Las infraestructuras críticas, ya sean centrales eléctricas, hospitales o aeropuertos, son cada vez más un objetivo de los cibercriminales. Los ciberataques contra tales instalaciones suponen un riesgo muy alto para la seguridad de la sociedad. Una serie de incidentes recientes demuestran que la amenaza es tangible.
El ataque en 2010 a la planta nuclear de Natanz, en Irán, es uno de los más conocidos. El software malicioso llamado Stuxnet logró detener la planta nuclear. Mientras que en los últimos meses de 2022, el conflicto Rusia – Ucrania ha desencadenado también ataques contra infraestructuras críticas. Rusia ha reconocido haber atacado la infraestructura energética de Ucrania con oleadas de ataques con misiles y drones. En Kharkiv, Dnipro, Kryvyi Rih y Zhytomyr ha provocado apagones y cortes del suministro de agua. Asimismo, una serie de explosiones registradas en septiembre han dejado inutilizados los dos conductos del gasoducto del Nord Stream 1 y uno de los del Nord Stream 2. Estos dos ejemplos recientes evidencian la importancia de proteger las infraestructuras críticas sobre las que se apoyan acciones esenciales, como encender la luz, pagar con tarjeta, llamar por teléfono, navegar por Internet o llenar el depósito del coche.
Una infraestructura crítica es aquella estratégica que proporciona servicios esenciales, cuyo funcionamiento es indispensable y no permite soluciones alternativas y cuyo fallo tendría un impacto grave en los servicios fundamentales a los que da soporte. Una infraestructura crítica puede ser, por ejemplo, una central energética, un aeropuerto o un hospital, aunque el listado de instalaciones catalogadas como tal es secreto.
Santiago Carrasco, profesor del Campus Internacional para la Seguridad y la Defensa (CISDE), considera que es “poco probable que tenga éxito un ciberataque masivo contra este tipo de objetivos”. En las infraestructuras críticas, asegura Carrasco, “se prioriza la seguridad precisamente porque un hipotético éxito de un ataque tendría mucho más impacto que a cualquier otro objetivo”. “No es descartable en absoluto algún intento, pero no es una cosa que esté al alcance más que de los gobiernos y de algunas empresas privadas que, desde luego, no están en ello”, afirma el profesor del CISDE.
Atacantes y motivaciones
Este tipo de ataques, según Carrasco, “solo están al alcance de gobiernos potentes, con enormes presupuestos y personal extremadamente especializado. No es un ataque que pueda realizarse desde ordenadores domésticos por un grupo terrorista o por una organización criminal con objetivos económicos”.
Los grupos atacantes de infraestructuras críticas más conocidos son “DarkSide, Cyber Spetsnaz, Nobellium, APT29, Cozy Bear, CozyDuke, Dark Halo, The Dukes, Office Monkeys, Stellar Particle, UNC2452, Ytrrium, Killnet y su rama Legion, Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat”, comenta Juan Carlos Galindo, investigador y perito judicial de delitos económicos, tecnológicos y conducta criminal.
En el contexto internacional las motivaciones de los ataques contra infraestructuras críticas, según Soledad Segoviano, profesora de Relaciones Internacionales de la Universidad Complutense de Madrid (UCM), son “políticas y de naturaleza geopolítica”. “Un ataque contra infraestructuras críticas puede ocasionar desde un contratiempo hasta una enorme devastación. Nos encontramos en una guerra híbrida”, explica la profesora de la UCM.
Por su parte, Carrasco señala que los ciberdelincuentes que más daño han hecho han conseguido bloquear alguna administración pública o alguna empresa, con algún tipo de ransomware y para pedir un rescate económico, y siempre el éxito está en la explotación de la ingeniería social.
Técnicas de los ataques
Los ciberdelincuentes utilizan todo tipo de métodos y herramientas para crakear, como Karma DDoS, Hasoki, GoldenEy o MHDDoS. En general, destaca Galindo, su modus operandi suele basarse en “operaciones separadas en busca de información relevante para interrumpir servicios críticos de países”. “Introducen troyanos o gusanos para tomar el control de las instalaciones, específicamente para sistemas de control industrial, también conocidos como tecnología operativa (TO). Sin olvidar las eficientes técnicas de ingeniería social que siempre dan un magnífico resultado, sobre la fase de colocación o infiltración del malware”, declara Galindo.
Mecanismos para la persecución
España destaca por contar con un talento innato en cuando a investigaciones tecnológicas. Dispone del Centro Criptológico Nacional (CCN-CERT), el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), el Mando Conjunto del Ciberespacio, el Instituto Nacional de Ciberseguridad (INCIBE) y de las unidades de lucha contra el cibercrimen de la Policía Nacional y la Guardia Civil. Así lo comparten los expertos consultados por Cuadernos de Seguridad.
El problema, según el investigador Galindo, son “las leyes y la globalidad del fenómeno”. “Nos encontramos con legislación anticuada, sobre todo en materia procesal, de medios de prueba digitales y desconocimiento de la materia por parte de los actores judiciales. Así como la transnacionalidad del crimen y sus refugios en países laxos en materia de lucha contra el fenómeno de la ciberdelincuencia”, lamenta.
La seguridad, ¿una asignatura pendiente?
“La seguridad es una tarea mejorable”. Así lo afirma con rotundidad Segoviano. La profesora de la UCM apunta que “se tiene que empezar a pensar en dar una respuesta más holística e integral, donde de alguna forma también participen los propios usuarios porque la gran mayoría de los ataques se llevan a cabo a través del correo electrónico”.
Medidas de seguridad
Los operadores críticos deben poner en marcha las mejores alternativas que existen en el mercado para proteger sus instalaciones, realizar una gestión de riesgos apropiada, verificar y actualizar la seguridad de los procesos y sistemas, evitar en la medida de la posible la dependencia tecnológica por parte de terceros y formar en ciberseguridad a los usuarios. En definitiva, se necesita adoptar un enfoque integral de la ciberseguridad que incorpore los procesos, la tecnología y las personas.
