Hoy, en el corazón de Londres, he visto una pantalla en el andén cuatro de la estación de tren de Vauxhall. En ella se mostraba una ilustración de las maravillas del transporte moderno: trenes moviéndose a la perfección a través de múltiples líneas; sus posiciones, destinos y vías mostraban una precisión orquestada en tiempo real. Era una descripción convincente de la complejidad de un sistema ferroviario público en una isla pequeña–una red estrechamente entretejida en la que la integridad de los datos es primordial.
En el centro de estos sistemas están los dispositivos del internet de las cosas (IoT–los propios trenes. Estos trenes–o al menos sus sombras digitales–son supervisados y potencialmente controlados por aplicaciones externas, que probablemente residen en plataformas en la nube como AWS, Azure o GCP. A diferencia de la gran mayoría de los dispositivos IoT, estos trenes tienen la colosal responsabilidad de transportar cientos de miles de vidas humanas por todo el país, y es este factor de riesgo humano el que sirve para poner de relieve la delicada y compleja tarea de garantizar que los datos intercambiados entre estos dispositivos IoT y los centros de mando basados en la nube permanezcan intactos y conserven su integridad.
La integridad de los datos en los sistemas ferroviarios públicos no sólo tiene que ver con la exactitud de la ubicación de los trenes o los horarios, sino también con la seguridad, la fiabilidad y la confianza de los ciudadanos. Un solo fallo en los datos puede provocar desvíos de trenes, retrasos o, en el peor de los casos, accidentes. Parece obvio, por tanto, que proteger estos datos de la corrupción, el acceso no autorizado o la manipulación es de suma importancia.
Aquí es donde entran en juego los profesionales encargados de la ciberseguridad y la infraestructura, encargados de salvaguardar la savia de datos que alimenta estos enlaces de transporte esenciales. Y la capacidad (y de hecho la agilidad) para identificar y abordar vulnerabilidades o configuraciones erróneas en software y sistemas basados en la nube es crucial. Porque admitámoslo, hoy en día nuestras redes de TI son a menudo en realidad sólo software, aunque les demos el gran título de "infraestructura digital".
Cuanto más reflexionaba sobre los factores de riesgo a los que se enfrenta un proveedor de servicios ferroviarios (y en ese momento ya había subido a mi tren hacia Leatherhead, así que tenía tiempo de sobra para pensar), más complejidad encontraba. Las redes ferroviarias (al menos en el Reino Unido) son inmensas, con varias compañías y redes ferroviarias que intentan trabajar juntas. Cada punto de integración aumenta su vulnerabilidad y la rápida detección y mitigación de vulnerabilidades es clave para mantener la integridad del sistema.
Ahora bien, el ejemplo del sistema ferroviario moderno sirve como caso de estudio convincente, pero es crucial reconocer que los principios de la ciberseguridad moderna se aplican por igual a todos los sectores de las infraestructuras críticas nacionales. Esto incluye la energía, el agua, los servicios sanitarios y las telecomunicaciones, y cada uno de estos sectores depende de un complejo ecosistema de tecnología operativa (OT), ya sean sistemas inteligentes de control de redes de energía, controladores de bombas de agua o dispositivos de imagen médica. Todos ellos se conectan ahora a programas informáticos, la mayoría de las veces controlados en la nube.
Al igual que el sistema ferroviario, estas infraestructuras son vitales para el bienestar y la seguridad de la población de la nación, lo que subraya la necesidad de medidas rigurosas de ciberseguridad.
La integración de tecnologías avanzadas en estos sectores críticos aporta inmensos beneficios, pero también los expone a sofisticadas ciberamenazas. Garantizar la integridad de los datos, abordar rápidamente las vulnerabilidades y aplicar la microsegmentación son estrategias que deben adoptarse universalmente a través de los principios de confianza cero. El objetivo es crear una infraestructura resiliente que pueda soportar y recuperarse rápidamente de cualquier incidente cibernético, salvaguardando así la seguridad pública y la seguridad nacional.
Para acometer esta monumental tarea, podemos empezar por examinar una serie de áreas clave:
1. Comprender y mitigar los riesgos en las infraestructuras nacionales críticas
La seguridad de las infraestructuras nacionales críticas abarca varios sectores, cada uno de ellos vital para la seguridad, las operaciones y la economía de la nación. El impacto potencial de los sistemas o infraestructuras comprometidos puede ir desde problemas de seguridad a interrupciones operativas, pérdidas financieras y ramificaciones legales. La evaluación del riesgo implica evaluar la capacidad e intención del actor de la amenaza frente a las defensas y controles de seguridad existentes. Esta evaluación tiene en cuenta vulnerabilidades potenciales como cuentas de usuario no eliminadas, problemas con las listas de control de acceso, software sin parches y malware, entre otros.
Las empresas operativas del Reino Unido están legalmente obligadas por las regulaciones NIS, 2018, con la orientación del NCSC y la Asociación de Seguridad de Información Cibernética (CISP).
En Europa, la Directiva NIS2 está específicamente diseñada para garantizar estándares en ciberseguridad para infraestructuras nacionales críticas. Puede leer más al respecto en el artículo de blog de la semana pasada.
Estados Unidos cuenta con normas de Protección de Infraestructuras Críticas (CIP), desarrolladas por la Corporación Norteamericana de Fiabilidad Eléctrica (NERC) para el sector eléctrico. Estas normas son obligatorias y de obligado cumplimiento en todo Estados Unidos.
En Australia, existe la Ley de Seguridad de las Infraestructuras Críticas de 2018. Esta ley está diseñada para gestionar los complejos y cambiantes riesgos de seguridad nacional para las infraestructuras críticas de Australia.
Sea cual sea tu región, consultar las normas y regulaciones locales o incluso utilizar las anteriores como referencia le ayudará.
2. Amenazas internacionales y amenazas persistentes avanzadas (APT)
El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos identifican a los actores estatales, especialmente de China y Rusia, como importantes ciberamenazas, aunque su objetivo varía desde la recolección de información personal y propiedad intelectual hasta los ciberataques directos a infraestructuras.
Además de los actores patrocinados por Estados, el entorno cibernético no regulado de ciertos países fomenta el crecimiento de bandas de hacktivistas y APT, que aprovechan tácticas sofisticadas para explotar las vulnerabilidades de los sistemas en la nube y locales. El impacto perturbador que tendría atacar las infraestructuras nacionales críticas (junto con su adopción de infraestructuras basadas en la nube) convierte a estas organizaciones en un objetivo para los actores de amenazas que desean causar ese ruido mediático.
Los profesionales de la ciberseguridad deben mantener las mejores prácticas en el control de acceso, la configuración del sistema y la aplicación de parches, evidenciadas por certificaciones como Cyber Essentials del Reino Unido, para mitigar estas amenazas.
3. Amenazas emergentes y estrategias defensivas
La adopción de la IA por parte de los hackers aumenta la frecuencia y complejidad de las ciberamenazas, lo que subraya la necesidad de contar con ciberdefensas actualizadas. Componentes como Microsoft Entra ID (la nueva marca de Microsoft de Azure AD) desempeñan un papel crucial en el control de acceso, lo que significa que cualquier compromiso supondría una amenaza significativa para la disponibilidad del sistema. Además, los riesgos del phishing, el malware, las amenazas de día cero y el ransomware exigen medidas de seguridad integrales, incluidos sofisticados mecanismos de defensa, formación en cibersensibilización y sólidos planes de copia de seguridad y recuperación.
Salvaguardar nuestras infraestructuras nacionales críticas requiere un enfoque polifacético, que combine una evaluación rigurosa de los riesgos, el cumplimiento de las normas legales, la vigilancia frente a las ciberamenazas internacionales y la aplicación de tecnologías de seguridad avanzadas y mejores prácticas.
Así que, aunque la pantalla del andén cuatro de Vauxhall me hizo pensar inicialmente en los retos de ciberseguridad a los que se enfrentan los sistemas ferroviarios públicos, cuanto más pensaba en ello, más me daba cuenta de que las lecciones y estrategias que deben adoptar son aplicables a todo el espectro de infraestructuras nacionales críticas. A medida que estos sistemas continúan transformándose y evolucionando, los esfuerzos de colaboración de los profesionales de la ciberseguridad, los proveedores de tecnología y los operadores de infraestructuras son esenciales para mantener la seguridad, la fiabilidad y la confianza que la sociedad deposita en estos servicios fundamentales.