EI blindaje invisible de las infraestructuras críticas en España

Las infraestructuras críticas requieren de una seguridad especial, también tecnológica. Por eso, las españolas tienen varias normativas que les marcan cuál debe ser su marco de acción.

Este marco legal obliga a «garantizar que las empresas esenciales gestionen proactivamente sus riesgos digitales, formen a sus equipos y notifiquen cualquier incidente grave en plazos muy reducidos, estableciendo sanciones severas por incumplimiento, con responsabilidad directa para la alta dirección», explica Roberto Lara, Director de Ciberseguridad de Vodafone Business.

Convergencia físico digital

La digitalización ha multiplicado puntos vulnerables y obliga a una vigilancia constante. Los sistemas industriales (los legendarios SCADA y ICS que gestionan el funcionamiento de centrales eléctricas o plantas de agua) no fueron diseñados pensando en amenazas digitales, sino en la fiabilidad física.

«La principal dificultad radica en la convergencia OT/IT. La digitalización acelerada ha ampliado las vulnerabilidades de infraestructuras heredadas, cada nuevo agente de IA representa una nueva superficie de ataque y el ransomware sigue siendo la amenaza más dañina», asegura Ángel Ortiz, Director de Ciberseguridad en Cisco España.

El blindaje de estos sectores comienza por la identificación de los elementos críticos para cada negocio (no sólo datos, sino procesos y equipos físicos), estableciendo protocolos de defensa en capas que abarcan desde la conectividad, los servidores y las aplicaciones, hasta los dispositivos de los empleados y la comunicación con fuerzas del Estado. Mantener segmentada y vigilada la parte operativa es esencial para evitar que un fallo en la oficina acabe contaminando la planta o el sistema de control.

En palabras de Roberto Espina, director global de la unidad de ciberseguridad de Indra Group, «la ciberseguridad en estos sectores no es sólo un desafío técnico, sino estratégico y geopolítico». La protección exige tecnología avanzada, políticas, formación, monitorización continua y cooperación institucional.

Amenazas emergentes y persistentes

La transformación tecnológica ha traído nuevos desafíos en materia de seguridad. La red eléctrica, por ejemplo, está cada vez más distribuida, con parques solares y eólicos, contadores inteligentes y subestaciones remotas interconectadas. «Todo eso amplía la superficie de ataque y obliga a vigilar muchos puntos distintos, gran parte de ellos en ubicaciones aisladas. A esto se suma un componente de seguridad física y de continuidad, un fallo no sólo afecta a datos, puede afectar al propio suministro», detalla Lara.

En el sector transporte, la cadena de suministro y la interconexión de datos hacen que diversas plataformas sean vulnerables si un solo proveedor falla. «Basta con que un proveedor sea vulnerable para abrir una posible vía de ataque. Los tiempos son críticos, un ransomware que pare un sistema de almacén o una ruta puede desbaratar entregas justin time y generar costes inmediatos», incide Roberto Lara.

En telecomunicaciones, el reto es aún mayor. El tamaño de la superficie de ataque es gigantesco y diverso. Hay amenazas de volumen, como los ataques de denegación de servicio, que buscan saturar la red, y amenazas de señalización, que explotan protocolos de la propia red. Y a esto se suma el crecimiento de IoT; contadores, cámaras, sensores y dispositivos industriales que se conectan por la red móvil y que, si no están bien configurados, pueden convertirse en puertas de entrada.

Tras los ataques

Pero, ¿qué lleva a los ciberdelincuentes a atacar las infraestructuras críticas? Pues, básicamente, tienen dos motivos: robo de datos e interrupción del servicio. «Las motivaciones son diferentes a las del entorno corporativo tradicional. Vemos una dualidad de objetivos: tanto la interrupción operativa como la extorsión económica», explica Ángel Ortiz. El robo de información es clave para la extorsión, pero «cada vez más tratan de interrumpir el servicio porque saben que parar una red de transporte o una planta energética tiene un impacto enorme y sirve para presionar para que se pague un rescate», añade Lara. Todo ello sin olvidar que detrás de estos ataques «también pueden ser ejecutados por actores estatales que persiguen fines estratégicos y geopolíticos, más allá del mero beneficio económico», explica Ortiz. El Informe sobre Cibercriminalidad del Ministerio del Interior confirma esta tendencia, señalando que los incidentes tipo Disponibilidad son los más frecuentes en estos sectores clave.

Además, Luis García de la Iglesia, director de ciberdefensa en Indra Group, advierte de las nuevas formas de conflicto. «Los ciberdelincuentes pueden lanzar ataques destructivos contra los sistemas de control industrial de infraestructuras energéticas, sistemas de transporte, plantas industriales o puntos de comunicaciones, buscando daño económico, impacto social o ambiental significativo, secuestro de sistemas o, incluso, poniendo en riesgo la integridad física o la vida de personas».

Soluciones técnicas y organizativas

La defensa en estos sectores pivota sobre tecnologías muy sofisticadas y equipos humanos altamente especializados. «Entre los controles técnicos destaca la autenticación multifactor resistente al phishing como passkeys o FIDO2. La Detección y Respuesta para Endpoints y Extended Detection and Response son también componentes críticos de cualquier estrategia de defensa robusta. Las copias de seguridad seguras, cifradas y probadas regularmente resultan fundamentales para la recuperación ante incidentes», determina Álvaro Fernández, Director de Ventas en Sophos Iberia.

La monitorización continua es el núcleo de la resiliencia pero las empresas se apoyan cada vez más en inteligencia artificial para detectar ataques, anticiparse a movimientos maliciosos y correlacionar amenazas globales con indicadores locales.

Aunque cada industria se enfrenta sus propios dilemas (proteger la red operativa y los equipos, vigilando puntos dispersos y remotos, la cadena de suministro, actualizar la red y lidiar con millones de dispositivos conectados simultáneamente...), las estadísticas son claras. Según Sophos, el coste de interrupción es demoledor (el promedio de recuperación tras un ciberataque, sin pagar rescate, supera el millón de dólares en España).

Por eso, la cooperación entre empresas privadas, sector público y organismos internacionales resulta esencial.