Source: The Conversation – (in Spanish) – By Pedro García López, Catedrático de Universidad, investigador principal del Grupo CloudLab. Experto en Computación en la nube., Universitat Rovira i Virgili
Durante décadas, cuando pensábamos en infraestructuras estratégicas en una guerra, imaginábamos aeropuertos, puertos, centrales eléctricas, refinerías, satélites, redes ferroviarias o cables de telecomunicaciones. Sin embargo, en una sociedad digitalizada hay otra infraestructura que se ha vuelto igual de crítica, aunque sea menos visible: los centros de datos.
Los ataques con drones contra tres centros de datos de Amazon Web Services (AWS) ubicados en los Emiratos Árabes Unidos y Baréin, atribuidos a Irán, mostraron que la nube ha entrado en la lógica de la geopolítica. La nube es física. Tiene edificios, cables, energía y jurisdicción. Y, en tiempos de guerra, todo eso puede convertirse en objetivo.
Ataque con drones a centros de datos
Los ataques iraníes contra AWS muestran este cambio de época. Según Reuters, fueron una represalia iraní tras ataques de Estados Unidos e Israel contra Irán.
Los centros de datos en Emiratos Árabes Unidos y Baréin sufrieron daños físicos, problemas de energía y disrupciones de conectividad. Estos afectaron a servicios de computación en la nube (cloud) usados por bancos, empresas financieras y otros clientes de la zona. “Servicios cloud” se refiere a sistemas y datos alojados en servidores remotos, como los de Amazon Web Services.
Como consecuencia, AWS aconsejó a algunos clientes mover sus cargas de trabajo (aplicaciones, procesos o servicios) a otras regiones/centros de datos que no estuvieran afectados. O, en su defecto, hacer copias de seguridad (respaldar datos) en lugares seguros fuera de la zona.
El mensaje estratégico es claro: atacar un centro de datos no equivale solo a dañar un edificio tecnológico. Puede significar presionar a una empresa estadounidense y generar un dominó de daños que afecte a economías aliadas, interrumpa servicios civiles y cuestione la confianza en la infraestructura digital.
Centros de datos estratégicos en España
Los centros de datos son la columna vertebral de nuestra sociedad digitalizada, de la que dependen innumerables servicios online que necesitamos en nuestro día a día. Son infraestructuras sobre las que descansan bancos, hospitales, administraciones públicas, universidades, logística, comercio electrónico, medios de comunicación y servicios esenciales. Así, por ejemplo, en el gran apagón que vivimos en la península ibérica, la gente echaba más de menos no poder comunicarse o pagar con tarjeta que la luz en sí misma.
En España, las regiones con más centros de datos son Madrid, Aragón y Barcelona. Si Madrid y Aragón representan el músculo del procesamiento, Cataluña es el sistema circulatorio. Sant Adrià de Besòs alberga la Barcelona Cable Landing Station, (Barcelona CLS) , un puerto digital neutral que sirve de punto de amarre para cables submarinos de fibra óptica de última generación, como el sistema 2Africa (que circunnavega todo el continente africano conectándolo con Europa), o el cable Medusa, un sistema de cable submarino de fibra óptica que conecta Europa con el norte de África y Oriente Medio, abarcando más de 8700 kilómetros a lo largo de la región del Mediterráneo.
Estos cables discurren por el fondo del mar y transportan alrededor del 99% del tráfico intercontinental. La estación de Besòs y las infraestructuras de interconexión asociadas en el área metropolitana de Barcelona no son solo infraestructuras locales: son el cordón umbilical que une a la Unión Europea con el norte de África, Oriente Medio y Asia. Si este nodo se interrumpe, el impacto de conectividad reverbera en todo el continente. Por eso, la sociedad está empezando a plantearse la importancia estratégica de estas infraestructuras y a tomar medidas para protegerlas.
Duplicar para asegurar
Es importante distinguir claramente entre tolerancia a fallos y seguridad.
La tolerancia a fallos se resuelve principalmente con redundancia de servicios. Un centro de datos certificado de tipo Tier III o Tier IV (infraestructuras de misión crítica altamente confiable) puede tener redundancia eléctrica, refrigeración duplicada, generadores autónomos y varias rutas posibles en las vías de comunicación. Estas prevenciones lo hacen muy robusto frente a fallos técnicos. Pero no lo convierten automáticamente en una instalación preparada para guerra híbrida, sabotaje coordinado, ataques a la red eléctrica, cortes de fibra o crisis prolongadas de suministro.
Por eso, administraciones y empresas deberían conocer mejor sus dependencias digitales. ¿Dónde están sus datos? ¿En qué nube o región cloud? ¿Qué servicios son críticos? ¿Existen copias fuera de línea? ¿Se ha probado la recuperación? ¿Puede operar una administración si fallan durante horas su proveedor_ cloud_ o centro de proceso de datos, su sistema de identidad o su red corporativa?
Protección en España
España dispone de un marco legal de protección de infraestructuras críticas. La Ley 8/2011 y el Real Decreto 704/2011
regulan la protección de aquellas infraestructuras cuya interrupción tendría un impacto grave sobre servicios esenciales. El sistema está coordinado por el Centro Nacional de Protección de Infraestructuras Críticas, dependiente del Ministerio del Interior. La lista concreta de operadores e instalaciones críticas no es pública, precisamente por razones de seguridad.
Esto significa que no podemos afirmar alegremente que un determinado centro de datos esté protegido por defensa, policía o medidas especiales. Algunos podrían estar incluidos en planes de protección si soportan servicios esenciales; otros no. Además, proteger una infraestructura crítica no significa necesariamente poner soldados en la puerta. Puede implicar planes de seguridad, coordinación con autoridades, análisis de riesgos, protocolos de respuesta, ciberseguridad, control de accesos, redundancia y controles periódicos.
La defensa civil del siglo XXI no consiste solo en proteger carreteras, hospitales, puertos o centrales eléctricas. También requiere garantizar que los servicios digitales esenciales puedan seguir funcionando ante la amenaza posible a infraestructura que los sostienen. La nube también es un objetivo de guerra.
Pedro García López no recibe salario, ni ejerce labores de consultoría, ni posee acciones, ni recibe financiación de ninguna compañía u organización que pueda obtener beneficio de este artículo, y ha declarado carecer de vínculos relevantes más allá del cargo académico citado.
– ref. La nube, nuevo objetivo de guerra – https://theconversation.com/la-nube-nuevo-objetivo-de-guerra-283535