Los sistemas y servicios que soportan infraestructuras esenciales para el desarrollo de la sociedad y que garantizan el normal funcionamiento de los servicios prestados por los estados, es lo que conocemos por infraestructuras críticas. Por ello, existen sectores especialmente sensibles como el eléctrico, el agua, el gas, transportes, químico, comunicaciones, los sistemas financiero y sanitario, entre otros.

Por ejemplo, lo que en diciembre de 2016 fue un corte de luz en una población de Kiev (Ucrania), de unos 1,4 millones de habitantes, podría ser hoy algo aún más perjudicial para las personas. Mientras más dispositivos se conectan a la Internet de las Cosas (lavadoras, hornos, alarmas, etc.), la superficie de ataque aumenta considerablemente y esa comodidad que nos proporciona la tecnología abre un flanco importante a explotación de vulnerabilidades por parte de criminales. Aunque parezca lejano, Chile es un blanco perfecto debido a la aún baja inversión en Ciberseguridad (que, en la actualidad, equivale al 50% de lo invertido por países OCDE).

La OEA junto a Microsoft realizaron el primer reporte de “Protección a infraestructura crítica en Latinoamérica y el Caribe”, donde encuestaron a más de 500 dueños y operadores del sector en la Región. Del estudio se extrae que, entre 2016 y 2017, el 73% de las organizaciones y empresas ligadas a este tipo de infraestructuras recibieron ataques de terceros. Tan solo en España, los ataques a infraestructura crítica los dos primeros meses del 2018, duplicaron a todos los de 2017.

Por su parte, la empresa Kepler realizó un estudio el año 2018 concluyendo que los objetivos de un cibercriminal son: mayoritariamente obtener ilícitamente información de terceros (40%) y utilidades financieras directas (39%), pero que un preocupante 19% es realizado por activismo digital y un 2%, por ataques geopolíticos. En este 21%, un objetivo relevante es la infraestructura crítica. Plantas eléctricas, transporte público o gaseoductos son blancos preferidos por este tipo de criminales y activistas, producto de la baja inversión promedio en ciberseguridad (3 a 6% versus un deseable 10 a 13% de su presupuesto en TI) y por el revuelo que genera en la población la posible falla en la continuidad operativa de un país completo.

Si en Chile se produjese un evento de ese calibre y envergadura, afectaría a hospitales, medios de pago y otros servicios básicos como el agua potable.

Esta incomunicación ocasionaría un caos como el que generaría un desastre natural, con consecuencias en la población similares a lo ocurrido con el terremoto en Concepción de 2010.

El trabajo que se realiza en Chile

En nuestro país, desde mediados de 2018 se viene trabajando el proyecto que comprende la tipificación de los delitos en relación al Convenio de Budapest, el primer tratado internacional en materia de ciberseguridad. Aunque entró en vigencia en 2004, Chile lo ratificó en 2017 y ahora es el marco para lo que se viene.

Ciertos aspectos de vulnerabilidades a la infraestructura crítica son: compromiso de información con señales de interferencia e interceptación que comprometen espionaje remoto; escucha secreta; robo de medios, documentos o equipos; recuperación de medios reciclados o descartados; divulgación; datos de fuentes poco fiables; manipulación con hardware y software, y detección de posición.

Están también las fallas técnicas con saturación de sistemas críticos de información; mal funcionamiento del software; brecha/fisura de mantenimiento del sistema de información; las acciones no autorizadas con usos no autorizados del equipo; copia fraudulenta de software; uso de software falsificado o copiado; corrupción de datos y procesamiento ilegal de datos.

Destaca, además, el compromiso de funciones: con error de uso, abuso de derechos, falsificación de derechos, negación de acciones, brecha de disponibilidad de personal. Y las fuentes de amenazas humanas: hackers, delitos informáticos, terrorismo y espionaje industrial.

Por su parte, los resguardos para lo descrito anteriormente, se implementarían a través del Sistema Nacional de Ciberseguridad, el que tendría la siguiente estructura: Un coordinador del Sistema Nacional de Ciberseguridad, que dependerá del Ministerio del Interior, y que articulará toda la red dividida en tres grandes áreas: el Centro de Incidencias de Defensa, que corresponde al Ministerio de Defensa; el Centro Nacional de Incidencias Informáticas, que corresponde al Ministerio del Interior; y el Centro de Incidencias Industriales de Sectores Estratégicos, que dependerá del Ministerio de Economía; este último se preocupará de que la empresa privada cumpla con los estándares de seguridad definidos; Interior con el sector público, y Defensa con las Fuerzas Armadas.

Ningún país, compañía o persona puede estar seguro de que nunca va a sufrir un ataque que ponga en peligro su ciberseguridad, pero lo que sí debe hacer es tomar las medidas adecuadas para reducir las probabilidades y evitar así los daños, siempre que sea posible. Si, además, tenemos en cuenta el impacto que puede tener un ciberataque contra la infraestructura crítica de un país, cualquier mejora en la estrategia de ciberseguridad es fundamental.

Importante es la acción y prevención privada, comprendiendo sistemas de seguridad que incluyan, pero no se limiten, a estudiar el comportamiento de las entidad y flujos de datos, con capacidad de aprender (IA), para poder encontrar desviaciones en los sistemas que indiquen o hagan sospechar de un posible ataque, como también la ayuda estatal para defender, coordinar, robustecer y restablecer frente a ataques que pueden ser incluso financiados por gobiernos extranjeros.