Por Franck Cecile - TheExpert Cybersecurity Squad
Guerra cibernética ofensiva, ciberataques, control de la información… Todos estos temas aparecen cada vez con más frecuencia en las noticias y van moldeando poco a poco nuestro mundo, sin que necesariamente nos demos cuenta. Todos ellos contribuyen a la puesta en marcha de lo que comúnmente se denomina «ciberguerra» —o guerra del futuro— a través de un nuevo arma, aún relativamente desconocida o incomprendida por el gran público: el arma cibernética. Pero, ¿de qué se trata exactamente? ¿Quién la utiliza, cómo, con qué impacto y sobre qué objetivos? ¿Qué ventajas estratégicas, económicas o militares permite obtener? ¿Cómo se está estructurando el mundo ante esta nueva amenaza? ¿Y qué impacto puede tener esto en nuestras vidas? Pero, sobre todo, ¿en qué nos afecta a nosotros, como particulares?
Estas son las cuestiones sobre las que intentaremos arrojar algo de luz y ofrecer algunas respuestas iniciales a lo largo de este dossier; sería presuntuoso pensar que el tema puede presentarse y comprenderse en su totalidad, dado lo reciente y cambiante que es, y lo variados que son sus retos. En primer lugar, nos centraremos en los hechos para trazar un panorama de la situación actual. El objetivo será poner de relieve las fuentes de riesgo e identificar las posibles amenazas que conlleva esta nueva arma. A continuación, analizaremos las tendencias para intentar vislumbrar cómo podrían desarrollarse los acontecimientos y qué sucesos son motivo de preocupación. Por último, intentaremos enumerar una serie de propuestas de mejora, con el fin de protegernos mejor frente a estas nuevas amenazas.
Pero antes de entrar en materia, aclaremos el significado de los términos que vamos a utilizar.
¿Qué significan realmente los términos «ciber»?
Desde hace ya una década, el término «ciber» vuelve a estar en el punto de mira con regularidad. Ciberespacio, ciberataque, ciberdefensa, ciberguerra… Términos que a menudo evocan enfrentamientos librados en un espacio virtual. Sin embargo, muchos expertos en la materia aún no dominan bien estos diferentes términos, y son pocos los que son capaces de explicarlos con detalle. El término «ciber» se utiliza de forma indiscriminada y se asocia a prácticamente cualquier tipo de actividad para despertar el interés y halagar el ego. Sin embargo, todos estos términos siguen estando vinculados a una actividad: la seguridad digital.
¿Qué es el ciberespacio?
La etimología del término «ciber» significa «gobernar». Esto no nos aclara mucho más de qué se trata, por lo que resulta más pertinente fijarnos en sus componentes. El ciberespacio es un entorno virtual compuesto por bienes materiales ( equipos informáticos) que procesan bienes inmateriales ( información uoperaciones digitales).
Un equipo o sistema se considera informatizado —y, por lo tanto, expuesto al riesgo cibernético— si su comportamiento nominal puede modificarse a través de una capa lógica (es decir, si es «programable»). Por ejemplo:
- Una puerta con manilla mecánica requiere necesariamente una acción manual para abrirse. Ningún componente informático ni tarjeta electrónica puede activar su apertura. Por lo tanto, estos no forman parte del ciberespacio.
- Por el contrario, un robot aspirador autónomo que se pueda controlar a distancia (especialmente los que se conectan a Internet) puede ser objeto (o el origen) de un ataque informático: es posible modificar su programa, alterando así su modo de funcionamiento original.
Por lo tanto, los elementos materiales que conforman el ciberespacio no son solo teléfonos inteligentes, ordenadores personales o servidores, sino que también incluyenel IoT (Internet de las cosas) y, en términos más generales, todos los componentes electrónicos denominados «inteligentes» o «conectados».
Estos equipos informáticos alojan y transmiten un conjuntode información digital ( datos, como un sitio web, una fotografía, un documento, un directorio de empresas…) uoperaciones digitales(acciones que permiten controlar, por ejemplo, autómatas industriales; volveremos sobre esto más adelante con más detalle).
Este conjunto de datos y operaciones está interconectado y se aloja en sistemas de información, cuya implantación y gestión corre a cargo del departamento deTI ( Tecnologías de la Información).
El mundo cibernético —o ciberespacio— se compone, por tanto, de una multitud de sistemas informáticos (ordenadores personales, servidores, controladores industriales, teléfonos inteligentes, placas electrónicas...) que transmiten información u operaciones digitales a través de una red común. La más conocida de ellas es Internet, pero no hay que olvidar las redes privadas o aisladas.
Ciberseguridad frente a ciberdefensa
La propia definición de ciberseguridad no cuenta con el consenso de todos los actores y expertos que se dedican a ella. Son pocos los que son capaces de explicar la diferencia con la ciberdefensa. Afortunadamente, en Francia tenemos la suerte de contar con la ANSSI, que se ha consolidado como la autoridad en materia de seguridad digital y que ya en 2011 propuso una definición a través de su publicación «Defensa y seguridad de los sistemas de información: estrategia de Francia»:
- Ciberseguridad: estado deseado para un sistema de información que le permite resistir incidentes procedentes del ciberespacio que puedan comprometer la disponibilidad, la integridad o la confidencialidad de los datos almacenados, tratados o transmitidos, así como de los servicios relacionados que dichos sistemas ofrecen o a los que dan acceso.
- Ciberdesdefensa: conjunto de medidas técnicas y no técnicas que permiten a un Estado defender en el ciberespacio los sistemas de información considerados esenciales.
En resumen, la ciberdefensa se define aquí como la actividad de seguridad de los sistemas de información (el conjunto de medios técnicos, organizativos, jurídicos y humanos destinados a proteger la disponibilidad, la integridad, la confidencialidad y la trazabilidad de la información digital de una empresa o un particular) que permite alcanzar un estado de ciberseguridad.
Sin embargo, la ciberdefensa se distingue en cierta medida de la seguridad de los sistemas de información (SSI). Los objetivos son diferentes. Se dará prioridad al término «ciber» cuando un Estado, una autoridad administrativa, un operador de importancia vital (OIV), una entidad militar o incluso una o varias vidas humanas se vean afectadas por un riesgo digital. En los demás casos, se hablará más bien de SSI.
Definiciones oficiales y actividades relacionadas con la ciberseguridad
¡Pero resulta que! Dado que el mundo cibernético ha evolucionado considerablemente en los últimos años, también lo ha hecho el significado de los términos. Han surgido otros nuevos, y Francia ha aprovechado para publicar una serie de definiciones en el Boletín Oficial del 19 de septiembre de 2017. Estas aclaraciones sirven para aportar coherencia entre las diferentes entidades estatales que están implantando una organización cibernética, especialmente en el ámbito militar. Sin entrar en detalles ni enumerar las definiciones una por una, la actividad de SSI equivale a la ciberprotección, mientras que el significado de ciberdefensa está evolucionando. Se puede resumir lo siguiente de la siguiente manera:
Ciberseguridad = Ciberprotección + Ciberdefensa + Ciberresiliencia
- La ciberprotección es sinónimo de seguridad de los sistemas de información. Consiste en aplicar medidas de seguridad (organizativas o técnicas) con el fin de ralentizar o bloquear los ataques, en particular mediante la segmentación de los sistemas y la aplicación del principio de defensa en profundidad.
- La ciberdefensa corresponde a la LID (Lucha Informática Defensiva). Su objetivo es complementar las medidas de protección mediante la implementación de capacidades de detección, identificación y reacción ante los ataques, en particular a través de la puesta en marcha de un SOC (Centro de Operaciones de Seguridad). Estos se basan principalmente en el control de integridad, el análisis antimalware y antivirus, la detección y prevención de intrusiones, y la recopilación y correlación de eventos (en particular a través de SIEM).
- La ciberresilienciaqueda garantizada mediante el MCS (Mantenimiento en Condiciones de Seguridad). Esta actividad tiene por objeto mantener el nivel de seguridad de un sistema de información a lo largo del tiempo, resistir un ataque y volver a su estado inicial en caso de incidente. Nos referiremos principalmente a la vigilancia de las vulnerabilidades y fallos del sistema, así como a las actualizaciones de seguridad. Esto también puede complementarse con la implantación de PCA/PRA (Plan de Continuidad o de Recuperación de la Actividad) para garantizar la ciberresiliencia de un SI en caso de fallo de un medio de soporte.
Otros términos cibernéticos cada vez más extendidos también encuentran una definición oficial en esta publicación del BOE. El más interesante es el de LIO (Lucha Informática Ofensiva). De hecho, Francia se ha dotado recientemente de una doctrina militar (pública y confidencial) en este ámbito. Próximamente publicaremos un artículo sobre este tema. No obstante, todos conservan esa connotación estatal, cuyos retos ya no se limitan únicamente a los bienes, sino que abarcan también a las personas.
TI frente a TO
Un último concepto que parece imprescindible abordar es la distinción entre las tecnologías de la información (TI) y las tecnologías de operaciones (TO), un término mucho más reciente y aún poco extendido.
Si bien la TI se ha asociado históricamente a los sistemas de información, la TO es, por su parte, su equivalente en el ámbito industrial. Con esto se entiende que se trata de sistemas de información específicos de cada sector, que no gestionan información digital, sino operaciones digitalizadas (realizadas mediante herramientas informáticas) que permiten activar, gestionar o controlar autómatas y máquinas. Son los sistemas que se encuentran, en particular, en infraestructuras críticas, como la gestión del agua, el gas, el petróleo y la energía, pero también en la gestión del tráfico rodado y aéreo, los sistemas de pilotaje de un avión, de un buque... Mientras que la TI suele ofrecer un sistema de información ofimático (estaciones cliente-servidor; herramientas administrativas, teléfonos, impresoras...), la TO ofrece sistemas industriales (informatizados) que permiten el control de autómatas.
Históricamente, ambos mundos han evolucionado en paralelo, con algunos intentos de acercamiento que, por lo general, han acabado en fracaso. Si bien el mundo de las TI se ha estructurado estratégicamente (gobernanza y organización, normas, SMSI, análisis de riesgos…) y operativamente (defensa en profundidad, refuerzo y vigilancia tecnológica, implementación de soluciones de seguridad…), el de la TO no ha seguido (o apenas) ese camino. Aunque la conectividad y la superficie de ataque de este último son mínimas en comparación con las de las TI, no por ello deja de estar expuesto al riesgo cibernético. En cierto modo, incluso más. El impacto de un ataque informático en uno de estos sistemas tendría consecuencias mucho más graves. A esto se suman problemas cada vez mayores. Por un lado, la falta de seguridad de los sistemas industriales (fallos y vulnerabilidades, obsolescencia…), constantemente señalada. Y, por otro lado, la convergencia cada vez más evidente entre la TI y la TO; la creciente conectividad entre estos sistemas de información aumentará significativamente la superficie de ataque y, por lo tanto, los riesgos cibernéticos. La TO forma, por tanto, parte integrante del ciberespacio.
El conflicto en el ciberespacio
En un mundo cada vez más conectado, ahora es evidente que los ciberataques ya no se limitan únicamente a dejar un sitio web fuera de servicio o a robar información. A medida que la superficie de ataque crece día a día, los impactos potenciales aumentan exponencialmente. La época en la que simples geeks se divertían desfigurando un sitio web por diversión ha dado paso a atacantes organizados, con motivos mucho más nefastos, a menudo financiados por Estados o mafias. Ataques terroristas contra centrales nucleares o presas, neutralización de los sistemas militares enemigos (buques, aeronaves, sistemas de armas…), indisponibilidad de los sistemas ferroviarios, bancarios y de comunicaciones, o incluso manipulación de masas…
El ciberespacio se ha convertido en un escenario de conflicto permanente, hasta el punto de dar lugar a un nuevo medio ofensivo: el arma cibernética. ¿En qué consiste exactamente? >> Próximamente publicaremos otro artículo al respecto.
Más información sobre este tema:
