La ciberseguridad por sí sola no basta: la protección KRITIS debe incluir la destrucción segura de los datos.
Las infraestructuras críticas son los salvavidas invisibles de nuestra vida cotidiana: mientras funcionan, apenas nos damos cuenta de su existencia, pero sin ellas, todo se derrumba. Incluyen instalaciones y sistemas esenciales para el funcionamiento de la sociedad, como el suministro de electricidad y agua, la alimentación, la sanidad, el transporte, las finanzas o las telecomunicaciones.
En estos sectores se generan diariamente grandes volúmenes de datos sensibles. Si bien las medidas de seguridad digital son ahora estándar, a menudo se subestima la destrucción física de datos. Los archivos antiguos, discos duros, memorias USB o cintas magnéticas contienen información confidencial que puede plantear riesgos importantes si se elimina de forma inadecuada.
Las infraestructuras críticas se enfrentan hoy a una presión cada vez mayor, no sólo por catástrofes naturales como lluvias torrenciales o terremotos, pandemias o conflictos geopolíticos, sino sobre todo por ciberataques y robos selectivos de datos, que se han convertido en una de las mayores amenazas. Los historiales de pacientes robados, la información financiera comprometida o los expedientes administrativos manipulados pueden desestabilizar sectores enteros de la sociedad. Los actos de sabotaje y las amenazas híbridas demuestran que la protección de las infraestructuras críticas ya no es sólo una cuestión de seguridad física, sino principalmente de seguridad de la información.
En muchos países ha habido hasta ahora numerosos reglamentos, estándares y normas que eran específicos de cada sector, incoherentes y a menudo no vinculantes. Faltaba un marco jurídico coherente y compatible a escala internacional, lo que dificultaba la defensa contra los ciberataques y las violaciones de datos y la demostración del cumplimiento ante las autoridades o los tribunales. Por tanto, es esencial disponer de normas uniformes y requisitos de cumplimiento vinculantes para garantizar la protección jurídica de los operadores y los Estados.
En Europa, la Directiva CER (UE 2022/2557) sobre la resistencia de las entidades críticas y la Directiva NIS-2 sobre seguridad de las redes y de la información establecen normas vinculantes. Otros países, como Estados Unidos, Canadá o Australia, también cuentan con leyes que abordan la protección de infraestructuras sensibles y el tratamiento de las violaciones de datos. A escala internacional, sin obligaciones legales en materia de gestión de riesgos, obligaciones de información y medidas de protección, la defensa contra las amenazas críticas sigue siendo incompleta.
Las normativas modernas persiguen un doble objetivo: los servicios críticos deben permanecer operativos o restablecerse rápidamente en caso de ataques o interrupciones, y los marcos jurídicos deben definir claramente las responsabilidades, las obligaciones de documentación y las sanciones. Sólo así pueden los operadores asegurarse de que están protegidos no sólo técnica sino también jurídicamente en caso de ciberataque o violación de datos.
A nivel europeo, la Directiva CER (UE 2022/2557) y la Directiva NIS-2 constituyen la base para mejorar la resiliencia y la ciberseguridad en los sectores críticos. Los Estados miembros deben transponer estas directivas a su legislación nacional. Muchos países, como Francia, los Países Bajos y España, ya han promulgado leyes para garantizar la protección de las infraestructuras críticas a nivel nacional.
En Alemania, la protección de las infraestructuras críticas se rige principalmente por la Ley de Seguridad Informática, la Ley BSI y el proyecto de la nueva Ley Marco KRITIS. El objetivo de este marco es transponer a la legislación nacional las directivas europeas, en particular la Directiva CER y la Directiva NIS-2, unificando al mismo tiempo normativas hasta ahora fragmentadas. Se crea así un marco jurídico intersectorial que garantiza tanto la seguridad física como la ciberresiliencia de las instalaciones críticas, incluidos los requisitos de seguridad informática, la gestión de riesgos y emergencias y la notificación de incidentes. Obliga a los operadores a proteger la información sensible, incluida la destrucción física de datos.
En Estados Unidos, poco después de los atentados del 11 de septiembre de 2001, se introdujo una amplia normativa para proteger las infraestructuras críticas. Entre los organismos clave figuran el Departamento de Seguridad Nacional (DHS ) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). Los marcos jurídicos incluyen la Ley USA PATRIOT, que define 16 sectores de infraestructuras críticas, y la Directiva Política Presidencial 21 (PPD-21). La atención se centra en la protección contra el terrorismo, los ciberataques y las catástrofes naturales. Los operadores de infraestructuras sensibles también están obligados, en virtud de leyes como HIPAA (sanidad), GLBA (sector financiero) y FACTA, a destruir de forma segura los datos sensibles. Normas como la NIST SP 800-88 proporcionan directrices para la destrucción física de soportes de datos, garantizando que los documentos, discos duros u otros medios de almacenamiento no puedan utilizarse indebidamente.
Desde 2009, Canadá aplica su propia Estrategia Nacional para Infraestructuras Críticas, basada en una estrecha cooperación entre operadores federales, provinciales y privados. Las áreas de interés son la ciberseguridad, la preparación ante catástrofes y la protección contra amenazas terroristas.
Australia promulgó la Ley de Seguridad de Infraestructuras Críticas (Ley SOCI) en 2018, que se reforzó aún más en 2021. Los operadores de los sectores de la energía, el agua, las comunicaciones, la salud y el transporte están obligados a aplicar medidas específicas de seguridad y resiliencia.
En Japón, la Ley Básica de Ciberseguridad, junto con otras estrategias nacionales, rige la protección de las infraestructuras críticas. Se presta especial atención a la energía, el transporte y las finanzas, sectores muy vulnerables a catástrofes naturales como terremotos y tsunamis.
Muchos otros países, entre ellos el Reino Unido, Israel y Singapur, han desarrollado sus propios programas de Protección de Infraestructuras Críticas (PIC ). Organizaciones internacionales como la OTAN y la OCDE también ofrecen directrices y recomendaciones para coordinar la protección de las infraestructuras críticas a escala mundial.
Incluso los operadores de infraestructuras críticas con una seguridad informática de vanguardia siguen siendo vulnerables si los soportes físicos de datos no se destruyen de forma segura y permanente. La eliminación incorrecta de documentos, discos duros de servidores o dispositivos de almacenamiento móviles puede provocar importantes fugas de datos. En sectores KRITIS como la energía, la sanidad o la administración pública, este tipo de incidentes podrían tener no sólo consecuencias económicas, sino también amenazar la seguridad del suministro, el orden público y la confianza de los ciudadanos.
Para mitigar estos riesgos, existen varios métodos:
Destrucción de documentos: Los archivos, planos o datos impresos confidenciales se trituran mecánicamente para impedir su reconstrucción.
Desmagnetización: Los campos magnéticos fuertes borran irreversiblemente los datos de los discos duros, cintas magnéticas y soportes similares.
Destrucción física: Los soportes de almacenamiento como discos duros de servidor, unidades SSD, memorias USB o soportes ópticos pueden triturarse o granularse para garantizar su destrucción completa, incluso en el caso de dispositivos dañados o cifrados.
En infraestructuras críticas, estas medidas evitan que la información sensible sobre sistemas de control, atención al paciente o flujos financieros caiga en manos equivocadas.
La protección de datos sensibles en los sectores KRITIS está sujeta a estrictos requisitos legales en todo el mundo:
Europa: GDPR, DIN 66399, ISO/IEC 21964, así como las directivas NIS-2 y CER.
EE.UU.: normativas específicas del sector como HIPAA, GLBA y requisitos CISA para energía y transporte.
Internacional: Normas de seguridad de la información como ISO/IEC 27001 y requisitos de cumplimiento específicos del sector para operadores de infraestructuras críticas.
La notificación obligatoria de incidentes acentúa aún más la necesidad de una destrucción de datos verificable y auditable.
Sanidad: Registros de pacientes y datos médicos, cuyo uso indebido podría poner en peligro vidas humanas.
Suministro de energía: Datos operativos y de control críticos para la estabilidad de la red y la seguridad del suministro.
Finanzas: Datos de transacciones e información de clientes, esenciales para la estabilidad financiera.
Transporte y administración: Protección de registros administrativos confidenciales, datos logísticos e información relevante para la seguridad.
La destrucción física de datos es un componente clave para garantizar la resistencia de las infraestructuras críticas. Combinada con salvaguardas digitales como el cifrado, la supervisión de la red y los controles de acceso, crea un enfoque de seguridad integral que cumple tanto las normas internacionales como los requisitos específicos de los sectores KRITIS.
Más información: Directiva NIS-2: Refuerzo de la ciberseguridad en toda Europa desde el 17 de octubre de 2024