Durante la última década, el desarrollo del ámbito de la ciberseguridad en las infraestructuras críticas ha tenido cambios de calado ajustándose a la realidad que vivimos, en la que los riesgos asociados a los sistemas de información se han distanciado de los riesgos de seguridad física en una medida suficiente para cambiar el paradigma tradicional que vivíamos. Donde antes veíamos la ciberseguridad como una parte de la seguridad, donde la parte física tenía el mayor peso en las consideraciones organizativas y legislativas, ahora vemos la ciberseguridad como un elemento capital con entidad propia y un desarrollo en todos sus niveles a un ritmo superior al de la seguridad física.
Las tecnologías de la información, que experimentan un crecimiento exponencial en cuanto a la ocurrencia de incidentes asociadas a seguridad, acompañado de la evolución y adopción de la tecnología en las sociedades, generan una rueda de dependencia cada vez más frenética con la que tenemos que convivir y adaptarnos.
Ciberseguridad en las infraestructuras críticas
En este sentido, las sociedades más avanzadas tecnológicamente son a su vez más permeables a los ataques debido a las posibilidades que abren los propios canales y medios que habilita la tecnología. Donde antes teníamos ataques muy dirigidos, en los que los medios y la coordinación de los atacantes limitaban su concurrencia, ahora tenemos infraestructuras distribuidas que han llegado incluso al ataque como servicio contratable. El propio mercado de la ciberseguridad se adapta con rapidez a esta nueva realidad mediante el desarrollo de nuevas capacidades, pero mantiene una carrera de fondo en la que la aspiración es ir todo lo cerca posible del rival y que este nos saque la menor distancia posible.
Las tecnologías de la información generan una rueda de dependencia cada vez más frenética
Dentro de esta dinámica, los saltos derivados de la normalización de tecnologías disruptivas son los que generan más impacto en esa relación de carrera de fondo. Los teléfonos móviles, los nuevos canales de mensajería y las redes sociales, por ejemplo, dieron alas a nuevas formas de ataques por ingeniería social que nos han hecho replantearnos nuestro uso cotidiano de estos medios, e incluso nos ha hecho normalizar la concienciación en el uso de la tecnología como una actividad cotidiana. Cada vez que la sociedad abraza una nueva tecnología, esta viene de la mano de nuevas responsabilidades que van asociadas a las trampas que nos vamos encontrando cuando dicha tecnología se utiliza para atacar.
Hoy nos encontramos en uno de esos grandes cambios que llegan a la sociedad para quedarse: la adopción masiva de la inteligencia artificial. Esta tendencia tecnológica no es nueva, pero su democratización y llegada a las vidas del ciudadano sí lo es. Como en ocasiones anteriores, nuevos medios ofrecen nuevas posibilidades. Vemos cómo está teniendo un impacto importante en las tecnologías de ciberseguridad, permitiendo niveles de protección más eficientes y robustos; pero, como en anteriores ocasiones, vemos en su aplicación a los medios de ciberataques una creatividad y potencial que permite a los atacantes volver a distanciarse en la carrera.
Las posibilidades que brinda la inteligencia artificial en estas etapas tempranas abren nuevas vías de paralelización de ataques multicanal donde con muchos menos medios se llega a muchos más usuarios. Por ende, la concienciación ha pasado a tener muchísimo más peso del que ya tenía, por ser precisamente la ingeniería social una de las vías con más potencial para los nuevos grandes modelos de lenguaje.
Aceleración de cambios
¿Y cómo impactan todos estos cambios a las infraestructuras críticas? Todo se acelera. Desde un punto de vista tecnológico, la evolución de las medidas de protección adquiere mayor ritmo, aumentado la inversión y el gasto. El desarrollo de los empleados en competencias de concienciación pasa a ser una constante con más presencia, si cabe, en el desempeño de su día a día. Y la atención a los proveedores y colaboradores adquiere una importancia que venía demandando desde hace tiempo.
Por tanto, es capital un empoderamiento de la regulación de la cadena de suministro, que vemos poco a poco cada vez más reflejado en las normativas. Esa mejora debe pasar por la incorporación de medios que permitan una mejora en los controles asociados a la ciberseguridad de dicha cadena, sin que ocasionen ineficiencias en las prestaciones de servicios, licitaciones y prospecciones.
Es necesario que aceleremos la normativa porque las capacidades tecnológicas de los atacantes no van a frenar su evolución
Dada la heterogeneidad de modelos de negocio dentro del ámbito de infraestructuras críticas, con las distintas particularidades de cada caso (ámbitos de negocio globales y locales, así como los diferentes estratos en la provisión de servicios), el camino pasará por estandarizar, homogeneizar y permitir la convalidación de certificaciones que permitan a los proveedores constatar sus capacidades en ámbitos de seguridad. Medidas que, en esta línea, permitirán un mercado de proveedores donde haya mejor competitividad, un nivel de seguridad acorde con la necesidad actual y consentirá una mayor agilidad en homologaciones y puestas en marcha de nuevos servicios e implantaciones tecnológicas. Además, este tipo de iniciativas pueden beneficiar a todos sin importar tamaños, ámbitos y capacidades.
Directiva NIS2
Es importante destacar que los pasos que se están dando organizativamente a nivel regulatorio van en la dirección correcta. La trasposición de la Directiva NIS2 ha instado a determinados cambios acertados, que abren la puerta a estas iniciativas necesarias para encajar mejor, en el ámbito de ciberseguridad, infraestructuras críticas y cadena de suministro, una realidad cambiante en la que vamos a estar inmersos inevitablemente. Haciendo un ejercicio de empatía en el rol de cada uno de los participantes en la cadena de valor de las infraestructuras críticas, podremos identificar qué palancas son más convenientes para asegurar un entorno preparado para lidiar con un estado de cambio acelerado como el que vivimos. En conclusión, es necesario que aceleremos en la evolución normativa porque las capacidades tecnológicas a disposición de atacantes no van a frenar su evolución, y lo que ayer nos servía, hoy es insuficiente.
