El peligro de la interdependencia de la infraestructura crítica

Antonio Tejeda Encinas. President Euro-American Committee of Digital Law – CEA Digital Law

La mayoría de nosotros que vivimos en el mundo occidental hemos tenido el tremendo privilegio de poder dar por sentado el funcionamiento de una infraestructura crítica. El agua limpia, las carreteras confiables, la atención médica de alta calidad, la electricidad, los teléfonos y el correo electrónico confiables son todos tan fundamentales para la existencia moderna que es imposible imaginar la vida sin ellos.

La llegada de Internet ha hecho que la infraestructura crítica sea más compleja, más interdependiente y, por lo tanto, más frágil. Nos hemos vuelto complacientes en nuestra dependencia de la infraestructura crítica, pero los desarrollos recientes han sido un duro despertar. Ahora está claro que la guerra cibernética puede tener un impacto en el mundo físico a través de ataques a la infraestructura crítica. Las interdependencias, a menudo vagamente entendidas, entre los sectores de infraestructura crítica plantean un grave riesgo. Un golpe a un sector de infraestructura crítica podría causar efectos de segundo orden en cascada en otros sectores, lo que llevaría a una catástrofe a gran escala que se saldría de control.

Ataques cibernéticos a infraestructuras críticas

La infraestructura crítica consiste en los sistemas que se han considerado fundamentales para el funcionamiento de una sociedad y una economía, como la energía, el transporte, las telecomunicaciones, el suministro de alimentos y agua, y los servicios vitales de salud. La interrupción o destrucción de infraestructura crítica tendría un impacto inmediato y directo en la actividad económica, la vida cotidiana y la seguridad de los afectados.

El avance de las armas cibernéticas y los conjuntos de herramientas de los piratas informáticos ahora permiten a los actores malintencionados atacar la infraestructura crítica de maneras que tienen un efecto inmediato y aterrador en el mundo físico. En 2015, Ucrania fue objeto de un impactante ataque cibernético que logró desactivar una parte de la red eléctrica de la nación. El ataque, que se cree que fue llevado a cabo por Rusia, provocó intencionalmente apagones generalizados para cientos de miles de personas. Aunque el ataque y los incidentes similares dirigidos a Ucrania en los años siguientes fueron solo interrupciones temporales, brindan amplia evidencia de la escala del daño que los ataques cibernéticos podrían infligir en la infraestructura crítica. Los hospitales tuvieron que volver a usar bolígrafos y papel durante el ataque.

La tecnología digital ha hecho que el mundo sea más pequeño y la infraestructura crítica en las naciones occidentales no está a salvo de este nuevo peligro. El gobierno de EE. UU. ha denunciado a Rusia por infiltrarse en la red eléctrica del país y obtener acceso remoto a las redes informáticas del sector energético (Departamento de Seguridad Nacional de EE. UU. 2018). En 2017, la epidemia de ransomware WannaCry inhabilitó el Servicio Nacional de Salud de Gran Bretaña durante varios días, lo que provocó la cancelación de 19 000 citas. En Dinamarca, la sede de Maersk, responsable de alrededor de una quinta parte del transporte marítimo mundial, quedó paralizada por el malware NotPetya, lo que provocó interrupciones en el transporte en las instalaciones portuarias de todo el mundo.

Como consecuencia de estos eventos, los ataques cibernéticos a la infraestructura crítica se han convertido en una preocupación preeminente para la seguridad nacional.

Lo que hace que las posibles consecuencias de un gran ataque cibernético a la infraestructura crítica sean difíciles de predecir es la interdependencia entre varios sectores. Un ataque a un sector podría tener efectos indirectos en los otros sectores que dependen de él. El sector del transporte depende del suministro de electricidad por parte del sector de la energía para impulsar los trenes y los sistemas de control del tráfico, al igual que el sector de la energía depende de la entrega oportuna de combustible y otros insumos a través del sector del transporte. Con respecto a la amenaza de la infiltración remota, un grupo de trabajo de expertos de la industria y funcionarios gubernamentales de la Iniciativa de Investigación de Políticas de Internet del MIT advirtió que nadie comprende actualmente hasta qué punto la generación de electricidad está acoplada con otros sectores. y por lo tanto, el riesgo de fracaso macroeconómico catastrófico en caso de un ataque cibernético no se conoce adecuadamente. Llegar a una comprensión adecuada de la interdependencia entre los sectores de infraestructura crítica es vital para poder apreciar completamente los riesgos inherentes.