Los ciberataques son una de las amenazas más significativas que pueden afectar a cualquier organización a través de la ciberinteligencia y, por ende, a una infraestructura crítica. Hoy en día, estos ataques son cada vez más sofisticados, con múltiples vectores y menos predecibles, lo que convierte su detección en una tarea más desafiante. Si bien detrás de la mayoría de los ciberataques están personas o grupos guiados por una motivación económica (un claro ejemplo son los ataques basados en ransomware), en el caso de las infraestructuras críticas, se deben tener en cuenta, además, otro tipo de motivaciones.
El impacto que la materialización de un ciberataque puede tener sobre una infraestructura crítica las convierte en objetivo prioritario de ataque de los grupos afines o patrocinados por Estados. Estos ataques están diseñados, no sólo para causar afecciones directas en el funcionamiento de las infraestructuras, sino también para desencadenar campañas de desprestigio y movilizaciones sociales en los países afectados.
A qué amenazas se enfrentan las infraestructuras críticas
En el ámbito de las infraestructuras críticas, se debe prestar especial atención a los ciberataques en los que se vislumbre la influencia de los Estados. Estos ciberataques suelen encuadrarse dentro de las amenazas conocidas como APT (Amenaza Persistente Avanzada), diseñadas para atacar mediante procesos sofisticados y permanecer ocultos dentro de la organización con el fin de desencadenar acciones de manera sigilosa.
Los ataques dirigidos contra infraestructuras críticas tienen por objeto, en la mayoría de los casos, causar afecciones a la operación de los servicios que prestan más que a robar datos. No obstante, estas organizaciones no son ajenas a las amenazas que impactan sobre las infraestructuras IT. El malware, el ransomware, el phishing y los ataques de denegación de servicio distribuidos (DDoS) son, igualmente, una amenaza a tener en cuenta por las infraestructuras críticas.
La evolución tecnológica esta promoviendo que infraestructuras críticas que hasta hace poco operaban de forma aislada se vayan incorporando a un escenario en el que predomina la interconexión entre dispositivos e, incluso, entre entidades de diferentes sectores. Esta circunstancia está exponiendo elementos de su infraestructura que hasta ahora permanecían ocultos. La caída de una de estas infraestructuras críticas podría causar una reacción en cadena que afectase a otras organizaciones.
Muchas de estas infraestructuras críticas pertenecen a sectores donde su operación depende en gran medida de los sistemas de control industrial (ICS) que integran la infraestructura OT. La protección de estos dispositivos genera gran preocupación dado que la seguridad que se aplica no alcanza el nivel que sí se observa en los entornos IT. Es por ello qué los ciberatacantes están centrando sus esfuerzos en alterar el funcionamiento de sistemas fundamentales para la operación, como los SCADA.
Por todo ello, las infraestructuras críticas necesitan dotarse de nuevos recursos defensivos que permitan hacer frente a estas amenazas. Es aquí donde entra en juego la ciberinteligencia o inteligencia de amenazas, también denominada CTI por sus siglas en inglés (Cyber Threat Intelligence).
Información de ciberinteligencia
Entre las muchas definiciones que podemos encontrar sobre el termino ciberinteligencia, una de las que mejor lo describe es la que propone el prestigioso SANS Institute al considerar la CTI como la información relativa a amenazas activas que puede ser aprovechada por la organización tanto para prevenir ataques futuros como para detectar aquellos que no se pueden revenir de una forma más rápida.
Así pues, una estrategia de ciberseguridad que dé cabida a la ciberinteligencia pretende recopilar información sobre las amenazas que pueden acechar a una organización, analizarla, procesarla y entregarla a los diferentes grupos de interés para adoptar medidas de prevención o respuesta. La ciberinteligencia se posiciona como un recurso defensivo proactivo que permite anticipar y detectar ciberataques facilitando información tanto de amenazas existentes como de aquellas consideradas potenciales.
En el proceso de generación de información de inteligencia, la primera tarea a realizar es la de identificar quiénes van a ser los consumidores principales de esa información. En base a ello, se puede clasificar la información de inteligencia en tres categorías:
Inteligencia táctica:
Se trata de información de uso inmediato, generalmente utilizada por parte del Centro de Operaciones de Seguridad (SOC) o por el Equipo de Respuesta a Incidentes (CSIRT) para detectar y responder a ciberataques en curso. La inteligencia táctica se centra, fundamentalmente, en el siguiente tipo de información:
- Indicadores de Compromiso (IoCs).
- Direcciones IP pertenecientes a activos maliciosos.
- Hashes de archivos involucrados en ataques de malware y ransomware.
Inteligencia operativa:
Se trata de información que permite adoptar medidas proactivas frente a posibles amenazas. Los consumidores de esta información son los responsables de la toma de decisiones en materia de ciberseguridad. La inteligencia operativa identifica actores maliciosos, vulnerabilidades, vectores de ataque y TTPs que puede afectar a la organización. En base a esta información se pueden establecer controles y adoptar medidas que frustren los ataques.
Inteligencia estratégica:
Se trata de información de alto nivel orientada a la toma de decisiones por parte de los equipos directivos de las organizaciones. Aquí, se suele encontrar información sobre el estado de la ciberseguridad en el sector y la coyuntura geopolítica. Esta información sirve para justificar inversiones y validar las estrategias de ciberseguridad.
Fuentes de inteligencia
El hecho de que las infraestructuras críticas sean un elemento esencial para el desarrollo de la actividad diaria de las personas y, en algunos casos, de la operación de los Estados, hace necesario ampliar la obtención de información más allá de los cauces habituales.
El esfuerzo conjunto de los equipos de ciberseguridad para hacer frente a las amenazas que se ciñen sobre las infraestructuras críticas es una herramienta muy efectiva que se debe considerar. Un claro ejemplo es la iniciativa abanderada en España por el Centro Criptológico Nacional que se ha concretado en la creación de la Red Nacional de SOC. Aquí, los equipos de ciberseguridad públicos y privados comparten información de inteligencia a través de una plataforma de ciberinteligencia (TIP). La información aportada por los miembros sirve para anticipar posibles ciberataques y tomar medidas de prevención.
Otra fuente de información de ciberinteligencia muy valiosa es la Dark Web. La monitorización de esta zona de Internet permite obtener visibilidad de canales, mercados y foros utilizados por los ciberdelincuentes. Allí se pueden encontrar productos y servicios para la comisión de ataques, se puede acceder a información sobre la preparación de planes de ataque contra una organización y encontrar información robada. Se debe tener en cuenta que las infraestructuras críticas están expuestas a determinado tipo de amenazas que no suelen afectar a otro tipo de organizaciones: terrorismo, sabotaje, etc.
El acceso a información en la Dark Web es una tarea compleja dadas las especiales características de esta zona de Internet. Para ello es necesario disponer de herramientas con capacidad de rastrear sigilosamente sin levantar sospechas.
Protección de las infraestructuras críticas
España dispone de normativa específica en la que se establecen las medidas para la protección de las infraestructuras críticas. La norma principal es la Ley 8/2011 de 28 de abril y el Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
Además de esta normativa específica, España cuenta con un órgano encargado de las actividades relacionadas con la protección de las infraestructuras críticas. Es el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC).
La normativa española establece los requisitos que las entidades designadas como operador crítico por el CNPIC deben cumplir para su protección. Así, estas entidades deben desarrollar y documentar una estrategia de seguridad integral. Esto quedará reflejado en dos documentos principales: en el Plan de Seguridad del Operador (PSO) y en el Plan de Protección Específico (PPE).
En el Plan Específico de Protección se detallan las medidas de seguridad concretas que implementa la entidad para la protección de los sistemas de información. Es allí, donde se deberá hacer constar que se la entidad hace uso de la ciberinteligencia como herramienta para la detección de amenazas.
Global Technology cuenta con equipos de expertos en ciberinteligencia y en la protección de infraestructuras críticas que trabajan de forma conjunta para ayudar a las organizaciones a elaborar y desarrollar la estrategia de seguridad. Global Technology dispone de tecnología avanzada para obtener información en la zona oscura de Internet y como miembro de la Red Nacional de SOC comparte información con otros centros de operaciones.
Responsable de SOC en Global Technology