Protección de las Infraestructuras Críticas
Crecen los incidentes relacionados con la seguridad en los sectores estratégicos durante 2019.
Según el Informe Anual de Seguridad Nacional 2019 elaborado por Ministerio del Interior en su apartado de “Protección de Infraestructuras Críticas”, en dicho año se reportaron al Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) un total de 89 incidentes relacionados con la seguridad física en los sectores estratégicos, frente a los 22 registrados en 2018 y los 54 del año 2017.
En el ámbito de la ciberseguridad se gestionaron un total de 8.086 incidentes (818 incidentes en operadores de titularidad privada y 7.268 incidentes en operadores de titularidad pública) de distinta peligrosidad e impacto en operadores críticos, de servicios esenciales o estratégicos. Estos incidentes no llegaron a comprometer los servicios esenciales soportados por dichas infraestructuras, aunque su efecto sobre los servicios corporativos de los operadores críticos fue en algunos casos elevado. Los sectores más afectados fueron el financiero y tributario, energético y el de transporte, que contabilizan más del 50% de los incidentes gestionados.
Los ataques dirigidos contra los sistemas que proporcionan los servicios esenciales de la sociedad, las injerencias en países, o los ciberataques enfocados hacia el Internet de las cosas, plantean un escenario de gran vulnerabilidad. En este sentido, el hacktivismo, tal y como se viene comprobando desde 2017, está teniendo no solo más actividad sino también más efectividad.
En los últimos seis años el número de incidentes de ciberseguridad ha crecido debido a la evolución de las ciberamenazas y a que las entidades que se encargan de gestionarlas han mejorado sus capacidades de respuesta, así como el intercambio recíproco de información.
En este periodo, los ciberataques a los sectores estratégicos han ido aumentando, tanto en número, como en nivel de sofisticación. De esta forma, en 2013 se detectaron 17 ataques, pasando en el año 2014 a 50 ciberataques y 118 durante el año 2015. Esta cifra aumentó exponencialmente en el año 2016 con un total de 2.569 incidentes entre el ámbito público y privado, cifra que se situó en 4.056 en el 2017. El año 2018 registró un total de 6.954 incidentes.
En el ámbito de los operadores críticos, estratégicos o de servicios esenciales se aprecia una tendencia de diversificación en los ataques, focalizándose principalmente en el sector financiero y tributario, transporte, energía, agua, alimentación y sector de las tecnologías de la in-formación y la comunicación (TIC), que han registrado incidentes de especial relevancia con riesgo alto, muy alto y crítico.
La seguridad de estas infraestructuras se tendrá que enfrentar a amenazas físicas y lógicas que, actuando de manera conjunta o separada, podrán materializarse en la negación de servicios. Las nuevas tecnologías permitirán que actores tanto estatales como no estatales puedan disponer de nuevas capacidades de actuación.
El espacio ultraterrestre será un dominio desde el que se proveerán servicios esenciales a la sociedad, como comunicaciones y acceso al ciberespacio, por lo que la protección de las infraestructuras espaciales (tanto desplegadas en el espacio ultraterrestre como las basadas en tierra) será una necesidad prioritaria.
Por lo que respecta al ámbito de la ciberseguridad, INCIBE-CERT localizó más de 53.345 equipos o recursos comprometidos en España, en el ámbito de los diferentes sectores definidos en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. En este marco, además, se documentaron más de 506 avisos para los Sistemas de Control Industrial (sistemas informáticos para el control de procesos industriales).
En 2019, INCIBE y CNPIC llevaron a cabo una nueva medición de la capacidad de los operadores críticos y de servicios esenciales para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital. Participaron 71 operadores de hasta ocho sectores estratégicos y de 23 universidades y centros de investigación asociados a RedIRIS (red académica y de investigación española que proporciona servicios avanzados de comunicaciones a la comunidad científica y universitaria nacional, gestionada por la entidad pública empresarial Red.es).
Por parte de las Fuerzas Armadas (FAS) cabe destacar los trabajos de actualización de los planes de contingencia para la protección de las infraestructuras críticas, adiestramiento y capacitación de las unidades ejecutantes, al objeto de responder con eficacia ante este tipo de situaciones, ampliando el marco de actuación de las FAS en apoyo de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) frente a la amenaza terrorista
Se pusieron en marcha en el año 2019 nuevas iniciativas para mejorar la cooperación tanto con el sector privado como entre los organismos del sector público responsables de la protección de las infraestructuras críticas, como fue la puesta a disposición de los operadores críticos y esenciales del ámbito privado de un nuevo portal de reporte y notificación en cumplimiento del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, así como el establecimiento de unos procedimientos para el intercambio de la información proveniente del sistema anti-UAS global del Ministerio del Interior y el Centro de Operaciones Aéreas del Ejército del Aire, que permitirán al Sistema de Defensa Aérea tener un mejor conocimiento de la situación en las capas más bajas del espacio aéreo.
Desde el punto de vista internacional, se avanzó en la revisión de la Directiva Europea PIC y el Programa Europeo de Protección de Infraestructuras Críticas, además de otros temas como las amenazas internas, amenazas híbridas y los objetivos blandos, desde el punto de vista de su incidencia en la protección de las infraestructuras críticas. En este sentido, en el seno del CNPIC se creó el Centro de Coordinación y Alerta (CECOA) que conoce y trabaja la información que es remitida por operadores y las FCSE, relativa a las infraestructuras y personal que gestiona las mismas.
La implantación completa del Sistema Nacional de Protección de Infraestructuras Críticas es un reto de primera magnitud para los próximos años, toda vez que proporciona una eficaz protección y seguridad a instalaciones, redes y sistemas sobre los que descansa el funciona-miento de los servicios esenciales. Este objetivo se alcanza a través del desarrollo de proyectos que posibiliten responder eficazmente a las amenazas que se desarrollan en el ciberespacio, bien como medio, bien como objetivo, así como por medio del perfeccionamiento de los procedimientos y sistemas necesarios para evitar la interrupción en la prestación de los servicios proporcionados por las infraestructuras de sectores estratégicos. A su vez, se precisa aumentar la capacidad de resiliencia de los sistemas de infraestructuras estratégicas e infraestructuras críticas de los sectores estratégicos del Estado.
Higinio Almagro Castro
Coordinador Relaciones Institucionales ANDSSXXI