Todos los Derechos reservados © 2020, Marco Mares

Arturo Carranza Guereca

Ciberseguridad en el sector energético

Es necesario que los gobiernos y las empresas de energía le dan mayor importancia al presupuesto que destinan a la ciberseguridad

Publicado

el

Arturo Carranza, Columna 2021

El mundo se transforma y los desafíos de la humanidad evolucionan. Frente a la creciente digitalización de sectores de infraestructura crítica, como el energético, la naturaleza de los riesgos cibernéticos se ha modificado, haciéndolos cada vez más frecuentes, sofisticados y peligrosos. Según el Foro Económico Mundial (WEF), las fallas de seguridad cibernética son hoy una de las principales amenazas que enfrentan gobiernos y empresas, ya que pueden devenir en alteraciones económicas, pérdidas financieras, tensiones geopolíticas o inestabilidad social (The Global Risks Report 2021).

A medida que la digitalización impulsa la transición energética y la descarbonización de la economía global, la naturaleza del sector energético se ha vuelto más descentralizada y compleja. Estas características incrementan su vulnerabilidad. En este sentido, un reciente informe de IBM destaca que el energético fue el tercer sector que registró más ciberataques en 2020, solo detrás del de finanzas y del de manufactura (X Force Threat Intelligence Index 2021). 

De manera particular, las innovaciones en malwares (softwares maliciosos creados para causar daños a dispositivos o a sus usuarios) y el auge del ransomware (malware que usa una encriptación para impedir el acceso a archivos y que toma al ordenador de rehén) se han convertido en una auténtica pesadilla para los sistemas energéticos, los cuales, por cierto, día a día están más interconectados. La interrupción del oleoducto de Colonial Pipeline, que transporta el 45% del suministro de combustible de la Costa Este de Estados Unidos, ilustra qué tan devastadores pueden ser los ciberataques.

Para adquirir una mayor resiliencia frente a la evolución de los riesgos de ciberseguridad es necesario que los gobiernos y las empresas de energía le dan mayor importancia al presupuesto que destinan a la ciberseguridad. Pero no basta con eso: a menos de que las prácticas de ciberseguridad estén integradas a la cultura organizacional y corporativa de gobiernos y empresas, es probable que continuemos viendo ataques a los sistemas energéticos en todo el mundo.

Por lo que se refiere a México y a sus empresas públicas de energía, el ciberataque al oleoducto de Colonial Pipeline debe ser una llamada de atención con respecto a la vulnerabilidad de la infraestructura energética en el país. En vista de lo sucedido el 7 de mayo en la Unión Americana, tanto Petróleos Mexicanos (Pemex) como la Comisión Federal de Electricidad (CFE) harían bien en actuar para fortalecer sus sistemas. 

Aunque el desafío para ambas empresas es de una gran dimensión, la situación de Pemex muestra aun mayor complejidad. Dada la cantidad de problemas financieros y operativos que la agobian, parece que la petrolera ha dejado el asunto de ciberseguridad en segundo plazo. ¿O de qué otra forma se puede entender la manera en que gestionó el ciberataque de noviembre de 2019?

Por eso es importante insistir en la necesidad de que sus directivos se sensibilicen y hagan de la ciberseguridad una de las prioridades de la empresa. De lo que se trata, entre otras cosas, es de que Pemex tenga una actitud proactiva que le permita aprovechar la generación de inteligencia para comprender mejor las motivaciones y las tácticas de los ciberdelincuentes con el fin de poder priorizar la asignación de recursos de seguridad.

Es importante, también, que la petrolera cuente con un plan de contingencia que le permita responder a un ataque de ransomware. La planificación de un ataque de ransomware, que incorpore técnicas combinadas de extorsión y de robo de datos, puede marcar la diferencia en la forma en que la empresa responda en momentos de crisis.

Una cuestión adicional que se debe considerar es que la ciberseguridad es un asunto que está estrechamente vinculado con la seguridad energética y con la seguridad nacional. En este sentido, las instituciones de gobierno deben estar listas para intervenir ante riesgos y amenazas de ciberataques. Aunque México tiene un marco legal específico para combatir este problema – como la Ley de Firma Electrónica Avanzada, la Ley Federal de Protección al Consumidor, la Ley General de Protección de Datos Personales y el Código Federal Penal – son necesarios lineamientos de ciberseguridad obligatorios para las empresas públicas y privadas del sector energético.  

Es cierto que encarar este tipo de amenazas es altamente complejo debido a que, aun cuando se requiere anticiparse a ellas, no se pueden predecir. Esta realidad abre la puerta a la necesidad de emprender una profunda reflexión sobre la pertinencia de planear más en función de las consecuencias que se podrían derivar en caso de alguna falla de ciberseguridad. México, en este contexto, tiene una tarea pendiente. 

Por Arturo Carranza Guereca 

Sígueme en Twitter:  @Art_Carranza

Fortuna y Poder

Marco Mares
¿Es la informalidad un obstáculo para obtener crédito para la vivienda?
Sistema de Transferencia y Pagos. Optimiza el tiempo de tu empresa.
Publicidad