1. ¿Qué es una Infraestructura Crítica?

En el ámbito del análisis de ciberataques a Estados-Nación, o en los estudios de ciberseguridad con enfoque en seguridad nacional, los ciberataques a infraestructuras críticas representan una de las principales amenazas. Esto se debe a que pueden tener efectos inmediatos en el espacio físico afectando un sistema gubernamental (red eléctrica, sistema de suministro agua, sistema de manejo aéreo o marítimo, sistemas de vialidades como semáforos, u oleoductos de petróleo o gas).

La afectación a una infraestructura de estas características a través de una intromisión cibernética puede llegar a tener efectos catastróficos, que podrían afectar directamente el bienestar de la población. Y en el peor de los casos, tener costos de vidas humanas. En ese sentido, primero debemos entender que una infraestructura crítica son los sistemas, tanto digitales como físicos, que brindan servicios esenciales para la sociedad. Estos sistemas son vitales para el funcionamiento de un país y su incapacitación o destrucción tiene un impacto grave en los ámbitos de la seguridad, economía, política, energía, salud, comunicaciones o transporte, entre otros. Del mismo modo, es importante decir que, si una infraestructura crítica es afectada por un ciberataque, es posible que esto tenga repercusiones directas en la sociedad y en otras infraestructuras interconectadas.

2. ¿Cómo se puede afectar una infraestructura crítica?

Los ciberataques a infraestructuras críticas pueden ser llevados a cabo mediante diversas amenazas informáticas, entre estas se encuentran:

• Malware: Supone el uso de un software malicioso diseñado para infiltrarse en sistemas y causar daños. Puede incluir virus, troyanos, ransomware y otros tipos de programas maliciosos que se propagan a través de la red y comprometen la seguridad de las infraestructuras críticas.

• Ataques de denegación de servicio (DDoS): En este tipo de ataque los ciberdelincuentes inundan un sistema o red con un gran volumen de tráfico de información, esto se hace usualmente a través de bots (algoritmos de inteligencia artificial primitivos) a los que se encomienda sobrecargar los sitios web en aras de provocar la interrupción o el colapso de los servicios.

• Ingeniería social: La ingeniería social implica la manipulación psicológica de las personas para obtener información confidencial o acceder a sistemas protegidos. Los atacantes pueden utilizar técnicas de phishing, suplantación de identidad u otras estrategias para engañar a los usuarios y obtener acceso no autorizado a las infraestructuras críticas.

• Ataques de fuerza bruta: En estos ataques, los atacantes intentan descifrar contraseñas o claves de acceso probando múltiples combinaciones hasta encontrar la correcta. Pueden dirigirse a sistemas de control industrial o redes de infraestructuras críticas para obtener acceso no autorizado.

• Vulnerabilidades de software y sistemas operativos: Las infraestructuras críticas pueden ser vulnerables a ataques si los sistemas operativos o el software utilizado presentan brechas de seguridad conocidas. Los atacantes pueden aprovechar estas vulnerabilidades para infiltrarse en los sistemas y comprometer su funcionamiento.

     

Del mismo modo, es importante decir que los ciberataques a infraestructuras críticas suelen ser muy sofisticados y dirigidos, con la participación de grupos de ciberdelincuentes respaldados por Estados u otras entidades con motivaciones políticas o económicas. Esto resalta la necesidad de contar con medidas de seguridad robustas, como sistemas de detección y respuesta avanzados, actualizaciones periódicas de software y sistemas, capacitación en ciberseguridad para el personal, políticas de control de acceso y autenticación seguras.

¿Qué tipo de infraestructuras críticas existen?

Uno de los principales referentes en el ámbito de la clasificación de infraestructuras críticas es la Agencia de Ciberseguridad e Infraestructura (CISA, por sus siglas en inglés) del gobierno de los Estados Unidos. Este país ha delimitado un total de 16 sectores de infraestructura crítica, así como su importancia estratégica en el mantenimiento de la seguridad, estabilidad económica, salud pública y seguridad del país. Estos sectores son: químico, instalaciones comerciales, comunicaciones, manufactura crítica, presas, base industrial de defensa, servicios de emergencia, energía, servicios financieros, alimentos y agricultura, instalaciones gubernamentales, salud y salud pública, tecnología de la información, reactores nucleares, materiales y desechos, sistemas de transporte, y sistemas de agua y aguas residuales. 

Figura 1. Infraestructuras críticas de un país, según CISA.

Fuente: ESET Research 2022.

Por otra parte, un gran referente en América del Norte es Canadá, que a través de su Estrategia Nacional para la Infraestructura Crítica tiene como objetivo construir un país más seguro y resiliente. Esta estrategia promueve acciones más coherentes y complementarias entre las iniciativas federales, provinciales y territoriales, así como entre los diez sectores de infraestructura crítica, que incluyen energía y servicios públicos, finanzas, alimentos, transporte, gobierno, tecnología de la información y comunicación, salud, agua, seguridad y manufactura.

Industroyer: un ejemplo del impacto de un ataque a infraestructura crítica

El tema de los ataques a infraestructura críticas y sus peligros puede ejemplificase a través de los ciberataques de los cuales ha sido víctima Ucrania por parte de Rusia. Esto se vincula al incidente del malware Industroyer, que en diciembre de 2016 y en febrero de 2022 realizó dos ciberataques en contra de la tecnología operativa que respalda la red eléctrica en este país, con la versión de los malware Industroyer y Industroyer V2.

Respecto a este caso, la compañía de seguridad ESET determinó que el malware fue desarrollado por hackers con conexiones con la organización Sandworm Team, también conocida como Unidad 74455, la cual es denominada como un comando ciber militar ruso de la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa, la organización a cargo de la inteligencia militar rusa (Greenberg, 2020). Del mismo modo es importante indicar que Sandworm ha realizado otras ciber operaciones en contra del gobierno de Ucrania, más allá de los ataques de Industroyer, como los ataques cibernéticos de 2017 en Ucrania, utilizando el malware NotPetya (Bowen, 2020).

En este sentido, los incidentes que han afectado la infraestructura energética de Ucrania le han permitido al gobierno del país tomar conciencia de los riesgos por ataques cibernéticos que amenazan con la operatividad de los servicios críticos y la vida humana de sus ciudadanos. El primer ataque de Industroyer se realizó el 17 de diciembre de 2016 y tuvo como objetivo la red eléctrica de Ucrania. En esa primera ocasión, el ataque cortó el suministro eléctrico a una quinta parte de la población de Kiev, durante una hora y se considera que fue una prueba a gran escala del malware.

En consecuencia, Industroyer se transformó en el primer malware conocido desarrollado específicamente para atacar a una red eléctrica, que es considerado una Infraestructura Crítica de un Estado-Nación. Para afectar a esta, Industroyer se extendió por la red de la subestación buscando dispositivos de control industrial específicos con protocolos de comunicación a través de los cuales poder acceder a ellos. Posteriormente, abrió todos los disyuntores electrónicos a la vez, mientras desafiaba cualquier intento de los operadores de la subestación por recuperar el control y si un operador intentaba cerrar un interruptor, el malware lo volvía a abrir. Y de esta forma dejó en desabasto a varios vecindarios de Kiev.

El segundo ciberataque a la red eléctrica se dio con Industroyer V2, el cual se ejecutó el 24 de febrero de 2022, en vísperas de la actual invasión a Ucrania a Rusia. En esta ocasión, el ataque se realizó a la par que se dispersó entre los equipos de usuarios, actores privados y gubernamentales el virus CaddyWiper, el cual igualmente fue descubierto por la empresa ESET y cuya finalidad fue destruir los datos de los usuarios y de las unidades conectadas, se detectó en varias docenas de sistemas en un número limitado de organizaciones. De esta forma, se identificó que el 14 de marzo, CaddyWiper fue instalado en un banco ucraniano del sector privado. Y posteriormente, salgo en contra múltiples entidades gubernamentales ucranianas.

Figura 2. Diagrama de ejecución de Industroyer2 y CaddyWiper en el marco del conflicto entre Ucrania y Rusia.

Fuente: ESET Research 2022.

Mientras CaddyWiper imposibilitaba a los usuarios utilizar sus dispositivos, se cree que Sandworm creó un paquete él para ejecutar una tarea programada para iniciar IndustroyerV2, en caso de que este alcanzará un equipo vinculado a una red eléctrica ucraniana, en el marco del conflicto con Rusia. Finalmente, se identificó que el 8 de abril de 2022, Industroyer2 se ejecutó de forma exitosa para cortar el suministro eléctrico en una región de Ucrania. Sin embargo, esa misma jornada CaddyWiper, instalado en el equipo informático al que llegó, borró los rastros de Industroyer2 para realizar un análisis forense a profundidad sobre sus efectos.

Con el pasar de los años, se ha vuelto más que claro que los servicios de infraestructura crítica del mundo están expuestos al riesgo de interrupciones. E Industroyer es un evento clave en una serie de incidentes que han impactado la infraestructura crítica en diferentes países que han ayudado a tomar conciencia sobre los riesgos a los que están expuestos los servicios críticos. Con lo cual, existe la posibilidad de que ataques cibernéticos sean la causa de posibles cortes de energía, interrupciones en el suministro de agua, combustibles, pérdida de datos médicos, entre otros, los cuales pueden amenazar vidas humanas.

Referencias:

Greenberg, A. (2020). "Inside Olympic Destroyer, the Most Deceptive Hack in History". Wired. ISSN 1059-1028.

Bowen, A. (2020). “Russian Military Intelligence: Background and Issues for Congress (PDF) (Report).” Congressional Research Service. p. 16. Retrieved July 21, 2021.

Yerbe, A. (2022). La ciberseguridad en el sector energético, Real Instituto Elcano, URL disponible en: https://www.realinstitutoelcano.org/analisis/la-ciberseguridad-en-el-sector-energetico/

ESET Research (2022). Industroyer2: Industroyer reloaded. ESET. URL disponible en: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/