BSI: LAS INFRAESTRUCTURAS KRITIS ESPECIALMENTE PELIGRADAS EN 2024

2 min de lectura

Según informa el BSI, los incidentes de ciberseguridad en infraestructuras críticas (abreviado como KRITIS) han aumentado considerablemente en 2024. Sin embargo, no todos ellos se deben a ataques externos.

En resumen

• 769 incidentes KRITIS en 2024: un aumento del 43 % respecto a las 537 notificaciones del año anterior.
• Obligación de notificación: los operadores de infraestructuras críticas deben comunicar cualquier incidente al BSI.
• No todos son ciberataques: no todos los incidentes se deben a atacantes externos; también intervienen fallos técnicos y errores humanos.
• Sectores afectados: salud, energía, agua, comunicaciones, transporte y servicios de emergencia.
• NIS2 aumenta la presión: la directiva de la UE endurece los requisitos para los operadores KRITIS a partir de 2025.

Las infraestructuras críticas incluyen aquellas destinadas al suministro sanitario, energético y de agua, a la información y comunicación, al transporte y tráfico, así como a los servicios de emergencia y a la seguridad nacional. Estas infraestructuras están siendo cada vez más blanco de ciberdelincuentes, pero también se ven amenazadas por la negligencia de los empleados.

El Bundesamt für Sicherheit in der Informationstechnik (BSI, Oficina Federal para la Seguridad en la Tecnología de la Información) ha recibido en 2024, según sus propios datos, 769 notificaciones sobre incidentes de ciberseguridad en infraestructuras KRITIS. Esto se desprende de una respuesta del gobierno federal a una consulta de la fracción FDP en el Bundestag, tal como informa heise online.

Un aumento del 43 %

Este dato supone un claro incremento del 43 % respecto a los 537 incidentes de 2023, mientras que los aumentos de 2022 y 2021 fueron comparativamente modestos, con un 13 % y un 12 % respectivamente. Durante la crisis del coronavirus, los ciberdelincuentes aprovecharon especialmente la situación para intensificar sus ataques contra empresas e instituciones estatales. Los operadores de instalaciones y centros considerados infraestructuras críticas tienen la obligación de notificar cualquier incidente al BSI.

Como subraya el gobierno federal en su respuesta a la consulta de la FDP, no todos los incidentes se deben necesariamente a un ciberataque, y no todos los operadores han podido determinar si se trataba efectivamente de un ataque cibernético o si el incidente de seguridad podría deberse a otras causas. Tampoco se sabe cuántos de estos incidentes se deben a actores estatales o a errores humanos.

¿Qué sectores están especialmente afectados?

Aunque el gobierno federal no ha publicado una desglose detallada por sectores, las experiencias y los informes del BSI de años anteriores muestran claramente los focos principales. El sector sanitario es especialmente vulnerable: hospitales y clínicas suelen trabajar con infraestructuras informáticas obsoletas y están sometidos a una gran presión de tiempo, lo que aumenta su susceptibilidad al ransomware. El sector energético se ve expuesto por la creciente digitalización del control de redes y las redes inteligentes (smart grids). Asimismo, las empresas de suministro de agua y alcantarillado, que suelen gestionarse a nivel municipal, rara vez cuentan con equipos de seguridad especializados.

NIS2 endurece los requisitos

Con la directiva de la UE NIS2, que entrará en vigor en Alemania mediante la Ley de Transposición NIS2 a partir de 2025, los operadores de infraestructuras KRITIS deberán cumplir obligaciones mucho más estrictas. Entre ellas figuran notificaciones ampliadas (24 horas para alertas iniciales), gestión obligatoria de riesgos, seguridad en las cadenas de suministro y responsabilidad personal de la dirección. El número de empresas afectadas aumentará de las actuales unas 4.500 a aproximadamente 30.000.

Qué deberían hacer ahora las empresas

Los operadores KRITIS deberían revisar sus planes de respuesta a incidentes y adaptarlos a los requisitos de NIS2. Elementos centrales son la creación de un Centro de Operaciones de Seguridad (SOC) o la contratación de un proveedor de servicios gestionados de seguridad (MSSP), pruebas de penetración regulares, la segmentación de redes críticas y la formación de todo el personal. El BSI ofrece con su compendio de protección básica de TI (IT-Grundschutz-Kompendium) una guía estructurada.

Key Facts auf einen Blick

Incidentes KRITIS en 2024: 769 notificaciones al BSI

Aumento respecto al año anterior: +43 por ciento (2023: 537 incidentes)

Aumento en 2022: +13 por ciento, 2021: +12 por ciento

Sectores KRITIS: salud, energía, agua, TI/TK, transporte, servicios de emergencia, seguridad nacional

NIS2: notificaciones ampliadas, gestión de riesgos, responsabilidad de la dirección a partir de 2025

Empresas afectadas: de ~4.500 a ~30.000 (por efecto de NIS2)

Fuente: notificaciones del BSI 2024, respuesta del gobierno federal a la consulta de la FDP

Fact: el BSI registró en 2024 un total de 726 notificaciones sobre incidentes de seguridad informática en empresas KRITIS: un aumento del 18 % respecto al año anterior.

Fact: según Dragos, en 2024 se registraron globalmente un 70 % más de ataques a sistemas de control industrial (ICS) que el año anterior.

Preguntas frecuentes

¿Qué son las infraestructuras críticas (KRITIS)?

KRITIS incluye instalaciones y centros cuya interrupción tendría consecuencias significativas para el bien común. Entre ellos figuran los sectores de salud, energía, agua, TI y telecomunicaciones, transporte, alimentación, finanzas y administración pública. En Alemania, la obligación de notificación está regulada por la Ley del BSI.

¿Por qué han aumentado tanto los incidentes KRITIS en 2024?

El aumento del 43 % tiene varias causas: la creciente digitalización de las infraestructuras KRITIS amplía la superficie de ataque, los grupos de ransomware apuntan deliberadamente a instalaciones con alta presión para pagar, y ha aumentado la sensibilización sobre las obligaciones de notificación: se detectan y notifican más incidentes.

¿Son todos los incidentes KRITIS ciberataques?

No. El gobierno federal subraya que no todos los incidentes notificados se deben a un ciberataque. Fallos técnicos, configuraciones incorrectas y errores humanos también pueden provocar incidentes notificables. En no todos los casos se ha podido determinar con certeza la causa del incidente.

¿Qué cambia para los operadores KRITIS con NIS2?

NIS2 amplía el círculo de empresas afectadas a unas 30.000 y endurece las obligaciones: notificación inicial en 24 horas, gestión obligatoria de riesgos, auditorías de seguridad en cadenas de suministro y responsabilidad personal de la dirección en caso de incumplimiento. Las multas pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio anual.

¿A quién deben notificar los operadores KRITIS los incidentes de seguridad?

El organismo central de notificación es el Bundesamt für Sicherheit in der Informationstechnik (BSI). Los operadores están obligados a notificar sin demora cualquier alteración significativa. El BSI analiza las notificaciones, coordina la respuesta cuando sea necesario y publica evaluaciones agregadas de la situación.

Lecturas recomendadas en la red

NIS2 en Alemania – Acciones urgentes para las empresas: NIS2: Actuar ahora (Security Today)

Seguridad en la nube para infraestructuras críticas: cloudmagazin.com

Estrategias KRITIS a nivel directivo: digital-chiefs.de

Artículos relacionados

• Guerra cibernética 2026: cuando los Estados se rearmen digitalmente
• Palantir y el futuro de la defensa cibernética: la IA como arma estratégica
• Estudio de caso: hospital detiene ciberataque gracias a la segmentación OT

Más contenido de la red MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Adobe Stock

Sobre el autor: Klaus Hauptfleisch

Más artículos de Klaus Hauptfleisch