En junio, el gobierno del Reino Unido anunció una legislación importante para la defensa cibernética y digital. Esta propuesta, parte de la Revisión Estratégica de Defensa, marca un cambio significativo en las prioridades nacionales, especialmente para las organizaciones industriales que operan en sectores considerados Infraestructura Nacional Crítica (CNI), como energía, agua, salud, transporte e infraestructura digital. A medida que estos sectores aceleran su transformación digital para cumplir con los objetivos de descarbonización y eficiencia, también se vuelven más vulnerables a las amenazas cibernéticas en un mundo cada vez más volátil e impredecible.

En este contexto, es vital que los operadores de infraestructura crítica se asocien con organizaciones que tengan la experiencia necesaria para proteger sistemas esenciales. Navegar por este paisaje sin el apoyo adecuado puede llevar a consecuencias graves y de gran alcance. Como señala Peter Kyle, Secretario de Estado del Departamento de Ciencia, Innovación y Tecnología, en su introducción a la declaración de política del Proyecto de Ley de Ciberseguridad y Resiliencia, el año pasado, un ciberataque a un proveedor de hospitales del NHS en Londres provocó la suspensión de más de 11,000 citas y procedimientos. En algunos casos, los pacientes tuvieron que esperar meses para ser atendidos. Además, se informa que en 2024, casi dos tercios de los proveedores de agua y energía fueron afectados por ciberataques. Aunque no hay casos conocidos de ataques que interrumpieran los servicios cotidianos, no es difícil imaginar las posibles consecuencias de uno que sí lo hiciera. Solo piensa en lo que sucedería si una compañía de agua no pudiera proporcionar agua potable o para bañarse a los hogares. O si un proveedor de energía sufriera un ciberataque que resultara en cortes de energía en una región o incluso en todo un país.

Estos ejemplos pueden parecer teóricos, pero no son ideas descabelladas. De hecho, un ciberataque en 2016 a una planta de energía en Ucrania dejó a toda una región a oscuras en medio del invierno. No se necesitaría mucho para que un atacante que vulnerara los sistemas de TI se moviera lateralmente hacia los sistemas de tecnología operativa (OT). La amenaza de ciberataques contra la infraestructura crítica representa un riesgo para la seguridad nacional, ya que las consecuencias no se limitan solo a los sistemas informáticos o datos; pueden afectar la vida cotidiana de las personas y sus necesidades básicas.

Con tanto de la infraestructura crítica en la que confiamos cada vez más conectada a servicios en la nube, sensores y dispositivos del Internet de las Cosas (IoT), y ahora incluso a sistemas de inteligencia artificial (IA), realmente estamos en la era digital. Sin embargo, la realidad es que gran parte de la CNI en la que dependemos todavía se basa en tecnología operativa heredada, software y sistemas operativos. Estos sistemas siguen en uso porque están diseñados específicamente para las tareas que deben realizar. Mucha de esta infraestructura heredada fue diseñada y construida sin tener en cuenta los sistemas conectados a Internet, lo que significa que, muchos años después, gran parte de este hardware y software está desactualizado, casi obsoleto, y es difícil de proteger contra amenazas cibernéticas. La razón es simple: si el hardware o software ya no es compatible con el fabricante, tampoco recibe actualizaciones de seguridad. Incluso si hay parches de seguridad disponibles, es extremadamente difícil desconectar la infraestructura crítica para aplicarlos. Todo esto significa que la OT, ya sea potencialmente actualizable o funcionando en sistemas heredados que pueden tener incluso décadas de antigüedad, es extremadamente vulnerable a las amenazas cibernéticas en evolución, especialmente si el equipo utilizado no ha sido debidamente certificado.

El gobierno ha advertido que la amenaza sin precedentes a la CNI representa un riesgo para los ciudadanos del Reino Unido, por lo que anunció planes para invertir más de £1,000 millones para mejorar las capacidades digitales y cibernéticas del país. La clave para asegurar la CNI es garantizar que existan procesos adecuados para la evaluación y prevención de amenazas, vulnerabilidades y otros problemas. Y cuando sea necesario, que haya un apoyo rápido disponible para responder a posibles violaciones, ataques u otros incidentes. Si bien los planes del gobierno para asegurar la CNI son bien recibidos, también es importante que las organizaciones responsables de operar y mantener la tecnología operativa aseguren que tienen planes para reaccionar mientras garantizan que las operaciones más vitales permanezcan activas. Por lo tanto, el presupuesto del gobierno debe seguir priorizando el gasto en la seguridad de la CNI, tanto en la protección de sistemas heredados como en la evaluación y prevención de problemas, así como en asegurar que los programas de transformación digital para modernizar la TI detrás de la infraestructura se adhieran al concepto de “Seguro por Diseño” desde la etapa de desarrollo.

También es importante seguir las pautas y configuraciones de implementación segura al integrar la tecnología en entornos operativos del mundo real. Y avanzar hacia un enfoque de “Seguro por Operaciones” para el mantenimiento y supervisión continua de los activos. Este enfoque se vuelve crítico cuando la tecnología evoluciona a un ritmo tan rápido, y hasta las ‘simples’ configuraciones incorrectas pueden llevar a incidentes cibernéticos. El uso de inteligencia artificial (IA) ha aumentado el potencial y la velocidad tanto de consecuencias positivas como negativas. Un ciberataque a un solo participante en la cadena de valor puede causar daños operativos, financieros o de reputación significativos a otras organizaciones que dependen del operador afectado o de su tecnología. De hecho, el Centro Nacional de Seguridad Cibernética (NCSC) ha advertido que la creciente incorporación de modelos y sistemas de IA en la base tecnológica del Reino Unido, y particularmente dentro de la infraestructura nacional crítica, casi seguramente presenta una mayor superficie de ataque para que los adversarios la exploten.

Sin embargo, la IA industrial también puede utilizarse para fortalecer la seguridad cibernética, no solo con defensas cibernéticas automatizadas, sino también para el mantenimiento predictivo de la tecnología operativa. Así como la IA puede utilizarse para evaluar la condición continua de los sistemas ciberfísicos, las capacidades predictivas de la IA industrial pueden usarse para anticipar posibles amenazas cibernéticas antes de que se conviertan en un problema. Por ejemplo, con la información y las instrucciones adecuadas, especialmente cuando son proporcionadas por el socio correcto, la IA podría anticipar cuáles son las vulnerabilidades o incluso los grupos de amenazas que representan el mayor riesgo para la infraestructura en ese momento, proporcionando a los defensores humanos información vital para ayudar a garantizar que los sistemas permanezcan protegidos contra amenazas maliciosas.

Los defensores cibernéticos humanos son clave aquí. Si bien la IA puede ayudar a mejorar la seguridad cibernética, los humanos siguen siendo una parte vital del proceso. Son las personas las que son responsables de asegurar los sistemas y es fundamental que trabajen juntas hacia este objetivo. Los profesionales de la ciberseguridad pueden estar trabajando para organizaciones competidoras, pero para garantizar que la CNI esté defendida contra amenazas cibernéticas, la colaboración es clave; los grupos de apoyo de la industria deben implementar el intercambio de conocimientos, las mejores prácticas como “Seguro por Diseño” y “Seguro por Operaciones”, así como la mitigación proactiva de amenazas para activos críticos y asociaciones. A medida que evoluciona el panorama de amenazas, también es importante que la industria colabore. Si un proveedor defiende con éxito un ciberataque, esa información podría ayudar a otros a hacer lo mismo. Al trabajar juntos, podemos garantizar la resiliencia y seguridad de nuestra infraestructura crítica para el futuro.