monolíticos, es que son difíciles de modernizar —explica Katara—. Si quieres actualizar una parte, tienes que reorganizarlo entero. Por eso normalmente esos sistemas monolíticos se van actualizando a base de tiritas y cinta americana, como quien dice. Pero con el paso del tiempo termina habiendo más cinta americana que sistema original, y eso significa que al final van a surgir puntos débiles. Entonces va un ciberataque y te pega justo en esos puntos, y todo el monolito se viene abajo”.

La solución es un enfoque modular para con la tecnología que reemplace a lo monolítico. Así lo recomienda Katara, cuya tecnología HeadLight de inspección visual está basada en la nube y de arquitectura abierta para poder comunicarse con los sistemas heredados sin depender de ellos: “Así es mucho más fácil aislar y actualizar componentes para asegurarse de que todo funciona sin contratiempos. Cuando hay una nueva innovación, no tienes que destrozar todo el monolito. Puedes extraer un solo componente e instalar uno nuevo”.

Esto es especialmente valioso desde el punto de vista de la seguridad. Uno de los clientes de HeadLight fue víctima de un ciberataque que desconectó sus sistemas heredados durante cuatro o seis semanas. Mientras tanto, los proyectos que utilizaban HeadLight se mantuvieron sanos y salvos.

Katara explica: “Como funcionaba de forma independiente, el ciberataque no afectó a HeadLight. Y en cuanto el equipo informático pudo restaurar sus sistemas heredados, pudieron sincronizarlos de forma segura con todos los datos e información recogidos y almacenados por HeadLight”.

cyberattacks on critical infrastructure headlight
Tecnología HeadLight de inspección basada en fotografía en funcionamiento en una obra. Gentileza de HeadLight.

Desarrollar una mentalidad de “confianza cero”

La arquitectura modular es solo un ejemplo de innovación en la seguridad de infraestructuras. Otro ejemplo es la detección de intrusiones, según Kevin Heaslip, investigador de ciberseguridad y profesor de ingeniería civil y medioambiental del Instituto Politécnico y universidad estatal de Virginia, Estados Unidos.

Heaslip afirma que la detección de intrusiones representa una innovación en la forma de pensar: supone abordar un problema común desde una nueva perspectiva. En este caso, eso supone dar un giro de una postura desde la que se detienen los ciberataques a una desde la cual se gestionan.

Heaslip es rotundo: “Tenemos que dejar de creer que los sistemas cibernéticos pueden estar completamente a salvo. La expresión que se está utilizando es ‘confianza cero’. Tenemos que dar por hecho que en un momento dado habrá personas que podrán penetrar nuestros sistemas. Y si se da el caso, quizá tendríamos que pensar menos en cómo parar a los hackers y más en cómo detectar el momento en el que vendrán y los cambios que introducirán en los sistemas”.

Con este fin, la investigación en curso de Heaslip se centra en modelado 3D para crear gemelos digitales de sistemas ciberfísicos y en aprendizaje automático para cartografiar esos sistemas, de tal manera que pueda detectarse cualquier cambio.

“Si un atacante entiende tu sistema mejor que tú, no vas a poder defenderte —explica—. Estamos usando aprendizaje automático para establecer la referencia de como opera el sistema cuando no está recibiendo ataques para detectar los cambios que ocurren cuando sí”.

Concretamente, Heaslip está trabajando con el Departamento de Energía de Estados Unidos para asegurar los sistemas de recarga para vehículos eléctricos. “Estamos modelando el vehículo, el cargador, la red y las interacciones entre estos tres sistemas para entender dónde podrían estar los vectores de ataque. Lo que más nos preocupa es un ataque que empiece en un vehículo o un cargador y luego se propague por toda la red para cortar la electricidad de toda una región”.

cyberattacks on critical infrastructure ev charger
Un sistema de recarga de vehículos eléctricos.

Al final, el objetivo es crear sistemas capaces de autorrepararse, que puedan detectar intrusiones y ejecutar mitigaciones y reparaciones automatizadas. “Cada día hay miles de millones de sondas y ataques en nuestras redes, y no tenemos suficientes personas cualificadas que puedan responder a cada uno de ellos —lamenta Heaslip—. Así que, a largo plazo, tenemos que utilizar funciones automatizadas para combatir estos ataques”.

Innovación a través de la colaboración

A pesar de su reputación como “ludita” (es decir, que no gusta de los desarrollos tecnológicos) y su lealtad a los sistemas heredados, el sector público está contribuyendo de forma significativa a la innovación en ciberseguridad, según el Dr. David Mussington, subdirector ejecutivo de seguridad de infraestructuras de la Agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense (CISA). Pese a que la mayoría de las innovaciones en seguridad se originan en el sector privado, Mussington deja patente que el gobierno puede contribuir a catalizarlas mediante el trabajo colaborativo:

“En lo que respecta a infraestructuras críticas, existe una colaboración entre el sector público y el privado para aplicar y descubrir soluciones conjuntamente. Hablamos directamente con el sector acerca de riesgos que les preocupan y desarrollamos de forma interactiva soluciones que vayan en línea con buenas prácticas para luego proponerlas. Esas buenas prácticas provienen del sector, de empresas líderes en su campo, pero también de sitios como el NIST [Instituto Nacional de Estándares y Tecnología], con el que colaboramos para asegurarnos de que los estándares de ciberseguridad se corresponden con formatos y servicios que el sector puede aprovechar para traer innovación”.

Las infraestructuras energéticas son diferentes de las hídricas, y estas a su vez de las infraestructuras de transporte. Mediante CISA y su organización para incorporar a otras partes interesadas, el gobierno federal estadounidense puede ser un canal neutral a través del que distribuir conocimientos por distintos sectores para establecer códigos de buenas prácticas y estimular nuevas ideas.

“No es lo mismo tener conocimientos especializados en el ámbito de tu empresa que tenerlos en el ámbito de los riesgos cibernéticos a los que tu empresa está expuesta —matiza Mussington—. CISA se especializa en la sensibilización sobre los riesgos cibernéticos, en concienciar sobre las tácticas, técnicas y procesos que un adversario podría utilizar para debilitar infraestructuras críticas. Y esa especialidad puede servir para solapar los puntos débiles de riesgo empresarial con puntos débiles de riesgo operativo desde una perspectiva gubernamental. Y la perspectiva intersectorial vale para eso”.

Una perspectiva intersectorial es especialmente valiosa en un contexto de informática ubicua. “En CISA pasamos mucho tiempo pensando en la convergencia ciberfísica —continúa Mussington—. Una cosa es tener un sistema crítico como un coche, un puente o un túnel y otra muy distinta es tener una infraestructura de comunicaciones dentro de ese sistema físico. De repente todo es mucho más complejo, con preocupaciones de muchos tipos en cuanto a riesgos y priorizaciones que hay que armonizar. Donde realmente encaja muy bien ese nexo de lo cibernético con lo físico es en el Internet de las cosas, donde lo que haces es propagar tecnología informática por un gran número de sistemas que hasta ahora no solían conectarse en red”.

No reconocer la convergencia ciberfísica puede tener consecuencias desastrosas para infraestructuras críticas, pero aprovecharla como base para innovar puede dar frutos portentosos.

“Lo increíble de esto es que podemos tener más seguridad y ser más eficientes, todo a la vez —asegura Katara—. Lo único que tenemos que hacer es dejar de aferrarnos al statu quo”.

Acerca de

Matt Alderton es un escritor autónomo que reside en Chicago, especializado en empresas, diseño, comida, viajes y tecnología. Licenciado por la Escuela de Periodismo Medill de la Universidad Northwestern, en el pasado ha escrito artículos que cubren temas desde los peluches conocidos como Beanie Babies y megapuentes hasta robots y sándwiches de pollo. Su sitio web, MattAlderton.com, ofrece más información sobre el autor.

Profile Photo of Matt Alderton - ES
Otros artículos de Matt Alderton - ES