¿Es posible que un programa de cómputo provoque daños a una planta nuclear o provoque que una ciudad se quede sin energía eléctrica? La respuesta es sí. La incorporación de tecnologías de la información para automatizar los procesos en la cadena de suministro de energía produce beneficios que contribuyen a la eficiencia energética, sin embargo, también origina retos importantes de ciberseguridad que deben ser atendidos adecuadamente para evitar consecuencias negativas. En este artículo se mencionan diversos incidentes importantes de ciberseguridad en el sector energético, se describen algunas de las implicaciones y, finalmente, se plantean alternativas para el fortalecimiento de la ciberseguridad en el sector energético en México.

Los "virus informáticos" son programas de cómputo que realizan acciones malintencionadas para afectar el funcionamiento de un sistema o dispositivo informático y pueden propagarse a otros dispositivos. En Tecnologías de la Información (TI) existen varios tipos de programas maliciosos, a los cuales, de manera general, se les conoce como malware.

Las Tecnologías Operacionales (TO) incluyen a todos los dispositivos y Sistemas de Control Industrial (SCI) que permiten la automatización de procesos industriales de producción y de generación de servicios, por ejemplo, dispositivos para el control de válvulas, turbinas, motores para la apertura y cierre de compuertas, entre muchos otros. Este tipo de tecnología es ampliamente utilizado en la industria de generación, transmisión y distribución de energía eléctrica.

Sucesos relevantes e implicaciones

 En el año 2010, una planta nuclear en Irán fue atacada mediante un malware denominado Stuxnet, el cual dañó las centrífugas utilizadas para el enriquecimiento de uranio. Este hecho se convirtió en el primer ciberataque que utilizó TI para manipular y afectar dispositivos de TO.

 En el año 2014, un malware conocido como Havex fue utilizado para espionaje de información de dispositivos de control industrial en Estados Unidos y Europa; el ciberataque fue dirigido a diversos sectores, incluyendo el de energía.

 En el año 2016, otro malware apagó la red eléctrica de Kiev, la capital de Ucrania. Se le conoce como Industroyer y es considerado como la mayor amenaza a los SCI por su capacidad de atacar a una red eléctrica automáticamente, además, tiene el potencial de causar daños en los sistemas de energía eléctrica en la región de Europa, Medio Oriente y África; también se podría adecuar para atacar instalaciones de distribución de agua o de gas, o sistemas de transporte.

 Petróleos Mexicanos (PEMEX) es una de las empresas más importantes del sector energético en México y en 2019 registró un incidente de ciberseguridad en dispositivos informáticos que fueron afectados por el malware Doppel Paymer. Este programa utilizó técnicas de criptografía para "secuestrar la información", es decir, la alteró de tal manera que ya sólo podía ser accedida por el atacante.

 Un estudio realizado en el 2015 por la universidad de Cambridge y la aseguradora Lloyd?s, estima que un ciberataque a la red eléctrica de Estados Unidos podría ocasionar incendios en más de 50 generadores de energía eléctrica y dejar sin servicio a 93 millones de usuarios, ocasionando una afectación económica de entre 243,000 millones y 1 billón (México) de dólares.

Se puede concluir que es muy importante definir y aplicar una estrategia adecuada de ciberseguridad que fortalezca los mecanismos de protección del sector energético.

En la actualidad, las soluciones existentes de ciberseguridad que están orientadas al sector energético son escasas y fueron diseñadas con base en requerimientos y contextos de otros países, por lo tanto, es necesario realizar actividades que permitan definir y establecer un esquema de soluciones que sea adecuado a las condiciones particulares de dicho sector en México.

El Instituto Nacional de Electricidad y Energías Limpias (INEEL) contribuye al fortalecimiento de la infraestructura de ciberseguridad del sector energético en México. Recientemente, el Consejo Nacional de Ciencia y Tecnología (CONACyT) aprobó un proyecto para el fortalecimiento de la ciberseguridad en la Red Eléctrica Inteligente Nacional (conocida como SmartGrid, en inglés), dicho proyecto lo planteó el INEEL para realizarlo en conjunto con el Instituto Politécnico Nacional (IPN) y se estableció interactuar con la Comisión Federal de Electricidad (CFE) y la Comisión Reguladora de Energía (CRE), como usuarios receptores.

El INEEL también ha colaborado con algunas de las áreas de la CFE en la elaboración de estrategias de ciberseguridad y en la implantación de mecanismos de control de seguridad de la información. Actualmente se revisan alternativas de colaboración para fortalecer los esquemas de ciberseguridad de la Central Nuclear de Laguna Verde.

 Asesoría técnica especializada para la implementación de estrategias y Sistemas de Gestión de Seguridad de la Información.

 Asesoría técnica especializada y acompañamiento para el cumplimiento de la normatividad aplicable por concepto del Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI) y la protección de datos personales.

 Servicio técnico especializado para la detección y gestión de riesgos de seguridad de la información y para la implantación de controles de ciberseguridad.

 Investigación aplicada de Inteligencia Artificial en la ciberdefensa de redes de datos.

 Servicio técnico especializado de hackeo ético mediante la detección de vulnerabilidades y pruebas de penetración. Cabe destacar la participación del INEEL en el HackMex 2019, evento de hackeo ético organizado por el IPN y en el que se obtuvo el 8º lugar a nivel nacional en la categoría de Dependencias, Entidades y Organismos del Gobierno Federal.

 Asesoría técnica especializada en la asimilación y adopción de estándares y mejores prácticas de ciberseguridad.

La modernización de procesos en el suministro de energía incluye la interconexión entre TI y TO, esto conlleva importantes retos de ciberseguridad para preservar la eficiencia energética de un país.

La ciberseguridad del sector energético debe ser de alta prioridad, incluso debería clasificarse como asunto de seguridad nacional porque dicho sector se considera infraestructura crítica para el país. Por lo anterior, se requiere inversión de recursos en investigación aplicada, desarrollo de soluciones y en la formación de especialistas con el objetivo de que la ciberseguridad no dependa de terceros y con ello contribuir a la estabilidad y soberanía del país. La interrupción del suministro de energía afectaría a otros sectores de la sociedad y podría causar desestabilización social en un país.

En México, el INEEL participa en el fortalecimiento de la infraestructura de ciberseguridad del sector energético.

Autor:
Isaí Rojas González, irojas@ineel.mx