Prender la luz de una estancia, ducharse a primera hora de la mañana con agua caliente, enviar un correo electrónico, tomar un bus o el metro para desplazarse de un lugar a otro de la ciudad, adquirir medicamentos… Estas son acciones que muchos ciudadanos realizan a diario gracias a los servicios esenciales prestados a través de infraestructuras críticas o estratégicas. De ahí que su protección sea considerada un asunto de extrema importancia.
Infraestructuras estratégicas y servicios esenciales
Si bien cada país adopta definiciones con matices, los expertos en seguridad coinciden en que las infraestructuras estratégicas son las instalaciones, redes, sistemas y equipos físicos y de tecnologías de la información y la comunicación (TIC) sobre las que descansa el funcionamiento de los servicios esenciales.
Estos últimos son absolutamente necesarios para garantizar funciones sociales básicas, así como la asistencia médica, el bienestar social y económico de los ciudadanos o la actividad de las instituciones públicas de un Estado.
En el caso de México, se consideran instalaciones estratégicas a los espacios, inmuebles, construcciones, equipos y demás bienes destinados al funcionamiento, mantenimiento y operación de las actividades consideradas como estratégicas por la Constitución Política de los Estados Unidos Mexicanos. Y también a aquellos que tienden a mantener la integridad, estabilidad y permanencia del país en términos de la Ley de Seguridad Nacional.
Concretamente, la Constitución Política de los Estados Unidos Mexicanos contempla como estratégicas las siguientes áreas y actividades:
- Correos, telégrafos y servicios de radiotelegrafía.
- Minerales radiactivos y generación de energía nuclear.
- Planeación y control del sistema eléctrico nacional.
- Transmisión y distribución de energía eléctrica.
- Exploración y extracción del petróleo y de los demás hidrocarburos.
- Comunicación vía satélite.
- Red de ferrocarriles.
- Acuñación de moneda y emisión de billetes.
A ambos lados del Atlántico, la normativa ha posibilitado agrupar esas áreas y actividades en sectores estratégicos. Desde los 12 sectores del modelo de protección de infraestructuras críticas (PIC) español hasta los 16 de Estados Unidos, estos son los distintos ramos que tienen en cuenta las estrategias PIC impulsadas en Europa y EEUU:
- Administración (servicios básicos, instalaciones gubernamentales, redes de información, principales activos y monumentos del patrimonio nacional).
- Agua (embalses, almacenamiento, tratamiento y redes).
- Alimentación (producción, almacenamiento y distribución).
- Base industrial de defensa.
- Energía (producción y distribución).
- Espacio (instalaciones relacionadas con el espacio exterior).
- Fabricación crítica.
- Industria nuclear (producción, almacenamiento y transporte de mercancías peligrosas, materiales nucleares, radiológicos, etc.).
- Industria química (producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, etc.).
- Instalaciones comerciales.
- Instalaciones de investigación (laboratorios que dispongan o produzcan materiales, sustancias o elementos críticos o peligrosos).
- Salud (sector e infraestructura sanitaria).
- Servicios de emergencia.
- Sistema financiero y tributario (entidades bancarias, información, valores e inversiones).
- Tecnologías de la Información y la Comunicación (TIC).
- Transporte (aeropuertos, instalaciones portuarias, ferrocarriles y redes de transporte público).
Infraestructuras críticas
Por lo expuesto, queda claro qué son los servicios esenciales y qué se entiende por infraestructuras estratégicas. No obstante, habitualmente suele hacerse referencia a las infraestructuras críticas, cuyo concepto es más trascendental si cabe.
Así, las infraestructuras críticas (IC) se definen como infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. En consecuencia, su protección debe ser considerada prioritaria por los operadores públicos y privados.
Planes de seguridad para IC
Al respecto, Segurilatam ha realizado una serie de sondeos en LinkedIn con el objetivo de conocer la opinión de los profesionales del ámbito de la seguridad en relación a las amenazas que pueden comprometer el normal funcionamiento de las infraestructuras críticas.
Sobre el particular, el 38% de los consultados opina que los planes de seguridad deficientes representan el principal desafío, por delante de las ciberamenazas (36%), los riesgos de seguridad física (18%) y los riesgos naturales y biológicos (8%).
De cara a evitar que los operadores de IC elaboren planes de seguridad deficientes, el acompañamiento y asesoramiento de las administraciones públicas es fundamental. En España, cuyo modelo de protección de infraestructuras críticas ha sido tomado como referencia en algunos países de América Latina, se establecen unos contenidos mínimos para los siguientes planes:
- Planes de Seguridad del Operador (PSO). Son los documentos estratégicos que definen las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de propiedad o gestión.
- Planes de Protección Específicos (PPE). Se trata de los documentos operativos donde se deben definir las medidas concretas ya adoptadas, y las que vayan a adoptar los operadores críticos, para garantizar la seguridad integral de sus infraestructuras críticas.
Capacitación en ciberseguridad
En cuanto a las ciberamenazas, el personal poco capacitado en ciberseguridad (61%) es la primera preocupación de quienes han participado en las encuestas de Segurilatam, situándose a continuación los ataques cibernéticos (20%), la realización de pocos o ningún ciberejercicio (11%) y una gestión inadecuada de los parches de seguridad (8%).
Desde la aparición del malware Stuxnet en 2010, ideado para realizar ataques a sistemas de control industrial SCADA (Supervisory Control And Data Acquisition), los ciberdelincuentes han llevado a cabo numerosas acciones encaminadas a poner en jaque la prestación de servicios esenciales.
En el ámbito privado, el ransomware es una de las amenazas más temidas. Buena muestra de ello es el ataque sufrido en 2021 por Colonial Pipeline, empresa gestora de la mayor red de oleoductos de EEUU, que se vio obligada a pagar 4,4 millones de dólares, en concepto de rescate, al grupo de piratas informáticos DarkSide. Y en lo referente al ámbito público, las instituciones de varios gobiernos latinoamericanos han sido afectadas, en mayor o menor medida, por el actuar de la ciberdelincuencia en los últimos años.
Crimen organizado
Por lo que concierne a los riesgos de seguridad física, el 66% de los profesionales consultados cree que el crimen organizado es el más alarmante junto al terrorismo (22%) y el espionaje (11%), situándose en último lugar las armas de destrucción masiva (1%).
En México, el robo de carga es un ejemplo de actuaciones perpetradas por el crimen organizado. En 2022, las autoridades del país contabilizaron más de 13.000 delitos contra transportistas, una cifra que supone un incremento del 6,7% en comparación con el año anterior. Como se ha comentado, la distribución y el transporte son consideradas actividades estratégicas y servicios esenciales. Algo que se puso de relieve, de manera especial, en los meses de confinamiento de la pandemia de COVID-19.
Amenazas naturales
Finalmente, el 67% de los encuestados por Segurilatam en LinkedIn considera que los terremotos suponen la principal amenaza natural para la protección de las infraestructuras críticas. Y en porcentajes menores, también hacen referencia a huracanes y tsunamis (28%) e incendios forestales (5%).
Desgraciadamente, América Latina y el Caribe está familiarizada con este tipo de amenazas. Un reciente informe de la Organización de las Naciones Unidas (ONU) revela que, desde el año 2000, los desastres naturales han afectado a más de 190 millones de personas en la región. Ello significa que tres de cada 10 habitantes han debido afrontar terremotos, huracanes o erupciones volcánicas.
Si nos centramos en México, atesora un amplio historial de grandes sismos que se han cobrado la vida de miles de personas y han provocado grandes daños o destruido edificios e infraestructuras. Y, recientemente, el huracán Otis, un devastador ciclón de categoría 5, ocasionaba numerosas pérdidas humanas y materiales en el país.
Congreso Mexicano PIC
En marzo de 2016, Segurilatam comenzó su andadura como revista del Grupo Borrmart especializada en seguridad integral y enfocada en el mercado latinoamericano. Ya desde sus inicios, la cabecera mostró un gran compromiso con la protección de infraestructuras críticas que se materializó con la publicación de números especiales y la organización del I Congreso Mexicano de Protección de Infraestructuras Críticas (PIC) en noviembre de 2019.
Sin duda, aquella primera edición marcó un antes y después. Durante dos jornadas, centenares de profesionales de las seguridades pública y privada se reunieron en un evento celebrado en el Museo Memoria y Tolerancia de la Ciudad de México y aplaudido por el poder de convocatoria y la calidad de sus ponencias.
Tanto es así que uno de los ponentes, Francisco Osorio Ferrari, gerente de Muestreo y Monitoreo de la Comisión Federal para la Protección contra Riesgos Sanitarios (Cofepris), se adelantó a la pandemia de COVID-19 al advertir que los riesgos biológicos eran una seria amenaza para la seguridad pública. Algo que pudo comprobarse, pocos meses después, a lo largo y ancho del planeta.
El propio presidente mexicano, Andrés Manuel López Obrador, fue conocedor de la celebración del congreso. Y a través de Gabriel Mendoza Jiménez, por entonces secretario técnico del Consejo de Seguridad Nacional, solicitó trasladar su más cordial felicitación a Segurilatam por la organización del mismo.
En 2020 y 2021, el Congreso Mexicano PIC se llevó a cabo en formato online, aglutinando a miles de personas frente a sus dispositivos. Por fortuna, una vez que la emergencia internacional provocada por el coronavirus SARS-CoV-2 fue remitiendo, la cuarta edición de tan exclusivo evento tuvo lugar, en noviembre de 2022, en el Museo Franz Mayer de la capital mexicana.
Modelo PIC en México
Y en 2023 alcanza su quinta edición. Durante dos jornadas, nuevamente con el apoyo de importantes patrocinadores, expertos nacionales e internacionales abordarán temas de sumo interés para los asistentes: desde las estrategias de seguridad orientadas a proteger las infraestructuras críticas gubernamentales hasta los modelos de seguridad corporativa, pasando por los retos que afrontan los sectores alimentario, energético, financiero, hospitalario y del transporte.
Todo ello con el mismo objetivo que inspiró la creación del congreso en 2019: contribuir a la construcción de un modelo PIC robusto en México que vele por el buen funcionamiento de las infraestructuras críticas y, por ende, garantice la prestación de los servicios esenciales a la sociedad.
Archivado en: