Sí, las infraestructuras digitales son también servicios esenciales
Nuestros datos se manejan en gran medida, y cada vez más, en infraestructuras digitales gestionadas por cada vez menos empresas, de las que una de cada cuatro, ha sufrido un ciberataque el pasado año. Para proteger estas infraestructuras es necesario primero entender cuál el su nivel de capacidades de ciberseguridad.
Iberclear lleva a cabo desde 2005 la gestión de RENADE, el Registro nacional de derechos de emisión de gases de efecto invernadero
La evolución hacia la concentración
Ya lo sabíamos, una consecuencia de la creciente digitalización de la sociedad es una dependencia cada vez mayor de las infraestructuras digitales. En la medida en la que los procesos se automatizan, más y más sistemas informáticos se van haciendo más y más críticos y esenciales.
A esto se le suma además lo que podríamos denominar el efecto «the winner takes it all»: el reducido coste marginal de las operaciones conduce a una situación de concentración (los operadores deben fusionarse para que, el cada vez menor margen, siga siendo rentable económicamente).
Combinando ambos fenómenos, vemos que (1) cada vez somos más dependientes de (2) cada vez menos prestadores de servicios. Por ejemplo, en el mercado de cables submarinos, menos de 20 compañías (entre las que figuran nombres tan conocidos como Google, Microsoft, Facebook o Amazon) copan el 80% del mercado. Un mercado, por cierto, que se espera que crezca a un CAGR de entre un 10 y un 20% entre 2023 y 2030.
En el mercado de centros de procesamiento de datos la situación es similar y nos encontramos con un CAGR esperado del 10% para el mismo período, y, como dato anecdótico, vemos que en 2022 se produjeron 187 operaciones de fusiones y adquisiciones (es decir, concentración). Además, según Synergy Research Group, en 2022 el número de centros de datos hiperescalares excedía los 800, o sea que, podríamos decir que Internet reside en algo más de 800 ubicaciones. Y para abundar en esta concentración, hay además una la tendencia hacia el outsourcing: según el último estudio «Global Data Center Survey» de 2023 de Uptime Institute1, por primera vez, el porcentaje de la carga de procesamiento alojado en centros propios ha caído por debajo del 50% (en concreto, un 48%) y la previsión para 2025 es que baje aún más hasta el 43%.
En definitiva, parece que la historia repite. Al igual que en la revolución industrial, la energía pasó de generarse de manera individual a ser consumida de compañías eléctricas que concentran la producción y distribución, parece que, en la Era del Conocimiento, la capacidad de almacenamiento y procesamiento (la nueva energía) también está pasando de realizarse de manera individual a consumirse de grandes productores.
Los Centros de Procesamiento como vector de ataque
En los últimos meses hemos visto a grupos, como APT41, dirigir sus ataques hacia infraestructuras energéticas2 como parte de su estrategia para vulnerar las infraestructuras digitales. Siendo conscientes de que los centros a los que dan servicio alojan modelos de inteligencia artificial y machine learning, estos atacantes se enfocan en los sistemas de refrigeración, deshabilitando los flujos de aire y dañando los servidores, CPUs y GPUs asumiendo que los servidores web, las VPNs y los equipos finales no cuentan con una adecuada protección y microsegmentación (3).
Por circunstancias como ésta se han puesto en marcha iniciativas en diferentes países para mejorar la protección de este tipo de infraestructuras. Por ejemplo, recientemente el Parlamento del Reino Unido ha lanzado una consulta sobre la ciberresiliencia de las infraestructuras digitales como parte de su estrategia de protección de las infraestructuras críticas (4).
La ciberseguridad de los Centros de Procesamiento
La encuesta «Data Center Security» de Uptime Institute realizada entre abril y mayo de 2023 (5) pone de manifiesto conclusiones muy relevantes:
Una de cada cuatro organizaciones han experimentado un ciberataque o un acceso no autorizado a sus sistemas (tanto IT como OT) en el pasado año. Dado que los centros de procesamiento están cada vez más conectados, es de esperar que estos incidentes sean cada vez más frecuentes.
Las aproximaciones a la ciberseguridad varían mucho entre los operadores. Algunos encuestados realizan revisiones con más frecuencia que otros y con un nivel de detalle también variable, en función de factores como el coste y la regulación aplicable.
La confidencialidad de los datos de los clientes es la preocupación más relevante en relación a la ciberseguridad - probablemente debido a la gravedad de las consecuencias en caso de brechas de datos.
La mayoría de los sistemas IT y OT pueden ser gestionados remotamente, lo que puede mejorar la eficiencia, pero también introduce mayores vulnerabilidades en ciberseguridad.
Conclusión
Viendo la vital importancia, actual y creciente, de los centros de procesamiento es indudable que estas instalaciones son parte de las infraestructuras esenciales para el funcionamiento de la sociedad. Ya hace tiempo que los nodos de conexión a Internet eran infraestructuras protegidas, pero desde la aparición de la Directiva NIS y, en particular, cuando se trasponga la nueva NIS2, los servicios de centros de datos serán considerados de alta criticidad y eso conllevará que sea necesario mejorar su nivel de ciberseguridad, es decir, aumentar el nivel de protección de los sistemas IT y OT que permiten operar dichas instalaciones y, para ello, lo primero es entender cuál es el nivel de capacidades de ciberseguridad de esos sistemas. Es esencial.
[1] Uptime Institute global data center survey results 2023
[2] “China-Linked Hackers Breached a Power Grid—Again”
[3] “Securing generative AI starts with sustainable data centers”
[4] Cyber-resilience of the UKs critical national infrastructure/
[5] UI Data Report 113, de octubre de 2023, “Network complexity heightens cyber-risks for data centers”
Prueba la herramienta de autoevaluación gratuita E-Qualify Corporate para obtener una visión global de tu posicionamiento de ciberseguridad.