En un primer momento, puede que el título de este artículo parezca mezclar dos conceptos que a priori no tengan demasiada relación, todo lo contrario. En Geograma, desde hace un tiempo venimos reflexionando sobre la evolución que percibimos en la realidad geopolítica global, las nuevas amenazas, la sofisticación progresiva de las nuevas vulnerabilidades publicadas asociadas a las tecnologías y el papel protagónico que están adquiriendo los Servicios de Información Geográfica en el contexto actual.

La imagen muestra, en su lado izquierdo, un servidor de mapas GeoServer perteneciente a un visor geográfico abierto de una administración pública, operando sobre la versión 2.21. En el lado derecho, se hace referencia a la vulnerabilidad CVE-2024-36401, publicada en julio de 2024, que afecta a las versiones anteriores a 2.23.6, 2.24.4 y 2.25.2. Esta vulnerabilidad presenta un nivel de criticidad de 9.8/10 (métrica CVSS) y una probabilidad de explotación del 96.19% (métrica EPSS), lo que sugiere la necesidad de implementar medidas de mitigación urgentes. Fuente: HackerOne

Mayor relevancia y un contexto más complejo

Es bien conocido por todos que la realidad del ciberespacio es cada vez más compleja y, como no puede ser de otra manera, refleja los intereses y relaciones entre las entidades estatales y corporativas. Se ha convertido en un entorno central para desplegar estrategias, ejercer poder, difundir desinformación, proteger aliados y atacar rivales. En este contexto, quienes trabajamos en el sector hemos ido siendo conscientes de cómo los Servicios de Información Geográfica han ido adquiriendo un papel cada vez más relevante en la sociedad, especialmente en la prestación de algunos servicios críticos.

Los desastres naturales derivados de la crisis climática, epidemias, los conflictos entre naciones o la prestación de ayuda humanitaria son campos en los que los GIS son cada vez más importantes y se están consolidando como herramientas fundamentales. De esta manera, la relevancia de los servicios prestados aumenta adquiriendo riesgos sectoriales específicos que deberían ser protegidos con estándares equivalentes a los de las infraestructuras críticas.

El gráfico muestra un aumento en el número de conexiones afectadas en España, con picos que reflejan momentos de mayor explotación de vulnerabilidades en GeoServer, especialmente tras la publicación de CVE-2024-36401 a mediados de 2024. Fuente: The Shadowserver Foundation

Por esta razón, sería deseable que el sector diera un paso adelante en la gestión de la seguridad y en la asignación de recursos. Un breve análisis de algunos Servicios de Información Geográfica abiertos al público pertenecientes a Administraciones Públicas de distinto tipo y tamaño, revela que no siempre se cumplen con la diligencia necesaria los estándares mínimos de vigilancia tecnológica o, al menos, la implementación de acciones de mitigación que recomendaría una herramienta de supervisión.

El propio Esquema Nacional de Seguridad subraya, en su articulado, la importancia de la vigilancia continua y la reevaluación periódica (art. 10), así como de la integración y actualización del sistema (art. 21). Estas directrices interpelan, entre otros, a las administraciones públicas, instándolas a establecer sistemas y mecanismos que permitan «evaluar y monitorizar de forma permanente el estado de seguridad de sus sistemas, atendiendo a [...] las vulnerabilidades identificadas y las actualizaciones que les afecten».

Ciberseguridad es excelencia en el resultado final y optimización de recursos

Dado que la cadena de suministro de un GIS está formada por un número creciente de productos software, frameworks y aplicaciones interdependientes, la base tecnológica sobre la que opera un Servicio de Información Geográfica requiere una supervisión constante para asegurar en cada caso la confidencialidad contra accesos no autorizados, la integridad para mantener datos veraces y la disponibilidad para servir la información cuando sea necesario. Tal y como establecen normas como la ISO/IEC 27036-3:2023 en su apartado ‘Directrices para la seguridad de la cadena de suministro de hardware, software y servicios’, los sistemas GIS, al igual que cualquier otra solución basada en software, están compuestos por distintos elementos tecnológicos provenientes de diferentes proveedores, como servidores de mapas, bases de datos espaciales y aplicaciones de escritorio, entre otros. Cada uno de estos componentes puede representar un riesgo de seguridad si la cadena de suministro no se gestiona de manera adecuada. Y es que, por ejemplo, un ataque que altere datos cartográficos podría inducir a errores en decisiones críticas, de ahí la importancia de la integridad y autenticidad de la información GIS.

Esta supervisión debe considerar aspectos como la criticidad y la probabilidad de explotación de las vulnerabilidades que surgen periódicamente en las tecnologías, su posterior análisis y priorización de mitigaciones, así como la planificación de ciclos de vida, dependencias y obsolescencia.

Pero es mucho más, porque la ciberseguridad es un impulsor de la excelencia en el resultado final del producto. Mantener un sistema sano y actualizado debe repercutir en la calidad general del servicio y en la optimización de los recursos disponibles:

• Seguridad proactiva y continua: Una monitorización activa minimiza riesgos de ciberataques, protegiendo la actividad y reputación de la organización.
• Prevención y ahorro: La detección temprana de vulnerabilidades ayuda a evitar fallos críticos y reduce costes por interrupciones o pérdida de datos.
• Eficiencia y actualizaciones segmentadas: Una supervisión personalizada permite aplicar medidas precisas y optimizar recursos.
• Resiliencia del sistema: Una supervisión y mejora continua prolonga la vida útil de productos y servicios.
• Ventaja competitiva: Permite ofrecer mayor calidad y seguridad en productos y servicios.
• Optimización de recursos: Disponer de información relevante y una visión global permite una toma de decisiones eficiente.
• Cumplimiento normativo: Facilita la adaptación a normativas de seguridad y privacidad, como el ENS, y apoya certificaciones como las ISO.

La ausencia de un sistema que permita monitorizar la cadena de suministro sobre la que opera un GIS no solo supone un incumplimiento deliberado de las obligaciones establecidas por la legislación vigente, sino que también permite una degradación acelerada del servicio, infravalorando la inversión inicial realizada.

Con el objetivo de siempre: datos fiables en el momento oportuno

En SafeGIS 2025, el anuario de Geograma sobre el estado de la ciberseguridad en el sector, planteamos algunas reflexiones y compartimos nuestra visión para que, en conjunto, proveedores y clientes de Servicios de Información Geográfica avancemos hacia un mayor nivel de madurez en ciberseguridad.

Creemos que el próximo objetivo debe ser concienciar a los niveles medios y altos de las organizaciones. En un futuro cercano, un Servicio de Información Geográfica será ciberseguro o no será. Que, en los momentos más críticos, cuando ofrecer datos rigurosos y en el momento oportuno sea vital, es el punto de partida para repensar nuestras estrategias de seguridad y seguir siendo capaces de garantizar a la sociedad información veraz.

Publicado por Iker Zaldívar López.