El Metro de Panamá es uno de los medios de transporte masivo más importantes de la ciudad de Panamá y su periferia. ¿Cuáles considera usted que son las principales amenazas cibernéticas que enfrentan hoy los sistemas de transporte masivo y cómo pueden mitigarse eficazmente sin comprometer la operación o la experiencia del usuario?
Como primer punto de las principales preocupaciones, hablando de ataques cibernéticos contra los sistemas de transporte masivo como el Metro de Panamá, está la inhabilitación del sistema de transporte en sí mismo. En segundo plano se encuentra la afectación o inhabilitación de los usuarios para el uso del sistema.
En el primer escenario, un ataque a los sistemas de control SCADA sería catastrófico debido a los altos niveles de tecnología utilizados en los sistemas de transporte modernos, como son los sistemas eléctricos, escaleras, ascensores, puertas, balizas y el centro de control en general. Esto podría dejar sin servicio a miles de usuarios y provocar choques de trenes y hasta la pérdida de vidas humanas, creando un colapso a nivel de la ciudad o área de cobertura.
El Metro de Panamá mueve alrededor de 450.000 personas al día. De ellos, aproximadamente 300.000 son usuarios de la línea uno y el resto de la línea dos.
En el segundo escenario, un ataque a los sistemas de cobro y recarga afectaría igualmente la movilidad de estos 450.000 usuarios. En este escenario, el Metro de Panamá podría ejecutar un plan contingente para dar respuesta a los usuarios del sistema.
Para mitigar estas amenazas sin afectar la operación ni los usuarios del sistema, se pueden adoptar varias estrategias, como la segmentación y aislamiento de redes y sistemas críticos, minimizando el acceso externo, el establecimiento de planes de recuperación y continuidad del sistema, el monitoreo constante con alarmas automatizadas y la capacitación continua a los operadores del sistema y las pruebas de penetración, entre otras medidas que ayudan a mitigar los riesgos de ciberataques.
En cualquier caso, es muy importante tener al día los planes de continuidad de negocio y recuperación ante desastres y mantenerlos actualizados, así como realizar pruebas y simulacros con una frecuencia regular.
¿Qué papel juegan la inteligencia artificial y el análisis predictivo en fortalecer la ciberseguridad en infraestructuras críticas como los sistemas de transporte masivo?
Las herramientas de análisis predictivo basadas en inteligencia artificial son clave a la hora de prevenir ataques cibernéticos a infraestructuras de transporte masivo, ya que pueden analizar tráfico y detectar amenazas en tiempo real, localizando comportamientos inusuales. Nos permiten prever ataques y tomar medidas preventivas, aunque podrían generar falsos positivos. Es por eso que deben ser muy bien configurados y darles seguimiento constante.
A pesar que estos sistemas pueden ejecutar respuestas automáticas ante incidentes y amenazas, es recomendable, mientras el sistema aprende, tomar acciones de forma manual, analizando las alarmas y notificaciones una a una, ya que el sistema puede tomar acciones correctivas innecesarias y crear un caos en el sistema; es decir, un falso positivo.
El uso de herramientas de inteligencia artificial, en mi opinión, debe ser tratado con mucho cuidado en el modelo a implementar, ya que esta tecnología estaría aprendiendo el día a día sobre el comportamiento y patrones de redes de infraestructuras críticas, considerando que esta información podría ser utilizada precisamente para atacar estos mismos sistemas. Al aprender de muchos usuarios y hacer recomendaciones en base a patrones, puede detectar posibles amenazas, pero también estaríamos exponiendo nuestra configuración a una nube que conocería perfectamente nuestras vulnerabilidades.
¿Cuáles diría que son los principales desafíos que a los que se enfrentan las organizaciones centroamericanas, sobre todo las infraestructuras críticas, en materia de ciberseguridad?
Si son organizaciones públicas, enfrentan más desafíos que las privadas. Al igual que en Panamá, las organizaciones estatales sufren de falta de presupuesto o este es muy limitado, así como de funcionarios de carrera, de políticas y de normativas en el ámbito de la ciberseguridad. También hay una escasez de CISO debidamente capacitados y calificados y, por lo general, los salarios en entidades públicas no resultan atractivos para profesionales con experiencia. Esto significa que terminan contratando profesionales sin experiencia recién graduados que aportan muy poco o dependen de contratistas externos; por lo que las organizaciones dependen de terceros, aumentando la superficie de ataque o abriendo otras ventanas.
Los procesos burocráticos son también una barrera que limita el margen de actuación al momento de contratar servicio de urgencia ante un ataque. Por lo general, no existen políticas para que cuando se hacen inversiones en temas de ciberseguridad o infraestructura sean reemplazadas al llegar su fin de vida.
En el caso de las organizaciones privadas, generalmente están mejor preparadas ante amenazas cibernéticas, aunque dependiendo del sector donde se encuentren; sobre todo si tienen claro los riesgos inherentes al negocio, cómo se vería afectada la operación si sufren de un ataque cibernético y cómo afectaría la reputación, la imagen y las pérdidas económicas. Por lo general, estas preguntas no se las hacen en las organizaciones estatales. Ahí está la diferencia.
Otro punto importante es el marco legal del país para enfrentar el cibercrimen, las leyes de protección de datos y las sanciones ejemplares. En la región, este tema está en proceso de maduración y depende mucho de experiencias y ataques previos.
