Cómo evitar los ciberataques contra infraestructuras críticas

Los recientes ataques DDoS (Denegación de Servicio Distribuido, un ciberataque mediante la saturación con tráfico malicioso) contra aeropuertos alemanes, autoridades regionales y la policía en primavera de 2023 demuestran: la vulnerabilidad de las infraestructuras críticas (KRITIS) es más acuciante que nunca. Ya la primera ola en otoño de 2022 (entre otros, contra los gasoductos Nord Stream) resultó preocupante.

¿Qué tan expuestas están las infraestructuras críticas y qué medidas deben adoptar obligatoriamente empresas y organizaciones para protegerse? Sobre ello ofrece una visión general el Whitepaper KRITIS de Link11 y Schalast titulado «Infraestructuras críticas en la mira».

Además de actos de sabotaje físico o accidentes, los ciberataques contra estos sistemas aumentaron especialmente en 2022/23. Según un estudio de Bitkom, el 51 % de los operadores de infraestructuras críticas prevé incluso un aumento adicional en un futuro próximo. Por ello, el Bundesamt für Sicherheit in der Informationstechnik (BSI, Oficina Federal de Seguridad en Tecnologías de la Información) afirma en su informe actual sobre la situación: «La amenaza es la más alta jamás registrada». No es de extrañar, pues, que también la regulación por parte de la UE y del Gobierno federal siga incrementándose constantemente.

Las infraestructuras críticas – entre las que se incluyen los sectores energía, finanzas, salud, telecomunicaciones, Estado y administración pública, transporte y agua – son fundamentales para el funcionamiento de nuestra sociedad y economía. Precisamente por este motivo constituyen también un objetivo prioritario para los ciberdelincuentes:

Los atacantes pueden robar datos, exigir rescates económicos y causar daños físicos. Con consecuencias de gran alcance: paradas de producción que suponen pérdidas millonarias y fallos en el suministro que ponen en peligro vidas humanas o incluso las cobran. El daño únicamente para la economía alemana ascendió en 2022 a aproximadamente 203 000 millones de euros. Tales ataques pueden afectar por igual a grandes corporaciones, pequeñas y medianas empresas, la administración pública y la sociedad civil. Para la población afectada, los ciberataques contra infraestructuras críticas implican daños directos en el ámbito del suministro público.

Ante el aumento continuo de los ciberataques, los operadores de infraestructuras críticas y las empresas deben analizar con mayor intensidad los riesgos digitales y los mecanismos de protección. Pues cuando se trata de algo más que un simple rescate económico, los ciberataques no solo pueden afectar la capacidad operativa de una empresa (pérdida y manipulación de datos o daño a la reputación), sino también a la sociedad en su conjunto. Por tanto, las empresas deberían estructurar sus sistemas de TI de modo que un ataque tenga únicamente efectos mínimos y no pueda alcanzar partes críticas de la red.

Lisa Fröhlich (portavoz corporativa de Link11) comenta:

«Dado que las infraestructuras críticas son tan importantes para nuestra vida cotidiana, los marcos regulatorios rigurosos y en constante evolución establecidos por el Gobierno federal y la UE definen los requisitos necesarios para la seguridad de la información. Al mismo tiempo, la reciente serie de ataques DDoS en Alemania demuestra que un sistema eficaz de protección contra DDoS es indispensable para garantizar que los operadores de infraestructuras críticas no resulten afectados por tales ataques».

Más información sobre los resultados del informe muestra este gráfico:

En resumen

Los ataques DDoS contra aeropuertos, autoridades y la policía alemanes evidencian la vulnerabilidad acuciante de las infraestructuras críticas
El daño económico ocasionado por ciberataques ascendió a unos 203 000 millones de euros en 2022
La regulación por parte de la UE y del Gobierno federal sigue aumentando constantemente: un sistema eficaz de protección contra DDoS es imprescindible para los operadores de infraestructuras críticas

Key Facts

Importe del daño en 2022: 203 000 millones de euros para la economía alemana

Expectativa: El 51 % de los operadores de infraestructuras críticas prevé un aumento adicional de los ciberataques

Evaluación del BSI: Según el BSI, la situación de amenaza es la más grave jamás registrada

Sectores afectados: Energía, finanzas, salud, telecomunicaciones, transporte, agua y administración pública

Dato: Según Cisco, el 75 % de los consumidores confían más en aquellas empresas que gestionan los datos de forma transparente

Dato: Según el BfDI (Comisionado Federal para la Protección de Datos y la Libertad de Información), el plazo medio de tramitación de una reclamación en materia de protección de datos ante las autoridades de control alemanas es de 8 meses

Preguntas frecuentes

¿Qué son las infraestructuras críticas (KRITIS)?

KRITIS comprende organizaciones e instalaciones esenciales para el funcionamiento de la sociedad y la economía. Entre ellos se incluyen los sectores energía, finanzas, salud, telecomunicaciones, transporte, agua y administración pública.

¿Por qué están especialmente expuestos los operadores de infraestructuras críticas?

Las interrupciones de infraestructuras críticas pueden afectar directamente a millones de personas, desde fallos en el suministro hasta peligros para la vida humana. Precisamente esta elevada repercusión convierte a KRITIS en objetivos preferentes para ciberdelincuentes y actores respaldados por Estados.

¿Qué son los ataques DDoS y cómo actúan?

DDoS significa Denegación de Servicio Distribuido. En este tipo de ataque, un sistema se ve sobrecargado por una avalancha de tráfico malicioso, lo que impide su acceso por parte de los usuarios legítimos. Dichos ataques pueden dejar fuera de servicio durante horas o incluso días a infraestructuras enteras.

¿Qué exigencias reglamentarias rigen para las infraestructuras críticas?

Los operadores de infraestructuras críticas están sujetos a estrictos requisitos derivados de la Ley de Seguridad de la TI 2.0 y de la Directiva de la UE NIS2. Entre ellos figuran obligaciones de notificación ante incidentes de seguridad, estándares mínimos de seguridad de la TI y demostraciones periódicas de su cumplimiento.

¿Cómo pueden protegerse los operadores de infraestructuras críticas frente a los ataques DDoS?

Una protección eficaz contra DDoS requiere soluciones especializadas de defensa capaces de identificar y filtrar el tráfico malicioso antes de que llegue a la infraestructura real. Además, la segmentación de redes y los planes de emergencia minimizan aún más las consecuencias de los ataques exitosos.