[26/11/2019] En días pasados se realizó el Primer Congreso de Ciberseguridad en el Sector Energía, y en el que se congregaron expertos de grandes empresas de los sectores de energía, banca, consultoría, informática, público (PCM) para analizar las tendencias y estrategias en materia de ciberseguridad que se vienen dando en el sector Energía a nivel nacional y regional.
Entre las empresas de Energía estuvieron presentes Red Eléctrica Internacional, Enel, Isa Rep, Engie, Coga y Distriluz. Del sector banca estuvieron presentes el BCP, Banco Falabella y Asbanc; mientras que por el lado de las consultoras estuvieron EY, PWC, Deloitte, Marsh. También participaron organizaciones expertas en ciberseguridad como Protiviti, Isaca, Centro de Ciberseguridad Industrial, CSSE Automation y Excellia (del grupo Romero).
En el evento se realizaron 17 presentaciones, dos de las cuales fueron paneles compuestos por expertos de la industria. Las presentaciones se dividieron en cinco bloques dedicados a la situación actual de la ciberseguridad, sus amenazas y desafíos, soluciones y herramientas, casos y experiencias de éxito y marco normativo y legal.
A continuación, les ofrecemos algunas de las presentaciones que se desarrollaron durante la jornada.
Francisco Ramírez, expresidente de la Asociación Latinoamericana de Seguridad (ALAS) y CEO de Artha Holding Group de México. 
La situación actual
Las exposiciones comenzaron explicando la situación actual de la ciberseguridad en el sector. El primero de los expositores fue Francisco Ramírez, expresidente de la Asociación Latinoamericana de Seguridad (ALAS) y CEO de Artha Holding Group de México. En su presentación, el expositor indicó que la industria energética es el segundo blanco predilecto para los ciberataques. En el 2018 cerca del 60% de las instalaciones sufrieron un ataque a los sistemas de control industrial (ISC) o a su sistema de control de supervisión y adquisición de datos (SCADA).
A partir de este entorno, el expositor indicó que se pueden encontrar factores que afectan a la seguridad industrial: falta de estructura (organización), falta de claridad (reportes de operaciones), falta de consistencia de información entre sistemas y tecnologías emergentes que representen riesgos.
Al hablar de los países cercanos, es decir, de la región, Ramírez indicó que ya se han registrado invasiones digitales. En Brasil se ha producido una con un costo de ocho mil millones de dólares; en México dos por tres mil millones de dólares; y en Colombia tres por 500 mil dólares. Para hacer frente a estos ataques se ha estimado que se han invertido 12 mil millones de dólares.
Además, de 32 países investigados, 16 no tienen infraestructura ni capacidad de respuesta, y tres de cada cinco naciones no cuentan con estrategia o planes de protección de datos. Entre los principales riesgos se encuentran la disrupción de las operaciones, daño a la reputación, pérdidas financieras y sanciones regulatorias.
Sin embargo, también hay que tomar en cuenta que las ciberintrusiones también afectan la vida de las personas, la economía global, e incluso pueden desatar desastres ecológicos.
¿Cómo hacer frente a las amenazas? El expositor sostuvo que las empresas que implementan tecnologías de caza y predicción de amenazas reducen estos riesgos en 26%.
Entre los frentes que se deben de tomar en cuenta para la implementación de la seguridad se encuentran la seguridad de la nube, el manejo de la identidad y el acceso, la detección y la respuesta ante amenazas, la detección y respuesta de terminales, y la seguridad de la información y manejo de datos.
César Pallavicini, fundador y CEO de Pallavicini Consultores.
El caso de Chile
El siguiente expositor fue César Pallavicini, fundador y CEO de Pallavicini Consultores, quien ofreció algunos ejemplos de lo que implica la seguridad de la información en un entorno como el que actualmente predomina en Chile.
Según el expositor, todo comenzó el 21 de octubre con el hackeo de una web: la modificación no autorizada en la página de pagos de la municipalidad de Macul. Ese mismo día y el siguiente se realizaron ataques de DDoS contra las instituciones del Estado, especialmente contra al Ministerio de Agricultura, a los cuales se añadieron una intrusión (compromiso de una cuenta privilegiada) del canal TV Mega.
Al día siguiente se mantienen los ataques DDoS, ahora dirigidos a los ministerios del Interior y de Vivienda, siendo el primero, además, víctima de una filtración de datos, una técnica que luego se expande hacia el Banco Central de Chile. Los ataques siguieron en estos formatos hacia diversas entidades del Estado chileno, pero quizás el más peligroso fue la filtración de datos del Ministerio del Interior.
Con los datos robados se creó un sitio web llamado pacolog.cl -"Paco” es el nombre coloquial con el cual se conoce a los Carabineros de Chile- que básicamente ofrecía datos sobre los Carabineros. Los datos correspondían no solo a la información laboral de los carabineros, sino también a los datos de geolocalización de sus casas. Esto llevó incluso a que los hogares de algunos de los carabineros fueran atacados durante las protestas.
Pero no solo Chile ha sido atacado. Pallavicini también señaló que se han realizado ataques al sector energético en el Perú, los cuales cuestan 17,2 millones de dólares al año. De hecho, la industria que se dedica a la generación, transporte y distribución de energía está registrando un elevado índice de incidentes, y se ubica en segundo lugar después del sector financiero.
De hecho, existe un malware específico para la industria: el Blackenergy. Es un malware que desconectó a varias estaciones de la red eléctrica en Ucrania y provocó un apagón de seis horas que afectó a 80 mil usuarios.
A partir de un informe de la compañía de ciberseguridad Kaspersky, el expositor sostuvo que existen ciertos riesgos en el sector energético. Uno de ellos es que el 92% de los dispositivos de los sistemas de control industrial (ISC) disponibles externamente usa protocolos de conexión a Internet abiertos e inseguros.
Desde el 2010, el número de vulnerabilidades de componentes ICS también ha aumentado en 10 veces, lo que hace de estos dispositivos un objeto fácil y lucrativo para los ciberdelincuentes. Además, un informe de EY revela que el 42% de las compañías eléctricas y de servicios públicos cree que es poco probable que puedan detectar un ataque avanzado.
Jorge Abanto, coordinador regional del Centro de Ciberseguridad Industrial (CCI).
La ciberseguridad en el país
El tercer expositor fue Jorge Abanto, coordinador regional del Centro de Ciberseguridad Industrial (CCI), y dedicó su presentación a presentar los resultados del primer estudio del estado de la ciberseguridad industrial en el Perú, un documento que se realizó en base a información del 2017.
Para comenzar, Abanto indicó que este estudio es tan solo uno de los documentos con los que cuenta el CCI y que tiene a disposición de los interesados. Lo importante es que los encargados de la seguridad en el Perú sepan que existen estos documentos, y que estos pueden guiarlo en la mejora de los niveles de seguridad de sus organizaciones.
Dicho esto, el expositor pasó a realizar algunas aclaraciones. La principal es que a nivel internacional se encontrarán documentos que señalan dentro de la ciberseguridad industrial a algunos activos como "Infraestructura Crítica”, pero que esos mismos activos son mencionados oficialmente dentro de los documentos peruanos como "Activos Críticos Nacionales” (ACN). Son lo mismo, así que cuando se diga ACN, el documento se está refiriendo a lo que otros señalan como activos críticos o infraestructura crítica.
El marco de seguridad en el cual se desenvuelve el Perú es el NIST (CSF); pero, además, como se señaló antes, se han determinado mediante un decreto supremo del 2017 los ACN en base a 12 "Capacidades Nacionales”: agua y saneamiento, alimentación, ambiente, defensa civil, economía y finanzas, energía y minería, industria, justicia, orden interno y seguridad ciudadana, salud, seguridad y defensa nacional, TIC, y transportes.
Para el estudio se consultaron a empresas de más de nueve sectores, siendo los más representados los sectores de TIC, sistema financiero, sector eléctrico y sector de gas y petróleo.
Uno de los primeros hallazgos de este estudio es que la responsabilidad de la seguridad de los sistemas de automatización y control recae principalmente en dos áreas: la TI corporativa (40%) y el área de seguridad de la información y/o seguridad informática (40%). Otros departamentos o cargos que se encargan del tema son Seguridad Física (20%), Operaciones (16,7%) y el CISO (16,7%).
Con respecto al nivel de sensibilización de los responsables del negocio, el estudio encontró que es considerado como "muy poco” por el 42% de las empresas, "normal” por el 31% y "bastante” por el 19%.
Con respecto al análisis de los riesgos en el sistema de control y automatización, solo aproximadamente un tercio de las organizaciones señalaron que se han realizado evaluaciones organizativas, es decir, de políticas y procedimientos. Un poco más del 20% han señalado que no han realizado ninguna evaluación de riesgos y el 20 % -en cada caso- afirmó que han realizado una evaluación normativa, técnica (test de intrusión) o de ISO 27005.
En cuanto a la gestión de los incidentes de seguridad, las firmas han señalado que se realiza de manera reactiva (33,3%), no existe ese proceso (23,3%) o se está definiendo el proceso (16,7%). Otro 10% indicó que esa tarea se delega a personal de TI, mantenimiento o soporte.
Las normativas más utilizadas en este campo son la ISO 27001 (57,7%), leyes de protección de datos personales (50%) y la ISO 22301 y la 85 25999. Finalmente, las medidas de seguridad más utilizadas son los antivirus, las copias de seguridad y los firewalls convencionales. La gestión de respuestas ante incidentes se encuentra en la cuarta posición, seguida por las políticas y procedimientos documentados y las auditorías de seguridad internas.
El panel
Luego de las exposiciones iniciales de la jornada, se desarrolló un panel en el que cuatro invitados ofrecieron sus respectivos puntos de vista con respecto a la ciberseguridad industrial.
De izq. a der.: Yuri Aldoradi, analista de la PCM; Rómulo Lomparte, director del Capítulo Lima de ISACA; Rafael Bocanegra, jefe de la Information Security Office de Excellia; y Giovanni Pichling, gerente de Operaciones de la Asociación de Bancos (Asbanc).
El primero de ellos fue un representante de la Presidencia del Consejo de Ministros, Yuri Aldoradi, analista de la PCM, quien dio a conocer el punto de vista con respecto a la seguridad que tiene la PCM. Dentro de esta visión destaca un concepto: la confianza digital. Pero antes ofreció un poco de contexto.
La seguridad se encuentra presente en los planes de gobierno digital del Estado peruano, aunque no necesariamente con la palabra seguridad. Por ejemplo, el expositor sostuvo que el 46% de las medidas del Plan Nacional de Competitividad y Productividad 2019 - 2030 son sobre transformación digital y relacionadas a la seguridad. Aquí se pueden encontrar 39 medidas relativas a la regulación digital, plataformas digitales, interoperabilidad, desarrollo de competencias digitales e integración de sistemas.
De hecho, la OCDE señaló que el Perú ha logrado avances significativos en este campo, hace algunos meses, de hecho, dijo que "se ha fortalecido la gobernanza en el Perú”.
Estos avances han traído consigo una estructura que el expositor presentó, y que muestra cuál es la forma en que las diferentes instancias del Estado peruano se reparten en el campo de la ciberseguridad.
En este campo se pueden apreciar cuatro grupos. El primero está conformado el Ministerio de Justicia, el Ministerio del Interior, la Policía Nacional del Perú, El Poder Judicial y el Ministerio Público que se encarga de la ciberdelincuencia.
Un segundo grupo está conformado por el Ministerio de Defensa y el Comando Conjunto de las Fuerzas Armadas que se encarga de la ciberdefensa. El tercer grupo está compuesto por la Dirección Nacional de Inteligencia (Dini) que se encarga de la ciberinteligencia. Mientras el cuarto grupo conformado por las entidades públicas se encargan en general de la ciberseguridad.
Otro de los miembros del panel fue Rómulo Lomparte, director del Capítulo Lima de ISACA. Lomparte llamó la atención de los asistentes hacia cuatro retos con los cuales se tiene que convivir en el futuro.
El primero de ellos es el conformado por las ciberguerras. Para el expositor se debe de tomar en cuenta este nuevo tipo de amenazas ya que se encuentra directamente dirigido a las ANC del país y, por tanto, se requieren de "medios disuasivos, de defensa”, para hacer frente a este tipo de amenazas.
Un segundo factor es el peligro de relacionar a Blockchain solo con la ciberdelincuencia. Es cierto que los ciberdelincuentes generalmente piden sus pagos en esta criptomoneda, pero Lomparte señala que no debemos caer en relacionar uno con otro; en realidad, Blockchain genera muchas otras oportunidades de uso.
Un tercer factor para considerar es la integración de TI con OT. Es difícil romper la "cultura de aislamiento” de OT para que TI pueda integrarse a ella, pero es necesario hacerlo poniendo de relieve que TI desea integrarse, no entrometerse.
Finalmente, el cuarto reto lo conforma el uso adecuado de los datos. Es necesario tomar en cuenta el marco normativo que ahora rige la administración de los datos personales.
El tercer miembro del panel fue Rafael Bocanegra, jefe de la Information Security Office de Excellia. El ejecutivo también quiso llamar la atención sobre algunos puntos del nuevo entorno digital. El primero de ellos es la interconexión. Ahora todo se encuentra interconectado y del papel hemos pasado a los documentos en digital. Por tanto, debemos preguntarnos como proteger los documentos digitales en un mundo interconectado. ¿Quién maneja esos flujos? ¿Con quienes compartimos la información?
Otro de los puntos tratados fue la existencia de la infraestructura crítica. Ahora ya existe malware estrictamente dedicado a atacar infraestructura crítica, como le ocurrió a Ucrania que quedó sin energía eléctrica. Bocanegra también llamó la atención sobre la relación que debe darse entre TI y OT, y sobre la arquitectura de seguridad que debe pensarse ahora desde el inicio para asegurar siempre la presencia de elementos de seguridad.
Finalmente, el cuarto comentarista fue Giovanni Pichling, gerente de Operaciones de la Asociación de Bancos (Asbanc). El ejecutivo sostuvo que el tema de la seguridad es relativamente nuevo, ya que recién en años recientes está llegando a más personas. Y junto con ese conocimiento también se debe hacer comprender a los ejecutivos de las otras áreas que la seguridad no es un stopper sino un habilitador del negocio, un elemento que logra que el negocio tenga un buen resultado.
Además, también hizo notorio que aún persisten algunos problemas a nivel del gremio. No se comparte lo que sucede, es decir, los ataques, y lo que se debería hacer es todo lo contrario, se debería compartir información. Por otro lado, hay que asegurar la información que tiene cada institución con técnicas tan comunes como la 'devaluación' de la información; es decir, hacer que la información sea tan poco valiosa que incluso si se la llevan de poco les sirva a los atacantes.
Jose Antonio Trujillo, CIO Perú