Red Seguridad 103

red seguridad cuarto trimestre 2023 41 servicios esenciales monográfico sentido, la guerra de Ucrania ha sido un punto de inflexión, puesto que el cibe- respacio supone una superficie más en términos de ataque, tanto en momentos de guerra como en sus preludios. Por su- puesto, con las particularidades que tie- ne Internet, por ejemplo, en su alcance a nivel mundial, en la dificultad de atri- bución y en el objetivo de estos ataques, normalmente muy orientados a poner en jaque las infraestructuras críticas de un país. Tecnologías en riesgo En este punto del texto, posiblemente estemos imaginando y pensando situa- ciones en las que se vean afectados recursos como grandes bases de datos, importantes sistemas de gestión (ERP, CRM…) y, en general, pérdidas de datos en el ámbito clásico de las tecnologías de la información (IT) que, efectivamen- te, pueden comprometer la actividad normal de un servicio esencial. Pero cuando hablamos de infraestructuras críticas no debemos perder de vista la tecnología más íntimamente relaciona- da con la operación (OT). Quizá fuese en 2010, con Stuxnet, cuando se dio la primera evidencia de código malicioso diseñado específicamente para espiar y alterar el funcionamiento de sistemas SCADA ( Supervisory Control And Data Acquisition ), responsables del control de las propias instalaciones. En el momento tecnológico que vivi- mos de crecimiento en la adopción de dispositivos conectados y controlados en remoto, el tan mencionado Internet de las cosas (IoT), es muy relevante con- tar con estrategias de seguridad también para esta tecnología. Nos referimos, por ejemplo, a proteger asuntos críticos como puede ser interferir en los sistemas que controlan una planta de generación eléctrica u otros más moderados en apa- riencia, como la intervención remota de un ascensor. Y digo en apariencia con conocimiento de causa, porque el as- censor es el medio de transporte más usado a diario, algunos de ellos cum- plen funciones clave, su funcionamiento seguro es fundamental y, también están conectados en gran parte. Ecosistema PIC Pues bien, todo lo anterior se encuentra en manos de los llamados operadores críticos, entidades u organismos res- ponsables de las inversiones o de la ac- tuación día a día de una infraestructura crítica. Su actividad viene regulada por la Ley 8/2011, en la cual se crea la Comi- sión Nacional para la Protección de las Infraestructuras Críticas, responsable de la designación de estos operadores críti- cos. Pero no sólo los operadores críticos, sino también todos los actores que son parte de sus cadenas de suministro y va- lor tienen retos muy relevantes, particu- larmente en el área de ciberseguridad. Un ecosistema de cientos o miles de em- presas que, en mayor o menor medida, son responsables de elementos básicos de nuestro bienestar diario. En primer lugar, es necesario invertir en elementos tecnológicos (hardware y software), así como en equipos de tra- bajo y perfiles especializados. Todo ello dirigido hacia la identificación, valora- ción y mitigación de riesgos. Riesgos cuya base cada vez es más sofisticada y que tienen una superficie de afección mayor. Pensemos, por ejemplo, en el exponencial crecimiento de uso de téc- nicas basadas en inteligencia artificial, también en el desarrollo de estrategias maliciosas de ataque y, por supuesto, en la innovación en técnicas de detección y respuesta. Esta es sólo una muestra de En el momento tecnológico que vivimos es muy relevante contar con estrategias de seguridad para el Internet de las Cosas

RkJQdWJsaXNoZXIy MTI4MzQz