Los proveedores de CNI del Reino Unido atraviesan dificultades: 2025 será un año crítico para el ciberespacio

Los proveedores de CNI del Reino Unido están en dificultades: 2025 será un año crítico para el ciberespacio

Por Phil Muncaster • 23 de enero de 2025

La infraestructura nacional crítica (CNI) del Reino Unido recibe ese nombre por una razón. Sin embargo, los grandes volúmenes de datos confidenciales que almacenan los proveedores, su baja tolerancia a las interrupciones y su importancia para la seguridad nacional y económica también los convierten en objetivos. Los actores de los estados nacionales envalentonados, los hacktivistas y los cibercriminales con motivaciones económicas encuentran cada vez más brechas de seguridad que explotar.

A nivel mundial, más de dos quintas partes (42%) reportaron El año pasado, el 93 % de las empresas de seguridad informática sufrieron violaciones de datos y el XNUMX % vio aumentar los ataques. Con la llegada de la legislación británica prevista para el próximo año, las empresas de seguridad informática claramente necesitan mejorar su resiliencia cibernética. La buena noticia es que ya existen normas para guiarlas en estos esfuerzos.

¿Qué esta pasando?

No existe una empresa de CNI típica, desde proveedores de servicios públicos hasta servicios financieros, organizaciones de atención médica y fabricantes de defensa. Pero muchas se han visto afectadas por las mismas amenazas, incluida la explotación masiva de vulnerabilidades. por actores rusos y campañas de phishing dirigidas desde Los piratas informáticos del Estado iraní.

En el Reino Unido, en 2024 se produjeron importantes casos de ransomware y violaciones de datos en un proveedor clave del NHS (Synnovis) y en El Ministerio de Defensa, lo que podría poner vidas en riesgo. Ha habido ataques de ransomware Dirigido a los hospitales infantiles y mayor proveedores de transportePero más allá de estos incidentes aislados, podemos descubrir las siguientes tendencias:

Amenazas internas: Según Thales, el 30% de las organizaciones de CNI sufrieron un incidente de amenaza interna durante el año pasado. Bridewell advierte que el 35% de los líderes de seguridad de CNI creen que los problemas financieros personales están obligando a los empleados a recurrir al robo de datos y al sabotaje.

Estrés y agotamiento: Los líderes de seguridad, en particular, están sintiendo la presión. En 2022, un informe reclamado que el 95% experimentó factores que harían probable que abandonaran su puesto en los próximos 12 meses.

Presupuestos estancados: El porcentaje de presupuestos de TI (33%) y OT (30%) en 2024 destinado a ciberseguridad cayó dramáticamente a partir de cifras de 2023 del 44% y 43% respectivamente.

Pérdida de confianza en las herramientas: Bridewell afirma que casi un tercio (31 %) de los líderes de seguridad de CNI clasificaron la “confianza en las herramientas de ciberseguridad” como uno de los principales desafíos en 2024, un aumento anual del 121 %.

Líneas borrosas entre las amenazas estatales y los delitos cibernéticos: El papel del Estado ruso en proteger y alentar ataques con motivaciones financieras contra hospitales y otras instituciones criminales del Reino Unido está siendo denunciado cada vez más en los niveles más altos.

El NCSC señaló en su El Anuario: “A través de sus actividades en Ucrania, Rusia está inspirando a actores no estatales a llevar a cabo ciberataques contra las fuerzas de seguridad occidentales. Estos actores no están sujetos a un control estatal formal o manifiesto, lo que hace que sus actividades sean menos predecibles. Sin embargo, esto no reduce la responsabilidad del Estado ruso por estos ataques motivados por ideologías”.

Sofisticación creciente. Aunque no se centra en el Reino Unido, el grupo chino tifón de voltios Demostró una sofisticada habilidad comercial en una campaña de varios años descubierta a principios de 2024, durante la cual se infiltró en las redes CNI de EE. UU. para sabotear servicios críticos en caso de conflicto.

“Muchos sistemas CNI dependen de tecnología obsoleta, lo que los hace vulnerables a ataques y difíciles de proteger. Gestionar requisitos normativos complejos y cambiantes exige recursos y experiencia significativos”, explica a ISMS.online el director técnico de seguridad de datos de Thales EMEA, Chris Harris.

“Además, la falta de profesionales capacitados en ciberseguridad dificulta la capacidad de gestionar y responder a las amenazas de manera eficaz. Equilibrar la adopción de nuevas tecnologías con el mantenimiento de medidas de seguridad sólidas es un desafío continuo”.

Martin Riley, director de tecnología de Bridewell, está de acuerdo y añade que la tecnología operativa (OT) es otro desafío importante para las empresas de CNI.

“Los dispositivos OT carecen del rigor de la seguridad empresarial, y persisten las preocupaciones sobre el impacto en las operaciones y la salud y seguridad. Los sistemas heredados, muchos de ellos con más de 20 años de antigüedad, no suelen tener capacidades de seguridad modernas, y la tendencia a la convergencia de los sistemas OT con los de TI está aumentando la superficie de ataque”, comenta a ISMS.online.

“Debido a la escasez de habilidades, los CISO no pueden recurrir a expertos específicos de OT para desarrollar planes de ciberseguridad proporcionados y unir la seguridad de TI y OT para reducir este riesgo. Especialmente frecuente es el aumento de dispositivos de borde en TI, OT e infraestructuras de IoT, que podrían ser explotados en ataques que no se realizan en tierra, donde se atacan herramientas legítimas dentro del sistema”.

Riley agrega que, en algunos casos, las brechas de habilidades podrían incluso llevar a los equipos de OT a adoptar medidas que bloqueen inadvertidamente el acceso de los usuarios, causando daños a la infraestructura física o incluso un riesgo para la vida humana.

¿Qué exigen los reguladores?

La necesidad de crear resiliencia en la CNI es evidente en las tendencias e incidentes anteriores, pero también existe un imperativo regulatorio cada vez mayor. Los proveedores del Reino Unido con operaciones en el continente deben cumplir con un nuevo y estricto conjunto de normas de seguridad básicas. demandas en NIS2La directiva también aclara que los altos directivos empresariales serán más responsables de las fallas en materia de ciberseguridad, incluida la responsabilidad personal por infracciones graves.

En el Reino Unido, una nueva ola de inmigración Proyecto de ley sobre ciberseguridad y resiliencia Actualizará las Normas NIS de 2018 para cubrir a más proveedores de servicios, empoderar a los reguladores y obligar a informar sobre incidentes. Aún no se han resuelto todos los detalles, pero la dirección general de la acción desde una perspectiva regulatoria en el Reino Unido es un escrutinio más estricto de las empresas de CNI.

Qué pueden hacer las empresas de CNI en 2025

“El NCSC cree que se subestima la gravedad de las amenazas dirigidas por el Estado y que la ciberseguridad de la infraestructura crítica, las cadenas de suministro y el sector público debe mejorar”, dice el NCSC en su informe. El Anuario.

Todo esto está muy bien, pero ¿cómo pueden los proveedores mejorar específicamente su postura de seguridad?

“La CNI se enfrenta a diversas amenazas, desafíos y oportunidades. Las medidas proactivas, como las respuestas formales al ransomware y las auditorías de cumplimiento, son esenciales”, afirma Harris de Thales.

“Las tecnologías emergentes como 5G, la nube, la gestión de identidad y acceso y GenAI ofrecen nuevas eficiencias cuando se integran en las operaciones de CNI. Las mayores expectativas y los mayores compromisos con la resiliencia y la confiabilidad operativas mejorarán la seguridad y reducirán la vulnerabilidad de las empresas de CNI”.

La norma de mejores prácticas ISO 27001 podría ser un buen punto de partida para muchos, ya que proporciona un “marco sólido” para gestionar los riesgos de seguridad, continúa.

“El cumplimiento de la norma ISO 27001 garantiza que los operadores de CNI implementen las mejores prácticas en ciberseguridad, incluida la evaluación de riesgos, la gestión de incidentes y la mejora continua”, afirma Harris.

Riley de Bridewell también apoya los enfoques de mejores prácticas de la industria.

“Una estrategia de ciberseguridad de mejores prácticas en un proveedor de CNI típico alinea los registros de riesgos de TI y OT para evaluar los riesgos de manera integral. Esto debería impulsarse mediante la combinación y el mapeo de los controles ISO 27001 con las normas NIST CSF, NCSC CAF, NIS o marcos de OT específicos como IEC 62443”, explica.

“La ISO 27001 por sí sola no es un factor que impulse la mejora de la seguridad de la información de la empresa. Muchas organizaciones mantienen un único alcance y una declaración de aplicabilidad que cubre únicamente la empresa. Por eso es tan importante que las organizaciones de información de la empresa incorporen otros marcos y normativas a su estrategia para un SGSI de alcance múltiple. Desarrollar un SGSI de alcance múltiple puede ser complicado, pero no es imposible si se separan de manera efectiva las OT y las TI y se incorporan las normativas pertinentes”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster