sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Manuel Carpio Cámara , Asesor Senior de Ciberseguridad de Inerco Security

Los centros de control de seguridad en la próxima guerra híbrida

Las directivas de combate de la guerra aérea que precedió la invasión de Iraq en marzo de 2003 identificaron como primeros blancos de ataque de los misiles Tomahawk a los sistemas de defensa aérea y los centros de control iraquíes.

En este sentido, en su ensayo Los sistemas de mando y control: Una visión histórico-perspectiva1, el capitán de navío Enrique Cubeiro, jefe de Operaciones del Mando Conjunto de Ciberdefensa, nos enseña que “dificultar o impedir el ejercicio del mando y control del adversario será siempre objetivo prioritario de ambos bandos, y para ello podrán optar entre una amplia gama de acciones, en un campo de batalla que ahora incluye también ese mundo misterioso conocido como ciberespacio” (Cubeiro, 2001, p.31).

Por otro lado, el doctor Carlos Galán, en su reciente ensayo Amenazas híbridas: nuevas herramientas para viejas aspiraciones2 define así las denominadas “amenazas híbridas”: “…son acciones coordinadas y sincronizadas –con origen habitualmente, pero no solo, en los servicios de inteligencia de los agentes de las amenazas– que atacan deliberadamente vulnerabilidades sistémicas de los Estados y sus instituciones a través de una amplia gama de medios y en distintos sectores objetivo (políticos, económicos, militares, sociales, informativos, infraestructuras y legales) utilizando el ciberespacio como la herramienta más versátil y adecuada para sus propósitos” (Galán, 2018, p.3).

La reciente guerra de Ucrania ha sido un buen ejemplo de guerra híbrida en la que se han visto involucrados los centros de control de las infraestructuras críticas de los contendientes. 

No debería sorprendernos pues, que en el futuro, los conflictos híbridos, como paso previo a una guerra híbrida, impliquen ataques contra centros de gestión de redes de servicios esenciales. Avisados de esta realidad, los poderes públicos y los operadores privados de dichos servicios prestan atención a la resiliencia de dichos centros. Sin embargo, existe un talón de Aquiles, un punto débil del sistema, en el que pocos han reparado hasta la fecha: la ciberseguridad de los sistemas de seguridad física (CBSF)

Previsiblemente, y de forma similar a lo que sucede en el mundo físico, los “Tomahawks cibernéticos” irán dirigidos no solo a los centros de gestión, sino también a los centros de control de los sistemas que defienden las infraestructuras. Y uno de los centros neurálgicos para la defensa de dichas infraestructuras críticas son los Centros de Control de Seguridad Física (CCS)

Desactivación

La desactivación de los sistemas de control de acceso físico o de detección de intrusión en instalaciones desatendidas y la inhibición de los sistemas de detección de incendios o de condiciones ambientales –aunque sea temporalmente– son ejemplos de ciberataques previos que pueden facilitar un ataque posterior o combinado a las infraestructuras con otros vectores físicos o cibernéticos, multiplicando sus efectos dañinos.

Por lo tanto, como ya señaló mi compañero Enrique Bilbao en un reciente artículo publicado en esta revista, “es urgente auditar los CCS, analizar sus riesgos de ciberseguridad y estudiar el ‘gap’ entre las medidas existentes y las necesarias3”.

Dada la naturaleza y multiplicidad de los dispositivos conectados, aplicaciones, instalaciones y operaciones bajo responsabilidad del CCS, este tipo de revisiones no pueden ni deben limitarse a una tradicional auditoría de seguridad de la información, como si se tratara del sistema de facturación o del sistema SAP (ERP, Enterprise Resources Planning) de la empresa.

De hecho, un CCS puede considerarse como un complejo sistema ciberfísico más próximo al mundo OT (Operational Technology) que al IT (Information Technology), en el que resulta crucial un conocimiento profundo de los protocolos propietarios de autenticación mutua y de comunicación entre los elementos de la red y sus servidores, su interrelación con los eventos del mundo físico para el que se diseñaron y con la operativa del personal de vigilancia que los atiende.

Así, una auditoría de seguridad de un CCS debería contemplar cuatro dimensiones básicas: la eficacia de las funcionalidades y de los servicios de seguridad que brinda; la operación, dependiente del factor humano que los atiende; las características físicas de las instalaciones donde se ubica y que protegen tanto a servidores como sus conexiones con los elementos de campo; y la ciberseguridad de los sistemas, de la red y de los propios dispositivos terminales.

Este es el caso de la metodología para la calificación de seguridad de los CCS desarrollada y puesta en práctica por Cuevavaliente Inerco. Se trata de una metodología ligera, basada en un mix procedente, por un lado, de controles generales extraídos de códigos internacionales de buenas prácticas del mundo de la seguridad física, seguridad de la información y normativas españolas como el Esquema Nacional de Seguridad, el Reglamento de la Ley PIC (Protección de Infraestructuras Críticas), etc.; y por otro lado, de controles específicos aplicables a los CCS, como el Reglamento de Seguridad Privada, las normativas EN/UNE (European Norm/Una Norma Española) de seguridad física y de centros de control, según el grado exigible, etc.

Puede acceder al contenido completo en el siguiente enlace.

Volver