Las organizaciones de los sectores público y privado -desde el gobierno y el ejército hasta la banca, la energía y el transporte- se están centrando cada vez más en lo digital para buscar ahorros económicos, aumentar la productividad y crear valor para el cliente y el ciudadano.
Esta transformación digital está impulsada por una gran cantidad de tecnologías y enfoques emergentes, como la telefonía móvil, el Internet de las cosas, la nube y la conectividad generalizada a Internet de alta velocidad. Todas ellas aportan innovación y nuevas capacidades operativas, pero también amplían la superficie de ciberataque.
Estos servicios e infraestructuras vitales son componentes de la Infraestructura Nacional Crítica. Son objetivos tentadores para los actores de las amenazas a los estados-nación, los hacktivistas y las organizaciones terroristas que buscan afectar negativamente a la vida cotidiana.
Por ello, el consejo de la Unión Europea publicó una recomendación el pasado 8 de diciembre de 2022 sobre un enfoque coordinado en toda la Unión para reforzar la resiliencia de las infraestructuras críticas.
Asimismo, el Gobierno Español ha enviado, en octubre del año pasado, a los operadores públicos y privados de infraestructuras críticas una recomendación para que extremen la seguridad física de sus instalaciones en previsión de posibles sabotajes.
Las infraestructuras críticas se están convirtiendo en un objetivo cada vez más atractivo para las ciberbandas criminales, lo que supone una amenaza muy real de perturbaciones importantes en ámbitos como la alimentación, el agua y la energía.
En un momento en que los servicios vitales ya están sometidos a una enorme presión por el aumento de los costes y la interrupción del suministro, las organizaciones responsables de infraestructuras críticas no pueden permitirse que los ciberataques causen más trastornos.
La Unión Europea subraya la necesidad de desarrollar la resiliencia intersectorial a los riesgos cibernéticos y esto debe considerarse como un punto de partida.
En la práctica, las organizaciones de infraestructuras críticas tienen que hacer frente a su creciente superficie de ataque, centrándose en mejorar la visibilidad de sus entornos informáticos. Esto significa reducir el ruido de las alertas de seguridad y obtener información más clara sobre las señales de ataque para que los equipos de seguridad puedan priorizar las amenazas de forma precisa y fiable, deteniendo los ataques antes de que se conviertan en brechas.
La visibilidad y la agilidad son la base de una respuesta eficaz a los incidentes
Identificar las amenazas potenciales y colocar los controles de protección adecuados son los primeros pasos racionales, pero es importante reconocer que los atacantes persistentes, motivados y hábiles siempre encontrarán una manera de entrar en la infraestructura digital de una organización.
Frenar a los atacantes es sólo una parte del desafío. También es vital hacer que los defensores sean rápidos. Las organizaciones de infraestructuras críticas deben detectar, comprender, responder y recuperarse de los atacantes que se introducen en la nube, los centros de datos, la infraestructura de TI y las redes de IoT.
Cada servicio en la nube, centro de datos, dispositivo en red y usuario dentro de la organización de infraestructuras críticas forma parte de una superficie de ataque. Muchas entidades componentes, como los dispositivos IoT, también tienen poco o ningún control o supervisión de seguridad directa.
La nube, centros de datos, TI y redes de IoT proporcionan puntos de ventaja en toda la infraestructura que los atacantes avanzados penetrarán y propagarán. Pero el volumen de datos y la relación entre la señal del atacante y el ruido de las comunicaciones significa que el análisis y la detección manuales no pueden proporcionar la escala, velocidad o eficiencia necesarias.
Para ello, se requiere una solución de ciberseguridad basada en inteligencia artificial (IA) capaz de proporcionar alertas de detección automatizadas y de alta fidelidad a la vez que suprime el ruido de detecciones inexactas o alertas benignas. Asimismo, esta solución tendría que ser capaz de recopilar metadatos de todo tráfico de red -nube, centro de datos, TI e IoT- y enriquecerlos con información de seguridad y contexto.
Esto permite a los equipos de seguridad utilizar un rastro de pruebas forenses para realizar investigaciones de incidentes más rápidas y concluyentes, así como de forma proactiva.
Conclusión
Con los recursos limitados de que disponen los equipos de seguridad, la IA es cada vez más importante para la seguridad de las infraestructuras críticas. La IA no sustituye a las personas, sino que las complementa proporcionándoles análisis de seguridad, contexto y conocimientos profundos a una velocidad y escala que los humanos no pueden alcanzar.
Los equipos de seguridad de las infraestructuras críticas deben adoptar una mentalidad de compromiso asumido y centrarse en la detección precoz y la respuesta rápida a los atacantes avanzados. Una solución de ciberseguridad basada en IA permite a los equipos del Centro de Operaciones de Seguridad (SOC) de infraestructuras críticas identificar y responder más rápido a las amenazas ocultas en la nube, centros de datos, TI y redes de IoT.
