En México aún no se tienen registros de apagones masivos de energía, explosiones en centrales energéticas o cortes en el suministro de agua producidos por ataques cibernéticos. Pero con el avance de las capacidades de cómputo y la conectividad de los sistemas a la red, las infraestructuras críticas mexicanas también aumentan su vulnerabilidad.

Que aún no ocurra una catástrofe no significa que las infraestructuras no sean atacadas. Los expertos advierten que sistemas de control de empresas del sector energético principalmente ya ocurren ataques. Y un caso fue divulgado en el 2014 por la agencia de información Bloomberg que, de acuerdo con una investigación hecha por la empresa de ciberseguridad Cylance, Petróleos Mexicanos (Pemex) fue uno de los blancos de una campaña de ciberataque mundial ligado a Teherán.

“Tenemos información de que ha habido sucesos e incidentes de ciberseguridad que han tenido impacto en las infraestructuras críticas mexicanas. No ha sido publicado pero la realidad es que hemos tenido comunicaciones, no se puede revelar en qué lugar han sido pero casi a nivel generalizado ha habido ataques de ransomware pero no han tenido afectación en el funcionamiento sino más bien en el ámbito de pre operación, de gestión de información”, dijo en entrevista con El Economista el consultor principal de PA Consulting, Mikel Santos.

“También hay casos que conocemos en los que se han tenido que aislar e incluso parar las áreas de operación debido a ataques cibernéticos. No podemos revelar las fuentes pero ojalá un día el afectado tenga la obligación de revelarlo y las medidas que ha tomado para que no vuelva a pasar”, agregó el experto que está a cargo del área de Ciberseguridad para el mercado mexicano y de habla hispana en la firma de origen británico.

El experto advirtió que los ataques en el sector energético se han logrado desestabilizar plataformas de distribución de crudo, que sufrieron explosiones o apagones en las redes eléctricas. El experto dijo que para llegar a un impacto de gran magnitud es porque detrás existen ataques complejos, llamados Amenazas persistentes avanzadas (APT, por su sigla en inglés) que son financiados principalmente por gobiernos.

“No se ha mirado hacia México a la hora de lanzar estos ataques pero en el momento que haya un conflicto internacional o interés por parte de otro país o algún interés específico, esto se puede llevar a cabo. Y también como hemos visto en Europa, a veces estos grupos de jóvenes inquietos con conocimientos que al final pueden explotar una vulnerabilidad que detecten en estos sistemas y hacer un daño. La información de hoy en día no es la que había hace algunos años, y la capacidad eran los sistemas para llevar a cabo un ataque que hay hoy en día no tiene nada que ver con la que había algunos años”, advirtió.

La falta de conectividad a la red de sistemas industriales SCADA en empresas como Pemex, la Comisión Federal de Electricidad (CFE) o la Comisión Nacional del Agua (Conagua) ha sido un factor positivo para limitar la exposición a los riesgos en línea; pero con la integración del internet de las cosas y una mayor información en tiempo real, la exposición puede aumentar.

“Al no estar expuestas directamente, se han ‘librado’ de estos ataques y estos sistemas permanecían relativamente inmunes. Lo que sucede es que cada vez más los mercados se desarrollan, la necesidad de información en tiempo real es mayor y la actuaciòn en tiempo real es requerida, todo el mundo busca abaratar costes y los directores de estas empresas de gas, luz, agua, finanzas, quieren tener toda la informaciòn y transacciones a la vista, en tiempo real, lo que exige que los sistemas que estaban resguardados y fuera del alcance de posibles ataques externos quedan más expuestos”, explicó el experto de PA Consulting.

Moshe Ben Simon, cofundador y vicepresidente de Servicios de TrapX, explicó en entrevista que al implementar los sistemas de monitoreo remoto, pues esto expuso los sistemas industriales a la red. Pero el experto también refiere que las arquitecturas como las existentes en Pemex también puede ser infectada.

“Muchas redes industriales están aisladas en alguna medida de otras redes internas. Hay que tener en cuenta que sólo se necesita un punto de conexión a una red externa, ya sea a través de una memoria USB, una computadora portátil de reparación, una conexión de una laptop de un administrador en otra red, para dar lugar a una emergencia industrial potencialmente catastrófica”, dijo.

El cofundador de TrapX señaló que estos ataques se registran además en sistemas de manufactura o de sistemas de salud y hospitalarios, motivados principalmente por criminales que buscan dinero.

Inversión en ciberseguridad y colaboración

De acuerdo con información compartida por PA Consulting, el gasto de Pemex en ciberseguridad osciló en los 175 millones de dólares en el 2012, que contemplan hardware, software, consultoría y otros servicios externos así como contratos con proveedores.

Santos advierte que esta cifra supone una octava parte de lo que destinaban otras grandes empresas de petróleo y gas como Exxon Mobil “no obstante, es importante tener en cuenta el tamaño de ambas compañías para hacer las comparaciones”.

“Sin embargo, desde entonces la cifra ha crecido ampliamente. Aunque en los últimos años no había habido grandes movimientos, el año pasado Pemex incrementó el gasto en ciberseguridad significativamente -se ha duplicado, según su director actual- no obstante, porcentualmente sigue estando por debajo de los ratios que manejan otras compañías del sector en otros países”, señaló.

Para el experto, urge un mecanismo de colaboración así como de información para conocer el estado real de las infraestructuras críticas, así como compartir conocimiento que permita proteger tanto los sistemas esenciales para el funcionamiento del país, como las empresas y la ciudadanía que pudiera verse afectada por los ataques cibernéticos.

Ejemplificó que distintas potencias mundiales como Estados Unidos han creado organismos específicos como el ICS-CERT (centro de respuesta de emergencias especializado en ataques a los sistemas de control industrial) o Reino Unido con el el CPNI (Centro de Protección Nacional de Infraestructuras Críticas) para hacer frente a estas amenazas, en México no existe una estrategia aterrizada a este respecto ni un organismo análogo.

Para la Estrategia Nacional de Ciberseguridad (ENCS) el sector privado propuso la creación de una agencia a cargo de la Secretaría de Gobernación precisamente para cumplir con estas funciones.

“Las estadísticas del ICS-CERT reportaron un incremento de ataques del 20% de 2014 a 2015. El incremento de este tipo de ataques está resultando motivo de preocupación creciente para otros países en los últimos años, quienes no han tardado en definir sus estrategias y adoptar marcos metodológicos para hacer frente a estas amenazas. Aunque no se dispone información oficial sobre los ataques a la Infraestructura Crítica Nacional mexicana en general y a los sistemas de control industrial que la gestionan en específico, existe evidencia del robo de información altamente sensible de distintas infraestructuras críticas, entre ellas probablemente a Pemex”, dijo.

[email protected]