Hace poco más de un año, Ana Tudela, de El Mundo, me hizo esta entrevista para la sección Líderes, en Papel: «Todo lo que está conectado a Internet es ‘hackeable’. Todo».
En realidad, todo es hackeable, esté conectado o no a un red; solo que, por el cariz de la entrevista, tenía más sentido mentar Internet. Dentro del concepto hackeo está el que se realiza con buenas intenciones y el que se lleva a cabo con intenciones perversas o, incluso, delictivas, al que se denomina crackeo. Los que nos dedicamos al mundo de la seguridad informática preferimos vincular al hacker con el bien y al delincuente informático o cracker con el mal.
Un ejemplo de crackeo lo tenemos en el reciente ataque informático realizado a través del WannaCry que ha afectado a, entre otras empresas, Telefónica, hospitales públicos y ciertos despachos de abogados de tamaño. El diario ABC me pidió declaraciones al respecto como especialista en ciberseguridad, que fueron publicadas en el artículo Por qué los ciberdelincuentes utilizan bitcoins para pedir los rescates. Jorge Ordovás, mi socio en NevTrace, también fue entrevistado sobre el mismo tema y sus declaraciones fueron publicadas en La Razón: 39 bitcoins: el botín de los «hackers». Alberto Gómez Toribio, también socio en NevTrace, da sus declaraciones en El Diario: Así de enorme sería tu fortuna si hubieras apostado por Bitcoin desde el principio.
Antes los delincuentes accedían a las casas y a las empresas tirando puertas o rompiendo cristales. Ahora, además, actúan a través de la informática. La ciberseguridad es el arma con el que defendemos a las empresas.
Las infraestructuras críticas, además de las empresas tradicionales y los autónomos, tienen una labor inmensa por delante para asegurarse frente a los ataques informáticos, que se ve reforzada con la entrada en vigor del RGPD (que comenté en Channel Partner: El GDPR sacude el negocio de la protección de datos), la aún esperada nueva LOPD (sobre la que opiné en Expansión: Las dudas que plantea la futura Ley de Protección de Datos), la Directiva NIS y con la vigencia del Esquema Nacional de Seguridad, así como de todas las normas específicas sobre seguridad, las infraestructuras críticas tienen una labor inmensa por delante para asegurarse frente a los ataques.
1.- Qué son las infraestructuras críticas
Una infraestructura crítica es un conjunto de elementos, dotaciones o servicios cuyo funcionamiento es indispensable para España y no permite soluciones alternativas.
Las infraestructuras críticas forman parte de las infraestructuras estratégicas, que están conformadas por las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales.
La importancia de las infraestructuras críticas reside en que a través de ellas se prestan servicios esenciales para el mantenimiento de las funciones sociales básicas del país. Algunas de estas son la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.
La destrucción o la mera perturbación del buen funcionamiento de las infraestructuras críticas tendría un grave impacto sobre los servicios esenciales en España. En el caso de las infraestructuras críticas europeas, que son aquellas infraestructuras críticas situadas en algún Estado miembro de la Unión Europea, la perturbación o destrucción tendría efectos graves al menos en dos Estados miembros.
2.- Qué tipos de infraestructuras críticas existen
Existen dos grupos de infraestructuras críticas, en función de dónde tengan efectos los ataques a las mismas:
- Infraestructuras críticas nacionales: están situadas en España. Las perturbaciones que sufran o su destrucción afectarían gravemente a España.
- Infraestructuras críticas europeas: están situadas en algún Estado miembro de la Unión Europea. Las perturbaciones o su destrucción afectarían gravemente al menos a dos Estados miembros.
Las medidas de seguridad aplicables a las infraestructuras requieren que estas se clasifiquen según sectores estratégicos. Un sector es un área diferenciada dentro de la actividad laboral, económica y productiva, que proporciona un servicio esencial o que garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. A su vez, existen subsectores estratégicos, que son cada uno de los ámbitos en los que se dividen los distintos sectores estratégicos.
Los principales sectores en los que se clasifican las infraestructuras críticas son:
- Administración
- Agua
- Alimentación
- Energía
- Espacio
- Industria Química
- Industria Nuclear
- Instalaciones de Investigación
- Salud
- Sistema Financiero y Tributario
- Tecnologías de la Información y las Comunicaciones (TIC)
- Transporte
Cada uno de los sectores de infraestructuras críticas del estado cuenta con una normativa específica que define las bases de seguridad material y tecnológica, que (casi toda) puede ser consultada desde CNPIC – Legislación Aplicable. Adicionalmente, las infraestructuras cuentan con normas genéricas que las regulan, Acuerdos oficiales e incluso Guías de Buenas Prácticas para la elaboración de planes de seguridad.
Los operadores críticos son las entidades u organismos que gestionan cada conjunto de elementos, dotaciones o servicios que conforman una infraestructura crítica. Un operador puede ser el responsable de realizar las correspondientes inversiones en la instalación, la red, el sistema o el equipo físico o de tecnología de la información de la infraestructura, o ser el responsable de su funcionamiento continuado y sin interrupciones. Es la Comisión Nacional para la Protección de Infraestructuras Críticas (CNPIC) la que selecciona a los operadores, que pasarán a formar parte del Sistema de Protección de Infraestructuras Críticas.
Una de las principales tareas del operador crítico es la de optimizar la protección de la infraestructura crítica que gestiona. Para ello, y entre otras obligaciones, deberá realizar un análisis de riesgos sobre los sectores estratégicos donde esté incluido, elaborar el Plan de Seguridad del Operador y mantenerlo actualizado; y elaborar un Plan de Protección Específico para la infraestructura crítica que gestione.
3.- ¿Qué medidas de seguridad necesitan las infraestructuras críticas?
Las infraestructuras críticas están obligadas a implementar todas las medidas de seguridad necesarias para garantizar la prestación continua de los servicios esenciales para el mantenimiento de las funciones sociales básicas del país.
Las medidas obligatorias establecidas por la normativa en vigor se dividen en:
- Medidas de Seguridad Personalizadas: Las infraestructuras críticas deben realizar una evaluación de riesgo consistente en la identificación de las diferentes amenazas que puedan sufrir, el estudio de las mismas y la selección de aquellas medidas más adecuadas para prevenirlas y protegerse de ellas.
- Medias de Seguridad Tasadas: las normas sectoriales y especiales imponen medidas concretas de protección de determinados tipos de activos. Así, por ejemplo, la normativa de protección de datos o el Esquema Nacional de Seguridad exigen la integración de sistemas de protección informática para los archivos que contengan datos de carácter personal.
El estado del arte o el estado de la técnica es la expresión que se emplea en la norma para indicar que las soluciones informáticas implementadas en las infraestructuras críticas del estado deben mantenerse actualizadas en todo momento. Estas soluciones deben ser renovadas en caso de que exista una versión superior o cambiadas cuando una nueva tecnología ofrezca mejores prestaciones. También deben ser implementados los sistemas nuevos necesarios que se pongan en el mercado ante la evolución tanto de los ataques como del conocimiento sobre la protección efectiva de los activos y los procesos.
El desarrollo y la puesta en el mercado de una nueva tecnología eficiente de protección obliga a los operadores críticos a implementarla en la medida en que sea necesario para la seguridad de la infraestructura que gestiona, según las conclusiones de la evaluación de impacto sobre riesgos informáticos que debe hacer el operador de forma continuada.
Una de mis funciones como especialista en ciberseguridad es auditar infraestructuras y empresas con mi equipo de informáticos y abogados, también especializados en compliance legal y técnico.