La incógnita de los ataques a infraestructuras críticas

Los ciberataques a las infraestructuras críticas son una realidad. Se trata de amenazas que se ciernen sobre sectores como el energético, sanitario, financiero, agua… y que pueden llegar a afectar peligrosamente a millones de personas de manera simultánea. A pesar de los riesgos que entraña, la colaboración internacional entre Estados ni es tan estrecha ni tan fluida como cupiera esperar. Así lo pone de manifiesto un reciente informe del Instituto de las Naciones Unidas de Investigación sobre el Desarme (UNIDIR), el instituto autónomo dentro de la ONU especializado en el desarme.

El recuerdo de los cortes de energía para 225.000 clientes ucranianos hace cuatro años después de que la mayor eléctrica sufriera un ciberataque sigue aún fresco, pero desde entonces se han producido muchos otros ataques, como el reportado en 2020 al Hospital Universitario Brno en República Checa que obligó, incluso, a suspender cirugías programadas. Algo parecido sucedió en hospitales alemanes o en EEUU contra compañías de gas natural o una planta de tratamiento de agua.

Este tipo de ciberataques pueden llegar a producir un auténtico apagón en un país, paralizando su actividad como sucedió en Estonia en 2007, cuando el 97% de las transacciones de banca electrónica se cayeron temporalmente. A pesar de ello, queda mucho por avanzar en las medidas de protección, comenzando por la misma definición de infraestructura crítica.

La resolución 2341 del Consejo de Seguridad de las Naciones Unidas establece que “cada Estado decide qué constituye su infraestructura vital”, pero tal y como destaca el informe de UNIDIR, las definiciones varían significativamente. Este problema no es baladí, puesto que no contar con una definición general de infraestructura nacional crítica, identificando los sectores y subsectores que participan de ella, dificulta poder elaborar listas de activos relevantes o establecer redes nacionales e internacionales de resolución de crisis.

Unas de las consecuencias directas de ello es el número real de ciberataques de este tipo es una incógnita, produciéndose numerosas discrepancias en función de quien tratar de cifrarlos. Tal y como destaca UNIDIR, el mismo Comité Internacional de la Cruz Roja hace hincapié en “la dificultad de evaluar cuántas operaciones no fueron detectadas, realmente cuánto alcance han tenido los atacantes en la infraestructura, o si se han establecido accesos encubiertos para uso futuro”.

Uno de los motivos por los que se desdibujan tanto las líneas de lo que es y no es una infraestructura crítica es el avance de la conectividad. Los procesos de transformación digital y la extensión de la sensorización con la Internet de las Cosas (IoT) han desembocado en un significativo aumento del número de activos considerados críticos y, con ello, de la inversión necesaria para proteger esas infraestructuras.

Así las cosas, el Grupo de Expertos Gubernamentales (GEG) de la ONU sobre los avances en el ámbito de la información y las telecomunicaciones en el contexto de la seguridad internacional propuso en 2015 una norma internacional destinada a facilitar la cooperación internacional en caso de una operación cibernética contra la infraestructura crítica. Esta colaboración se antoja cada vez más imprescindible porque los ataques cada vez son más complejos y sofisticados, con una extraordinaria capacidad de propagación que, tras la expansión del teletrabajo con la pandemia, se ha visto aún más incrementada.

Aunque es cierto que ya existen varios repositorios regionales e internacionales para que los países intercambien información, como el “Cyber Policy Portal” (Portal de Políticas Cibernéticas) de UNIDIR, la verdad es que queda mucho por avanzar. Cuando se sufre un ciberataque, en demasiadas ocasiones se comete el error de priorizar la atribución de dicho ataque en lugar de detener la propagación de la operación cibernética y minimizar sus consecuencias no deseadas.

Al mismo tiempo, el foco se pone mayoritariamente en el Estado de emanación, esto es, el país del que se cree que procede la operación cibernética maliciosa. Esta aproximación puede ser muy positiva de cara a la mitigación, pero debería extenderse también a los Estados de tránsito, cuya infraestructura puede ser un importante eslabón habilitante en la cadena del ciberataque. Por este motivo, el informe de UNIDIR apuesta por que la comunidad internacional ahonde en este análisis.

Con una colaboración mucho más estrecha entre países existiría una mayor transparencia e intercambio de información en todo cuanto afecta a las infraestructuras críticas (incluyendo su definición), así como el establecimiento de canales de comunicación específicos y protocolos y procedimientos para facilitar los flujos de información. Una parte clave de esta colaboración son los ejercicios de pruebas regionales e internacionales periódicos, que testeen el mecanismo de todos los procedimientos adoptados. Entra en juego, sin embargo, toda la geopolítica, que pone trabas a la asistencia entre Estados para limitar o detener ciberataques, como ha quedado más que evidenciado con el escándalo de Pegasus.