Las infraestructuras críticas están presentes en numerosos sectores de la economía: actividades bancarias y financieras, transporte y distribución, energía o telecomunicaciones. Según la definición de la Unión Europea, las infraestructuras críticas (IC) son “aquellas instalaciones, equipos físicos y de tecnologías de la información, redes, servicios y activos cuya interrupción o destrucción pueden tener grandes repercusiones en la salud, la seguridad o el bienestar económico de los ciudadanos o en el funcionamiento de los gobiernos”.
Por este motivo, por la importancia de su preservación, existe un creciente interés a nivel mundial por desarrollar sistemas de seguridad efectivos que garanticen su continuidad. Y mientras se sigue apostando por la seguridad física de estos activos, unnuevo tipo de amenaza aparece con fuerza: la cibernética. La irrupción y generalización de Internet junto con el creciente desarrollo de las tecnologías de la información y la comunicación –sobre todo en el último decenio- han contribuido al aumento exponencial de las amenazas virtuales, de las intangibles, aunque no por ello menos peligrosas.
Sirva como ejemplo el dato facilitado por el Washington Post hace ya dos años, en el que se daba a conocer que “cientos de veces al día” diversos hackers intentaban acceder a la red de la Constellation Energy Group británica –con clientes en todo el país. También lo dijo la revista Forbes en agosto de 2007 en boca de un hacker estadounidense: el testimonio del atacante ponía en evidencia la fragilidad de las infraestructuras críticas de EEUU al demostrar la facilidad con la que él mismo había accedido a los sistemas de una estación de control nuclear.
Información más institucional, la que difundió recientemente la CIA al constatar un crecimiento de ataques dirigidos hacia las IC, hacia sus sistemas informáticos. En la mayoría de los casos, los agresores extorsionan a sus víctimas, que acceden al pago de cifras millonarias sobre todo para evitar que se haga público el incidente, lo que podría dañar su reputación. En otras ocasiones, aunque más escasas, se ha llegado a registrar una interrupción del suministro (apagones) del que era responsable la compañía atacada.
En perspectiva, las previsiones no parecen ser demasiado halagüeñas. Según un análisis del BCIT (Industrial Security Incident Database), la comunidad hacking muestra un progresivo interés en dirigir ataques a los sistema de control responsables de empresas suministradoras de servicios básicos (como por ejemplo los extendidos sistemas SCADA) y por ello se están especializando técnicamente.
Por parte de las compañías responsables, el fallo en la adaptación a las nuevas amenazas y vulnerabilidades dejará los controles expuestos a crecientes ciberataques. Como resultado, la pérdida de reputación (la imagen de la empresa puede verse seriamente perjudicada), además de impactos medioambientales, en la producción o en términos financieros, por no mencionar las repercusiones en vidas humanas.
Es por ello fundamental que tomen medidas en el asunto, que despleguen una estrategia de defensa profunda que cuente con múltiples capas de protección. Un plan completo de defensa.
Resistencia ante la nueva amenaza virtual: ciberseguridad
La gravedad del nuevo peligro cibernético ha suscitado una oleada de reacciones, en las que las autoridades han ejercido muchas veces de director de orquesta, coordinando las actividades entre el sector público y el privado. No en vano, muchas de las infraestructuras críticas de una nación se encuentran en manos de compañías que desconocen cuál es la mejor manera de identificar, diseñar y ejecutar las mejores estrategias en materia de ciberseguridad.
Una de las claves para llevar a cabo estas acciones –además de la coordinación entre instituciones y empresas- es la disposición de información exhaustiva y actualizada sobre las nuevas amenazas que desafían constantemente la integridad de las IC. Para ello son necesarios el diálogo, la asociación y la colaboración entre entidades especializadas, ya sea a nivel nacional como (sobre todo) internacional.
Precisamente una de las más importantes organizaciones internacionales, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), alertó, con motivo de la presentación de su Informe General 2007, de la necesidad de unir esfuerzos en materia de ciberseguridad para evitar un “eventual 11S digital”. De modo más preciso, destacó que una de las medidas más exitosas para hacer frente a los delitos cibernéticos es la creación de CERTs.
CERTs: más allá de la respuesta a incidentes
El primero apareció a finales de los 80, en EEUU, y aunque sus siglas en inglés (Computer Emergency Response Team) lo definan como un equipo de respuesta de incidentes de seguridad, un CERT desempeña en la actualidad todas las funciones requeridas para implementar un servicio integral de seguridad.
El éxito de estas estructuras y las recomendaciones internacionales de organismos vinculados con la seguridad de las redes de telecomunicaciones han hecho que la implantación de CERTs se haya multiplicado por cinco en la última década, y en 2007 se registraban más de 70 centros en todo el mundo –entre ellos los de empresas como Nokia, Ericsson o Siemens.
Un CERT está constituido por un equipo de expertos muy cualificados cuyo objetivo es asumir y centralizar los planes directores de las empresas en materia de seguridad. Como se ha dicho, además de la gestión de incidentes, los CERTs han evolucionado y prestan hoy en día múltiples servicios que tienen como objetivo ayudar a sus clientes no sólo a recuperarse tras sufrir un ataque, sino también a mitigar los riesgos y a minimizar el numero de respuestas necesarias en un futuro.
Así, en esta misión de cumplir con la seguridad de modo global, el CERT proporciona también la gestión de proyectos técnicos (firewalls, cifrado), asesoramiento legal (para el cumplimiento de las normativas vigentes), así como servicios de formación y educación (publicación de avisos sobre las vulnerabilidades del software y el hardware en uso, emisión de avisos sobre amenazas como códigos maliciosos o actividades sospechosas o de riesgo, etc.).
TB•Security: líder en la gestión integral de la seguridad y pionera en CERTs
En España, el primer CERT, el esCERT, de la Universidad Politécnica de Catalunya, llegó en 1997 de la mano de TB•Security, empresa española líder en la gestión de la seguridad y en el diseño, implantación y explotación de CERTs. Y a este proyecto le han seguido el CCN-CERT (CERT gubernamental español) o el Ven-CERT, el Centro de Respuestas ante Incidentes Telemáticos de Venezuela.
TB•Security posee un enfoque multidisciplinar para la correcta gestión de la seguridad, que concibe no sólo en su vertiente tecnológica, sino también legal, comunicativa, de negocio o financiera. Entre sus principales ramas de especialización se encuentra la implementación de CERTs, el desarrollo de Estrategias de Seguridad Nacional y la Protección de Infraestructuras Críticas, conocimientos de valor fundamentales para la realización de proyectos estratégicos de ciberseguridad.
El éxito de este tipo de proyectos viene avalado por su experiencia en el sector y sus relaciones a nivel internacional, que le han valido para configurarse como partícipe y colaborador de diversas iniciativas conjuntas con organismos como la Organización de Estados Americanos (OEA), la mencionada ENISA (UE); o el NCIRC (centro de coordinación de CERTs de la OTAN).
Artículo reproducido de tb-Security
Para más información lee las FAQ’s del CERT de la Universidad Carnegie Mellon
![[ENTREVISTA] En un año se puede reducir el 90% de delito informático](https://enfoqueseguro.com/wp-content/uploads/2009/10/internet-banking.jpg)
