La ciberseguridad energética en jaque, ¿negocio o motivación geopolítica?
La flexibilidad y racionalización de la red de distribución de las empresas energéticas son solo algunos ejemplos de los innumerables beneficios que ofrece la transformación digital, pero ¿están seguras este tipo de infraestructuras? Quizá no. Mientras avanza la tecnología, también lo hacen las vulnerabilidades debido a nuevas entradas desde el área de producción y hasta la distribución misma de la energía.
Las infraestructuras energéticas son un servicio vital, también para nuestra economía. Con cada vez más áreas fragmentadas y diferentes centros de producción y distribución, las infraestructuras de este tipo de empresas están cada día más expuestas a posibles ciberataques, por el simple hecho de que la superficie de ataque es cada vez más extensa.
Entonces ¿cómo minimizar los daños, desde la interrupción de las operaciones hasta la destrucción física de los equipos? Hoy en día, los innumerables sensores, robots y dispositivos conectados, redes interconectadas y los accesos a entornos en la nube son un blanco, por lo que deben ser el primer paso a tener en cuenta.
En este contexto, un mayor conocimiento de los distintos métodos empleados por los ciberdelincuentes, de los ataques más comunes y de las soluciones disponibles situaría a los gestores de infraestructuras en una mejor posición para prepararse y hacerles frente.
Los ciberdelincuentes utilizan varios tipos de ciberataques para arremeter contra las empresas energéticas. Dado que la continuidad del negocio es crucial en este sector, los ataques de denegación distribuida de servicio (DDoS) y el ransomware forman parte del arsenal ofensivo clásico.
Pero el espionaje y el sabotaje de las infraestructuras energéticas puede adoptar muchas formas e, incluso, alcanzar a terceros. Atacando la cadena de suministro, los ciberdelincuentes pueden dirigirse a los proveedores y socios comerciales del sector energético, y, a través de estas entidades, mucho menos seguras y más vulnerables, obtener acceso indirecto a las redes de las empresas energéticas. Estos ataques son especialmente insidiosos porque se aprovechan de las relaciones de confianza entre las empresas energéticas y sus proveedores de servicios.
Además de todo ello, y por su naturaleza altamente sensible, las empresas energéticas tienen que hacer frente a otro tipo de ataques, cuyo fin son la desestabilización de un país o región y el beneficio económico. La apertura de redes convierte a las empresas de energía en un blanco principal de actos terroristas o sabotajes como motivación geopolítica o bien, con interés lucrativo, como el robo de información por motivos económicos
Ejemplos destacados son Stuxnet en 2010, BlackEnergy en 2015 o Industroyer en 2016, un malware capaz de detectar y explotar los protocolos de comunicación utilizados en una red industrial, y atacar eficazmente los sistemas energéticos. Más recientemente, programas maliciosos como Industroyer.V2 (2022) y CosmicEenergy (2023) han vuelto a poner estos sistemas operativos en el punto de mira; mientras que otros ciberataques se han centrado en el sector de TI.
Según el grupo de investigadores de Mandiant, CosmicEnergy permite que un atacante envíe comandos remotos para influir en los procesos de una línea eléctrica e interrumpir el suministro. Este malware no se detectó como resultado de un ataque, sino porque fue descargado de una utilidad pública para el análisis de malware. Sea casualidad o un paso en falso, esto demuestra que los ciberdelincuentes están centrando sus investigaciones en el malware dirigido a los protocolos industriales de energía.
Mecanismos de protección en el sector de la energía
Los ataques dirigidos contra infraestructuras energéticas utilizando malware, ataques de Denegación de Servicio (DDoS) o Amenazas Persistentes Avanzadas (APTs) a veces no son cubiertos por estrategias de ciberseguridad ni, incluso, por mecanismos de autenticación o cifrado. Esto supone una exposición del equipo de tecnología operativa (OT) que utiliza protocolos con un ciclo de vida mucho más largo que los de IT. Por lo tanto, el riesgo cibernético crece con el tiempo.
Ante tales hechos y amenazas, proteger el sector energético es prioritario. Pero para garantizar una seguridad eficaz de sistemas tan complejos e interdependientes, es necesario un enfoque global y multinivel.
Por los diversos puntos de entrada de la amenaza, es de vital importancia desplegar una estrategia de defensa que abarque desde la implantación de herramientas cibernéticas apropiadas hasta la formación continua de empleados y proveedores de servicios.
Cada tipo de ataque presenta retos únicos en términos de detección, prevención y, sobre todo, de respuesta. Los sistemas de mitigación y filtrado del tráfico, la segmentación precisa de la red, el uso de sistemas de detección de intrusiones y las copias de seguridad periódicas son sólo algunos ejemplos de la lista no exhaustiva de elementos esenciales de la ciberseguridad industrial.
Por tanto, las amenazas a este tipo de infraestructuras están ahí y las empresas deben armarse para detenerlas y hacer frente a ataques descontrolados dando un paso más: ya no se trata de saber si una determinada infraestructura será atacada, sino más bien, de conocer cuándo se producirá el ataque. La clave es estar preparado.
*** Borja Pérez es director general de Stormshield Iberia.