En los últimos años, el sector energético se ha enfrentado a desafíos cada vez mayores en lo que respecta a la ciberseguridad. La creciente dependencia de la tecnología para controlar y monitorear la infraestructura crítica del sector energético se ha convertido en un objetivo atractivo para ciberdelincuentes y piratas informáticos maliciosos. En Brasil, la Agencia Nacional de Energía Eléctrica (ANEEL) reconoció esta amenaza al publicar la Resolución Normativa N° 964, que establece directrices para la ciberseguridad del sector y representa un paso fundamental en la protección de la infraestructura eléctrica del país.
Recientemente, en agosto de este año, un apagón generalizado afectó a varias regiones del país y provocó cortes de energía en más de diez estados. La causa inicialmente asociada fue una 'sobrecarga' en una línea de transmisión en Ceará. Sin embargo, el ministro de Minas y Energía, Alexandre Silveira, solicitó investigaciones de la Policía Federal y de la Agencia Brasileña de Inteligencia (ABIN) para determinar si hubo error humano en el apagón o incluso la posibilidad de una acción criminal.
Últimamente, la creatividad de los hackers ha demostrado ser ilimitada. Invaden los sistemas e instalan, por ejemplo, ransomware, un tipo de malware que cifra datos y exige un rescate en criptomonedas para restablecer el acceso. Muchas empresas y organismos públicos del sector energético en Brasil ya han sido blanco de estos ataques. Si bien no interrumpieron el suministro eléctrico, comprometieron la seguridad de los sistemas y podrían provocar la fuga de información sensible. Por tanto, podemos decir que la amenaza de ciberataques en el sector eléctrico es una realidad y no podemos ignorar los riesgos.
Las superficies de ataque más críticas que pueden dañar significativamente el funcionamiento de las infraestructuras energéticas involucran, en particular, el Sistema de Supervisión y Adquisición de Datos (SCADA) y los Dispositivos Electrónicos Inteligentes (IED). Desempeñan un papel esencial en la automatización de las instalaciones y una invasión que comprometa estos sistemas puede obstruir maniobras y operaciones cruciales para el buen funcionamiento de la infraestructura.
Un ejemplo crítico de invasión del Sistema de Supervisión y Adquisición de Datos (SCADA) ocurrió en 2010, cuando un virus llamado Stuxnet interfirió con el funcionamiento de centrifugadoras de enriquecimiento de uranio controladas por un Controlador Lógico Programable (PLC), uno de los dispositivos digitales más utilizados en la industria, incluidas las centrales nucleares. Este incidente, que causó daños físicos reales a infraestructuras críticas, pone de relieve la realidad y la sofisticación de las ciberamenazas en la era contemporánea. El crecimiento en el uso de malware como este refuerza la necesidad de contar con defensas cibernéticas sólidas en un mundo cada vez más interconectado.
Ataques sofisticados como estos permiten a los ciberdelincuentes tomar el control de, por ejemplo, subestaciones eléctricas. De esta forma, las empresas energéticas podrán tener problemas y limitaciones a la hora de controlar sus propias estructuras, ya que los delincuentes podrán cifrar información para exigir el pago de un rescate para devolver el acceso, además de manipular eficazmente el uso de importantes sistemas. Además de las elevadas pérdidas comerciales, los impactos en la vida diaria de las personas pueden ser inmensos cuando sucede algo como esto.
Afortunadamente, muchas empresas del sector eléctrico brasileño están avanzando en la dirección correcta. Están comenzando a estudiar mejor sus vulnerabilidades para adoptar medidas de ciberseguridad para cumplir con la Resolución Normativa 964 de la Aneel. Entre las acciones, el uso de modernos sistemas de protección y la consultoría de expertos en seguridad digital se encuentran entre las actividades más estratégicas y asertivas para proteger los entornos.
Los números son una referencia importante para acelerar este camino de preparación. En 2022, alrededor del 70% de las empresas en Brasil fueron objeto de ciberataques con secuestro de datos. Los ataques de ransomware han aumentado considerablemente en comparación con el año anterior, siendo el método preferido de muchos piratas informáticos que buscan el pago rápido de sumas millonarias a cambio de la devolución de datos secuestrados con ayuda de cifrado. En otras palabras, la recuperación cuesta una fortuna, sin mencionar otros riesgos que implican situaciones como ésta.
Es crucial entender que la seguridad debe ser tratada como una parte integral de la gestión de riesgos de las empresas y esto no debe ser una responsabilidad exclusiva del departamento de TI. Todas las áreas y empleados tienen un cierto grado de responsabilidad y deben tener cuidado de no hacer clic en enlaces desconocidos.
Otro aspecto importante es considerar que la ciberseguridad debe estudiarse en todos los frentes, empezando por la cuidadosa selección de proveedores e incluyendo la contratación de herramientas avanzadas y soluciones de soporte a la protección digital.
Los incidentes recientes y las amenazas cibernéticas en evolución dejan en claro que la infraestructura crítica del sector energético debe protegerse para mitigar los riesgos. Por ello, es fundamental que las empresas inviertan en medidas de ciberseguridad para mejorar sus barreras de protección. Base de todas las actividades que realizamos, desde las más simples en nuestros hogares, hasta la producción de bienes y servicios en el mundo empresarial, necesitamos asegurar que la infraestructura de este insumo fundamental para la sociedad sea efectivamente segura. La Resolución Normativa 964 de Aneel es un paso en la dirección correcta, pero la colaboración y el compromiso continuo de todos son esenciales para garantizar un suministro de energía confiable y seguro para todos.