ÍNDICE

Unidad 1: Antecedents de la Protección de la Infraestructura Crítica.............3

1.1 Protección de las Infraestructuras Críticas en la Antigüedad........................................3

1.2 Antecedentes de la Protección de la Infraestructura Crítica..........................................5

Unidad 2: Definición de la Protección de las Infraestructuras Críticas...........7

2.1 ¿Qué se entiende por Infraestructura Crítica?..................................................................7

2.2 ¿Qué se entiende por Infraestructura Crítica de la Información?...............................12

2.3 ¿Qué se entiende por Protección de Infraestructura Crítica de la Información?....13

2.4 Evolución de la Problemática de la Protección de las Infraestructuras Críticas de la

Información............................................................................................................................................14

2.5 Distinción entre la Protección de la Infraestructura Crítica (CIP) y Protección de la

Infraestructura Crítica de la Información (CIIP).............................................................................14

2.6 Distinción entre Protección de la Infraestructura Crítica y Ciberseguridad

Industrial.................................................................................................................................................15

2.7 ¿Por qué es importante la Protección de la Infraestructura Crítica de la

Información?..........................................................................................................................................17

2.8 ¿Por qué necesitamos la Protección de la Infraestructura Crítica de la

Información?..........................................................................................................................................18

2.9 ¿Por qué ocupamos políticas claras para la Protección de la Infraestructura Crítica
de la Información?.................................................................................................................................18

Unidad 3: Actores, Riesgos y Amenazas que afectan las Infraestructuras

Críticas de la Información..........................................................................................20
3.1 Actores......................................................................................................................................21

3.2 Motivaciones............................................................................................................................23

3.3 Riesgo y Amenazas Cibernéticas..........................................................................................23

3.4 Casos Reales de Ataques a Infraestructuras Críticas a Nivel Mundial.......................26

2
Unidad 1: Antecedentes de la Protección de la Infraestructura Crítica.

1.1 Protección de las Infraestructuras Críticas en la Antigüedad

No se tiene un registro exacto de cuando surgió el concepto de infraestructura crítica,

pero si existen muchos casos donde en tiempos antiguos se comenzaron a identificar y proteger
infraestructuras, instalaciones y bienes que era considerados como críticos e indispensables para
la subsistencia y bienestar de una población determinada.

En el Antiguo Egipto se dependía mucho de la actividad agrícola, los gatos jugaron un

papel muy importante en la protección de los suministros de alimentos, pues ahuyentaban y man-
tenían lejos de las cosechas y suministros de granos (trigo principalmente) a los ratones y demás
roedores. Al cazar los ratones y otros roedores también se eliminaba un vector de enfermedades
graves. También cazaban serpientes, lo cual hacía más seguro a las aldeas y sus alrededores. Por
tal motivo, los egipcios conservaban a los gatos como mascotas e incluso los adoraban como
dioses. En ese momento mantener debidamente protegido el suministro de alimentos era im-
portante para la subsistencia y continuidad del reino, por lo que utilizaron a los gatos como un
mecanismo de protección.

También en la Edad Media se protegía la infraestructura que era considerada como crítica
para el bienestar y continuidad de una ciudad o reinado. En España existe un castillo que data de
la época medieval (Siglo XIII) y que se llama Castillo de Moya, ubicado en la provincia de Cuenca,
cerca de Valencia, tuvo su auge durante el Renacimiento gracias al marquesado de Moya, hoy es
propiedad de la Duquesa de Alba.

Si vemos la anterior fotografía, como es típico en todo castillo de esa época existe una mu-
ralla perimetral, pero el Castillo de Moya tiene una particularidad, y es que esa muralla se extiende
al pie de la montaña en forma de V. Justamente esa muralla (La Coracha) protegía al Torreón de
San Roque (Puerto Seco) y la Torre del Agua, un manantial ubicado al pie de la montaña y que
abastecía del preciado líquido a la población.

4
 Evidentemente en aquel momento ese manantial era considerado como una infraestruc-
tura crítica o esencial, pues si alguien conseguía degradar o alterar la calidad del agua o destruir
directamente ese manantial los pobladores del Castillo de Moya la podrían pasar muy mal.

Lo anterior es para ponernos en contexto de que la protección a determinadas infraestruc-

turas consideradas como críticas es tan antigua como la misma humanidad, y que 800 o 5,000
años después las cosas realmente han cambiado poco, pues los malos siempre tienen los mismos
objetivos e intenciones, degradar, destruir o controlar una infraestructura crítica. Lo único que
ha cambiado realmente es la tecnología. Si en aquella época se dependía del manantial, hoy día
dependemos del mismo manantial, de las plantas de tratamiento de agua y de la amplia red de dis-
tribución de agua para que dicho servicio llegue al tubo o llave en cada uno de nuestros hogares.

Para quienes deseen explorar más a fondo Villa de Moya, los invitamos a ver este video.

1.2 Antecedentes de la Protección de la Infraestructura Crítica

De las Amenazas a los Riesgos

Pese a lo anterior, expertos sostienen que la génesis y establecimiento del concepto de protec-
ción a la infraestructura crítica (CIP por sus siglas en inglés) se dan como resultado de dos factores
ligados entre sí:

1. La expansión del espectro de amenazas después de la Guerra Fría, especialmente en

términos de actores maliciosos y de sus capacidades.
2. Un nuevo tipo de vulnerabilidad debido a la dependencia de las sociedades modernas
a sistemas inseguros de información.
Durante la Guerra Fría, las amenazas fueron percibidas principalmente como una forma
de intenciones muy agresivas de los estados para sobreponerse a otros estados. Sin embargo, al
final de la Guerra Fría se promulgó el final de la percepción inequívoca de la percepción de las
amenazas. Seguido por la desintegración de la Unión Soviética, una variedad importante de nue-
vas amenazas se debió incluir en las agendas políticas de seguridad de la mayoría de los países. El
elemento diferenciador de los nuevos desafíos fue la incertidumbre que generaban y que los ro-
dearon. Claramente la noción de amenaza como algo “eminente, directo y cierto” ya no describía
de forma puntual a esos desafíos. Por el contrario, los mismos se catalogaban como “riesgos”, que
eran por definición indirectos, no intencionados o accidentales, inciertos y situados en el futuro,
y que se materializan únicamente cuando ocurren realmente. Como resultado de estos riesgos
difusos y debido a las dificultades de localizar e identificar los enemigos, parte del enfoque de las
políticas de seguridad se desplazó de los actores, capacidades y motivaciones hacía las vulnerabi-
lidades generales que afectan en su totalidad a la sociedad.

El segundo factor, la llamada revolución digital. La mayoría de la infraestructura crítica

depende de un amplio espectro de sistemas de control basado en programas informáticos que
tienen como finalidad la operación normal, confiable y continua de los sistemas. En muchos casos,
las tecnologías de la información y la comunicación (TIC) se han convertido en acaparadoras,
conectando otros sistemas de infraestructura y haciendo que estos estén interrelacionados y

5
sean más interdependientes. Estas tecnologías son en general inseguras. La seguridad nunca ha
sido un conductor del diseño del sistema, por lo que las vulnerabilidades de las computadoras y
redes ahora son muy propensas, conduciendo a la aparición de infraestructuras con inestabili-
dades internas, fallas en puntos críticos y extensa interdependencia. Al mismo tiempo, la difusión
de las TIC fue (y es) visto para hacer que sea mucho más fácil atacar asimétricamente, por lo que
los ejércitos militares y los sistemas armamentísticos especializados ya no son indispensables para
generar un ataque con la intención de causar terror y consecuencias extremas a otra nación. Los
límites geográficos, ya de por sí bastante porosos en el mundo real, no existente en el ciberespa-
cio.

1.3 Historia Reciente

La protección de las infraestructuras críticas
retomó importancia en el debate mundial,
particularmente debido a los ataques terroris-
tas en Nueva York y Washington (2001), Ma-
drid (2004) y Londres (2005). En todos estos
casos los terroristas atacaron elementos de la
infraestructura para generar terror, pánico y
muerte de personas inocentes. En el caso del
9/11, los terroristas usaron la infraestructu-
ra de transporte convirtiendo varios aviones
comerciales en armas letales para impactar
los edificios del Wold Trade Center (WTC),
íconos de la economía estadounidense, y el
pentágono, ícono de poderío militar de Es-
tados Unidos. En Europa, trenes, incluyen-
do trenes subterráneos y estaciones de tren,
así como su sistema de cómputo fueron el
blanco. Este enfoque demostró la naturaleza brutal de nuevas formas de terrorismo, de igual
manera reforzó la percepción de que los conceptos tradicionales de seguridad nacional no esta-
ban acorde a las necesidades contemporáneas y que requerían ser adaptadas.

Mucho antes de estos ataques, la protección de instalaciones estratégicamente importantes para

la esfera económica y social había sido una parte importante de los conceptos de defensa nacio-
nal. El término “Protección de las Infraestructuras Críticas” se refiere a un concepto muy amplio
con nuevas percepciones. Primero, ese concepto ahora no está restringido a la defensa en contra
peligros inmediatos o procesamiento criminal después de que un crimen ha sido cometido, sino
que también ampara a las medidas de seguridad preventiva. Además, las sociedades contem-
poráneas se han vuelto significativamente más vulnerables y el espectro de posibles causas de
disrupción o interrupción y crisis se han vuelto más amplias y difusas. Por este motivo, la protec-
ción de la infraestructura crítica se ha convertido en un punto de cristalización para los debates
actuales sobre políticas de seguridad.

6
Unidad 2: Definición de la Protección de las Infraestructuras Críticas.

2.1 ¿Qué se entiende por Infraestructura Crítica?

Realmente no existe una definición universal de lo que se entiende por infraestructura
crítica, pues le corresponde a cada país definirla y catalogarla según sus prioridades y realidad.
Sin embargo, todos los países que cuentan con un marco regulatorio tienen una base y punto de
partida similar. De hecho, es un término que es fácil de entender, pero difícil de definir, pues de-
penderá con que anteojos se mire.

En el Reino Unido la Critical National Infrastructure (“Infraestructura Crítica Nacional, tra-

ducido al Castellano) se define como:

“Esos elementos críticos de la infraestructura nacional (instalaciones, sistemas, sitios,

propiedad, información, personas, redes y procesos) que en caso de pérdida o que sean
comprometidos podrían resultar en un impacto importante en detrimento de la disponibil-
idad, entrega o integridad de los servicios esenciales causando consecuencias económicas
y sociales severas e incluso pérdida de vidas humanas.”

En el Reino Unido existen 13 sectores de infraestructura crítica: químico, nuclear, comu-

nicaciones, defensa, servicios de emergencia, energético, financiero, alimenticio, gobierno, salud,
espacio, transporte y agua. Muchos de esos sectores se dividen en sub-sectores, por ejemplo, el
sector de servicios de emergencia se subdivide en policía, ambulancia, bomberos y guardia cos-
tera. Cada sector tiene una o más agencias de gobierno que son responsables por la seguridad y
protección del mismo, para lo cual se establecerán medidas adecuadas para la seguridad de los
activos críticos.

El Centro para la Protección de la Infraestructura Nacional (CPNI, por sus siglas en inglés)
se centra en suministrar asesoría y asistencia a aquellas organizaciones que son responsables
de proteger la infraestructura crítica nacional. La responsabilidad para la protección de la in-
fraestructura crítica nacional, específicamente redes, información y sistemas de tecnología de la
información, es compartida con el nuevo Centro Nacional de Ciberseguridad (NCSC por sus siglas
en inglés). El CPNI y NCSC trabajan conjuntamente para dar asesoría integral y que se tomen en
consideración todos los aspectos de la seguridad preventiva.

7
 El gobierno de Canadá se refiere a la infraestructura crítica como los procesos, sistemas,
instalaciones, tecnologías, redes, activos y servicios esenciales para la salud, seguridad o bienestar
económico de los canadienses, y el funcionamiento efectivo de su gobierno. La infraestructura
crítica puede ser autónoma o estar interconectada o interdependiente dentro o entre las provin-
cias, territorios y fronteras nacionales. La disrupción de la infraestructura crítica podría resultar
en una catastrófica pérdida de vidas, efectos económicos adversos y un importante daño a la con-
fianza pública. La Estrategia Nacional y el Plan de Acción para la Infraestructura Crítica establece
un enfoque basado en riesgos para fortalecer la resiliencia de los activos y sistemas vitales, tales
como la distribución de alimentos, las redes eléctricas, transporte, comunicaciones y sistemas
públicos de seguridad.

La Unión Europea define a la infraestructura crítica como un activo o sistema esencial para
el mantenimiento de las funciones vitales de la sociedad. El daño a la infraestructura crítica, su
destrucción o disrupción por parte de desastres naturales, terrorismo, actividades criminales o
comportamientos maliciosos, podrían tener un impacto negativo significativo para la seguridad de
la Unión Europea y el bienestar de sus ciudadanos. Reducir las vulnerabilidades de la infraestruc-
tura crítica e incrementar su resiliencia es uno de los principales objetivos de la Unión Europea.
Un nivel adecuado de protección debe asegurarse y que los efectos negativos de las disrupciones
en la sociedad y los ciudadanos deben limitarse tanto como sea posible.

El Departamento de Seguridad Nacional de Estados Unidos se refiere a la infraestructura crítica

como los servicios esenciales que sirven de apoyo a la sociedad estadounidense y que funcionan
como la piedra angular para la economía, seguridad y salud. La conocemos como la electricidad
que usamos en nuestras casas, como el agua que bebemos diariamente, el servicio de transporte
que nos moviliza de la casa al lugar de trabajo, los supermercados en donde compramos los sum-

8
inistros básicos y los sistemas de comunicación en que confiamos para comunicarnos con nuestra
familia y amigos. En general, existen 16 sectores de infraestructura crítica que están compuestos
por activos, redes y sistemas, ya sea físicos o virtuales, y que son de vital importancia para la na-
ción, por lo que su afectación o destrucción podría generar un efecto debilitante en perjuicios de
la seguridad, económica nacional, salud pública, o la combinación de ellos.

Áreas adicionales también son vistas funcionalmente como instalaciones de infraestructura,

tales como producción de bienes y servicios, distribución de productos terminados a mercados y
servicios básicos sociales, como las escuelas y hospitales.

9
 Ejemplos de infraestructuras críticas:

• Tanques de almacenamiento de combustible de granjas, no así las típicas gasolineras.

• Los Bancos de Reserva Federal, no así las sucursales bancarias locales.
• Las principales estaciones de conmutación telefónica, no así las oficinas de telefonía
locales.
• Los centros de trauma, no así todos los hospitales y clínicas.
• Las municipalidades, no así todas las oficinas de la ciudad.
• Actividades de impacto psicológico y simbólico, tales como ubicaciones y eventos
culturales, religiosos y patrióticos (celebraciones del 4 de Julio, edificios federales, en-
tre otros.)

En Alemania, el gobierno federal se refiere a la infraestructura crítica como las organi-

zaciones e instituciones que son de importancia para el bienestar público, por lo que su interrup-
ción, falla o disrupción podría resultar en un cuello de botella de suministros de larga duración,
perturbaciones significativas en la seguridad pública u otras consecuencias dramáticas.

En resumen, las infraestructuras críticas son aquellas que son necesarias para el funcio-
namiento normal de los servicios básicos y sistemas de producción de cualquier sociedad. De tal
manera que cualquier interrupción no deseada, ya sea ocasionada por causas naturales o inci-
dentes físicos, técnicos o cibernéticos, tendrían graves consecuencias en los flujos de suministros
vitales o en el funcionamiento de los servicios esenciales, aparte de una fuente de perturbaciones
graves en la seguridad nacional.

10
 Los diez riesgos globales en términos de probabilidad e impacto
Los top 10 pricipales riesgos Los top 10 pricipales riesgos
mundiales en términos de mundiales en términos de

Probabilidad Impacto
1 1

2 Eventos climáticos extremos 2 Eventos climáticos extremos

3 Fracaso de Gobierno Nacional 3 Fracaso de Gobierno Nacional
4 Colapso estatal o crisis 4 Colapso estatal o crisis
5 Desempleo o subempleo 5 Desempleo o subempleo

6 Catástrofes naturales 6 Catástrofes naturales

7 Fracaso a la adaptación de cambio 7 Fracaso a la adaptación de cambio
climático climático
8 Crisis de agua 8 Crisis de agua
9 Fraude o robo de datos 9 Fraude o robo de datos

10 Ciber ataques 10 Ciber ataques

Categorías:
EconómicoG Amiental eopolíticoS ocialT ecnológico

Fuente: Encuesta mundial de percepción de riesgos 2014, Foro Económico Mundial.

Las sociedades desarrolladas, y altamente tecnificadas, dependen en extremo de una se-

rie de servicios esenciales, sin los cuales no hay capacidad de subsistencia. Pensemos en servi-
cios tales como el sistema de transporte, el agua, la electricidad, las telecomunicaciones, entre
otros. Por este motivo, hace años se acuño el término de infraestructura crítica para referirse a la
prestación de estos servicios básicos imprescindibles, junto a la necesidad de su protección.

Actualmente, los estados modernos se enfrentan a una multitud de desafíos y riesgos que
afectan la seguridad nacional. Estos riesgos que muchos provienen de la globalización, la inmi-
gración ilegal, el terrorismo internacional, la proliferación de armas de destrucción masiva, el cam-
bio climático, el crimen organizado, e incluso de los riesgos tecnológicos, donde el propio Foro
Económico Mundial en su reporte anual de riesgos globales contempla los riesgos a las infrae-
structuras críticas por el impacto que podrían generar y por la gran posibilidad de que realmente
sucedan.

11
 Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las infrae-
structuras, expuestas a una serie de amenazas, cuya protección se hace imprescindible, por un
lado, y catalogarlas, por otro, a los fines de diseñar un plan con medidas eficaces de prevención y
protección contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la segu-
ridad física como en el de la seguridad cibernética.

2.2 ¿Qué se entiende por Infraestructura Crítica de la Información?

Aunque el concepto de CII fue acuñado alrededor del 2001 todavía no existe una defin-
ición ampliamente acordada. Un número importante de países han definido su CII, así que ver-
emos algunas definiciones que se han propuesto alrededor del mundo.

Varias naciones han definido su CII. Algunas definiciones por ejemplo de CII de todo el
mundo son: “Infraestructura Cibernética/TIC la infraestructura cibernética, que es esencial para
servicios vitales para la seguridad pública, la estabilidad económica, la seguridad nacional, la es-
tabilidad internacional y la sostenibilidad y restauración del ciberespacio crítico” [Unión Africana],
“El componente TIC de Infraestructura Crítica se conoce como Infraestructura de Información
Crítica (CII)” [Victoria, Australia], “Las Infraestructuras Crítica de Información son el subconjunto
de los activos de información que afectan directamente al logro y la continuidad de la misión
estatal y la seguridad de la sociedad” [Brasil], “La Infraestructura Crítica de la Información (CII)
puede referirse a cualquier sistema de TI que apoye activos y servicios clave dentro de la Infrae-
structura Nacional” [Reino Unido].1

El Global Forum on Cyber Expertise (GFCE por sus siglas en inglés) basado en las defi-
niciones planteadas a nivel nacional formuló su propia definición para reflejar la necesidad de
considerar tanto las TIC como la CI, como un sector independiente y que también toca varios
sectores de la CI debido al uso de la misma tecnología y, por lo tanto, expuestos a los mismos
riesgos en los procesos más críticos del sector de CI. Así que la CII son aquellas infraestructuras
de la información y la comunicación que se encuentran interconectadas y que son esenciales para
el mantenimiento de las funciones vitales de la sociedad (salud, seguridad, bienestar económico y
social de las personas) – y que su disrupción o interrupción, o destrucción podrían generar serias
consecuencias.

También se dice que la CII son servicios de comunicaciones e información cuya disponib-
ilidad, fiabilidad y resistencia son esenciales para el funcionamiento de una economía moderna,
seguridad y otros valores sociales esenciales, y que han adquirido gran importancia.

Debemos reconocer que es un concepto que todavía se encuentra en desarrollo y que po-
dría dársele diferentes enfoques o significados según quien lo mire. Al menos lo anterior nos da
mayor claridad para formarnos una idea del concepto de CII.

1 Guía de las Buenas práctivas en CIIP: https://www.meridianprocess.org/siteassets/guia-de-buenas-practicas-de-gfce-meridian.pdf

12
 Protección de la Infraestructura Crítica de la Información al día de hoy

Se centra en la protección de los Telecomunicaciones, computadores,

sistemas y activos informáticos software, Internet, interconecciones
y servicios de red.

Requerido de 27/4 (365 días).

integridad y disponibilidad
Parte de la economía moderna diaria
y existencia de cualquier país.

Red Suministro Defensa

Eléctrica de Agua Nacional

Red de
Telecomunicaciones

Defensa Salud Cumplimento

Nacional Pública de la Ley

2.3 ¿Qué se entiende por Protección de Infraestructura Crítica de la

Información?
El GFCE define a la CIIP como todas las actividades tendientes a asegurar la funcionalidad,
continuidad e integridad de la CII con el propósito de impedir, mitigar y neutralizar una amenaza,
riesgo o vulnerabilidad o minimizar el impacto de un incidente.

A nivel nacional, la República Checa define a la CIIP como una subcategoría de la CIP. La
CIIP se concentra en la protección de sistemas y activos, que incluyen componentes tales como
telecomunicaciones, computadoras, programas informativos, Internet, fibra óptica, entre otros.
computadoras y redes interconectadas, y los servicios que ellas suministran.

Estonia establece que el propósito de la CIIP es mantener un funcionamiento libre de

problemas bajo condiciones normales de los sistemas de información y comunicación esenciales,
y asegurar su continuidad durante situaciones críticas.

En Kosovo se refieren al programa de CIIP como las actividades y programas de los propi-
etarios, operadores, fabricantes, usuarios y los reguladores de la CI atinentes a conservar el fun-
cionamiento de las CII en caso de interrupciones, fallas, ataques o accidentes en un nivel mínimo
de servicio y para minimizar el tiempo de recuperación y los daños.

13
 2.4 Evolución de la Problemática de la Protección de las Infraestructuras
Críticas de la Información
Estados Unidos fue el primer país en abordar las nuevas vulnerabilidades a que están
expuestas las infraestructuras vitales mediante un amplio esfuerzo que requirió mucha coordi-
nación. Los nuevos riesgos en sectores determinados, como el financiero, bancario, energético,
entre otros. fueron identificados por la Comisión Presidencial sobre la Protección a la Infraestruc-
tura Crítica (PCCIP por sus siglas en inglés). En 1997 la PCCIP concluyó que Estados Unidos era
muy dependiente de esas infraestructuras, que el gobierno había visualizado a través de los lentes
de seguridad nacional, con motivo de las serias consecuencias que podrían ocasionar a la nación
en caso de que esos servicios esenciales no estuvieran disponibles por un lapso de tiempo signif-
icativo.

De acuerdo a este enfoque, las infraestructuras críticas deberían incluir servicios, redes y
activos materiales/tangibles y tecnologías de la información, e instalaciones que, en caso de in-
terrupciones o destrucción, podrían tener un impacto muy serio en la salud, seguridad o bienestar
económico de los ciudadanos y funcionamiento eficiente del gobierno de un país. Dichas infrae-
structuras podrían ser dañadas por medio de amenazas estructurales, así como por ataques in-
tencionales realizados por actores maliciosos. La primera categoría de riesgo podría, por ejemplo,
incluir catástrofes naturales, catástrofes inducidas por humanos (por ejemplo: fallas en represas,
accidentes en reactores nucleares, entre otros.), carencia de personal con motivo de huelgas o ep-
idemias, defectos organizacionales debido a fallas técnicas o de personal, error humano, conmo-
ciones, dependencias y escasez de suministros. En la segunda categoría, el espectro de atacantes
es mucho más extenso, los cuales van de jóvenes sin oficio, empleados descontentos, crimen
organizado, fanáticos religiosos o políticos, células terroristas y estados hostiles.

Igualmente hay un amplio rango de opciones de ataque, incluyendo los ataques de hack-
ers o piratas informáticos, así como destrucción física de instalaciones militares o civiles. La idea
de proteger la infraestructura crítica de forma temprana siempre fue evitar los incidentes que
podrían generar los riesgos desconocidos del ciberespacio. La infraestructura global de la infor-
mación apareció para facilitar los ataques anónimos, los cuales se podían ejecutar desde cualquier
parte del mundo y al mismo tiempo servían como un recurso de herramientas de hackers para
todo el mundo. Partiendo de esta percepción de amenazas, una política de protección de la in-
fraestructura crítica se cristalizó bajo el mandato del Presidente Bill Clinton, la cual estuvo ampli-
amente dirigida a la seguridad de la información. De muchas formas, varios países siguieron esta
iniciativa con un enfoque similar. Sin embargo, con los ataques del 9/11 dio un notable retorno
del concepto clásico de amenaza al debate de protección de la infraestructura crítica, el cual se ha
mantenido y diseminado alrededor del mundo.

14
 2.5 Distinción entre la Protección de la Infraestructura Crítica (CIP) y
Protección de la Infraestructura Crítica de la Información (CIIP)
A casi dos décadas del surgimiento del debate sobre la protección de la infraestructura
crítica, aún hay poca claridad con respecto a la distinción entre los términos de CIP y CIIP. El
término CIP es frecuentemente usado aún y cuando el documento es referido únicamente a te-
mas de tecnología de la información. La razón de lo anterior es que dichos términos no pueden y
no deberían ser discutidos como conceptos totalmente separados, pero tampoco pueden tratarse
como sinónimos.

En general, la Protección de la Infraestructura Crítica (CIP, por sus siglas en inglés) es un

término mucho más amplio que la Protección de las Infraestructura Crítica de la Información (CIIP,
por sus siglas en inglés), pero CIIP es una parte esencial de la CIP. La falla o interrupción de la In-
fraestructura Crítica de la Información (CII) podría deberse a la falla de CI, pero CI podría fallar por
muchas razones diferentes a la CII. Por ejemplo, la CI podría fallar como resultado de desastres
naturales -como terremotos o inundaciones-, mientras que las fallas de la CII son principalmente
causadas por amenazas relacionadas a la cibernética.

Esto implica que las CI son más susceptibles a una variedad mucho más amplia de riesgos
y amenazas que la CII. Como consecuencia las políticas y regulaciones de la CIP abordan un con-
junto de riesgos mucho más amplio e integral, incluyendo los riesgos relacionados a la CII, pero
que van más allá de estos últimos. Sin embargo, un enfoque exclusivo sobre ataques cibernéticos
que ignore la importancia tradicional de las amenazas físicas es tan peligroso como olvidarse de la
dimensión virtual. Realmente lo que se ocupa es un manejo sensible de ambos conceptos.

Sin embargo, hay al menos una característica para distinguir ambos conceptos: mientras
que la CIP abarca todos los sectores críticos de la infraestructura de una nación, la CIIP es úni-
camente una subcategoría del esfuerzo de protección integral de la infraestructura crítica de la
información. La CII, en gran medida, consiste en el sector de la información y las telecomuni-
caciones, pero no es totalmente congruente, e incluye componentes, tales como telecomuni-
caciones, computadoras, programas informáticos, Internet, satélites, fibra óptica, entre otros. El
término CII se utiliza para la totalidad de computadoras y redes interconectadas y sus flujos de
información crítica.

Debido a su función de enlace con otras infraestructuras críticas, éstas pueden ser blancos u
objetivos importantes por parte de los actores maliciosos. Podríamos concluir que las TIC son
consideradas la columna vertebral de las infraestructuras críticas, dado que el intercambio ininter-
rumpido de datos es esencial para la operación de las infraestructuras en general y de los servicios
que ellas proveen. Los sistemas centralizados de Supervisión, Control y Adquisición de Datos
(SCADA) son ampliamente utilizados para monitorear y controlar las infraestructuras de forma
remota. Sin embargo, los sistemas basados en SCADA no son totalmente seguros: los sistemas y
redes de una sola clausura utilizan cada vez más productos disponibles en el mercado y equipos
de red basados en IP, y requieren conexión de Internet, lo cual abre la puerta a los atacantes tanto
de afuera como los internos.

15
 2.6 Distinción entre Protección de la Infraestructura Crítica y
Ciberseguridad Industrial.
Los términos CIP y Ciberseguridad Industrial, aunque en muchas ocasiones son utilizados
como sinónimos, poseen diferencias significativas. Como hemos visto, el término CI es empleado
por los gobiernos para describir los activos esenciales que permiten el buen funcionamiento de la
sociedad y la economía.

Con el fin de cubrir esta necesidad, los gobiernos han desarrollado regulaciones que esta-
blecen las medidas de seguridad que los propietarios y operadores de las infraestructuras críticas
deben implantar para afirmar su seguridad. Por otro lado, estas regulaciones disponen cuáles son
los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican las
diferencias sobre cómo abordar la protección en los distintos sectores, delegando esa tarea en
estándares internacionalmente reconocidos y/o las famosas guías de buenas prácticas específicas
de cada sector.

La Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas

para gestionar los riesgos en el ciberespacio derivados del uso, procesamiento, almacenamiento
y transmisión de la información utilizada en las organizaciones e infraestructuras industriales.
Existen muchos tipos de industrias, y la mayor parte de ellas utilizan sistemas de control similares
para desarrollar sus procesos. Estos dispositivos son el principal objetivo de la Ciberseguridad
Industrial.

Por lo tanto, la diferencia fundamental entre la CIP y la Ciberseguridad Industrial es que,

aunque una buena parte de los sectores definidos por la CIP estarán abarcados por la Ciberseguri-
dad Industrial, existen otros sectores en los que no existen los sistemas de control y de regulación,
por lo tanto, no estarían dentro del ámbito de la CIP. Como contrapartida, la Ciberseguridad In-
dustrial abarca un ámbito mayor que la CIP, ya que la mayor parte de las instalaciones industriales
existentes en el mundo, no están catalogadas como infraestructura crítica, por lo tanto, no están
sujetas a la legislación y regulaciones de la CIP.

16
 Recomendamos ver el presente video.

2.7 ¿Por qué es importante la Protección de la Infraestructura Crítica de la
Información?
En muchos países el tema de la infraestructura crítica de la información está atrayendo
la atención de los formuladores de políticas públicas, ya que está siendo considerada como una
parte integral de las estrategias nacionales de sostenibilidad en razón de las interrupciones a gran
escala de las infraestructuras críticas, generando efectos cascada e impactado parte o la totalidad
de la población y las funciones y servicios vitales de la sociedad.

Además, darle mayor atención a la CIIP permite mejorar las condiciones para hacer ne-
gocios en países en desarrollo. Ciertamente, en lo que respecta a la comunidad empresarial, el
prolongado descuido de la infraestructura crítica y la necesidad de su desarrollo está posiciona-
do en cuarto lugar entre las principales preocupaciones en mercados emergentes y economías
en desarrollo (WEF 2015). Desafortunadamente, y de conformidad con los descubrimientos del
Foro Económico Mundial, en la última década muy poco progreso se ha alcanzado en el tema de
abordar los riesgos asociados a las fallas o interrupciones de las infraestructuras críticas.

Existen DOS TENDENCIAS que tienen un impacto considerable en los enfoques de la CIIP
en América Latina.

1. Urbanización
2. Digitalización de la Infraestructura

17
 La alta concentración de la población en centros urbanos implica una dependencia mucho
más grande en las infraestructuras críticas y graves consecuencias en caso de disrupción o inter-
rupción.

La segunda tendencia no es específica de la región de América Latina y está relacionada

a la modernización tecnológica de las estructuras económicas. Las tecnologías de la información
avanzadas permiten una mayor eficiencia en términos de costos operativos, y nuevas funciones
y servicios para sus operadores y usuarios finales. Hoy día casi toda la nueva inversión en infrae-
structura incorpora componentes inteligentes como parte de los proyectos, tales como sistemas
de control de procesos y automatización de tecnología. Podemos citar como ejemplos los smart
grids (red eléctrica) y sistemas de transporte inteligente. Esta tendencia crea nuevos riesgos y
amenazas cibernéticas a las que los sistemas de tecnología de la información son susceptibles.
Específicamente, los avances tecnológicos han creado subestructuras dentro de la infraestructura
crítica que usualmente se les identifica como CII.

Existe un número importante de razones por las cuales CIIP merece atención por parte
de los gobiernos. No solo con elementos de CII que penetran en las infraestructuras críticas
tradicionales, sino que también la CII podría ser vista como una infraestructura crítica autónoma
o independiente. Los ejemplos incluyen elementos de las TIC y sistemas TIC, tales como conec-
tividad a Internet y redes de comunicación telefónica. La complejidad de la CIIP deriva de su de-
scentralización en términos de ubicación geográfica y propiedad de la infraestructura. De todos
los sectores tradicionales de infraestructura crítica, TIC es quizá uno de los que posee y atrae
mayor participación de capital privado, incluyendo inversión extranjera directa significativa. Por
lo tanto, la CIIP depende mucho de alianzas público-privadas y mecanismos de intercambio de
información. La región de América Latina no es la excepción, las inversiones en TIC se espera que
se incrementen de forma importante y mejoren totalmente los mercados TIC en la región.

2.8 ¿Por qué necesitamos la Protección de la Infraestructura Crítica de la

Información?
Hoy día, las disrupciones o interrupciones físicas (o aún destrucción) de los elementos
criticos de la CI no son los únicos factores que amenazan la operación normal de las CI. Servicios
basados en las TIC se han convertido en elementos importantes para el funcionamiento normal
y eficiente de CI. Esto conlleva, tal y como hemos visto, al concepto de CII, que abarca tanto la
infraestructura de la información como de telecomunicaciones (por ejemplo: la telefonía móvil y
los servicios de acceso a Internet) y los sistemas de control de procesos y de las TIC que son una
parte crítica de los CI.

La disrupción de la CII puede ser causada por actos realizados por el ser humano, fallas
tecnicas y desastres de la misma forma que sucede con la CI. Los beneficios de la CII (mayor
conectividad, monitoreo remoto, escalabilidad, fiabilidad, reducción de costos) no están siempre
balanceados con los eventuales efectos adversos del malfuncionamiento de la CII.

18
La CII de una nación podría convertirse tanto en blanco de códigos maliciosos o malwares, hack-
ers o piratas informaticos, hackactivistas y operaciones de inteligencia adversas de otros estados,
como en un medio para atacar la CII de otras naciones. Una CII comprometida puede poner en
peligro la seguridad nacional y estabilidad, crecimiento económico, prosperidad de los ciudadanos
y la vida diaria, e incluso podría generar repercusiones negativas en otras naciones debido a la
interconectividad de las CII. La necesidad de una estrategia efectiva, politicas y actividades para
la CIIP son, por lo tanto, de gran importancia para los países.

2.9 ¿Por qué ocupamos políticas claras para la Protección de la

Infraestructura Crítica de la Información?
El concepto de la CIIP en realidad no es nuevo. Como vimos en apartados anteriores, salvaguardar
los activos y recursos estratégicos nacionales han sido parte del planeamiento de la defensa na-
cional de muchos países desde la Segunda Guerra Mundial y a través de y después de la Guerra
Fría. Sin embargo, las realidades modernas han tenido un impacto significativo en la percepción
de los gobiernos de lo que es la CIIP y la forma de cómo se debería abordar. El cambio de percep-
ción es motivado por:

1. Preocupaciones de seguridad.
2. Planes de Desarrollo a largo plazo.
3. Consideraciones financieras.
Por esos tres motivos, los países están tratando de identificar y proteger sus activos críti-
cos en contra de una variedad de amenazas. El punto de partida es una política y marco legal
coherente.

Seguridad

La sociedad, sector empresarial, y en general, todos los sectores dependen del buen fun-
cionamiento de la infraestructura crítica. Una tarea importante de la política de seguridad pre-
ventiva es salvaguardar las instalaciones de mayor importancia para la comunidad, ya que en
caso de falla o interrupción podrían causar escases de suministros, alteraciones al orden público
o consecuencias dramáticas. Los ataques terroristas del 9/11 y los acontecidos en Madrid y Lon-
dres son fieles ejemplos de los riesgos y vulnerabilidades a que están expuestos los ciudadanos.
Sin embargo, las infraestructuras están siendo amenazadas no solo por ataques terroristas, sino
también por desastres naturales, como el terremoto y tsunami en Japón en el 2011 que ocasionó
un colapso nuclear (nivel 7) en la Planta Nuclear de Fukushima Daiichi, así como otro tipo de ac-
cidentes,averías serias y errores en los sistemas.

19
 Desarrollo

Más allá de la seguridad, las políticas de desarrollo a largo plazo dependen significativa-
mente de la integridad de las infraestructuras críticas. No sorpresivamente, el World Develop-
ment Report 2014 del Banco Mundial estuvo dedicado a la gestión de riesgos. En dicho reporte
se establece que un enfoque basado en riesgos para el planeamiento de las políticas podría ser
una herramienta poderosa para el desarrollo, así como para las infraestructuras críticas, ya que la
resiliencia y fortaleza de las infraestructuras son precondiciones sumamente importantes para el
avance nacional. Aunque el reporte no fue dedicado al análisis de riesgos específicos, al menos
dio un consejo muy poderoso sobre los marcos de gestión de riesgos que podrían ser usados por
los gobiernos, incluso para fines de la CIIP.

Financiero

Las pérdidas financieras debido a las fallas en la infraestructura crítica son significativas e
impactan tanto al sector público como al sector privado. Sin una política clara de cómo manejar
la CIIP, los costos operativos de un país podrían incrementarse significativamente. Por ejemplo,
en septiembre del 2003 hubo un apagón eléctrico en Italia que afectó a todo el país, suspendi-
endo el servicio eléctrico a unos 45 millones de personas. El servicio estuvo suspendido de 1.5 a
18 horas en diferentes regiones del país. El análisis económico del impacto negativo de la avería
de una infraestructura crítica (sector eléctrico) ocasionó un efecto cascada afectando otros sec-
tores e industrias afectando un total de 56 industrias a nivel nacional y que generó una pérdida
económica de 81.79 millones de euros en 11 industrias de infraestructura crítica (aquellas con
índices de interdependencia mucho más altos) y 123.17 millones de euros para las 56 industrias
combinadas.

Por otro lado, se estima que el costo de un apagón de una duración de 24 horas generado
por ataque cibernético a una infraestructura crítica podría generar pérdidas económicas cercanas
a US$6 millones por día. El costo estimado de los ataques cibernéticos fue calculado en un rango
de USD$1.75 billones anuales, pero esa estimación no toma en consideración los costos de opor-
tunidad de los negocios que experimentan la pérdida del servicio. Según la Organización para
la Cooperación y el Desarrollo Económicos (OCDE) en un reporte sobre programas informáticos
maliciosos, se estima que la pérdida anual para los negocios en Estados Unidos causados por pro-
gramas maliciosos ronda los USD$67.2 billones (OCDE 2008). De tal forma que la CIIP debería
ser el asunto de interés nacional más importante.

20
Unidad 3: Actores, Riesgos y Amenazas que afecta la Infraestructuras Críticas de
la Información

Recomendamos ver este video introductorio sobre “como los ataques cibernéticos
amenazan con destruir nuestra infraestructura.”

A los riesgos y amenazas tradicionales (conflictos armados, terrorismo, flujos migratorios,

emergencias y catástrofes, inestabilidad económica y política, entre otras), se han sumado los ries-
gos y amenazas cibernéticas, las cuales inciden altamente en la seguridad nacional de los países, y
que también han encontrado en las CI un objetivo con repercusiones fatales. Por lo que resulta in-
teresante conocer quienes están detrás de este tipo de amenazas y cuales son sus motivaciones,
y más importante, cuales son las técnicas de hacking que están utilizando para vulnerar las CI.
Es un hecho reconocido a nivel mundial que las amenazas cibernéticas son amenazas
reales y presentes que afectan la estabilidad económica, social y política de cualquier sociedad, y
los países de nuestra región no son la excepción. Pese a que las amenazas cibernéticas no cuentan
con medio siglo de vida, lo cierto es que los objetivos y motivos perseguidos por los atacantes
han variado a lo largo de los años. Al inicio, los ataques cibernéticos tenían motivos o intenciones
incluso inocentes, pues tenían como objetivo poner a prueba sus habilidades y conocimientos in-
formáticos, como lo acontecido con el famoso gusano creado por el señor Robert Morris en 1988.
Sin embargo, hoy en día los ataques cibernéticos son cada vez más sofisticados y sus intenciones
ahora son económicas y/o políticas, como lo sucedido en el año 2014 con el supuesto ataque de
Corea del Norte a la empresa Sony, producto del lanzamiento de la película “The Interview”.

21
 3.1 Actores
Consideramos conveniente que para entender las amenazas cibernéticas también debe-
mos identificar quienes son los actores detrás de este tipo de ataques y cuáles son sus inten-
ciones.
Dentro de los perfiles de los atacantes cibernéticos que ponen en riesgo la seguridad na-
cional encontramos:

Agencias Gubernamentales/Estados:
Son organizaciones patrocinadas por el gobierno de un país, por ejemplo, los hackers del
gobierno chino y la Agencia Nacional de Seguridad (NSA) de los Estados Unidos. Tienen como
propósito obtener información clasificada o sensible sin la autorización del propietario de la mis-
ma, el cual podría ser otro Estado, organizaciones públicas o privadas e incluso individuos. La
principal diferencia entre los actores patrocinados por un Estado y los cibercriminales es que los
primeros pueden invertir en programas de investigación y desarrollo para lograr su objetivo sin
pensar en recuperar la inversión o generar algún tipo de beneficio económico. Este grupo elite de
actores tienen una agenda política y están directamente relacionados a agencias de inteligencia o
militares, y poseen amplios conocimientos técnicos. Normalmente este tipo de actores actúan de
forma encubierta y nunca se atribuyen la autoría de un ataque. Este tipo de espionaje cibernético
es considerado una actividad necesaria tanto para medir fuerzas en la economía mundial como
para monitorear las capacidades cibernéticas de los adversarios, lo cual es esencial para la segu-
ridad nacional de los países.

Ciberterroristas:
Son simplemente terroristas que usan de forma intencional la informática, redes y el Internet para
perpetrar sus ataques y generar terror colectivo. Sus motivos podrían ser políticos o ideológicos,
pues sigue siendo una forma de terrorismo. Eugene Kaspersky, fundador de Kaspersky Lab, sos-
tiene que el término “ciberterrorismo” es más atinado que el término “ciberguerra”, pues en los
ataques de hoy día no se tiene una pista quien los realizó o cuándo van a atacar nuevamente.
Expertos sostienen que el terror cibernético es uno de los peligros más alarmantes de nuestra
época.

Cibercrimen Organizado:
Crimen organizado en el ciberespacio puede ser visto de la misma manera que su equiva-
lente en el mundo real. Sin embargo, el anonimato y el mundo sin fronteras del ciberespacio per-
mite que individuos en diferentes partes del mundo se asocien y formen redes criminales para tra-
bajar con un mismo objetivo. Estos grupos no solo se dedican al pirateo o estafas cibernéticas o
a ataques de denegación de servicios esenciales, sino también se dedican al robo de identidades,
extorsión, acoso, pornografía infantil y trata de personas. Aunque este tipo de agrupaciones están
dispersas por todo el mundo, Europa del este, y el oeste de África son zonas geográficas recono-
cidas por tener altos índices de organizaciones criminales.

22
 Ciberactivistas:
Ciberactivismo es el uso de los recursos del ciberespacio de manera legal o ilegal (quizá más
común) como un medio de protesta general o para promover una determinada ideología o agenda
política. Ciberactivismo también puede ser catalogado como una forma de alcanzar propósitos u
objetivos políticos, militares o comerciales solapados. Las herramientas usadas por los ciberactiv-
istas incluyen alteraciones a sitios web, redireccionamiento de recursos en el Internet, ataques de
denegación de servicio, robo de información, burlas a sitios web, protestas virtuales y una varie-
dad de sabotajes cibernéticos. Uno de los grupos de ciberactivistas más famoso es Anonymous,
el cual está en contra de cualquier tipo de injusticia, y ha perpetrado ataques en contra de ISIS e
incluso han atacado el Pentágono, Visa, Paypal y MasterCard, éstas últimas por negarse a pagarle
a Wikileaks. Anonymous tiene seguidores en todo el mundo, incluso en nuestra región.

Hackers:
Son personas con un amplio conocimiento y habilidades en informática. Los hackers
podrían tener una gran variedad de motivos o incentivos, tales como la curiosidad, beneficios
económicos, agendas políticas, atracción a cambios tecnológicos o meramente ocio. Aunque el
término “hacker” actualmente denota cualquier tipo de actividad informática ilícita, originalmente
ese término era usado para describir a personas con amplios conocimientos y aptitudes técnicas,
pues el término “cracker” era usado para describir a los “hackers” pero con intenciones maliciosas.
Actualmente, éstos se clasifican en hacker de sombrero negro (black-hat hackers): que son aquel-
los que tienen intenciones maliciosas y sombrero blanco (white-hat hackers o ethical hackers):
que son los que descubren debilidades de los sistemas informáticos o redes con el propósito de
mejorarlos. Usualmente estos últimos son contratados por empresas a nivel mundial con el fin de
detectar las vulnerabilidades de sistemas, programas, redes y corregir las fallas antes de que un
black-hat hacker las descubra y ponga en riesgo a la organización. También se habla de “patriot
hackers”, quienes apoyan las acciones de su gobierno en conflictos o guerras y por ende, realizan
acciones disruptivas y dirigidas a los países enemigos. La mayoría de hackers en China podrían
encasillarse en esta categoría. Rusia también es casa de este tipo de hackers, los cuales estuvieron
involucrados en los ataques a Estonia en el año 2007, a Georgia en el año 2008, entre otros
ataques.

Infiltrados o CyberInsiders:
Son personas que tienen acceso legítimo a computadoras, programas y redes de una de-
terminada organización pública o privada, pero que están dispuestos a traicionar a su empleador
a cambio de un beneficio económico o incluso motivados por otras razones. Puede que hayan
llegado a la organización con la única intención de infiltrarse para perpetrar los actos ilícitos o
que posteriormente hayan surgido situaciones que cambiaran sus intenciones, por ejemplo, Ed-
ward Snowden. Este tipo de actores podrían instalar bombas lógicas o dejar accesos abiertos en
programas que ellos ayudaron a desarrollar o robar información sensible (secretos corporativos
o de estado) que posteriormente puede ser vendida a competidores o a agencias de inteligencia
de otros países. Este tipo de ataque son muy difíciles de mitigar, pues el infiltrado cuenta con las
credenciales o autorizaciones para ingresar legítimamente a las computadoras, sistemas o redes.

23
Ciudadanos Ordinarios: Uno de los actores más comunes en el ciberespacio son los ciudadanos
ordinarios, los cuales usan el Internet con propósitos legítimos, tales como búsquedas en la web
o acceder a servicios en línea. Sin embargo, cuando se trata de interacciones cibernéticas los ci-
udadanos ordinarios podrían convertirse en actores pasivos, por ejemplo, un “zombified victim”
de un botnet, por ejemplo, un ejército de computadoras conectadas a internet cuyas defensas
de seguridad han sido violentadas y cedidas a actores maliciosos o quienes conscientes y volun-
tariamente dejan a actores maliciosos manejar sus recursos y equipos en acciones ilícitas en el
ciberespacio.

3.2 Motivaciones
Con respecto a las intenciones de los actores de amenazas cibernéticas, podemos rescatar
que existen al menos 3 tipos:
• Motivaciones políticas: entre ellas la destrucción, interrupción o toma de control de los
blancos u objetivos del ataque, espionaje y hacer declaraciones políticas, protestas o
acciones de represalia.
• Motivaciones económicas: el robo de propiedad intelectual y activos de alto valor
económico, por ejemplo, información de tarjetas de crédito, fraude, espionaje, sabotaje
industrial y chantaje.
• Motivaciones socio-culturales: ataques con propósitos filosóficos, teológicos, políticos
e incluso humanitarios. También incluye aquellos ejecutados por diversión, curiosidad,
e impulsados por la publicidad y satisfacción personal.

3.3 Riesgos y Amenazas Cibernéticas:

Recomendamos este video introductorio sobre que se entiende por virus, troyano, gusa-
no y otros códigos maliciosos.

24
 La valoración de los riesgos, amenazas cibernéticas, actuales y futuras, es tema a tener en
cuenta para definir y establecer las estrategias, defensas y capacidades de seguridad cibernética.
En ese sentido, es preciso tener presente la prevención, detección, respuesta, mitigación y recu-
peración junto con la cooperación internacional. Hace más de quince años, los riesgos del ciber-
espacio y los retos a la seguridad sólo se discutían en pequeños grupos de expertos técnicos; sin
embargo, desde los ataques del 9/11 se hizo evidente que el mundo cibernético implica serias
vulnerabilidades para todo el mundo.
El ciberespionaje, cibercrimen, ciberterrorismo y cibersabotaje a las infraestructuras críti-
cas son quizá las mayores preocupaciones de los Estados a nivel mundial. Dos acontecimientos
han servido para aumentar la concienciación mundial con respecto a este tema: La operación
“Octubre Rojo” y el descubrimiento del APT1. Octubre Rojo (Rocra, por sus siglas en inglés) fue
una campaña de ciberespionaje a gran escala en la que un complejo troyano tomó control de la
información de empresas, organismos gubernamentales y agencias diplomáticas de casi 40 países.
APT1 es una agrupación china dedicada al espionaje internacional desde el 2006. Es probable que
este grupo de ciberdelincuentes cuente con el auspicio del gobierno chino.
A continuación, abordaremos algunas de las amenazas más importantes de los últimos
tiempos, los cuales han generado un impacto importante en la seguridad nacional de los países
que fueron víctimas de estos ataques:
• Ransomware: Es un código malicioso que está diseñado para secuestrar datos, una for-
ma de explotación en la cual el atacante encripta los datos de la víctima y exige un pago
o rescate por la clave de descifrado. Se ha convertido en una de las amenazas de mayor
crecimiento a nivel global y está afectando a todo tipo de organizaciones, públicas y
privadas. Se propaga a través de archivos adjunto de correo electrónico, programas
infectados y sitios web comprometidos. También se le conoce como criptovirus, crip-
totroyano o criptogusano. Según un informe de Kaspersky Lab, el ransomware se in-
crementó en un 60% en la región y los ataques se manifestaron vía correo electrónico.
• Stuxnet: Es un programa de software malicioso del tipo troyano muy avanzado, descu-
bierto en el 2010 y que se aprovecha de las vulnerabilidades de los sistemas SCADA
(Supervisory Control and Data Acquisition, por sus siglas en inglés), los cuales son uti-
lizados en infraestructuras críticas, tales como el control de centrales o plantas eléctri-
cas, centrales nucleares, plataformas petroleras, entre otros, con el objeto de causarles
algún daño importante. Stuxnet utiliza técnicas de rootkit para instalarse en el sistema
operativo, queda oculto en el equipo hasta que el autor decide activarlo y generar
el daño. Los perpetradores no utilizan Internet para infectar los sistemas, se supone
que este software malicioso se introduce a través de memorias portátiles tipo USB y
luego se multiplica pasando de un computador a otro, dañando tanto sitios web como
sistemas operativos. Según Eugene Kaspersky, este software malicioso es autoría de
algunos estados, ya que sólo éstos tienen los recursos para montar una operación se-
mejante.

25
• Duqu: Se trata de un gusano informático altamente sofisticado que tiene similitudes
con Stuxnet, pero con un objetivo totalmente diferente. El propósito del Duqu es re-
alizar acciones de ciberespionaje, recopilando información de inteligencia y de activos
de entidades con miras a un ataque futuro. Duqu fue detectado después de varios
ataques a Hungría, Austria, Indonesia, Reino Unido, Sudán e Irán, también hay pruebas
de que este programa malicioso fue usado para espiar el programa nuclear de Irán. Se
cree que fue desarrollado por Estados Unidos e Israel. Duqu 2.0 es aún más malo y
más depurado que su versión anterior y tiene módulos de recolección de inteligencia
dirigidas a los operadores de telecomunicaciones de todo el mundo. Sin duda es una
plataforma de ciberespionaje sofisticado.
• Flame: Es un programa malicioso que fue descubierto en el 2012 por expertos de
Kaspersky Lab durante una investigación impulsada por la UIT. A la fecha sigue siendo
una de las campañas de ciberespionajes más complejas, ya que es capaz de robar infor-
mación sensible de las computadoras del usuario, así como contenidos de la pantalla
del equipo, información sobre sistemas específicos, archivos almacenados, datos de
contacto y conversaciones, para posteriormente enviarlos a una red de servidores ubi-
cados en diferentes países. Los primeros objetivos fueron Cisjordania, Palestina, Hun-
gría, Irán y Líbano, luego se extendió a Rusia, Austria, Hong Kong y los Emiratos Árabes
Unidos.
• Botnets: Básicamente son redes de computadoras zombis. Se está utilizando para enviar
correos basura o spam de forma masiva y ataques de espionaje en contra de empresas.
Un botnet se crea infectando computadoras sin que sus propietarios o usuarios lo
conozcan. Cada máquina reclutada por el virus se pone en contacto con el cibercriminal
y espera instrucciones para proceder con los ataques. Los perpetradores desarrollan los
Botnets y los venden o alquilan a empresas, que desean mandar correos basura o spam,
bombardear, espiar a otras empresas o robar datos bancarios. El software malicioso
puede enviarse por correo electrónico, aunque lo normal es que lo pongan en un sitio
web de alto tránsito. Una vez dentro de la computadora, el virus descarga un programa
y lo instala, enlazando la computadora infectada con la red que permite el control re-
moto.
• DDoS (Ataques Distribuidos de Denegación de Servicio): Básicamente este consiste en
bloquear un sitio web de una forma sencilla y efectiva, y se puede realizar de forma
voluntaria, siguiendo las instrucciones dadas para iniciar el ataque a una hora determi-
nada en una convocatoria mediante foros o blogs, o utilizando redes de computadoras
previamente infectadas por un virus (Bonet), de tal forma que los usuarios ni siquiera
saben que su computadora está infectada ni mucho menos que está siendo manipulada
para realizar el ataque DDoS. Este tipo de ataques no siempre responden a motiva-
ciones ideológicas y se están dando cada vez más con intenciones extorsivas.
• Zeus: Es un virus de tipo botnet (troyano) que se propaga por los navegadores de In-
ternet (Explorer, Firefox, etc.). Este malware recopila información sensible del usuario,
tales como contraseñas de internet y redes sociales, utilizando las mismas para suplan-
tar la identidad y realizar robo de datos bancarios. Gracias a este tipo de malware los
cibercriminales han podido sustraer hasta 10 millones de dólares de un banco en sólo
24 horas.

26
 • Black Energy: Es un troyano de propósito múltiple que ha sido utilizado desde el 2007
en ataques de tipo denegación de servicio y amenaza persistente avanzada. Una vez
instalado, este malware verifica que el equipo afectado realmente pertenezca al ob-
jetivo al que se quiere atacar e instala una puerta trasera (backdoor) SSH de manera
que el atacante puede tomar control efectivo del equipo afectado. En el año 2015,
BlackEnergy, junto con KillDisk, fueron utilizados en Ucrania contra medios de comu-
nicación durante las elecciones locales y contra empresas del sector eléctrico a finales
de ese año. Nuevamente utilizado en el año 2016 en una subestación eléctrica en las
cercanías de Kiev.
• Havex: Es un malware diseñado para realizar espionaje cibernético y para realizar sab-
otaje industrial. Puede ser utilizado para realizar ataques al sistema eléctrico, e incluso,
podría dejar fuera de servicio a una red eléctrica completa de cualquier país del mundo.
Es un troyano que ha sido originalmente programado, para tomar control total de
los sistemas de control industrial (ICS por sus siglas en inglés). Una vez infectado el
sistema, utiliza una puerta trasera (backdoor), que abre para que el atacante pueda
hacer de las suyas en los sistemas infectados por Havex (mbcheck.dll). De esta manera,
el atacante puede tomar control total de los sistemas de monitoreo y supervisión, así
como accesar a datos importantes de las victimas (específicamente, a empresas que
utilizan sistemas SCADA). Así, el atacante puede dejar desactivado cualquier artefacto
de una empresa o industria, como, por ejemplo, las turbinas de una central hidroeléc-
trica, hasta sobrecargar reactores de todo tipo. De hecho, se utiliza mucho para realizar
ataques a centrales eléctricas de todo el mundo.
Para lograr ese objetivo, Havex se vale de dos herramientas conocidas, el backdoor
Oldrea y el trojan Karagany. Por su poder y riesgo, se considera a Havex como el suce-
sor del famoso malware de espionaje industrial STUXNET. Aunque la mayoría de los
ataques se han centrado en Europa y Estados Unidos, nadie es inmune a este malware
industrial.

Quienes deseen ahondar más en los códigos maliciosos y técnicas de hacking que podrían
afectar a las CII, les recomendamos revisar los siguientes enlaces:
• Doble de Ataques a Infraestructuras Críticas
• La industria, la salud y los juegos, bajo ataque cibernético
• Ciberseguridad en Infraestructura Crítica
• Conciencia en la Seguridad Informática

27
 3.4 Casos Reales de Ataques a Infraestructuras Críticas a Nivel Mundial

Oleoducto Siberiano (1982)

Al pensar en ataques cibernéticos a infraestructuras críticas, el término Internet nos ven-
drá a la mente de forma casi inmediata. Sin embargo, el primer ataque cibernético de este tipo
sucedió mucho antes de que el Internet fuera lo que es hoy en día. Se dio en 1982 cuando los
atacantes consiguieron instalar un troyano en el sistema SCADA que controlaba el oleoducto
siberiano y que provocó una enorme explosión en el mismo. EL ataque fue orquestado por la CIA,
y no se supo de él hasta el 2004, cuando Thomas C Reed, antiguo subsecretario del Ministerio de
Defensa de Estados Unidos y asesor de Ronald Reagan, publicó el libro “At the Abyss: An Insider´s
History of the Cold War”, donde desvelaba la historia.
Lectura complementaria: El mayor sabotaje de la Guerra Fría

Chevron (1992)
Este incidente tuvo lugar en 1992, cuando un trabajador fue despedido de la compañía
petrolera Chevron, por hackear los ordenadores de la compañía que se encargaban del sistema de
alertas, pues los reconfiguró para que dejaran de funcionar cuando se pusiera en marcha. No se
descubrió el sabotaje hasta que, en Richmond, California, hubo un incidente en el que se liberó
una sustancia nociva y el sistema no mandó la alerta respectiva, poniendo en riesgo a miles de
personas durante las diez horas en las que el sistema estuvo sin funcionar.

Proyecto Salt River (1994)

En agosto del 1994, Lane Jarret Davies consiguió entrar a la red del Salt River Project a
través de un módem, consiguiendo acceso a información y borrando archivos de los sistemas
responsables de la monitorización entrega de agua y electricidad a sus consumidores. También
consiguió acceso a información personal y financiera tanto de clientes como de trabajadores.
Aeropuerto (1997)
El sector aéreo también ha sufrido ataques dirigidos. El 10 de marzo de 1997 un hacker se
filtró en el sistema de control utilizado para las comunicaciones de tráfico aéreo en el aeropuerto
de Worcester, Massachusetts, causando un fallo que dejó fuera de funcionamiento el sistema
telefónico de la torre durante 6 horas. En concreto afectó el servicio telefónico de la torre de con-
trol, del Dpto. de Bomberos del aeropuerto, del servicio meteorológico y de las compañías aéreas
que estaban en el aeropuerto.

28
 Gazprom (1999)
En 1999 un hacker consiguió burlar los sistemas de seguridad de la compañía rusa Gaz-
prom -con ayuda de alguien que trabajaba en la empresa- y se infiltró en el control de los sistemas
SCADA, específicamente en la central encargada de manejar los flujos de gas. Para ello utilizó un
troyano. Afortunadamente no tuvo mayores consecuencias y en cuestión de horas los personeros
de la empresa tomaron control de la situación.

Sistema de Agua de Maroochy (2000)

Dos años de prisión fue la condena impuesta a un exempleado del Sistema de Agua Mar-
rochy, quien había hackeado el sistema de control de aguas y provocó un vertido de un millón de
litros de aguas residuales en un río cercano, inundando también los bajos de un hotel.

Planta de Gas (2001)
Una planta de procesamiento de gas operada por una compañía petrolífera de Estados
Unidos sufrió un ataque en el año 2001. Tras una investigación que duró 6 meses, se logró deter-
minar que fue obra de uno de los proveedores, que de cara a encubrir un error que había provo-
cado en uno de los ordenadores, crearon esta “distracción” hackeando 3 sistemas de la empresa y
provocando el corte de gas en hogares y empresas de un país europeo.

PDVSA (2002)
En diciembre de 2002, la petrolera venezolana PDVSA sufrió un ataque que bajó la produc-
ción de petróleo del país de 3 millones de barriles a 370.000 en un día. El ataque se llevó a cabo
mediante el hackeo de diferentes ordenadores de la compañía. El incidente tuvo lugar mientras
el personal de la compañía se encontraba en huelga, por lo que todo apuntó a que se trató de un
cibersabotaje realizado por uno o varios de sus empleados.

Semáforos de Los Ángeles (2006)

En el año 2006, dos ingenieros de tráfico de Los Ángeles hackeron los semáforos de la
ciudad durante una protesta laboral. Cambiaron la programación de algunos de ellos -estratégica-
mente escogidos en cruces con mucho tráfico- para que la luz roja estuviera mucho más tiempo
encendida, generando grandes atascos.

29
 Infraestructura de Internet (2007)
En Estonia el 27 de abril del 2007 se dieron una serie de ataques cibernéticos que colapsa-
ron las páginas web de una gran cantidad de organizaciones, incluyendo la del parlamento, min-
isterios, bancos, periódicos y otros medios de comunicación, entre otros. Pero el ataque también
fue contra direcciones de red no conocidas públicamente, entre las que se incluían el procesa-
miento de ordenes financieras y de servicios de telecomunicaciones del país.

Planta Nuclear (2008)

En el año 2008 se dio un incidente que definitivamente marcó un antes y un después en
el campo de la protección de las infraestructuras críticas. Los atacantes crearon un gusano que,
al infectar los ordenadores que controlaban las centrifugas de uranio de la planta iraní de Natanz
hacía que éstas fueran a máxima velocidad mientras que al mismo tiempo la información en las
pantallas de los terminales mostraba que todo estaba bien, haciendo creer a los ingenieros que
el proceso transcurría normal. Esto causó un daño físico en todas las centrifugas de uranio de la
planta. Supuestamente los servicios de inteligencia israelí y estadounidense están detrás de este
incidente.

Tranvías de Lodz (2008)
En el año 2008 un estudiante de origen polaco de 14 años hackeó el sistema de tranvías
de la ciudad de Lodz, en Polonia. El resultado: 4 tranvías se descarrilaron, causando que 12 perso-
nas resultaran gravemente heridas. El estudiante construyó un mando de infrarrojos similar a un
mando de televisión con el que podía controlar los cruces de vías.

Saudi Aramco (2012)

En el año 2012, la mayor compañía petrolera del mundo, Saudi Aramco, fue víctima de un
ataque dirigido en su cuartel general. Los atacantes habían conseguido acceso a la red a través de
un ataque a uno de sus empleados, y desde ahí consiguieron acceso a 30.000 ordenadores de la
empresa. En un momento dado los atacantes borraron el contenido de todos los ordenadores al
mismo tiempo que en la pantalla se mostraba una bandera estadounidense en llamas. Un grupo
autodenominado “Cutting Sword of Justice” se hizo responsable del ataque.

RasGas (2012)
Tan solo dos semanas después del ataque a Saudi Aramco, la empresa qatarí RasGas, la
segunda mayor productora de gas natural licuado del mundo, sufrió un ataque con el mismo mal-
ware utilizado en la petrolera saudí. Durante varios días tanto la red interna de la empresa como
su página web estuviera caídas.

30
 Represa Hidroeléctrica (2013)
Este incidente se dio en una represa ubicada en Rye, Nueva York, ubicada a unas 20 millas
de la Ciudad de Nueva York. Los atacantes lograron accesar a la represa mediante un modem celu-
lar y tomaron control de las compuertas. Supuestamente, SOBH Cyber Jihad, en coordinación
con otro grupo hacker iraní, Paratoo, se atribuyeron la responsabilidad de este incidente.

Planta Metalúrgica Alemana (2014)

En el año 2014 una planta metalúrgica fue víctima de un ataque. A través de técnicas de ingeniería
social, los atacantes consiguieron acceder al ordenador de un empleado, y desde ahí, consiguieron
accesar a la red interna del sistema de control. Como consecuencia de esto, al apagar uno de los
hornos, este no obedeció y se quedó encendido, lo que causó un daño masivo en las instalaciones.

Red Eléctrica Ucraniana (2015)

A finales del año 2015, Ucrania sufrió un ciberataque a su red eléctrica que dejó sin en-
ergía a más de 600.000 habitantes del país. En este ataque se usó el troyano BlackEnergy el cual
permitió a los atacantes a accesar a los sistemas y cortar el servicio eléctrico. Además, lanzaron
un ataque de DDos para impedir que llegaran los reportes de los usuarios e intentaron dañar la
configuración de los sistemas SCADA como una manera de entorpecer la reactivación del sistema
eléctrico. Se supone que Rusia estuvo detrás de este incidente. En 2014, el ICS-CERT de los Es-
tados Unidos logró frustrar un incidente similar, al parecer orquestado por los mismos actores.

Red Eléctrica Ucraniana (2016)

El 17 de diciembre del año 2016 casi a medianoche nuevamente se dio un apagón, en esta
oportunidad fue la subestación ubicada en Pivnichna. Afortunadamente, una hora después el ser-
vicio estaba reestablecido. Se detectó que volvieron a usar los malwares BlackEnergy y KillDisk.
En el ciberataque del 2015, los atacantes impactaron varias subestaciones, mientras que en el
2016 solo una.
Pueden ampliar sobre este ciberataque en el reporte del ICS-CERT, en el reporte de weli-
vesecurity, y en el reporte de INCIBE sobre BlackEnergy y los sistemas críticos.

31