Infraestructuras

críticas
Personales

Cibercrimen

0
Infraestructuras críticas
Comenzaremos la presente unidad haciendo mención de las
infraestructuras críticas y la importancia hoy en día en los países. Por otra
parte, se focalizará en aprender su concepto, tipologías y su incidencia
dentro del mundo de los ciberdelitos y ciberseguridad.

Infraestructuras críticas
Siguiendo con el desarrollo de la unidad, deberíamos hacer una
contextualización del fenómeno para luego comprender su historia, por lo
que, para ello, comenzaremos diciendo que, según la Directiva Europea
2008/114 referida a la identificación y designación de infraestructuras
críticas europeas y la evaluación de la necesidad de mejorar su producción,
en su art. 2 refiere:

Infraestructura crítica: el elemento, sistema o parte de este

situado en los Estados miembros que es esencial para el
mantenimiento de funciones sociales, vitales, la salud, la
integridad física, la seguridad y el bienestar social y
económico de la población y cuya perturbación o
destrucción afectaría gravemente a un Estado miembro al
no poder mantener esas funciones.1

Ahora, como podemos ver, hace referencia a un sistema, o parte de este,

que se encuentre dentro de la órbita de un Estado que tenga relación
directa con servicios esenciales y que, por determinadas razones, se vea
afectado. Con base en la descripción anterior, sería necesario distinguir
cada uno de los sectores involucrados:

 Servicios energéticos.
 Industria nuclear y química.
 Tecnología de la información.
 Transporte.
 Servicios de agua y aguas residuales.
 Servicio de alimentación.
 Servicio de salud.
 Servicio financiero y bancario

1 Directiva 2008/114/CE. (2008). Protección de las infraestructuras críticas [Identificación y

designación de infraestructuras críticas europeas y evaluación de la necesidad de mejorar su
protección]. Recuperado de https://goo.gl/Q16gS7

1
 Centrales eléctricas
 Instalaciones de investigación.

Una vez que hemos diferenciado cada uno de los sectores que coexisten
dentro de este campo, cabe referir que estos son controlados por sistemas
de supervisión y control que en inglés se conocen como industrial control
systems (ICS), que se encargan de supervisar y controlar el normal
funcionamiento de procesos industriales, es decir, que describen la
combinación de hardware y software enlazados en la red para sustentar
infraestructuras críticas.

Una de las funciones principales es la de supervisar y adquirir datos, lo cual

se hace a través del conocido sistema SCADA (supervisory control and data
acquisition, en español supervisión, control y adquisición de datos; ver
Figura 1). Este último es utilizado para supervisar y adquirir datos, pero con
comando a distancia, lo cual permite estar en constante provisión con
dispositivos del lugar y a su vez facilita el control automático.

Figura 1: Componentes de un sistema SCADA

Fuente: Moreno Lozano, 2006, https://goo.gl/auyops

Por otra parte, contamos con los sistemas de control distribuido (DCS) y los
sistemas industriales de automatización y control (IACS), entre otros. A lo
largo de los tiempos, los sistemas han ido evolucionando, ya que antes se
mantenían aislados y protegidos del mundo exterior, situación que ha ido
cambiando: ahora se encuentran directa o indirectamente conectados a
Internet. Asimismo, el avance en desarrollos como sensores inteligentes ha
hecho una combinación perfecta desde la tecnología operativa y de la
información.

2
Partes involucradas

A partir de tomar conocimiento de lo que comprende a una infraestructura

crítica, es primordial conocer quiénes son los actores que se encuentran
detrás de su protección:

 Estado.
 Operadores de infraestructuras críticas.
 CERT o CSIRT (computer emergency response team o equipo de
respuesta ante emergencias informáticas).
 Ciudadanos.

En efecto, cada una de las partes mencionadas tiene cierta

responsabilidad, directa o indirectamente. En este sentido, es clave que
exista una participación multisectorial, ya que es fundamental para la
protección de estos, es decir, desde fuerzas policiales, departamentos
gubernamentales, operadores, empresas y cooperación internacional. En
este último caso, podemos ver cómo en Europa se ha fijado un lineamiento
general para que los países miembros sigan una directiva universal en
materia de infraestructuras críticas y, a la vez, generen planes de
contingencia frente a posibles amenazas.

En el caso de Argentina, en los últimos años se ha visto una preocupación

importante sobre el tema, por lo cual se ha constituido un CERT nacional
(Ar-CERT) y de otros organismos públicos (ver Figura 2) y privados, como
CSIRT BANELCO; este último, particularmente en el campo financiero. Cabe
aclarar que un CERT o CSIRT puede ser público cuando el objetivo recae
sobre una infraestructura de orden oficial, mientras que también puede ser
privado, es decir, que sea una empresa que brinde servicios netamente
relacionados a las áreas de infraestructura crítica, como bien
referenciábamos en el caso bancario o financiero.

Entre los servicios, se mencionan: desde avisos de seguridad, posibles

vulnerabilidades, auditorías y desarrollo de software específico hasta
gestión de incidentes o vulnerabilidades.

Figura 2: CSIRT de la Ciudad Autónoma de Buenos Aires

3
Fuente: captura de pantalla de BA-CSIRT (Gobierno de la Ciudad Autónoma de Buenos Aires, s. f.,
https://goo.gl/zguHVK).

Como se puede apreciar, se debe lograr el compromiso de todos los

actores para evitar que se produzcan consecuencias inimaginables.

Factores relevantes

Es importante describir, en todo este fenómeno, cuáles son los factores y

parámetros que se encuentran involucrados frente a un posible riesgo de
ataque de las infraestructuras. En razón de esto, se considera que los
factores serían, por un lado, los efectos del tiempo, ya que un ataque
significa la pérdida en millones de dólares; por otra parte, tenemos el
alcance, es decir, conocer el ámbito al cual se le generó un daño. Eso
permitirá conocer si fueron afectados servicios esenciales, el impacto de la
economía y posibles víctimas fatales o damnificados por el desastre. Por
último, tenemos el nivel de escala del ataque. Eso estará determinado a
partir de qué infraestructura de servicio crítico se afectó. En suma, del nivel
de escala se podrá establecer su impacto económico, víctimas y servicios
esenciales. Por consiguiente, es clave generar planes de contingencia de
manera conjunta para que la afectación sea lo menos perjudicial posible.
En este sentido, es necesario crear objetivos estratégicos, es decir,
teniendo presente la prevención, estar preparados para lo peor, minimizar
el daño causado y lograr una pronta recuperación del desastre acontecido.
Pero ¿cómo se lograría ello? A través de acciones coordinadas
multisectoriales entre los diferentes actores involucrados, ya que no solo
ocupa a quien debe resolver la parte técnica, sino también las cuestiones
de ayuda a las víctimas afectadas, la asistencia a reclamos que se susciten
durante el incidente, entre otros. Por supuesto, la cooperación
internacional es clave y necesaria; así, vemos cómo de manera coordinada
se encuentra trabajando Europa y algunos países, así como en los últimos

4
años la OEA (Organización de los Estados Americanos) lo viene haciendo en
todo América, mediante la colaboración en desarrollos o creaciones de
CSIRT a fin de que los Estados estén preparados ante eventuales ataques.

Tipologías de ataques

Cuando hablamos de tipologías de ciberataques, es clave entender al

enemigo, es decir, por qué actuó de la manera en que lo hizo y qué buscó
al realizar tal ataque, entre otras preguntas. Estos pueden provenir de
gobiernos hostiles, grupos terroristas o espionaje industrial, entre otros. En
este punto, cabe aclarar que no todo es un ataque, ya que también puede
darse que sea una falla propia del sistema. En consecuencia, debemos
conocer qué tipos de situaciones son las que se pueden dar en un
ambiente de ataques a infraestructuras críticas, por ejemplo, ataques de
DDoS (denegación de servicio), amenazas persistentes avanzadas (APT),
suplantación de identidad, manipulación de protocolos, distribución de
malware, spearphishing, robo de información o ransomware, entre otros.
También en estos casos cuenta mucho el uso de técnicas de ingeniería
social, que hoy en día es clave para la obtención de la información del
objetivo que se quiera atacar.

Como se puede leer, son típicos ataques en los que la finalidad es

netamente generar un daño y, en algunos casos, obtener un rédito
económico por ello. Ahora, ¿qué consecuencias traen estos ataques? Van
desde pérdidas humanas, difusión de información obtenida sin
autorización, daños en equipamientos e infraestructuras hasta el riesgo de
sistemas esenciales como el de salud, el bancario, el judicial o cuestiones
de seguridad y soberanía, etcétera. En estos casos, una de las cuestiones
elementales es la capacitación del personal u operador del sistema, ya que,
al estar alertado, puede lograr prevenir desastres muy grandes. Esto puede
abarcar desde la configuración segura de hardware y software hasta
conocer cada tipo de amenaza y los tips para su prevención.

Uno de los casos más conocidos en materia de ataque ocurrió en Irán con
el gusano Stuxnet, que afectó a 1000 máquinas (British Broadcasting
Corporation [BBC], 2015) en la central nuclear de Natanz, del mencionado
país.

Ciberseguridad

Para ir cerrando esta unidad, hablaremos de la ciberseguridad:

5
 El conjunto de herramientas, políticas, conceptos de
seguridad, salvaguardas de seguridad, directrices, métodos
de gestión de riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías que pueden utilizarse para
proteger los activos de la organización y los usuarios en el
ciberentorno. (García Moreno, 2015,
https://goo.gl/X1bFVw).

Como resumen de lo anterior, se especifica cada uno los elementos y

procesos que la componen. Es decir, que la ciberseguridad es la encargada
de velar por los intereses de la Infraestructura crítica. Algunos autores
entienden que los términos ciberdefensa y ciberseguridad son lo mismo, ya
que se protegen intereses de una nación, mientras que otros alegan que
hay una diferencia, ya que la ciberseguridad no solo se encuentra en la
órbita de lo público, sino también en la de lo privado, mientras que la
ciberdefensa es un término asociado netamente a la protección de los
intereses físicos y virtuales de una nación.

Los elementos principales dentro de la seguridad de la información son 3:

 Disponibilidad: la información debe estar disponible cuando sea

requerido.
 Integridad: solo puede ser modificada por las personas autorizadas
para ello.
 Confidencialidad: solo pueden acceder a ella los usuarios que se
encuentren autorizados, lo cual dependerá del nivel de privilegios
que posean.

Estos elementos son clave a la hora de hablar de ciberseguridad, ya que

son los pilares de protección de toda organización.

6
Bibliografía de referencias
British Broadcasting Corporation (BBC). (2015). El virus que tomó control
de mil máquinas y les ordenó autodestruirse. Recuperado de
http://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_te
cnologia_virus_stuxnet

Directiva 2008/114/CE (2008). Protección de las infraestructuras críticas

[Identificación y designación de infraestructuras críticas europeas y
evaluación de la necesidad de mejorar su protección]. Recuperado de
http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=LEGISSUM:jl0013

García Moreno, D. (2015). Ciberseguridad: qué es y para qué sirve.

Recuperado de https://www.ucavila.es/blog/2015/07/03/ciberseguridad-
que-es-y-para-que-sirve/

Gobierno de la Ciudad Autónoma de Buenos Aires. (s. f.). [Captura de

pantalla de BA-CSIRT]. Recuperado de https://www.ba-
csirt.gob.ar/index.php?u=home

Moreno Lozano, F. (2006). Componentes de un Sistema SCADA [imagen].

Recuperado de http://docplayer.es/1864342-Diseno-de-sistemas-scada-
para-monitoreo-de-procesos-utilizando-labview-dsc.html