Aeropuertos, servicios postales, hospitales… Los ciberataques no tienen fronteras, y cualquier empresa u organización puede convertirse en blanco de ellos. Pero ser un objetivo no significa necesariamente ser una víctima. ¿Podría ser 2024 el año en que los productos de ciberseguridad «reforzados» se impongan?
Las amenazas de ciberseguridad contra los sistemas que controlan y operan las infraestructuras críticas es un grave problema al que se enfrentan muchos países en la actualidad. En España, sin ir más lejos, las ciberamenazas son uno de los principales desafíos para las infraestructuras estratégicas, estando detrás de la mayoría de los incidentes detectados durante 2022, según recoge el Informe Anual de Seguridad Nacional 2022, elaborado por el Departamento de Seguridad Nacional.
Tanto es así que, de acuerdo a dicho estudio, el número de incidentes notificados a la Oficina de Coordinación de Ciberseguridad por el sector estratégico ascendió a 15.507 en ese periodo. De ese total, casi la mitad de los ataques (7.676) tuvieron como objetivo infraestructuras vinculadas al sector del transporte y cerca del 20 por ciento (3.033) a la Administración Pública. El sistema financiero y tributario, con aproximadamente un 15 por ciento (2.247), y los servicios de suministro de agua, que rozan el 14 por ciento (2.161), les siguieron en importancia.
A tenor de esta tendencia, y con la convicción de que estos incidentes seguirán produciéndose, avanzar en materia de protección es transcendental, a fin de garantizar la continuidad y prestación de los servicios esenciales. También lo es no descuidar otros «objetivos» que, como los propios productos y soluciones de ciberseguridad, se encuentran en su diana.
Proteger lo que protege
Aunque a priori dirigir un ataque contra un producto de seguridad puede parecer una pérdida de tiempo, lo cierto es que, hoy en día, los incidentes más sofisticados apuntan principalmente contra las soluciones de ciberseguridad, y no hacia la propia infraestructura. Su objetivo es abrir un agujero de seguridad desactivando o comprometiendo el agente de protección, para así obtener privilegios escalados en la máquina infectada. Y como ilustra el catálogo de vulnerabilidades conocidas de la agencia estadounidense CISA, «ningún fabricante es inmune a estos ataques».
Por tanto, y asumiendo que la seguridad de estos productos debe vigilarse y reforzarse para garantizar una protección óptima contra los nuevos ataques, un enfoque basado en el «hardening», o endurecimiento del sistema, puede ser la solución más adecuada.
Los incidentes más sofisticados apuntan principalmente contra las soluciones de ciberseguridad, no hacia la infraestructura
Si bien el objetivo central de esta estrategia es reducir la superficie de ataque de todos los componentes en cuestión, en la práctica, a nivel de sistema o de infraestructura, el hardening implica una combinación de técnicas: configuración óptima de los sistemas operativos, revisión periódica de las cuentas privilegiadas y de las reglas de los cortafuegos, restricciones de las direcciones IP permitidas y reglas más estrictas asociadas al uso de contraseñas.
En términos de soluciones de ciberseguridad, este endurecimiento informático puede (por ejemplo) adoptar la forma de una arquitectura de microservicios o la aplicación del principio del menor privilegio para los servicios. Para los fabricantes, representa una declaración de intenciones, en tanto en cuanto les permite dejar constancia de su esfuerzo para evitar que el producto de ciberseguridad se utilice con fines malintencionados. Y cada vez hay más licitaciones públicas, del Estado o de estructuras públicas como hospitales, con requisitos relativos a aspectos de seguridad y a la necesidad de utilizar soluciones rugerizadas.
Una ciber puerta del mundo militar a la sociedad civil
Aunque los sistemas de información militar difieren de los civiles, ambos comparten características similares y ciertas tecnologías, hardware y software. Además, y debido a la naturaleza altamente sensible de la infraestructura y los datos que protegen, estos productos de ciberseguridad de grado militar tienen que cumplir ciertos requisitos especiales; por ejemplo, mediante determinadas configuraciones.
A este respecto, algunos países europeos han desarrollado programas de cualificación de productos de ciberseguridad a través de sus agencias nacionales de seguridad, como es el caso del Centro Criptológico Nacional (CCN) en España. Para permitir el reconocimiento interestatal de estas cualificaciones, se ha firmado un acuerdo de reconocimiento mutuo a nivel europeo. El propósito es sencillo: identificar soluciones sólidas y fiables para la protección de los servicios estatales sensibles.
El CCN advierte de que «la adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto son adecuados para proteger dicha información». Por tanto, un producto cualificado será aquel cuya seguridad ha sido certificada por el organismo de certificación, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. La etiqueta ‘producto certificado’ está destinada principalmente a organismos, instituciones gubernamentales y empresas críticas que deben cumplir los requisitos del Esquema Nacional de Seguridad.
Esta definición muestra claramente que estas soluciones no están dirigidas únicamente a actividades militares. De hecho, algunas empresas civiles ya utilizan estos productos de seguridad cualificados, debido también a que pueden ser operadores de vital importancia y/o entidades esenciales. La Directiva europea NIS 2 también incluye en su ámbito de organismos esenciales e importantes a los subcontratistas y proveedores de servicios con acceso a infraestructuras críticas: todos ellos son empresas civiles que harían bien en interesarse por este concepto de cualificación.
Por ello, es imperativo desmitificar el uso de estos productos de seguridad cualificados para el resto del mundo civil. Dicho de otro modo, la cualificación de los productos de ciberseguridad no es una mera cuestión de sectores regulados.
Si una solución de seguridad robusta y fiable puede proteger servicios gubernamentales sensibles, también tiene sentido utilizarla para la salvaguardia de datos sensibles de la organización: datos personales, sensibles, vitales o incluso críticos, todos contribuyen a la actividad de la compañía y deben asegurarse.
Stormshield se esfuerza, en este sentido, para ofrecer productos robustos llave en mano mediante un intenso trabajo de integración e implantación. De hecho, su despliegue no es más complicado que el de un producto de ciberseguridad tradicional.