Tras la aprobación en el Congreso de los Diputados de la Ley de Infraestructuras Críticas que articula los mecanismos de control y seguridad de las de 3.500 instalaciones esenciales, definidas como “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”.
La mencionada Ley es una trasposición al ordenamiento jurídico español de la Directiva sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección, aprobada en 2008. En dicha Directiva se establece que la responsabilidad principal y última de proteger las infraestructuras críticas europeas corresponde a los Estados miembros y a los operadores de las mismas.
La norma contempla la puesta en marcha de un Plan Nacional de Protección de Infraestructuras Críticas con medidas concretas para hacer frente a las amenazas que se ciernen sobre los denominados "doce Sectores Estratégicos", que se encuentran subdivididos a su vez en Subsectores, Ámbitos y Segmentos. La idiosincrasia propia de cada sector quedará recogida en los Planes Estratégicos Sectoriales, que incluirían las medidas a adoptar dentro de cada sector para hacer frente a una situación de riesgo, estando articulados mediante el Plan de Seguridad del Operador, en el que cada operador (público o privado) definirá la política general de seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión considerados críticos, así como un Plan de Protección Específico para cada instalación.
Adicionalmente a estas medidas, se contempla el despliegue de un Plan de Apoyo Operativo que elaborarán las Fuerzas de Seguridad del Estado que, en cada caso, tenga las competencias de seguridad en la demarcación, y que reflejará las medidas de vigilancia, protección o reacción a prestar de forma complementaria a los operadores.
La lista detallada de las infraestructuras críticas españolas, incluyendo su descripción, los medios de contacto con las mismas, el tipo de instalación, datos geográficos y de localización, información de seguridad, riesgos evaluados, información de las fuerzas de seguridad, e información audiovisual se recogen en el Catálogo Nacional de Infraestructuras Estratégicas y se trata de información clasificada como secreta, dada la alta sensibilidad para la seguridad nacional de la información contenida en dicho Catálogo.
A pesar de esto, en diciembre del año pasado se publicó en Wikileaks el informe secreto de «todas las dependencias extranjeras y recursos clave localizados en el extranjero» elaborado por Coordinadora Adjunta para Seguridad Nacional de la Oficina de Coordinación antiterrorista del Departamento de Estado Norteamericano, Susan Burk. Dicho documento enumeraba el listado de las infraestructuras más críticas del mundo, los recursos que de ser atacados podrían impactar sensiblemente la salud física y económica de las masas y hasta los fabricantes europeos de vacunas contra la viruela, la rabia y otras enfermedades que pudieran ser usadas como armas biológicas.
En el caso español, los sectores reconocidos como estratégicos son:
- centrales y redes de energía;
- tecnologías de la información y las comunicaciones;
- finanzas (por ejemplo, banca, valores e inversiones);
- sector sanitario;
- alimentación;
- agua (embalses, almacenamiento, tratamiento y redes);
- transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico);
- producción, almacenamiento y transporte de mercancías peligrosas (materiales químicos, biológicos, radiológicos y nucleares);
- administración (servicios básicos, instalaciones, redes de información, activos, y principales lugares y monumentos nacionales).
Entre los sectores críticos, el Sistema Financiero y Tributario Español merece una mención diferenciada. Con el debate de la crisis nuclear de Fukushima sobre la mesa, todavía se recuerdan los ataques de DDoS sufridos por Estonia en 2007, cuya consecuencia fue que muchos de los bancos del país vieron como sus sitios Web quedaban fuera de servicio.
Los servicios bancarios y financieros suelen disfrutar de un mayor nivel de seguridad y de una madurez mayor en cuanto a una gestión efectiva de la misma. Sin embargo, sufren el denominado "fenómeno de Willy Sutton" Según este principio, los ciberatacantes con motivaciones económicas siempre tendrán a ese sector en el punto de mira.
De esta forma, las principales acciones a abordar para proteger las infraestructuras críticas en un marco temporal acotado de unos cinco años deberían pasar por:
- Gestión de los atributos de identidad digital on-line de los diversos actores en la red financiera y estandarización de los mismos.
- Plataformas de autenticación versátiles y seguras.
- Estudio de modelos predictivos de riesgos derivados de los nuevos paradigmas (p.e. Cloud Computing).
- Generación de métricas e indicadores de eficacia y eficiencia de las medidas de protección.
- Diseño de aplicaciones y sistemas que garanticen la alta disponibilidad "by desing" (resiliencia).
- Despliegue de planes de continuidad de negocio y operaciones coordinados en el sector y probados periódicamente (los denominados war games).
La seguridad de las infraestructuras críticas en exige contemplar actuaciones que vayan más allá de la mera protección material contra posibles agresiones o ataques, motivo por el que resulta inevitable implicar a otros órganos de la Administración General del Estado y de todos los actores en el tejido industrial, privado y público español.
