Reflexiones sobre la seguridad de activos industriales

El 23 de diciembre de 2015, el responsable de las oficinas de despacho operativo de la compañía eléctrica ucraniana, Bohdan Sovhuk, recibía llamadas de los operadores regionales, quienes le reportaban desconexiones de la red eléctrica. Al revisar los sistemas de control, los ingenieros se dieron cuenta que el cursor en la computadora central se movía por sí mismo, apagando sistemáticamente los conmutadores, líneas y transformadores de toda la red. Fue así como ocurrió el primer ciberataque avanzado a una infraestructura crítica, que ocasionó la interrupción completa del servicio y afectó a más de 200 mil personas.

Desde entonces, el alcance, la sofisticación y el impacto económico que ocasionan los ciberataques a la infraestructura industrial de los países se han incrementado de manera vertiginosa convirtiéndose, desde 2016, en uno de los temas mas abordados, tanto en foros tecnológicos como económicos.

Como se sabe, la economía global depende cada vez más de la manufactura, el comercio electrónico, así como de las complejas cadenas de suministros que permiten adquirir casi cualquier tipo de producto desde la comodidad de nuestro hogar.

Sin embargo, a pesar del enorme avance en la implementación del modelo industrial 4.0 –derivado de un proceso acelerado de adopción tecnológica catalizado por la pandemia de COVID-19, que se estima que aceleró a 2022 la adopción de tecnologías avanzadas que se preveían para el año 2030–, la necesidad de retornar rápidamente a los niveles de crecimiento previos a la misma y la implantación del nuevo modelo de trabajo híbrido, existe un rezago importante en las inversiones relacionadas con la ciberseguridad. Esto genera una brecha digital en esa área, misma que debe ser atendida para reducir el riesgo de ser blanco de ciberataques, que se han incrementado más de 600 % en los últimos 24 meses.

Hoy, la amenaza más frecuente para el sector industrial de México y otros países latinoamericanos es el ransomware, el software malicioso que una vez infiltrado encripta la información contenida en los sistemas corporativos o de una instalación productiva para solicitar un rescate económico –normalmente pagado en criptomonedas– a cambio de la llave para desencriptar la información.

Las organizaciones se enfrentan al hecho de que sus infraestructuras carecen de capacidades digitales de ciberseguridad, necesarias para identificar, contener y eliminar amenazas. Lo anterior ocurre por implementar estrategias reactivas para remediar los daños después de un incidente. En 2020, el Foro Económico Mundial advertía que invertir en ciberseguridad de forma reactiva es nueve veces más caro que hacerlo de forma preventiva, además de enlistarla como la amenaza tecnológica más importante para la economía en su Global Risk Report de 2022.

En los siguientes meses, diversas organizaciones revisarán o implementarán estrategias para enfrentar este riesgo. ¿Qué deben tomar en cuenta al definirla? A continuación, se comparten algunos elementos:

• Considerar la empresa en su totalidad, tanto sus áreas administrativas como operativas;
• Estructurar una arquitectura de seguridad basada en estándares internacionales (NERC/CIP, IEC62443, NIST800-82, ISO2700X) y mejores prácticas;
• Integrar un sistema de gestión que permita monitorear, evaluar el riesgo, y la correlación de toda la información de seguridad de la organización;
• Tomar en cuenta los factores de tecnología, procesos y el factor humano.

Tras definir la estrategia, los responsables pueden establecer acciones de corto plazo para proteger la infraestructura, tales como:

• Apagar protocolos de conexión que no se estén utilizando (TFTP, ICMP, CDP, Telnet, etcétera);
• Dejar de utilizar equipos que no cuenten con mecanismos de seguridad;
• Conducir auditorías periódicas de seguridad a los sistemas de control;
• Separar la comunicación entre las áreas operativas y administrativas por medio de una red perimetral;
• Implementar sensores de seguridad en puntos estratégicos para detectar y eliminar amenazas avanzadas;
• Activar los mecanismos de seguridad integrados en los sistemas de comunicación.

Invertir en la protección de los activos productivos de una organización tiene sentido en términos de negocio: mejora la productividad, incrementa la eficiencia, reduce riesgos legales y los costos de la cobertura de seguros. Una guía útil para implementar con éxito una estrategia de seguridad es la norma NIST 800-82.

Después de todo, no hay que olvidar que la seguridad es una inversión, no un gasto.

Sobre el autor: Francisco Bolaños es arquitecto de internet de las cosas y transformación digital para Cisco América Latina, donde labora hace 21 años. Es licenciado en Electrónica y Comunicaciones por el Instituto Politécnico Nacional de México y cuenta con posgrados en Macroeconomía, Márketing Internacional, Comunicaciones Internacionales y Liderazgo por la Thunderbird School of Global Management. Igualmente, posee la certificación CMNP y la insignia del Consorcio de Talentos de IoT sobre ciberseguridad para sistemas de control industrial. Cuenta con 25 años de experiencia profesional en la industria de las telecomunicaciones y sus áreas de especialización incluyen: Internet de las cosas, Industria 4.0, Transformación digital, Diseño de redes, Ciberseguridad para sistemas de control industrial, Oil & Gas, Energía, Manufactura, Minería y Transporte.