Por Kenneth Pugh, Senador Región Valparaíso
El acelerado avance y despliegue de la tecnología digital y de informaciones en las empresas y organizaciones del Estado se ha convertido en una oportunidad para mejorar sus procesos productivos, pero también representa una gran vulnerabilidad debido a lo expuesto que se encuentran los sistemas y que en muchos casos la amenaza de los ciberataques aún no existía cuando fueron diseñados.
Estas empresas y organizaciones públicas que proveen servicios básicos para el correcto funcionamiento y desarrollo de la sociedad, se denominan Infraestructuras Críticas. Cualquier falla o daño puede afectar los servicios o procesos, por ejemplo, el sector eléctrico, el del agua, del gas, del transporte, de los sistemas sanitarios o de salud, e incluso, el sistema financiero que habilita las transacciones digitales o los medios de pago electrónico. Un ciberataque a la infraestructura crítica pone en riesgo a las personas, incluso pudiendo afectar sus vidas, si los sistemas afectados son críticos en la seguridad de ellas.
Un ciberataque a los sistemas eléctricos por ejemplo produciría un apagón completo, dejando a la ciudad sin la posibilidad de funcionar correctamente, lo que generaría un caos, tal como lo haría un terremoto. Es factible incluso que se provoquen daños físicos o estructurales, a los sistemas o, incluso, la pérdida de activos industriales por daño irreparable.
El caso reciente más conocido y documentado por la literatura especializada es el ciberataque del que fue víctima Ucrania el 2015, mediante un malware conocido como “BlackEnergy”, que fue introducido mediante un correo electrónico. Este programa atacó los sistemas de control digitales industriales conocidos como SCADA y generó un apagón que duró, en algunos lugares, hasta seis horas, afectando a más de 200 mil personas. Por esta razón, el sistema eléctrico es el más importante de todos los sistemas de un país, por lo que su protección es de responsabilidad nacional.
La mayoría de estos sistemas fueron diseñados sin prácticas de codificación segura o sin el empleo de equipos especializados. Los sistemas de distribución eléctrica tienen sistemas de control digitales industriales del tipo PLC y controladores SCADA que, en la mayoría de los casos, están conectados a internet para permitir su monitoreo o su operación de forma remota. Este proceso es el que permitió que los primeros ciberataques fueran exitosos, pero en la actualidad, gracias a la transformación digital segura de los sistemas, se está considerando la Ciberseguridad, incluyendo la encriptación de los canales de control digitales tradicionales y aumentando los niveles de protección de los dispositivos conectados a la “Internet de las cosas” (IoT).
Uno de los grandes problemas que se suscitan tras un ciberataque es determinar la atribución, con el objetivo de conocer el verdadero atacante y sus motivaciones. El otro es la interdependencia de los sistemas, por lo que la caída de una infraestructura crítica puede afectar a otros sistemas relacionados u otras infraestructuras críticas.
A nivel internacional ha habido avances legislativos respecto a la Ciberseguridad del IoT, particularmente en California, Estados Unidos, y en la Unión Europea, que busca robustecer la capacidad de los dispositivos conectados a internet que puedan tener efectos sobre la infraestructura crítica.
En general, los esfuerzos de las empresas del sector eléctrico en Chile están orientados a migrar a sistemas más robustos y resilientes, pero dada su interdependencia, se debe avanzar en la coordinación y respuesta nacional unificada, pues en la actualidad, todo el sistema industrial es susceptible y los sistemas eléctricos no son la excepción.
La clave para enfrentar nuevas amenazas cibernéticas y vulnerabilidades es que las empresas inviertan en Ciberseguridad. No sólo en términos técnicos, sino también en capacitación y entrenamiento, es decir, crear una cultura basada en estándares y establecer rutinas que se conviertan en hábitos. Es vital trabajar este tema de forma colectiva, tanto dentro como fuera de la organización, para que se genere el conocimiento necesario con base en la colaboración. Es imposible resistir este tipo de ataques si no es de forma colaborativa, con coordinación nacional y apoyo internacional.
Por otra parte, es necesario invertir, como región y como país, en organismos especializados en protección de la infraestructura crítica. En España, por ejemplo, existe un Centro Nacional de Protección de Infraestructura Crítica (CNPIC), operado por ambas policías.
La educación formal del personal también juega un rol fundamental. No solo el personal técnico del área de Tecnologías de la Información, sino todos los niveles de la organización, dado que cualquiera puede generar una brecha de seguridad que puede ser explotada por un atacante.
Realizar cursos, entrenamientos y ejercicios del ámbito de la Ciberseguridad; participar con equipos entrenados en desafíos y competencias nacionales e internacionales; adquirir equipamiento y programas para mantenerse actualizado con lo que el mercado recomienda y la situación demanda; invertir en I+D, ojalá vinculados a centros de excelencia para innovar con procesos más seguros y; anticipar las acciones preventivas al descubrir nuevas vulnerabilidades son acciones que permitirán fortalecer el mercado eléctrico en relación a la Ciberseguridad.