Hace ya varios años, para un grupo considerable de profesionales de América Latina el concepto de infraestructuras críticas estaba ligado a un conjunto reducido de instalaciones sobre las que los riesgos de ataque eran mínimos.
Las agresiones, indudablemente, debían ser por causas bélicas y dentro del marco de grandes conflictos mundiales o, a lo sumo, regionales. Y las operaciones hostiles requerían una anticipada preparación, costosos y numerosos recursos que se relacionaban en una compleja trama y que debían superar no sólo barreras físicas o cuerpos de élite de seguridad, sino distancias y accidentes geográficos.
Los procesos sociales, económicos, políticos y sus entornos han ido evolucionando aceleradamente generando nuevas realidades, vulnerabilidades y factores de amenaza. Las infraestructuras críticas ya no son de dudosa identificación, puesto que, en la actualidad, disponen de varias y congruentes definiciones. Por ejemplo, la Ley de Protección de Infraestructuras Críticas española, de abril de 2011, las define como “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
En noviembre de ese mismo año se publicó en México el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información. El mismo es tomado como referencia por la Secretaría de Defensa de dicho país, puesto que en ese manual se define a las infraestructuras críticas como “las instalaciones, redes, equipos, servicios y equipos asociados o vinculados con activos de tecnología de información y comunicaciones, o activos de información, cuya afectación, interrupción o destrucción tendría un impacto mayor, entre otros, en la salud, la seguridad, el bienestar económico de la población o en el eficaz funcionamiento de las instituciones”.
Vemos entonces como el espectro de las infraestructuras críticas se amplía y es así como las encontramos distribuidas en distintos sectores: administrativo, nuclear, energético, de tecnologías de la información y la comunicación (TIC), sanitario, financiero, alimentario, del espacio, químico, de la investigación, del agua y del transporte. Ello implica considerar numerosas instalaciones, desde embalses de agua y plantas de gas hasta centros de almacenamiento y distribución, pasando por aeropuertos o fábricas de armas y explosivos.
Según el general de brigada Boris Saavedra, los ciberataques a las centrales eléctricas son una potencial amenaza y su impacto tendría un alcance muy amplio y profundo
Ciberataques
Este nutrido grupo de infraestructuras críticas ahora es objeto de ciberataques por parte de individuos u organizaciones que hacen uso de las nuevas tecnologías aprovechando la inmediatez, el anonimato y la facilidad de planificar, organizar y ejecutar acciones salvando las distancias, haciendo desaparecer las fronteras tradicionales y dificultando al extremo la trazabilidad.
Un estudio realizado en 2015 por Intel Security arrojó resultados que requieren nuestra atención. Por ejemplo, la mitad de los responsables de las tecnologías de la información (TI) consideraban posible que en los próximos tres años se generara un ciberataque sobre alguna infraestructura crítica con el fin de provocar pérdidas de vidas humanas. Por su parte, el 27 por ciento de los encuestados consideraba a sus organizaciones “muy” o “extremadamente” vulnerables a ciberataques. Y a pesar de los recursos invertidos y los esfuerzos realizados en mejorar la ciberseguridad, el 72 por ciento consideró que el nivel de ciberamenazas continuaba en aumento.
Pero los ciberataques a las infraestructuras críticas no quedan como posibles escenarios plasmados en el papel. En diciembre de 2016, Ucrania vio afectada parte de su red energética como consecuencia de ciberataques. Y en noviembre del año pasado, un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) deshabilitó el servicio de calefacción en la ciudad finlandesa de Lappeenranta, hecho que invitó a los expertos a reflexionar sobre la posibilidad de que se materializasen más ataques de este tipo, orientados a servicios básicos, y sus consecuencias.
Las proyecciones de crecimiento de Internet indican que para el año 2020 estarán conectados en línea 50.000 millones de dispositivos, una situación que, obviamente, tendrá repercusiones en materia de seguridad a nivel global. En el caso de América Latina, la región no escapará a la posibilidad de ver incrementados los ciberataques a infraestructuras críticas manejadas por el sector público o privado.
América Latina no escapará a la posibilidad de ver incrementados los ciberataques a infraestructuras críticas manejadas por el sector público o privado
Trabajo conjunto
El ensayo Critical Infrastructure in Latin America: Connected, Dependent, and Vulnerable fue publicado en abril de 2016 por el William J. Perry Center for Hemispheric Defense Studies. El autor, Boris Saavedra, es un oficial retirado de la Fuerza Aérea Venezolana con el grado de general de brigada. Tiene un máster en Política y Práctica Internacional de la Universidad George Washington de EEUU y un doctorado en Paz y Seguridad Internacional del Instituto Universitario General Gutiérrez Mellado de la UNED española. En lo que es considerada una de las más recientes publicaciones del tema sobre América Latina, Saavedra expone aspectos interesantes de la región.
Especialmente en América Latina, las centrales de producción de energía eléctrica son claves. Por lo tanto, los ciberataques a esas infraestructuras críticas son una potencial amenaza cuyo impacto tendría un alcance muy amplio y profundo. Dichas redes tienden a ser cada vez más vulnerables debido al incremento de conexiones integradas a Internet.
Las redes de energía eléctrica, manejadas entre los sectores público y privado, no cuentan con legislaciones que promuevan compartir información para evitar infracciones a la seguridad de las infraestructuras. Por otra parte, el monitoreo para detectar signos de ciberataques es débil, ya que no se cuenta con agencias gubernamentales específicas y especializadas en dicha materia. En el sector, la mayoría de la seguridad cibernética es incipiente, caracterizándose por la insuficiente inversión y la carencia de políticas para la prevención de ciberataques con la colaboración público-privada.
Ante lo que pareciera ser un panorama nada optimista para América Latina, en lo que a la seguridad de infraestructuras críticas se refiere, se presentan opciones. Pero se requiere el trabajo conjunto y coordinado entre gobiernos, sectores público y privado, comunidades, autoridades políticas, organizaciones académicas, etc. Al igual que las perversas motivaciones, las amenazas son múltiples. Sólo una convergencia de esfuerzos logrará conformar y mantener una sólida defensa que evite los dolorosos costos humanos y materiales de la reactividad.