Según diferentes informes se está percibiendo un aumento de los ciberataques dirigidos al sector energético. En este artículo te explicamos cuáles han sido los más relevantes en los últimos años y cuál está siendo la respuesta de la Unión Europea a estas amenazas a las infraestructuras críticas.
Las infraestructuras más importantes para un país son aquellas que abastecen de los servicios esenciales a sus ciudadanos como pueden ser el agua, la energía, la alimentación o la salud. En este sentido, una amenaza sobre las mismas sería crítico para el funcionamiento de cualquier país y es por ello que se denominan infraestructuras críticas.
Cada país de la Unión Europea cuenta con sus propias medidas de protección frente a los ciberataques o a los desastres naturales que afecten a las mismas. En España se aplica la Ley 8/2011 del 28 de abril por la que se establecen medidas para la protección de estas infraestructuras críticas. A nivel europeo existe la Directiva 2008/114/CE del Consejo de la Unión Europea sobre la identificación de infraestructuras críticas europeas y la necesidad de mejorar su protección.
A finales del pasado mes de junio la Unión Europea también llegó a un acuerdo político sobre la directiva relativa a la resiliencia de las entidades críticas con el objetivo de tratar de reducir las vulnerabilidades y fortalecer las infraestructuras críticas ante desastres naturales, terrorismo o emergencias sanitarias.
Te puede interesar: La UE acuerda reforzar la resiliencia de las infraestructuras críticas
Según la Unión Europea, en los últimos años han surgido diferentes desafíos entre los que se encuentran los ataques terroristas, desastres naturales o emergencias sanitarias que han demostrado la necesidad de aumentar la resiliencia de las entidades críticas europeas.
Además este mes el Parlamento Europeo y el Consejo de la Unión Europea han acordado ampliar las infraestructuras críticas añadiendo las infraestructuras digitales, los mercados financieros, la banca, la salud el espacio, el agua potable, las aguas residuales, el medio ambiente, la administración pública y la producción y distribución de alimentos, ya que antes no estaban consideradas como tal.
De esta forma todas ellas estarán a partir de ahora protegidas con la Directiva de 2008, y se adoptarán medidas comunes para todos los Estados Miembros. Próximamente tendremos novedades legislativas sobre la protección de infraestructuras críticas que son “realmente necesarias” tras 14 años.
Te puede interesar: Nuevas normas para aumentar la ciberseguridad en la Unión Europea
Sin embargo, según los expertos, uno de los principales problemas es que la legislación no está teniendo tan en cuenta como debería los retos de las nuevas tecnologías. Estos avances suponen que las infraestructuras críticas sean más vulnerables a los ciberataques, sobre todo en casos relacionados con ciberterrorismo.
Te puede interesar: ¿Cómo saber si un ciberataque puede ser considerado Ciberterrorismo?
Aumento de ciberataques al sector energético
En el caso de las infraestructuras críticas del sector energético, desde el Foro Económico Mundial (WEF) insiste en la necesidad de colaboración en Ciberseguridad debido a que el sector está cada vez más interconectado. En 2021 el sector energético sufrió más de 451 mil ciberataques en el mundo, lo que supone un incremento del 28% respecto al año anterior debido a que el sector está entrando de lleno en el mundo digital.
Según el último informe de X-Force Threat Intelligence Index 2022, el sector energético está en cuarta posición en relación a las industrias más afectadas por los ataques en el ciberespacio, siendo el ransomware el modo de ataque más utilizado (25%). Por otro lado, las empresas más afectadas son las que centran su actividad en relación al gas y el petróleo siendo víctimas principalmente de ciberataques con troyanos, DDoS y phising.
Según advierte Rimel Fraile Fonseca, experto de Digiware, uno de los sectores más afectados por el cibercrimen es el energético. Fonseca también alerta de cómo los informes revelan un incremento “sustancial” de los ciberataques en los últimos años en este sector a medida que la transformación digital se ha extendido en este mercado con ataques cada vez más sofisticados a las infraestructuras críticas.
Además, según el informe Cyber Priority, que explora el estado de la Ciberseguridad en el sector energético, la mayoría de profesionales que trabajan en el sector de la energía, energías renovables, petróleo y gas creen que es probable que un ataque cibernético en la industria cause paradas operativas (85%) y daños a los activos de energía e infraestructura crítica (84%). La investigación de DNV también alerta que la preocupación por este tipo de amenazas ha aumentado desde el comienzo de la invasión rusa a Ucrania.
En España, el pasado mes de mayo el Ministerio del Interior lanzó un aviso generalizado a todas las empresas involucradas en algún tipo de infraestructuras críticas del sector energético para que incrementases sus controles ante el riesgo de ciberataques.
A raíz del análisis realizado por los expertos del Centro Nacional de Protección de Infraestructuras Críticas del sector energético en la Unión Europea, se recomendó a las empresas españolas también reforzar sus mecanismos de ciberseguridad en el contexto de la guerra en Ucrania y la dependencia del gas y petróleo que Rusia envía a Europa.
De esta forma, el Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad (CNPIC) de España avisó a importantes empresas española que gestionan infraestructuras críticas para que se preparen ante posibles ciberataques, entre ellas, la Red Eléctrica de España (REE). Ante esta situación, el sector energético ha invertido 600 millones de euros en startups tecnológicas para protegerse ante los ciberataques.
Te puede interesar: Curso de Director de Ciberseguridad
Te puede interesar: ¿Cómo impacta la invasión de Ucrania a la industria de la Ciberseguridad?
Principales ciberataques al sector energético
En los últimos años uno de los ataques más importantes a las infraestructuras críticas relacionadas con la energía ocurrió en el año 2010 cuando una planta nuclear en Natanz (Irán) sufrió un ciberataque mediante el malware Stuxnet deshabilitando 1.000 centrifugadoras y suspendiendo el trabajo de la planta. Otro ataque relevante ocurrió en 2015 cuando el malware BlackEnergy3 atacó la red eléctrica de Ucrania dejando a más de 250.000 personas sin luz durante más de 6 horas. En 2017 destacamos el caso del malware Triton que tomó el control del sistema de seguridad instrumentado de la estación de trabajo de Arabia Saudí con la intención de desencadenar una explosión que pudo evitarse por un error de codificación.
Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
Más recientemente destacamos el ciberataque a SolarWinds, un administrador de tecnologías de la información con más de 33.000 clientes (incluyendo Microsoft, la NASA o el Pentágono), que derivó en que los ciberdelincuentes consiguieron acceder a toda la información de las compañías y entidades públicas y el ciberataque de DDoS del grupo pro-ruso Killnet que atacó a las instituciones estatales de Lituana en el mes de junio de este año aumentando el riesgo y preocupación por el incremento de amenazas dirigidas a los sistemas industriales en el contexto de la guerra de Ucrania.
Te puede interesar: ¿Es Killnet una amenaza real?
Según los expertos podríamos estar ante la primera ciberguerra que, al no suceder en el plano físico como la guerra tradicional, no tiene fronteras. Esto lleva a que todos los países busquen maneras de protegerse ante estas amenazas teniendo en cuenta que los objetivos de los ciberataques podrían ser las infraestructuras críticas del país.
Según los expertos las empresas necesitan estar mucho más protegidas y es necesario continuar aumentando la inversión en ciberseguridad. A nivel global, la concentración de inversiones se encuentra en EEUU con un 50%, mientras que Europa cuenta con el 40%, el restante 10% se divide entre LATAM, Asia, Oriente Medio y África, donde empiezan a crecer.
Te puede interesar: ¿Cómo de vulnerables somos a los ciberataques en la guerra cibernética?
Las primeras medidas recomendadas por los expertos para fortalecer las ciberdefensas en las infraestructuras críticas deberían ser, en primer lugar, localizar el punto vulnerable a los ataques. Es decir, todas las empresas deberían contar con profesionales de seguridad cibernética en su plantilla, sobre todo aquellas empresas que sean más vulnerables o cuyo ataque tenga consecuencias más devastadoras.
Además, las empresas de energía sólo centran su riesgo en su propia empresa, sin tener en cuenta que también son vulnerables en toda la cadena de suministro, lo que incluye a clientes y proveedores.
