25 abril 2018

Infosecurity México 2018 alerta sobre los riesgos para los países en caso de sufrir ataques cibernéticos en sus infraestructuras críticas


Ø En tanto que Europa ya tiene leyes para su protección, en América Latina hay poco avance
Ø Recomendaciones para proteger las infraestructuras críticas, serán expuestas en el summit

Infosecurity México 2018, el evento que presentará lo último en conocimiento, tendencias y soluciones para proteger la información corporativa e institucional, presentará dentro de su programa de conferencias a José Luis Bolaños, director de Seguridad de Gas Natural Fenosa, una compañía multinacional participante en el sector del gas y la electricidad con sede en España, pero con presencia en 24 países.

Durante el evento, Bolaños hablará sobre la importancia de proteger a las infraestructuras públicas en los países, un tema que se ha tomado con seriedad en Europa, en donde a decir del directivo de Gas Natural Fenosa, la Unión Europea ha establecido una legislación para ayudar y fortalecer a los estados en materia de seguridad física, ciberseguridad y resiliencia. “Es una ley que los estados miembros de la Unión deberán trasladar a sus respectivas legislaciones, porque se trata de proteger a las organizaciones que ofrecen servicios a la sociedad, y cuya disrupción en sus actividades puede provocar daños severos por pérdidas económicas o incluso humanas, aparte de afectar la marcha del país”.

De acuerdo con el directivo de Fenosa, uno de los ejemplos más ilustrativos de infraestructura crítica que puede ser afectado es el de la provisión de energía eléctrica, “que muy seguramente es el más importante para un país, porque el servicio de luz tiene un efecto muy profundo en la sociedad: sin ese servicio prácticamente todo se paraliza. Por eso es crítica, porque no puede ser cubierto por otro tipo de infraestructura: La energía eléctrica no tiene alternativa ni sustituto”, agregó Bolaños, a quien se le reconoce como profesional de la seguridad y es de los pocos especialistas españoles que poseen el Certificado Profesional en Seguridad (CPP) de ASIS International, asociación de la que llegó a ser presidente del capítulo Español, además de que obtuvo un diplomado de Dirección de Seguridad por la Professional School of Security, de Israel.

Antecedentes internacionales
Bolaños señaló que la Unión Europea se ha ocupado más del tema después de eventos como el que sucedió en 2015, cuando Ucrania sufrió un apagón en diversas centrales eléctricas de su territorio debido al ataque de un virus informático, y que entre otros efectos, causó que cerca de 80 mil personas se quedaran sin electricidad durante seis horas. Además se trataba del mismo virus que había sido detectado hacía unos días en la red que controla el tráfico del aeropuerto del mismo país.

En ese sentido, los estados miembros de la UE tienen que definir cuáles son sus infraestructuras críticas, considerando también aquella que están combinadas, como en Polonia, en donde se combinan la eléctrica y la del gas. Y también están los casos en donde las infraestructuras están interconectadas entre países. En cualquier caso, la mayor parte de las empresas que gestionan esos servicios en Europa pertenecen al sector privado y deben preocuparse por tener los recursos para dar soporte a la infraestructura crítica, aunque los gobiernos son los que definen cuáles son las infraestructuras críticas en cada territorio y deben involucrar a los organismos de seguridad de cada estado”, agregó el especialista.

Sin embargo, a decir de Bolaños, en América Latina no hay antecedentes de una acción similar, “solo en Chile hay un modelo parcial, pero no existe algo parecido en otro país del subcontinente. En EUA si hay un esquema de protección de infraestructura critica, aunque es un poco diferente al europeo. Pero en cualquier caso, es vital que el sector privado y el sector público trabajen en forma coordinada porque se trata de la protección de la infraestructura de su país, y por ello deben unirse bajo un esquema de adhesión, colaboración y participación conjunta: es lo que sucede en España en particular y en Europa en general”.

Se requieren nuevos especialistas
La gestión de la seguridad y la protección de la infraestructura crítica en los países representa algo nuevo para los países, y de hecho, el representante de Gas Fenosa explica que en Europa se está trabajando sobre la definición del perfil del especialista encargado de esta área, que incluye tanto a las instalaciones físicas como a las virtuales, “porque además en Europa se está conformando una norma que va a obligar a las empresas a comunicar todos los incidentes de ciberseguridad. Estamos construyendo sobre la base de algo que antes no existía, al mismo tiempo que estamos trabajando para desarrollar certificaciones físicas y el perfil de profesionales que se desempeñen en el entorno de la seguridad y protección de tales infraestructuras”.

En cuanto al perfil de los ciberdelincuentes que ejecutan este tipo de acciones, Bolaños explica que se trata de atacantes vinculados a los estados; no son grupos delincuenciales organizados. “De hecho, el gobierno de Ucrania responsabilizó a su similar de Rusia por el ataque a sus instalaciones eléctricas. Por ello creemos que se trata de conflictos entre estados que están buscando la forma de afectar a otros países dañando su infraestructura crítica, y no solo en la parte física, sino en la virtual, lo cual lo pueden hacer en forma remota. Estamos hablando de una forma de terrorismo”.

Sin embargo, el riesgo es alto porque en cualquier momento, a decir del directivo de Fenosa, los delincuentes organizados podrían encontrar una diferente veta de negocio, complementaria a lo que han hecho, como en el caso de los ataques de ransomware. “El riesgo se intensifica porque muchos de los sistemas de control industrial vigentes fueron diseñados desde antes de la era de la digitalización e Internet, y ahora cuando se conectan se vuelven vulnerables porque no nacieron bajo el actual entorno tecnológico virtual, sino que se han ido adaptando”.

En ese sentido, las empresas privadas especializadas en ciberseguridad deben de estar al tanto de los riesgos existentes y de las limitaciones de los estados para atender todas las amenazas, porque los gobiernos no tienen la capacidad para encargarse de toda la ciberseguridad y por eso tienen que apoyarse en las empresas de TI, en las operadoras y de telecomunicaciones. “Es fundamental la cooperación pública y la privada para la detección temprana de incidentes y responder conjuntamente: El riesgo para el país es mayor si ambos entes no están coordinados”.

Para finalizar, Bolaños puntualizó en el hecho de que en el mundo de la ciberseguridad no hay fronteras ni leyes, por lo que el enemigo puede estar dentro o fuera del país. “Por eso es que consideramos que los ciber riesgos son la amenaza sistemática más grande; de tal magnitud que los fondos de las aseguradoras no son suficientes para cubrir los potenciales daños. No tienen capacidad por los daños tan grandes que pueden causarse”.