La ciberseguridad de las infraestructuras críticas se ha convertido en un asunto estratégico para España y Latinoamérica en un contexto de tensión geopolítica mundial, digitalización de los servicios esenciales y rápida evolución de las amenazas, sobre todo como consecuencia del auge de la inteligencia artificial. De hecho, los participantes en la mesa redonda Infraestructuras críticas: seguridad en un mundo de tensión geopolítica y disrupción tecnológica, organizada por Ciberilatam durante las VI Jornadas STIC & Congreso RootedCON, coincidieron en que la protección de los servicios esenciales exige más gobernanza, más colaboración público-privada y una capacidad real de respuesta y recuperación.
Precisamente, Carlos Leonardo, director ejecutivo del Centro Nacional de Ciberseguridad de República Dominicana, situó el punto de partida en la gobernanza. A su juicio, no existen fórmulas trasladables de forma automática entre países: «Los modelos de gobernanza de ciberseguridad no funcionan como piezas de Lego, que tú la tomas de un sitio y la pones en otro», afirmó. En el caso dominicano, recordó que la ciberseguridad pública nació en 2018 como una política dependiente del Ministerio de la Presidencia, centrada en el ciudadano y en el bien común. Esa primera etapa, explicó, permitió generar confianza con la ciudadanía, el sector privado, las infraestructuras críticas, la academia y la sociedad civil.
Esta necesidad de madurez institucional fue compartida por Javier Candau, subdirector del Centro Criptológico Nacional de España, quien advirtió de que en Latinoamérica la madurez en ciberseguridad sigue siendo «dispar y baja», aunque reconoció que en la última década «se ha construido mucho». Para avanzar, defendió leyes de gobernanza, estructuras estables de respuesta ante incidentes y medidas de seguridad proporcionadas, medibles y verificables.
Carlos Leonardo (CNCS): «Los modelos de gobernanza de ciberseguridad no funcionan como piezas de Lego»
Asimismo, la dimensión geopolítica fue abordada por Federico Juste de Santa Ana, segundo comandante del Mando Conjunto del Ciberespacio español, quien señaló que el ciberespacio se ha convertido en un escenario utilizado por los Estados «para intentar modificar e influir la voluntad» de otros países. En ese marco, los ataques a infraestructuras críticas adquieren especial gravedad por su «efecto amplificador» sobre la sociedad.
También puso el foco en las pequeñas empresas, al recordar que muchas podrían mejorar su seguridad con asesoramiento. «Esto no solo se resuelve con dinero, a veces es un tema de mentalidad», afirmó, antes de defender los planes de resiliencia y los ejercicios conjuntos como herramientas clave.
Volumen y sofisticación
Por su parte, los responsables de empresas de sectores esenciales confirmaron que las amenazas han aumentado últimamente en volumen y sofisticación. Junior Dugee, superintendente de Ciberseguridad del Consorcio Energético Punta Cana-Macao, subrayó que la ciberseguridad ya no puede entenderse como un asunto técnico; sino como un elemento estratégico para la toma de decisiones, por el impacto que un incidente puede tener en operaciones críticas y en la seguridad de las personas.
Miguel Raúl González, director of IT de EGE Hania, añadió que la integración entre redes IT y OT, impulsada por las necesidades del negocio, está ampliando la superficie de exposición. «Todos los activos están conectados con proveedores externos», alertó, antes de concluir que «la cadena de suministro es una vía por donde entran los ataques».
A ello también se refirió Elsa Encarnación, exdirectora de Ciberdefensa del Ministerio de Defensa de República Dominicana, quien advirtió de que muchas estrategias industriales siguen orientadas a IT y no tanto a OT, pese a que este ámbito exige capacidades específicas. «La tecnología operacional es otro mundo», señaló para reclamar más formación desde universidades, centros técnicos y espacios académicos para cubrir una brecha de talento aún mayor que la existente en ciberseguridad general.
Desde el sector financiero, Fredy Perez, CISO de Banco Promerica, describió un escenario en el que la digitalización ha eliminado los perímetros tradicionales. «Ya no hay periferia», afirmó, al explicar que los clientes quieren operar desde el móvil y los canales digitales. En paralelo, los ataques son más sofisticados. Ya no se limitan a phishing con errores visibles, sino que incluyen páginas y aplicaciones falsas, y hacen inteligencia sobre la posible víctima.
Por su parte, Saira Isaac, gerente de Gestión de Seguridad Cibernética de Banco Santa Cruz, puso el foco en la responsabilidad, el cumplimiento y la cultura organizativa. En su intervención, advirtió de que cumplir una regulación no equivale necesariamente a estar seguro y planteó la necesidad de llevar las herramientas existentes a la realidad mediante «colaboración, prioridades claras y compromiso de las personas».
Aportando el punto de vista de una empresa especializada en ciberseguridad, Mar López, CEO de Sofistic, confirmó el «incremento sustancial de los ciberataques y la complejidad», especialmente por el uso de inteligencia artificial. Para esta empresa, que patrocinó el desayuno, el factor tiempo se ha convertido en un condicionante crítico, sobre todo cuando los ataques afectan a servicios esenciales, continuidad de negocio y cadenas de suministro.
Y es que la inteligencia artificial ya es uno de los grandes aceleradores del riesgo. De hecho, debido a esto, Candau advirtió de que los proveedores de servicios esenciales deberán cambiar la aproximación de sus SOC y evolucionar hacia capacidades más activas, con equipos que prueben de forma permanente la infraestructura. También reclamó pasar de la «necesidad de conocer» a la «necesidad de compartir», porque «si las organizaciones siguen actuando como islas, los atacantes las irán debilitando una a una».
En definitiva, la resiliencia de las infraestructuras críticas ya no depende solo de la tecnología; sino también de la gobernanza, el talento, la medición, la cultura directiva y la colaboración real entre empresas e instituciones públicas.
Archivado en:
