Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

La seguridad en infraestructuras críticas

04 Sep 2024

La seguridad en infraestructuras críticas supone un esfuerzo fundamental para garantizar el correcto funcionamiento social y económico en el contexto actual.

Aunque la digitalización de infraestructuras ha supuesto avances en eficiencia y posibilidades antes imposibles, la realidad es que el riesgo de ciberataques es creciente para las organizaciones. En este sentido, si bien hace tan solo pocos años la seguridad en infraestructuras críticas se centraba en actos de sabotaje físico, hoy en día resulta indispensable abordar los riesgos digitales.

En el caso particular de las infraestructuras críticas, su impacto podría llegar a ser devastador para la sociedad en general, provocando problemas en transporte, suministro de energía o agua. Es precisamente por ello que se toman medidas extraordinarias respecto a la seguridad en infraestructuras críticas, incluyendo la ley de infraestructuras críticas.

Ante el aumento de ataques como el ransomware y sus extremadamente graves implicaciones, la seguridad en infraestructuras críticas se ha vuelto esencial. Pero, ¿cómo aproximarse a este asunto y qué tipo de medidas se han de tomar para cumplir con la ley de infraestructuras críticas? Lo analizamos.

Qué son las infraestructuras críticas

Se define como infraestructuras críticas aquellos sistemas, activos y redes que son esenciales para el funcionamiento de una sociedad. Más concretamente, se consideran esenciales porque su interrupción o daño podría tener graves consecuencias en términos de seguridad, salud pública y economía.

Más concretamente, desde la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (conocida comúnmente como la Ley PIC), se definen las infraestructuras críticas como “aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.

Algunos ejemplos de infraestructuras críticas incluyen:

  • La generación, transmisión y distribución de energía (luz y gas)

  • La infraestructura de suministro de agua y tratamiento de aguas residuales

  • Sistemas de transporte como carreteras, puentes, aeropuertos, o puertos marítimos

  • Las redes de telecomunicaciones

  • Hospitales, clínicas y centros de atención médica

  • Sistemas bancarios y financieros

  • Redes de producción y distribución de alimentos

  • Los sistemas de gobierno, como edificios gubernamentales, sistemas de información y registros públicos, entre otros.

La seguridad en infraestructuras críticas

De la definición anterior se comprende fácilmente cómo la seguridad en infraestructuras críticas es esencial, en particular en el contexto de amenazas crecientes respecto a la ciberseguridad de los sistemas.

En este sentido, la protección de infraestructuras críticas supone aplicar políticas de calado y alta solidez para la prevención y mitigación de amenazas que pueden poner en peligro la disponibilidad, integridad y confidencialidad de estos sistemas y activos.

En este sentido, las actuaciones pueden aplicarse en los siguientes tres frentes:

Gestión del riesgo

En este contexto, la gestión del riesgo se refiere a la probabilidad de que un ataque tenga lugar. Se diferencia así de las vulnerabilidades, que hablan de la probabilidad de que el sistema pueda llegar a ser explotado al materializarse un riesgo.

En este sentido, la gestión del riesgo se refiere a poner en marcha controles preventivos o de detección de ataques, de modo que sea posible detener los ataques antes de que tengan lugar.

Para ello, se ponen en marcha diversas estrategias. Un primer paso es identificar y catalogar todos los activos críticos, incluyendo sistemas de control industrial, redes, datos sensibles y otros componentes esenciales para el funcionamiento de la infraestructura.

Además, se deben identificar las amenazas cibernéticas que podrían afectar a estos activos críticos. Esto incluye amenazas como malware, ataques de denegación de servicio (DDoS), intrusiones, phishing, entre otros. Siguiendo este análisis, se deben evaluar las vulnerabilidades de los sistemas y redes que podrían ser explotadas por los atacantes.

Llega el momento de evaluar los riesgos, es decir, determinar la probabilidad de que ocurra un incidente cibernético y el impacto potencial en caso de que se materialice.

Finalmente, con base en la evaluación de riesgos, se diseñan estrategias para mitigar los riesgos.

seguridad en infraestructuras críticas

Mejora de la seguridad

La mejora en seguridad puede tener lugar en el plano físico (por ejemplo, estableciendo protocolos de acceso a instalaciones críticas). Este concepto habla también de la implementación de soluciones de ciberseguridad que protejan de forma efectiva las redes y sistemas de las organizaciones.

Para ello, y tras realizar evaluaciones efectivas, se implementan buenas prácticas de seguridad cibernética: desde la implementación de medidas técnicas (cortafuegos, sistemas de detección de intrusiones, autenticación de dos factores, cifrado) hasta la capacitación del personal en buenas prácticas de seguridad.

En este sentido, es fundamental adoptar un enfoque continuo. En otras palabras, a medida que evolucionan las amenazas y se realizan cambios en la infraestructura, se deben revisar y actualizar regularmente las políticas de seguridad en infraestructuras críticas.

En un entorno cambiante, mantenerse al tanto de las últimas tendencias en ciberseguridad y explorar tecnologías emergentes será crucial en la protección de infraestructuras críticas.

Mejora de la resiliencia

La ciberresiliencia se refiere a la capacidad de un sistema u organización para resistir o recuperarse ante ataques o incidentes cibernéticos.

En este sentido, la seguridad en infraestructuras críticas debe necesariamente incorporar acciones para garantizar la ciberresiliencia: puede marcar la diferencia entre una infraestructura que es capaz de mantener sus operaciones críticas incluso en medio de un ataque cibernético y minimizar el tiempo de inactividad, y otra que sucumbe a un ciberataque, con consecuencias potencialmente devastadoras.

Algunas de estas acciones hablan directamente de aspectos que acabamos de describir en la gestión de riesgos y seguridad. Pero la Ciberresiliencia va más allá de saber responder a un ataque. Así, puede implicar la creación de un plan de continuidad, un plan de respuesta a incidentes, la segmentación de redes y sistemas o el desarrollo de un sistema de respaldo de datos y redundancia, entre otras muchas acciones.

La ley de infraestructuras críticas

La ley de infraestructuras críticas (conocida también como Ley de Protección de Infraestructuras Críticas o Ley PIC 8/2011 y que queda complementada por el Real Decreto 704/2011) aparece ante la urgente necesidad de atender a la ciberseguridad en estos sistemas de forma específica.

Como objetivos, la norma se plantea al menos dos:

  • Realizar una catalogación del conjunto de infraestructuras consideradas como esenciales. Se habla aquí del Sistema Nacional de Protección de Infraestructuras Críticas, que recoge las instituciones, órganos y empresas (tanto del sector público como del privado) con responsabilidad en el funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. Se incluyen aquí operadores críticos, el CNPIC, ministerios, CCAA, corporaciones locales, o grupos de trabajo sectoriales, entre otros.

  • Establecer las medidas de prevención y protección de alta eficacia que deben establecer estas infraestructuras, incorporando a la seguridad física la seguridad en tecnologías de la información y comunicaciones. Es el conocido como Sistema de Planificación PIC, un conjunto de normas que definen las medidas de seguridad en infraestructuras críticas.

seguridad en infraestructuras críticas

La ley de infraestructuras críticas ha desarrollado asimismo una serie de mecanismos para facilitar a los operadores críticos el cumplimiento de la ley. Es el caso del sistema HERMES, puesto en marcha para que los operadores críticos realicen algunas gestiones necesarias (como dar de alta, acceder y modificar su información).

A su vez, se inaugura el CERT especializado en la gestión de la seguridad en infraestructuras críticas a nivel nacional.

En S2 Grupo trabajamos para hacer frente al entorno de amenazas cambiante y cada vez más peligroso, lo cual incluye una preocupación particular por poner nuestros servicios a disposición de la protección de infraestructuras críticas.

En el pasado, nos hemos aproximado a este asunto desde diferentes perspectivas. Un ejemplo son nuestros informes sobre Protección de Infraestructuras Críticas en España, a través del cual llegamos a analizar elementos que introducen debilidades en la seguridad lógica de infraestructuras críticas.

Así, nuestro compromiso con la seguridad en infraestructuras críticas es sólido. Por ello, ponemos a disposición de las organizaciones nuestra experiencia y conocimientos a través de soluciones como la ciberseguridad industrial o ciberseguridad salud.

Ponte en contacto con nosotros y habla con nuestro equipo sobre nuestro papel en ayudar a las organizaciones a lograr la protección de infraestructuras críticas.

Artículos relacionados
Exploits: qué son, cómo se utilizan y cómo mitigar sus riesgos
Leer más →
Grupos de ransomware: cuáles son los más destacados en 2025
Leer más →
Test de intrusión: tipos de pruebas, aplicaciones y alcances
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día