Академический Документы
Профессиональный Документы
Культура Документы
2.9 ¿Por qué ocupamos políticas claras para la Protección de la Infraestructura Crítica
de la Información?.................................................................................................................................18
3.2 Motivaciones............................................................................................................................23
2
Unidad 1: Antecedentes de la Protección de la Infraestructura Crítica.
También en la Edad Media se protegía la infraestructura que era considerada como crítica
para el bienestar y continuidad de una ciudad o reinado. En España existe un castillo que data de
la época medieval (Siglo XIII) y que se llama Castillo de Moya, ubicado en la provincia de Cuenca,
cerca de Valencia, tuvo su auge durante el Renacimiento gracias al marquesado de Moya, hoy es
propiedad de la Duquesa de Alba.
Si vemos la anterior fotografía, como es típico en todo castillo de esa época existe una mu-
ralla perimetral, pero el Castillo de Moya tiene una particularidad, y es que esa muralla se extiende
al pie de la montaña en forma de V. Justamente esa muralla (La Coracha) protegía al Torreón de
San Roque (Puerto Seco) y la Torre del Agua, un manantial ubicado al pie de la montaña y que
abastecía del preciado líquido a la población.
4
Evidentemente en aquel momento ese manantial era considerado como una infraestruc-
tura crítica o esencial, pues si alguien conseguía degradar o alterar la calidad del agua o destruir
directamente ese manantial los pobladores del Castillo de Moya la podrían pasar muy mal.
Para quienes deseen explorar más a fondo Villa de Moya, los invitamos a ver este video.
Pese a lo anterior, expertos sostienen que la génesis y establecimiento del concepto de protec-
ción a la infraestructura crítica (CIP por sus siglas en inglés) se dan como resultado de dos factores
ligados entre sí:
5
sean más interdependientes. Estas tecnologías son en general inseguras. La seguridad nunca ha
sido un conductor del diseño del sistema, por lo que las vulnerabilidades de las computadoras y
redes ahora son muy propensas, conduciendo a la aparición de infraestructuras con inestabili-
dades internas, fallas en puntos críticos y extensa interdependencia. Al mismo tiempo, la difusión
de las TIC fue (y es) visto para hacer que sea mucho más fácil atacar asimétricamente, por lo que
los ejércitos militares y los sistemas armamentísticos especializados ya no son indispensables para
generar un ataque con la intención de causar terror y consecuencias extremas a otra nación. Los
límites geográficos, ya de por sí bastante porosos en el mundo real, no existente en el ciberespa-
cio.
6
Unidad 2: Definición de la Protección de las Infraestructuras Críticas.
El Centro para la Protección de la Infraestructura Nacional (CPNI, por sus siglas en inglés)
se centra en suministrar asesoría y asistencia a aquellas organizaciones que son responsables
de proteger la infraestructura crítica nacional. La responsabilidad para la protección de la in-
fraestructura crítica nacional, específicamente redes, información y sistemas de tecnología de la
información, es compartida con el nuevo Centro Nacional de Ciberseguridad (NCSC por sus siglas
en inglés). El CPNI y NCSC trabajan conjuntamente para dar asesoría integral y que se tomen en
consideración todos los aspectos de la seguridad preventiva.
7
El gobierno de Canadá se refiere a la infraestructura crítica como los procesos, sistemas,
instalaciones, tecnologías, redes, activos y servicios esenciales para la salud, seguridad o bienestar
económico de los canadienses, y el funcionamiento efectivo de su gobierno. La infraestructura
crítica puede ser autónoma o estar interconectada o interdependiente dentro o entre las provin-
cias, territorios y fronteras nacionales. La disrupción de la infraestructura crítica podría resultar
en una catastrófica pérdida de vidas, efectos económicos adversos y un importante daño a la con-
fianza pública. La Estrategia Nacional y el Plan de Acción para la Infraestructura Crítica establece
un enfoque basado en riesgos para fortalecer la resiliencia de los activos y sistemas vitales, tales
como la distribución de alimentos, las redes eléctricas, transporte, comunicaciones y sistemas
públicos de seguridad.
La Unión Europea define a la infraestructura crítica como un activo o sistema esencial para
el mantenimiento de las funciones vitales de la sociedad. El daño a la infraestructura crítica, su
destrucción o disrupción por parte de desastres naturales, terrorismo, actividades criminales o
comportamientos maliciosos, podrían tener un impacto negativo significativo para la seguridad de
la Unión Europea y el bienestar de sus ciudadanos. Reducir las vulnerabilidades de la infraestruc-
tura crítica e incrementar su resiliencia es uno de los principales objetivos de la Unión Europea.
Un nivel adecuado de protección debe asegurarse y que los efectos negativos de las disrupciones
en la sociedad y los ciudadanos deben limitarse tanto como sea posible.
8
inistros básicos y los sistemas de comunicación en que confiamos para comunicarnos con nuestra
familia y amigos. En general, existen 16 sectores de infraestructura crítica que están compuestos
por activos, redes y sistemas, ya sea físicos o virtuales, y que son de vital importancia para la na-
ción, por lo que su afectación o destrucción podría generar un efecto debilitante en perjuicios de
la seguridad, económica nacional, salud pública, o la combinación de ellos.
9
Ejemplos de infraestructuras críticas:
En resumen, las infraestructuras críticas son aquellas que son necesarias para el funcio-
namiento normal de los servicios básicos y sistemas de producción de cualquier sociedad. De tal
manera que cualquier interrupción no deseada, ya sea ocasionada por causas naturales o inci-
dentes físicos, técnicos o cibernéticos, tendrían graves consecuencias en los flujos de suministros
vitales o en el funcionamiento de los servicios esenciales, aparte de una fuente de perturbaciones
graves en la seguridad nacional.
10
Los diez riesgos globales en términos de probabilidad e impacto
Los top 10 pricipales riesgos Los top 10 pricipales riesgos
mundiales en términos de mundiales en términos de
Probabilidad Impacto
1 1
Actualmente, los estados modernos se enfrentan a una multitud de desafíos y riesgos que
afectan la seguridad nacional. Estos riesgos que muchos provienen de la globalización, la inmi-
gración ilegal, el terrorismo internacional, la proliferación de armas de destrucción masiva, el cam-
bio climático, el crimen organizado, e incluso de los riesgos tecnológicos, donde el propio Foro
Económico Mundial en su reporte anual de riesgos globales contempla los riesgos a las infrae-
structuras críticas por el impacto que podrían generar y por la gran posibilidad de que realmente
sucedan.
11
Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las infrae-
structuras, expuestas a una serie de amenazas, cuya protección se hace imprescindible, por un
lado, y catalogarlas, por otro, a los fines de diseñar un plan con medidas eficaces de prevención y
protección contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la segu-
ridad física como en el de la seguridad cibernética.
Varias naciones han definido su CII. Algunas definiciones por ejemplo de CII de todo el
mundo son: “Infraestructura Cibernética/TIC la infraestructura cibernética, que es esencial para
servicios vitales para la seguridad pública, la estabilidad económica, la seguridad nacional, la es-
tabilidad internacional y la sostenibilidad y restauración del ciberespacio crítico” [Unión Africana],
“El componente TIC de Infraestructura Crítica se conoce como Infraestructura de Información
Crítica (CII)” [Victoria, Australia], “Las Infraestructuras Crítica de Información son el subconjunto
de los activos de información que afectan directamente al logro y la continuidad de la misión
estatal y la seguridad de la sociedad” [Brasil], “La Infraestructura Crítica de la Información (CII)
puede referirse a cualquier sistema de TI que apoye activos y servicios clave dentro de la Infrae-
structura Nacional” [Reino Unido].1
El Global Forum on Cyber Expertise (GFCE por sus siglas en inglés) basado en las defi-
niciones planteadas a nivel nacional formuló su propia definición para reflejar la necesidad de
considerar tanto las TIC como la CI, como un sector independiente y que también toca varios
sectores de la CI debido al uso de la misma tecnología y, por lo tanto, expuestos a los mismos
riesgos en los procesos más críticos del sector de CI. Así que la CII son aquellas infraestructuras
de la información y la comunicación que se encuentran interconectadas y que son esenciales para
el mantenimiento de las funciones vitales de la sociedad (salud, seguridad, bienestar económico y
social de las personas) – y que su disrupción o interrupción, o destrucción podrían generar serias
consecuencias.
También se dice que la CII son servicios de comunicaciones e información cuya disponib-
ilidad, fiabilidad y resistencia son esenciales para el funcionamiento de una economía moderna,
seguridad y otros valores sociales esenciales, y que han adquirido gran importancia.
Debemos reconocer que es un concepto que todavía se encuentra en desarrollo y que po-
dría dársele diferentes enfoques o significados según quien lo mire. Al menos lo anterior nos da
mayor claridad para formarnos una idea del concepto de CII.
12
Protección de la Infraestructura Crítica de la Información al día de hoy
Red de
Telecomunicaciones
A nivel nacional, la República Checa define a la CIIP como una subcategoría de la CIP. La
CIIP se concentra en la protección de sistemas y activos, que incluyen componentes tales como
telecomunicaciones, computadoras, programas informativos, Internet, fibra óptica, entre otros.
computadoras y redes interconectadas, y los servicios que ellas suministran.
En Kosovo se refieren al programa de CIIP como las actividades y programas de los propi-
etarios, operadores, fabricantes, usuarios y los reguladores de la CI atinentes a conservar el fun-
cionamiento de las CII en caso de interrupciones, fallas, ataques o accidentes en un nivel mínimo
de servicio y para minimizar el tiempo de recuperación y los daños.
13
2.4 Evolución de la Problemática de la Protección de las Infraestructuras
Críticas de la Información
Estados Unidos fue el primer país en abordar las nuevas vulnerabilidades a que están
expuestas las infraestructuras vitales mediante un amplio esfuerzo que requirió mucha coordi-
nación. Los nuevos riesgos en sectores determinados, como el financiero, bancario, energético,
entre otros. fueron identificados por la Comisión Presidencial sobre la Protección a la Infraestruc-
tura Crítica (PCCIP por sus siglas en inglés). En 1997 la PCCIP concluyó que Estados Unidos era
muy dependiente de esas infraestructuras, que el gobierno había visualizado a través de los lentes
de seguridad nacional, con motivo de las serias consecuencias que podrían ocasionar a la nación
en caso de que esos servicios esenciales no estuvieran disponibles por un lapso de tiempo signif-
icativo.
De acuerdo a este enfoque, las infraestructuras críticas deberían incluir servicios, redes y
activos materiales/tangibles y tecnologías de la información, e instalaciones que, en caso de in-
terrupciones o destrucción, podrían tener un impacto muy serio en la salud, seguridad o bienestar
económico de los ciudadanos y funcionamiento eficiente del gobierno de un país. Dichas infrae-
structuras podrían ser dañadas por medio de amenazas estructurales, así como por ataques in-
tencionales realizados por actores maliciosos. La primera categoría de riesgo podría, por ejemplo,
incluir catástrofes naturales, catástrofes inducidas por humanos (por ejemplo: fallas en represas,
accidentes en reactores nucleares, entre otros.), carencia de personal con motivo de huelgas o ep-
idemias, defectos organizacionales debido a fallas técnicas o de personal, error humano, conmo-
ciones, dependencias y escasez de suministros. En la segunda categoría, el espectro de atacantes
es mucho más extenso, los cuales van de jóvenes sin oficio, empleados descontentos, crimen
organizado, fanáticos religiosos o políticos, células terroristas y estados hostiles.
Igualmente hay un amplio rango de opciones de ataque, incluyendo los ataques de hack-
ers o piratas informáticos, así como destrucción física de instalaciones militares o civiles. La idea
de proteger la infraestructura crítica de forma temprana siempre fue evitar los incidentes que
podrían generar los riesgos desconocidos del ciberespacio. La infraestructura global de la infor-
mación apareció para facilitar los ataques anónimos, los cuales se podían ejecutar desde cualquier
parte del mundo y al mismo tiempo servían como un recurso de herramientas de hackers para
todo el mundo. Partiendo de esta percepción de amenazas, una política de protección de la in-
fraestructura crítica se cristalizó bajo el mandato del Presidente Bill Clinton, la cual estuvo ampli-
amente dirigida a la seguridad de la información. De muchas formas, varios países siguieron esta
iniciativa con un enfoque similar. Sin embargo, con los ataques del 9/11 dio un notable retorno
del concepto clásico de amenaza al debate de protección de la infraestructura crítica, el cual se ha
mantenido y diseminado alrededor del mundo.
14
2.5 Distinción entre la Protección de la Infraestructura Crítica (CIP) y
Protección de la Infraestructura Crítica de la Información (CIIP)
A casi dos décadas del surgimiento del debate sobre la protección de la infraestructura
crítica, aún hay poca claridad con respecto a la distinción entre los términos de CIP y CIIP. El
término CIP es frecuentemente usado aún y cuando el documento es referido únicamente a te-
mas de tecnología de la información. La razón de lo anterior es que dichos términos no pueden y
no deberían ser discutidos como conceptos totalmente separados, pero tampoco pueden tratarse
como sinónimos.
Esto implica que las CI son más susceptibles a una variedad mucho más amplia de riesgos
y amenazas que la CII. Como consecuencia las políticas y regulaciones de la CIP abordan un con-
junto de riesgos mucho más amplio e integral, incluyendo los riesgos relacionados a la CII, pero
que van más allá de estos últimos. Sin embargo, un enfoque exclusivo sobre ataques cibernéticos
que ignore la importancia tradicional de las amenazas físicas es tan peligroso como olvidarse de la
dimensión virtual. Realmente lo que se ocupa es un manejo sensible de ambos conceptos.
Sin embargo, hay al menos una característica para distinguir ambos conceptos: mientras
que la CIP abarca todos los sectores críticos de la infraestructura de una nación, la CIIP es úni-
camente una subcategoría del esfuerzo de protección integral de la infraestructura crítica de la
información. La CII, en gran medida, consiste en el sector de la información y las telecomuni-
caciones, pero no es totalmente congruente, e incluye componentes, tales como telecomuni-
caciones, computadoras, programas informáticos, Internet, satélites, fibra óptica, entre otros. El
término CII se utiliza para la totalidad de computadoras y redes interconectadas y sus flujos de
información crítica.
Debido a su función de enlace con otras infraestructuras críticas, éstas pueden ser blancos u
objetivos importantes por parte de los actores maliciosos. Podríamos concluir que las TIC son
consideradas la columna vertebral de las infraestructuras críticas, dado que el intercambio ininter-
rumpido de datos es esencial para la operación de las infraestructuras en general y de los servicios
que ellas proveen. Los sistemas centralizados de Supervisión, Control y Adquisición de Datos
(SCADA) son ampliamente utilizados para monitorear y controlar las infraestructuras de forma
remota. Sin embargo, los sistemas basados en SCADA no son totalmente seguros: los sistemas y
redes de una sola clausura utilizan cada vez más productos disponibles en el mercado y equipos
de red basados en IP, y requieren conexión de Internet, lo cual abre la puerta a los atacantes tanto
de afuera como los internos.
15
2.6 Distinción entre Protección de la Infraestructura Crítica y
Ciberseguridad Industrial.
Los términos CIP y Ciberseguridad Industrial, aunque en muchas ocasiones son utilizados
como sinónimos, poseen diferencias significativas. Como hemos visto, el término CI es empleado
por los gobiernos para describir los activos esenciales que permiten el buen funcionamiento de la
sociedad y la economía.
Con el fin de cubrir esta necesidad, los gobiernos han desarrollado regulaciones que esta-
blecen las medidas de seguridad que los propietarios y operadores de las infraestructuras críticas
deben implantar para afirmar su seguridad. Por otro lado, estas regulaciones disponen cuáles son
los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican las
diferencias sobre cómo abordar la protección en los distintos sectores, delegando esa tarea en
estándares internacionalmente reconocidos y/o las famosas guías de buenas prácticas específicas
de cada sector.
16
Recomendamos ver el presente video.
2.7 ¿Por qué es importante la Protección de la Infraestructura Crítica de la
Información?
En muchos países el tema de la infraestructura crítica de la información está atrayendo
la atención de los formuladores de políticas públicas, ya que está siendo considerada como una
parte integral de las estrategias nacionales de sostenibilidad en razón de las interrupciones a gran
escala de las infraestructuras críticas, generando efectos cascada e impactado parte o la totalidad
de la población y las funciones y servicios vitales de la sociedad.
Además, darle mayor atención a la CIIP permite mejorar las condiciones para hacer ne-
gocios en países en desarrollo. Ciertamente, en lo que respecta a la comunidad empresarial, el
prolongado descuido de la infraestructura crítica y la necesidad de su desarrollo está posiciona-
do en cuarto lugar entre las principales preocupaciones en mercados emergentes y economías
en desarrollo (WEF 2015). Desafortunadamente, y de conformidad con los descubrimientos del
Foro Económico Mundial, en la última década muy poco progreso se ha alcanzado en el tema de
abordar los riesgos asociados a las fallas o interrupciones de las infraestructuras críticas.
Existen DOS TENDENCIAS que tienen un impacto considerable en los enfoques de la CIIP
en América Latina.
1. Urbanización
2. Digitalización de la Infraestructura
17
La alta concentración de la población en centros urbanos implica una dependencia mucho
más grande en las infraestructuras críticas y graves consecuencias en caso de disrupción o inter-
rupción.
Existe un número importante de razones por las cuales CIIP merece atención por parte
de los gobiernos. No solo con elementos de CII que penetran en las infraestructuras críticas
tradicionales, sino que también la CII podría ser vista como una infraestructura crítica autónoma
o independiente. Los ejemplos incluyen elementos de las TIC y sistemas TIC, tales como conec-
tividad a Internet y redes de comunicación telefónica. La complejidad de la CIIP deriva de su de-
scentralización en términos de ubicación geográfica y propiedad de la infraestructura. De todos
los sectores tradicionales de infraestructura crítica, TIC es quizá uno de los que posee y atrae
mayor participación de capital privado, incluyendo inversión extranjera directa significativa. Por
lo tanto, la CIIP depende mucho de alianzas público-privadas y mecanismos de intercambio de
información. La región de América Latina no es la excepción, las inversiones en TIC se espera que
se incrementen de forma importante y mejoren totalmente los mercados TIC en la región.
La disrupción de la CII puede ser causada por actos realizados por el ser humano, fallas
tecnicas y desastres de la misma forma que sucede con la CI. Los beneficios de la CII (mayor
conectividad, monitoreo remoto, escalabilidad, fiabilidad, reducción de costos) no están siempre
balanceados con los eventuales efectos adversos del malfuncionamiento de la CII.
18
La CII de una nación podría convertirse tanto en blanco de códigos maliciosos o malwares, hack-
ers o piratas informaticos, hackactivistas y operaciones de inteligencia adversas de otros estados,
como en un medio para atacar la CII de otras naciones. Una CII comprometida puede poner en
peligro la seguridad nacional y estabilidad, crecimiento económico, prosperidad de los ciudadanos
y la vida diaria, e incluso podría generar repercusiones negativas en otras naciones debido a la
interconectividad de las CII. La necesidad de una estrategia efectiva, politicas y actividades para
la CIIP son, por lo tanto, de gran importancia para los países.
1. Preocupaciones de seguridad.
2. Planes de Desarrollo a largo plazo.
3. Consideraciones financieras.
Por esos tres motivos, los países están tratando de identificar y proteger sus activos críti-
cos en contra de una variedad de amenazas. El punto de partida es una política y marco legal
coherente.
Seguridad
La sociedad, sector empresarial, y en general, todos los sectores dependen del buen fun-
cionamiento de la infraestructura crítica. Una tarea importante de la política de seguridad pre-
ventiva es salvaguardar las instalaciones de mayor importancia para la comunidad, ya que en
caso de falla o interrupción podrían causar escases de suministros, alteraciones al orden público
o consecuencias dramáticas. Los ataques terroristas del 9/11 y los acontecidos en Madrid y Lon-
dres son fieles ejemplos de los riesgos y vulnerabilidades a que están expuestos los ciudadanos.
Sin embargo, las infraestructuras están siendo amenazadas no solo por ataques terroristas, sino
también por desastres naturales, como el terremoto y tsunami en Japón en el 2011 que ocasionó
un colapso nuclear (nivel 7) en la Planta Nuclear de Fukushima Daiichi, así como otro tipo de ac-
cidentes,averías serias y errores en los sistemas.
19
Desarrollo
Más allá de la seguridad, las políticas de desarrollo a largo plazo dependen significativa-
mente de la integridad de las infraestructuras críticas. No sorpresivamente, el World Develop-
ment Report 2014 del Banco Mundial estuvo dedicado a la gestión de riesgos. En dicho reporte
se establece que un enfoque basado en riesgos para el planeamiento de las políticas podría ser
una herramienta poderosa para el desarrollo, así como para las infraestructuras críticas, ya que la
resiliencia y fortaleza de las infraestructuras son precondiciones sumamente importantes para el
avance nacional. Aunque el reporte no fue dedicado al análisis de riesgos específicos, al menos
dio un consejo muy poderoso sobre los marcos de gestión de riesgos que podrían ser usados por
los gobiernos, incluso para fines de la CIIP.
Financiero
Las pérdidas financieras debido a las fallas en la infraestructura crítica son significativas e
impactan tanto al sector público como al sector privado. Sin una política clara de cómo manejar
la CIIP, los costos operativos de un país podrían incrementarse significativamente. Por ejemplo,
en septiembre del 2003 hubo un apagón eléctrico en Italia que afectó a todo el país, suspendi-
endo el servicio eléctrico a unos 45 millones de personas. El servicio estuvo suspendido de 1.5 a
18 horas en diferentes regiones del país. El análisis económico del impacto negativo de la avería
de una infraestructura crítica (sector eléctrico) ocasionó un efecto cascada afectando otros sec-
tores e industrias afectando un total de 56 industrias a nivel nacional y que generó una pérdida
económica de 81.79 millones de euros en 11 industrias de infraestructura crítica (aquellas con
índices de interdependencia mucho más altos) y 123.17 millones de euros para las 56 industrias
combinadas.
Por otro lado, se estima que el costo de un apagón de una duración de 24 horas generado
por ataque cibernético a una infraestructura crítica podría generar pérdidas económicas cercanas
a US$6 millones por día. El costo estimado de los ataques cibernéticos fue calculado en un rango
de USD$1.75 billones anuales, pero esa estimación no toma en consideración los costos de opor-
tunidad de los negocios que experimentan la pérdida del servicio. Según la Organización para
la Cooperación y el Desarrollo Económicos (OCDE) en un reporte sobre programas informáticos
maliciosos, se estima que la pérdida anual para los negocios en Estados Unidos causados por pro-
gramas maliciosos ronda los USD$67.2 billones (OCDE 2008). De tal forma que la CIIP debería
ser el asunto de interés nacional más importante.
20
Unidad 3: Actores, Riesgos y Amenazas que afecta la Infraestructuras Críticas de
la Información
Recomendamos ver este video introductorio sobre “como los ataques cibernéticos
amenazan con destruir nuestra infraestructura.”
21
3.1 Actores
Consideramos conveniente que para entender las amenazas cibernéticas también debe-
mos identificar quienes son los actores detrás de este tipo de ataques y cuáles son sus inten-
ciones.
Dentro de los perfiles de los atacantes cibernéticos que ponen en riesgo la seguridad na-
cional encontramos:
Agencias Gubernamentales/Estados:
Son organizaciones patrocinadas por el gobierno de un país, por ejemplo, los hackers del
gobierno chino y la Agencia Nacional de Seguridad (NSA) de los Estados Unidos. Tienen como
propósito obtener información clasificada o sensible sin la autorización del propietario de la mis-
ma, el cual podría ser otro Estado, organizaciones públicas o privadas e incluso individuos. La
principal diferencia entre los actores patrocinados por un Estado y los cibercriminales es que los
primeros pueden invertir en programas de investigación y desarrollo para lograr su objetivo sin
pensar en recuperar la inversión o generar algún tipo de beneficio económico. Este grupo elite de
actores tienen una agenda política y están directamente relacionados a agencias de inteligencia o
militares, y poseen amplios conocimientos técnicos. Normalmente este tipo de actores actúan de
forma encubierta y nunca se atribuyen la autoría de un ataque. Este tipo de espionaje cibernético
es considerado una actividad necesaria tanto para medir fuerzas en la economía mundial como
para monitorear las capacidades cibernéticas de los adversarios, lo cual es esencial para la segu-
ridad nacional de los países.
Ciberterroristas:
Son simplemente terroristas que usan de forma intencional la informática, redes y el Internet para
perpetrar sus ataques y generar terror colectivo. Sus motivos podrían ser políticos o ideológicos,
pues sigue siendo una forma de terrorismo. Eugene Kaspersky, fundador de Kaspersky Lab, sos-
tiene que el término “ciberterrorismo” es más atinado que el término “ciberguerra”, pues en los
ataques de hoy día no se tiene una pista quien los realizó o cuándo van a atacar nuevamente.
Expertos sostienen que el terror cibernético es uno de los peligros más alarmantes de nuestra
época.
Cibercrimen Organizado:
Crimen organizado en el ciberespacio puede ser visto de la misma manera que su equiva-
lente en el mundo real. Sin embargo, el anonimato y el mundo sin fronteras del ciberespacio per-
mite que individuos en diferentes partes del mundo se asocien y formen redes criminales para tra-
bajar con un mismo objetivo. Estos grupos no solo se dedican al pirateo o estafas cibernéticas o
a ataques de denegación de servicios esenciales, sino también se dedican al robo de identidades,
extorsión, acoso, pornografía infantil y trata de personas. Aunque este tipo de agrupaciones están
dispersas por todo el mundo, Europa del este, y el oeste de África son zonas geográficas recono-
cidas por tener altos índices de organizaciones criminales.
22
Ciberactivistas:
Ciberactivismo es el uso de los recursos del ciberespacio de manera legal o ilegal (quizá más
común) como un medio de protesta general o para promover una determinada ideología o agenda
política. Ciberactivismo también puede ser catalogado como una forma de alcanzar propósitos u
objetivos políticos, militares o comerciales solapados. Las herramientas usadas por los ciberactiv-
istas incluyen alteraciones a sitios web, redireccionamiento de recursos en el Internet, ataques de
denegación de servicio, robo de información, burlas a sitios web, protestas virtuales y una varie-
dad de sabotajes cibernéticos. Uno de los grupos de ciberactivistas más famoso es Anonymous,
el cual está en contra de cualquier tipo de injusticia, y ha perpetrado ataques en contra de ISIS e
incluso han atacado el Pentágono, Visa, Paypal y MasterCard, éstas últimas por negarse a pagarle
a Wikileaks. Anonymous tiene seguidores en todo el mundo, incluso en nuestra región.
Hackers:
Son personas con un amplio conocimiento y habilidades en informática. Los hackers
podrían tener una gran variedad de motivos o incentivos, tales como la curiosidad, beneficios
económicos, agendas políticas, atracción a cambios tecnológicos o meramente ocio. Aunque el
término “hacker” actualmente denota cualquier tipo de actividad informática ilícita, originalmente
ese término era usado para describir a personas con amplios conocimientos y aptitudes técnicas,
pues el término “cracker” era usado para describir a los “hackers” pero con intenciones maliciosas.
Actualmente, éstos se clasifican en hacker de sombrero negro (black-hat hackers): que son aquel-
los que tienen intenciones maliciosas y sombrero blanco (white-hat hackers o ethical hackers):
que son los que descubren debilidades de los sistemas informáticos o redes con el propósito de
mejorarlos. Usualmente estos últimos son contratados por empresas a nivel mundial con el fin de
detectar las vulnerabilidades de sistemas, programas, redes y corregir las fallas antes de que un
black-hat hacker las descubra y ponga en riesgo a la organización. También se habla de “patriot
hackers”, quienes apoyan las acciones de su gobierno en conflictos o guerras y por ende, realizan
acciones disruptivas y dirigidas a los países enemigos. La mayoría de hackers en China podrían
encasillarse en esta categoría. Rusia también es casa de este tipo de hackers, los cuales estuvieron
involucrados en los ataques a Estonia en el año 2007, a Georgia en el año 2008, entre otros
ataques.
Infiltrados o CyberInsiders:
Son personas que tienen acceso legítimo a computadoras, programas y redes de una de-
terminada organización pública o privada, pero que están dispuestos a traicionar a su empleador
a cambio de un beneficio económico o incluso motivados por otras razones. Puede que hayan
llegado a la organización con la única intención de infiltrarse para perpetrar los actos ilícitos o
que posteriormente hayan surgido situaciones que cambiaran sus intenciones, por ejemplo, Ed-
ward Snowden. Este tipo de actores podrían instalar bombas lógicas o dejar accesos abiertos en
programas que ellos ayudaron a desarrollar o robar información sensible (secretos corporativos
o de estado) que posteriormente puede ser vendida a competidores o a agencias de inteligencia
de otros países. Este tipo de ataque son muy difíciles de mitigar, pues el infiltrado cuenta con las
credenciales o autorizaciones para ingresar legítimamente a las computadoras, sistemas o redes.
23
Ciudadanos Ordinarios: Uno de los actores más comunes en el ciberespacio son los ciudadanos
ordinarios, los cuales usan el Internet con propósitos legítimos, tales como búsquedas en la web
o acceder a servicios en línea. Sin embargo, cuando se trata de interacciones cibernéticas los ci-
udadanos ordinarios podrían convertirse en actores pasivos, por ejemplo, un “zombified victim”
de un botnet, por ejemplo, un ejército de computadoras conectadas a internet cuyas defensas
de seguridad han sido violentadas y cedidas a actores maliciosos o quienes conscientes y volun-
tariamente dejan a actores maliciosos manejar sus recursos y equipos en acciones ilícitas en el
ciberespacio.
3.2 Motivaciones
Con respecto a las intenciones de los actores de amenazas cibernéticas, podemos rescatar
que existen al menos 3 tipos:
• Motivaciones políticas: entre ellas la destrucción, interrupción o toma de control de los
blancos u objetivos del ataque, espionaje y hacer declaraciones políticas, protestas o
acciones de represalia.
• Motivaciones económicas: el robo de propiedad intelectual y activos de alto valor
económico, por ejemplo, información de tarjetas de crédito, fraude, espionaje, sabotaje
industrial y chantaje.
• Motivaciones socio-culturales: ataques con propósitos filosóficos, teológicos, políticos
e incluso humanitarios. También incluye aquellos ejecutados por diversión, curiosidad,
e impulsados por la publicidad y satisfacción personal.
Recomendamos este video introductorio sobre que se entiende por virus, troyano, gusa-
no y otros códigos maliciosos.
24
La valoración de los riesgos, amenazas cibernéticas, actuales y futuras, es tema a tener en
cuenta para definir y establecer las estrategias, defensas y capacidades de seguridad cibernética.
En ese sentido, es preciso tener presente la prevención, detección, respuesta, mitigación y recu-
peración junto con la cooperación internacional. Hace más de quince años, los riesgos del ciber-
espacio y los retos a la seguridad sólo se discutían en pequeños grupos de expertos técnicos; sin
embargo, desde los ataques del 9/11 se hizo evidente que el mundo cibernético implica serias
vulnerabilidades para todo el mundo.
El ciberespionaje, cibercrimen, ciberterrorismo y cibersabotaje a las infraestructuras críti-
cas son quizá las mayores preocupaciones de los Estados a nivel mundial. Dos acontecimientos
han servido para aumentar la concienciación mundial con respecto a este tema: La operación
“Octubre Rojo” y el descubrimiento del APT1. Octubre Rojo (Rocra, por sus siglas en inglés) fue
una campaña de ciberespionaje a gran escala en la que un complejo troyano tomó control de la
información de empresas, organismos gubernamentales y agencias diplomáticas de casi 40 países.
APT1 es una agrupación china dedicada al espionaje internacional desde el 2006. Es probable que
este grupo de ciberdelincuentes cuente con el auspicio del gobierno chino.
A continuación, abordaremos algunas de las amenazas más importantes de los últimos
tiempos, los cuales han generado un impacto importante en la seguridad nacional de los países
que fueron víctimas de estos ataques:
• Ransomware: Es un código malicioso que está diseñado para secuestrar datos, una for-
ma de explotación en la cual el atacante encripta los datos de la víctima y exige un pago
o rescate por la clave de descifrado. Se ha convertido en una de las amenazas de mayor
crecimiento a nivel global y está afectando a todo tipo de organizaciones, públicas y
privadas. Se propaga a través de archivos adjunto de correo electrónico, programas
infectados y sitios web comprometidos. También se le conoce como criptovirus, crip-
totroyano o criptogusano. Según un informe de Kaspersky Lab, el ransomware se in-
crementó en un 60% en la región y los ataques se manifestaron vía correo electrónico.
• Stuxnet: Es un programa de software malicioso del tipo troyano muy avanzado, descu-
bierto en el 2010 y que se aprovecha de las vulnerabilidades de los sistemas SCADA
(Supervisory Control and Data Acquisition, por sus siglas en inglés), los cuales son uti-
lizados en infraestructuras críticas, tales como el control de centrales o plantas eléctri-
cas, centrales nucleares, plataformas petroleras, entre otros, con el objeto de causarles
algún daño importante. Stuxnet utiliza técnicas de rootkit para instalarse en el sistema
operativo, queda oculto en el equipo hasta que el autor decide activarlo y generar
el daño. Los perpetradores no utilizan Internet para infectar los sistemas, se supone
que este software malicioso se introduce a través de memorias portátiles tipo USB y
luego se multiplica pasando de un computador a otro, dañando tanto sitios web como
sistemas operativos. Según Eugene Kaspersky, este software malicioso es autoría de
algunos estados, ya que sólo éstos tienen los recursos para montar una operación se-
mejante.
25
• Duqu: Se trata de un gusano informático altamente sofisticado que tiene similitudes
con Stuxnet, pero con un objetivo totalmente diferente. El propósito del Duqu es re-
alizar acciones de ciberespionaje, recopilando información de inteligencia y de activos
de entidades con miras a un ataque futuro. Duqu fue detectado después de varios
ataques a Hungría, Austria, Indonesia, Reino Unido, Sudán e Irán, también hay pruebas
de que este programa malicioso fue usado para espiar el programa nuclear de Irán. Se
cree que fue desarrollado por Estados Unidos e Israel. Duqu 2.0 es aún más malo y
más depurado que su versión anterior y tiene módulos de recolección de inteligencia
dirigidas a los operadores de telecomunicaciones de todo el mundo. Sin duda es una
plataforma de ciberespionaje sofisticado.
• Flame: Es un programa malicioso que fue descubierto en el 2012 por expertos de
Kaspersky Lab durante una investigación impulsada por la UIT. A la fecha sigue siendo
una de las campañas de ciberespionajes más complejas, ya que es capaz de robar infor-
mación sensible de las computadoras del usuario, así como contenidos de la pantalla
del equipo, información sobre sistemas específicos, archivos almacenados, datos de
contacto y conversaciones, para posteriormente enviarlos a una red de servidores ubi-
cados en diferentes países. Los primeros objetivos fueron Cisjordania, Palestina, Hun-
gría, Irán y Líbano, luego se extendió a Rusia, Austria, Hong Kong y los Emiratos Árabes
Unidos.
• Botnets: Básicamente son redes de computadoras zombis. Se está utilizando para enviar
correos basura o spam de forma masiva y ataques de espionaje en contra de empresas.
Un botnet se crea infectando computadoras sin que sus propietarios o usuarios lo
conozcan. Cada máquina reclutada por el virus se pone en contacto con el cibercriminal
y espera instrucciones para proceder con los ataques. Los perpetradores desarrollan los
Botnets y los venden o alquilan a empresas, que desean mandar correos basura o spam,
bombardear, espiar a otras empresas o robar datos bancarios. El software malicioso
puede enviarse por correo electrónico, aunque lo normal es que lo pongan en un sitio
web de alto tránsito. Una vez dentro de la computadora, el virus descarga un programa
y lo instala, enlazando la computadora infectada con la red que permite el control re-
moto.
• DDoS (Ataques Distribuidos de Denegación de Servicio): Básicamente este consiste en
bloquear un sitio web de una forma sencilla y efectiva, y se puede realizar de forma
voluntaria, siguiendo las instrucciones dadas para iniciar el ataque a una hora determi-
nada en una convocatoria mediante foros o blogs, o utilizando redes de computadoras
previamente infectadas por un virus (Bonet), de tal forma que los usuarios ni siquiera
saben que su computadora está infectada ni mucho menos que está siendo manipulada
para realizar el ataque DDoS. Este tipo de ataques no siempre responden a motiva-
ciones ideológicas y se están dando cada vez más con intenciones extorsivas.
• Zeus: Es un virus de tipo botnet (troyano) que se propaga por los navegadores de In-
ternet (Explorer, Firefox, etc.). Este malware recopila información sensible del usuario,
tales como contraseñas de internet y redes sociales, utilizando las mismas para suplan-
tar la identidad y realizar robo de datos bancarios. Gracias a este tipo de malware los
cibercriminales han podido sustraer hasta 10 millones de dólares de un banco en sólo
24 horas.
26
• Black Energy: Es un troyano de propósito múltiple que ha sido utilizado desde el 2007
en ataques de tipo denegación de servicio y amenaza persistente avanzada. Una vez
instalado, este malware verifica que el equipo afectado realmente pertenezca al ob-
jetivo al que se quiere atacar e instala una puerta trasera (backdoor) SSH de manera
que el atacante puede tomar control efectivo del equipo afectado. En el año 2015,
BlackEnergy, junto con KillDisk, fueron utilizados en Ucrania contra medios de comu-
nicación durante las elecciones locales y contra empresas del sector eléctrico a finales
de ese año. Nuevamente utilizado en el año 2016 en una subestación eléctrica en las
cercanías de Kiev.
• Havex: Es un malware diseñado para realizar espionaje cibernético y para realizar sab-
otaje industrial. Puede ser utilizado para realizar ataques al sistema eléctrico, e incluso,
podría dejar fuera de servicio a una red eléctrica completa de cualquier país del mundo.
Es un troyano que ha sido originalmente programado, para tomar control total de
los sistemas de control industrial (ICS por sus siglas en inglés). Una vez infectado el
sistema, utiliza una puerta trasera (backdoor), que abre para que el atacante pueda
hacer de las suyas en los sistemas infectados por Havex (mbcheck.dll). De esta manera,
el atacante puede tomar control total de los sistemas de monitoreo y supervisión, así
como accesar a datos importantes de las victimas (específicamente, a empresas que
utilizan sistemas SCADA). Así, el atacante puede dejar desactivado cualquier artefacto
de una empresa o industria, como, por ejemplo, las turbinas de una central hidroeléc-
trica, hasta sobrecargar reactores de todo tipo. De hecho, se utiliza mucho para realizar
ataques a centrales eléctricas de todo el mundo.
Para lograr ese objetivo, Havex se vale de dos herramientas conocidas, el backdoor
Oldrea y el trojan Karagany. Por su poder y riesgo, se considera a Havex como el suce-
sor del famoso malware de espionaje industrial STUXNET. Aunque la mayoría de los
ataques se han centrado en Europa y Estados Unidos, nadie es inmune a este malware
industrial.
Quienes deseen ahondar más en los códigos maliciosos y técnicas de hacking que podrían
afectar a las CII, les recomendamos revisar los siguientes enlaces:
• Doble de Ataques a Infraestructuras Críticas
• La industria, la salud y los juegos, bajo ataque cibernético
• Ciberseguridad en Infraestructura Crítica
• Conciencia en la Seguridad Informática
27
3.4 Casos Reales de Ataques a Infraestructuras Críticas a Nivel Mundial
Chevron (1992)
Este incidente tuvo lugar en 1992, cuando un trabajador fue despedido de la compañía
petrolera Chevron, por hackear los ordenadores de la compañía que se encargaban del sistema de
alertas, pues los reconfiguró para que dejaran de funcionar cuando se pusiera en marcha. No se
descubrió el sabotaje hasta que, en Richmond, California, hubo un incidente en el que se liberó
una sustancia nociva y el sistema no mandó la alerta respectiva, poniendo en riesgo a miles de
personas durante las diez horas en las que el sistema estuvo sin funcionar.
28
Gazprom (1999)
En 1999 un hacker consiguió burlar los sistemas de seguridad de la compañía rusa Gaz-
prom -con ayuda de alguien que trabajaba en la empresa- y se infiltró en el control de los sistemas
SCADA, específicamente en la central encargada de manejar los flujos de gas. Para ello utilizó un
troyano. Afortunadamente no tuvo mayores consecuencias y en cuestión de horas los personeros
de la empresa tomaron control de la situación.
PDVSA (2002)
En diciembre de 2002, la petrolera venezolana PDVSA sufrió un ataque que bajó la produc-
ción de petróleo del país de 3 millones de barriles a 370.000 en un día. El ataque se llevó a cabo
mediante el hackeo de diferentes ordenadores de la compañía. El incidente tuvo lugar mientras
el personal de la compañía se encontraba en huelga, por lo que todo apuntó a que se trató de un
cibersabotaje realizado por uno o varios de sus empleados.
29
Infraestructura de Internet (2007)
En Estonia el 27 de abril del 2007 se dieron una serie de ataques cibernéticos que colapsa-
ron las páginas web de una gran cantidad de organizaciones, incluyendo la del parlamento, min-
isterios, bancos, periódicos y otros medios de comunicación, entre otros. Pero el ataque también
fue contra direcciones de red no conocidas públicamente, entre las que se incluían el procesa-
miento de ordenes financieras y de servicios de telecomunicaciones del país.
RasGas (2012)
Tan solo dos semanas después del ataque a Saudi Aramco, la empresa qatarí RasGas, la
segunda mayor productora de gas natural licuado del mundo, sufrió un ataque con el mismo mal-
ware utilizado en la petrolera saudí. Durante varios días tanto la red interna de la empresa como
su página web estuviera caídas.
30
Represa Hidroeléctrica (2013)
Este incidente se dio en una represa ubicada en Rye, Nueva York, ubicada a unas 20 millas
de la Ciudad de Nueva York. Los atacantes lograron accesar a la represa mediante un modem celu-
lar y tomaron control de las compuertas. Supuestamente, SOBH Cyber Jihad, en coordinación
con otro grupo hacker iraní, Paratoo, se atribuyeron la responsabilidad de este incidente.
31