Protección de las organizaciones de infraestructuras críticas

Uso de la ciberseguridad informática para prevenir interrupciones operativas

Los operadores de infraestructuras críticas son el pilar fundamental de la sociedad moderna, lo que los convierte en objetivos prioritarios para los ataques de ciberseguridad. A diferencia de otras industrias, los ciberdelincuentes y los estados-nación que lanzan ataques contra estas organizaciones rara vez quieren robar datos. En cambio, desean generar una disrupción operativa que provoque daños económicos y tenga serias repercusiones para millones de personas.

Los ataques a los operadores de infraestructura crítica están aumentando. En 2023, el director de informática de la Administración de Seguridad en el Transporte (TSA) afirmó que el creciente número de ciberataques a la infraestructura de Estados Unidos y el aumento de las capacidades cibernéticas de los adversarios extranjeros significaban que habíamos entrado en una guerra cibernética. Y, de hecho, los ataques a operadores de transporte, agua y energía de Estados Unidos se han relacionado con ciberdelincuentes patrocinados por estados.

En 2024, la Agencia de Protección Ambiental (EPA) de Estados Unidos se hizo eco de la opinión de la TSA, y señaló que "los recientes incidentes de gran repercusión en los sistemas de abastecimiento de agua han demostrado la urgencia de abordar las deficiencias en materia de ciberseguridad y las vulnerabilidades ante los ataques físicos". Ese mismo año, la North American Electric Reliability Corporation (NERC), una autoridad reguladora internacional sin ánimo de lucro, advirtió de que las redes eléctricas estadounidenses son cada vez más vulnerables a los ataques, con un aumento de unos 60 puntos susceptibles al día en las redes eléctricas.

Los ataques de los últimos años demuestran cómo vulnerabilidades iniciales relativamente pequeñas, incluso en sistemas informáticos aparentemente aislados, pueden tener consecuencias enormes para las operaciones:

• Colonial Pipeline: el ataque de 2021 a Colonial Pipeline fue relativamente sencillo. Los atacantes utilizaron credenciales de VPN expuestas para robar datos e implementar ransomware en los sistemas informáticos, incluidos los sistemas de facturación y contabilidad. Ya sea para prevenir la propagación del ataque o para evitar problemas de facturación en la distribución de combustible, Colonial Pipeline cerró sus operaciones. Y eso provocó el pánico, ya que la gente, alarmada por los titulares, se apresuró a comprar gasolina.

• Oldsmar, Florida, tratamiento de agua: a principios de ese mismo año, alguien accedió de forma remota a los sistemas críticos de una planta de tratamiento de agua en la pequeña ciudad de Oldsmar, Florida, y cambió brevemente los niveles de hidróxido de sodio en el agua potable. Aunque un operador de la planta revirtió rápidamente el cambio y nadie resultó herido, el incidente destaca cómo un ataque de ciberseguridad puede afectar la salud y el bienestar de los miembros de la comunidad.

Estos tipos de ataques exigen un cambio en cómo los equipos de ciberseguridad informática dan soporte a las operaciones. En el pasado, muchos equipos de seguridad informática y tecnología operativa eran distintos. La seguridad informática se centró en la protección contra ciberamenazas, mientras que la tecnología operativa se concentró en mantener los sistemas operativos en funcionamiento.

Las amenazas modernas de ciberseguridad requieren que los equipos de seguridad informática amplíen su función. Deben aplicar una gama completa de capacidades de ciberseguridad a la tecnología operativa para prevenir interrupciones devastadoras.

¿Por qué aplicar la tecnología operativa a la seguridad informática?

Los sistemas informáticos y de tecnología operativa comenzaron a converger hace más de una década. La implementación de sensores industriales de IoT, sistemas de monitoreo remoto y análisis en la nube ha conectado los entornos de informática y tecnología operativa.

Esta conexión permite la eficiencia operativa, pero también abre nuevas vías para los adversarios. Como demostró el ataque a Colonial Pipeline, los atacantes ya no necesitan comprometer un sistema de control industrial para causar una grave interrupción operativa. Un portátil en riesgo ofrece ahora un acceso a ese sistema de control industrial. Un servicio en la nube mal configurado puede exponer las redes de control de supervisión y adquisición de datos (SCADA).

Aplicar las capacidades de seguridad informática a la tecnología operativa es esencial para bloquear esas vías de acceso para los atacantes. Sin embargo, muy pocas infraestructuras críticas han adoptado un enfoque unificado que emplee capacidades de ciberseguridad para proteger tanto la informática como la tecnología operativa.

La posibilidad de perder decenas de millones de dólares por unos pocos días de interrupción del servicio es un motivo económico de peso para implementar de inmediato ese enfoque unificado. Una plataforma de seguridad que previene un solo día de tiempo de inactividad no planificado a menudo se amortiza con el primer incidente.

Estrategia de 3 pasos para aplicar la seguridad informática a la tecnología operativa

Para proteger las operaciones con seguridad informática, la mayoría de las organizaciones de infraestructuras críticas requieren una estrategia de tres pasos. Comenzar por las necesidades urgentes y continuar con las prácticas recomendadas y un marco basado en el riesgo puede ayudarte a gestionar las amenazas actuales y futuras.

1. Aborda los riesgos prioritarios
   
   Una de tus principales prioridades debe ser acabar con los estafas de phishing. Muchos ciberataques — contra operadores de infraestructuras críticas y otras organizaciones — comienzan con el phishing. Los atacantes intentan engañar a los usuarios para que proporcionen credenciales de acceso a los sistemas empresariales o hagan clic en enlaces que descargan y propagan malware a través de la red de la empresa.
   
   Combatir el phishing a menudo requiere diversas soluciones integradas. Por ejemplo, implementar una solución de seguridad del correo electrónico puede impedir que los correos electrónicos de phishing lleguen a la bandeja de entrada de los usuarios. Y emplear una solución de puerta de enlace web segura (SWG) puede evitar que los usuarios accedan a sitios maliciosos, incluso si son engañados para hacer clic en un enlace malicioso dentro de un correo electrónico o mensaje.
   

2. Implementa las prácticas recomendadas fundamentales de ciberseguridad
   
   Una vez que hayas abordado las necesidades más inmediatas, es el momento de implementar un enfoque más integral que te permita identificar y mitigar las vulnerabilidades, proteger los sistemas y los datos, detectar las amenazas y responder rápidamente a los ataques.
   
   Identifica: tu equipo de seguridad informática debe encontrar y abordar todas las vulnerabilidades que podrían permitir a los atacantes interrumpir las operaciones.
   
   Por ejemplo, las estaciones de trabajo de ingeniería a menudo son el objetivo de los atacantes porque acceden tanto a las aplicaciones empresariales como a las estaciones de control industrial. Estas estaciones de trabajo suelen ejecutar software de ingeniería especializado con privilegios elevados y controles de seguridad menos estrictos. La seguridad informática puede interrumpir la cadena de ataque protegiendo las estaciones de trabajo de ingeniería mediante microsegmentación. En lugar de considerar las estaciones de trabajo como puentes fiables entre redes, deberías emplear una plataforma de seguridad que pueda monitorear cada conexión, validar cada comunicación y aislar inmediatamente cualquier actividad sospechosa.
   
   Los equipos de seguridad también deben abordar las posibles vulnerabilidades en las aplicaciones de cara al público, que son puntos de entrada iniciales frecuentes para los ataques. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear las amenazas en tiempo real, manteniendo la continuidad operativa.
   
   Protege: reforzar los controles de acceso y mejorar la protección de datos son esenciales para evitar interrupciones operativas graves.
   
   La transición a un modelo de seguridad Zero Trust te permite prevenir el acceso no autorizado a los sistemas informáticos que puede llevar a interrupciones operativas. Con una solución de acceso a la red Zero Trust, puedes asegurarte de que solo los usuarios correctos con la autorización adecuada puedan acceder a aplicaciones específicas. Esto puede ayudar a evitar que cualquier movimiento lateral de los atacantes dentro de tu entorno explore la red.
   
   Detecta: los equipos de seguridad informática deben anticiparse a las amenazas emergentes para poder aplicar las medidas preventivas adecuadas.
   
   Adoptar una plataforma avanzada de ciberseguridad permite analizar patrones de ataque en redes globales y detectar campañas dirigidas a sectores industriales específicos o a proveedores de sistemas de control. Esta información sobre amenazas podría llegar a su equipo de seguridad horas o días antes de que se produzca un ataque real. Tu plataforma de seguridad informática podría entonces bloquear proactivamente la infraestructura atacante, aplicar la revisión a los sistemas vulnerables o implementar controles compensatorios, todo antes de que los sistemas operativos estén en riesgo.
   
   Este enfoque supone un cambio fundamental, pasando de una seguridad reactiva a una protección operativa predictiva. La seguridad informática se convierte en un sistema de alerta temprana para las amenazas a la fiabilidad operativa.
   
   Responde: para responder a las amenazas en tiempo real es necesaria la automatización.
   
   Un servicio WAF que emplea aprendizaje automático puede identificar y bloquear amenazas de manera autónoma en tiempo real. la adopción de una solución de centro de operaciones de seguridad (SOC) como servicio será un complemento importante para el WAF, la protección contra DDoS y otras soluciones de seguridad. El servicio SOC puede responder rápidamente a los ataques, al tiempo que realiza análisis de las causa raíz, elabora informes detallados sobre los incidentes y ayuda a diseñar planes para futuras contramedidas.
   

3. Adopta un marco informado por el riesgo
   
   Muchos operadores de infraestructuras críticas se beneficiarán de seguir el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) para gestionar el ciberriesgo. El CSF está diseñado para ayudar a organizaciones de todos los tamaños a comprender, evaluar, priorizar y discutir mejor los riesgos de ciberseguridad. Es especialmente útil para gestionar entornos complejos, incluidos aquellos en los que convergen la informática y la tecnología operativa.
   
   Aunque el marco no recomienda soluciones específicas, puede ayudarte a identificar las capacidades de seguridad necesarias y las mejoras en los procesos. Puedes usar el marco para desarrollar una estrategia eficiente de seguridad informática para mantener operaciones ininterrumpidas.

Hacemos posible la convergencia de la informática y la tecnología operativa

Realmente, la cuestión no es si la seguridad informática debe proteger los sistemas de tecnología operativa. Es cuestión de si tu arquitectura de seguridad actual está lista para asumir su nuevo papel.

Cloudflare ofrece una gama completa de capacidades de ciberseguridad nativas de nube para abordar las amenazas clave que pueden causar interrupciones operativas a los operadores de infraestructuras críticas. Con los servicios de Cloudflare, las organizaciones pueden obtener información sobre amenazas procesable, bloquear automáticamente las amenazas, detener las estafas de phishing y establecer un modelo Zero Trust para prevenir el acceso no autorizado a la red. Una solución de SOC como servicio permite a las organizaciones delegar la supervisión, detección de amenazas y respuesta a incidentes en un equipo de expertos.

Estos y otros servicios pueden ayudarte a cumplir y superar las protecciones cibernéticas recomendadas en el Marco de Ciberseguridad del NIST. Con Cloudflare, puedes utilizar la seguridad informática de manera eficiente y eficaz para abordar los riesgos que provocan interrupciones operativas.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Más información sobre las prácticas recomendadas para los proyectos de modernización informática que pueden ayudarte a mejorar la seguridad y prevenir interrupciones operativas en el libro electrónico Una forma sencilla de optimizar la informática en los organismos federales.

Autor

Dan Kent — @danielkent1
Director técnico para el sector público, Cloudflare

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• El impacto de las interrupciones operativas para la infraestructura crítica

• Estrategia de 3 pasos para aplicar la seguridad informática a la tecnología operativa

• Las principales funciones de seguridad para proteger la tecnología operativa

Recursos relacionados

• La forma sencilla de lograr una informática eficiente

• Prioridades en materia de ciberseguridad de los gobiernos estatales y locales

• Reinventamos la ciberresiliencia