-Antes de que se originase la pandemia de coronavirus, ¿cuáles eran los principales desafíos que presentaban las infraestructuras críticas del sector eléctrico colombiano en ciberseguridad?
Para responder a su pregunta hay que remontarse a 2011, año en que el gusano informático Stuxnet protagonizó el primer ciberataque de alto impacto sobre sistemas de control industrial. Desde entonces, ha habido un aumento significativo de los ciberataques en las infraestructuras críticas. Especialmente, en el sector energético, como lo demuestran los apagones que sufrieron varias regiones de Ucrania en 2015 o su capital, Kiev, en 2016. Dos años después, el Departamento de Seguridad Nacional y el FBI estadounidenses indicaron que el gobierno ruso estaba llevando a cabo campañas en el ciberespacio contra el sector de la energía.
El sector eléctrico colombiano venía enfrentando los mismos desafíos que otros en cuanto a cibercrimen y malware en general. Y a partir de 2018 también tuvo que protegerse de grupos avanzados del país que podían poner en riesgo sus infraestructuras críticas. Esto conformaba un panorama de riesgos importante en materia de ciberseguridad que debía ser controlado oportunamente.
-¿La actual situación ha incrementado la exposición a los ciberriesgos de los operadores eléctricos? Desde el origen de la pandemia, ¿se ha registrado un mayor número de ciberincidentes en el sector?
La actual situación de pandemia le ha dado un nuevo aire a los ciberatacantes en todo el mundo. Les ha brindado una ventana de oportunidad para llegar a afectar las redes de sus víctimas, usando el miedo y la necesidad de información de las personas como mecanismos para hacer más efectivos sus ataques. Y logrando engañarlas para que cliquen en vínculos de correo electrónico o visiten páginas fraudulentas con el objetivo de obtener sus credenciales, implementar malware para acceder a las redes de empresas y hogares o secuestrar la información de sus equipos para pedir un rescate por ella. Si a todo lo expuesto le sumamos que el teletrabajo cuenta con unos controles menos robustos que los de las redes internas de las empresas, puede afirmarse que los cibercriminales han incrementado su actividad durante la pandemia.
Solo en Colombia, la Policía Nacional detectó más de 200 sitios maliciosos relacionados con la COVID-19 en la primera fase de la pandemia. Y se han producido ataques utilizando la imagen de instituciones como el Ministerio de Salud para engañar a los usuarios diciéndoles que había contagios en su zona.
El sector eléctrico no ha estado exento de este nuevo panorama. Sus empresas han tenido que hacer frente a nuevas campañas de ciberataques y maximizar sus controles para evitar que grupos avanzados puedan beneficiarse de la situación.
“Desde el inicio de la pandemia, el sector eléctrico colombiano ha tenido que hacer frente a nuevas campañas de ciberataques”
-En un sector como el eléctrico, ¿la ciberseguridad es uno de los pilares en los que se sustenta la continuidad de las operaciones?
El sector eléctrico mundial ha estado mejorando sus tecnologías de supervisión y control, pasando de sistemas electromecánicos a otros cada vez más automatizados y con una mayor integración de las TIC en las tecnologías de operación. Ello permite una mejor gestión de las variables, pero, a su vez, trae consigo mayores vulnerabilidades y riesgos de ser atacados por medios digitales. Y, por ende, mayores necesidades de ciberseguridad.
Hoy en día, considero que no puede concebirse un sistema eléctrico confiable y seguro sin las consideraciones de ciberseguridad que puedan mantener los riesgos bajo control en un entorno de constantes amenazas provenientes de diferentes actores con todo rango de capacidades para hacer daño.
Así pues, la ciberseguridad es un pilar fundamental en la continuidad de las operaciones del sector eléctrico. Y debe ser considerada por todos los agentes, ya que un ataque efectivo a uno de ellos podría afectar a todo el sistema interconectado nacional y, de no contenerse adecuadamente, también a interconexiones entre países o regiones.
-Relacionada con la pregunta anterior, ¿cree que los operadores eléctricos que prestan servicio en Colombia están lo suficientemente maduros en ciberseguridad industrial o deben mejorar sus capacidades?
A través del Consejo Nacional de Operación, en Colombia hemos publicado guías de ciberseguridad para los agentes del sistema interconectado. Desde 2011 se han intensificado los esfuerzos para incrementar el nivel de conciencia y capacitación del sector eléctrico. Los niveles de conciencia han aumentado muchísimo y los de madurez cada vez son mejores, si bien todavía falta mucho camino por recorrer.
Acuerdos recientes establecen metas de cumplimiento mínimo para todos los agentes que manejen activos críticos para el sector. Pero aún se están haciendo las inversiones y se están logrando mejores niveles de madurez en las diferentes capacidades necesarias para la ciberseguridad como el desarrollo de la cultura y capacitación del personal, el desarrollo de procesos requeridos y la incorporación de tecnologías de soporte a la ciberseguridad. Así que en los próximos años veremos un sector mucho más fuerte y resiliente.
“Sin duda, la ciberseguridad es un pilar fundamental en la continuidad de las operaciones del sector eléctrico colombiano”
-¿Cómo es su relación con los responsables de ciberseguridad de los operadores eléctricos colombianos? ¿Qué pasos se han dado en materia de colaboración interinstitucional?
La relación es muy positiva y cercana. Junto a una comunidad muy importante de responsables de ciberseguridad de las principales empresas, he creado un grupo llamado El-Col-ISAC donde compartimos información sobre amenazas y riesgos de ciberseguridad que se estén presentando.
Y el Consejo Nacional de Operación, además de contar con el Comité de Supervisión y Ciberseguridad y grupos de apoyo, ha impulsado capacitaciones a través de jornadas de ciberseguridad anuales en las que se comparten iniciativas y experiencias públicas y privadas.
También se ha logrado desarrollar un primer nivel de equipo de respuesta ante incidencias de seguridad informáticas (CSIRT, por sus siglas en inglés) con el apoyo de XM, operador del sistema eléctrico colombiano. El CSIRT se encuentra en estudio por parte de la Comisión de Regulación de Energía y Gas (CREG) y una vez que se oficialice se llevará al siguiente nivel para contar con un punto único de apoyo en la gestión de incidentes en el sector.
Por otra parte, con el Ministerio de Defensa Nacional y la Organización de los Estados Americanos (OEA) se llevó a cabo un taller subregional y con la Comisión de Integración Energética Regional (CIER) y el Banco Interamericano de Desarrollo (BID) se participó en un estudio sobre el estado de la ciberseguridad del sector eléctrico en América Latina. Y el sector también ha participado en estudios y jornadas del Centro de Ciberseguridad Industrial (CCI) español. En todas estas iniciativas se logra integración de la comunidad y generar ideas para continuar mejorando la ciberseguridad y la resiliencia del sector eléctrico colombiano.
-¿Cómo contribuye la legislación colombiana a preservar el sector eléctrico de los ciberataques? ¿Qué leyes y estrategias nacionales se han impulsado para proteger el ciberespacio industrial?
Como estrategias nacionales es importante destacar la Mesa de Infraestructura Crítica Nacional, liderada por el Ministerio de Defensa Nacional a través del Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT) y el Comando Conjunto Cibernético (CCOCI) de las Fuerzas Militares, donde se han realizado importantes avances en la definición de los sectores estratégicos, la identificación de activos y ciberactivos críticos para la nación y la definición de planes de protección y defensa nacionales y sectoriales.
Desde el Consejo Nacional de Operación se ha apoyado todo este ecosistema de ciberseguridad y, junto a las instituciones citadas, se han desarrollado los planes para el sector energético, los cuales establecieron las guías de ciberseguridad que son de obligado cumplimiento para los agentes del Sistema Interconectado Nacional (SIN) y que se basan en las normas NERC CIP usadas en Canadá y EEUU. Y también se han establecido los mecanismos de ciberseguridad para la medida de las fronteras comerciales del sector.
Por su parte, el Instituto Colombiano de Normas Técnicas y Certificación (Icontec) ha establecido normas técnicas para medidores inteligentes. La iniciativa Colombia Inteligente de smart grids y la Unidad de Planeación Minero-Energética (UPME) han considerado la ciberseguridad en sus arquitecturas para proyectos futuros. Y la CREG se encuentra desarrollando la Estrategia Integral de Ciberseguridad para el sector eléctrico con una metodología participativa.
“Si bien todavía falta camino por recorrer, en los próximos años veremos un sector eléctrico mucho más fuerte y resiliente”
-Por su actividad, las empresas del sector eléctrico son consideradas operadores de infraestructuras críticas. Al respecto, al igual que sucede en otros países, ¿Colombia debería contar con una ley de protección de infraestructuras críticas?
En Colombia se han definido 13 sectores estratégicos. Sin embargo, aunque ha habido varias iniciativas y avances, no se ha llegado a materializar una ley de protección de infraestructuras críticas. Una norma así ayudaría a establecer unos mínimos en los sectores que prestan servicios esenciales en el país, garantizaría las inversiones requeridas y permitiría que los sectores y los operadores se preparasen adecuadamente antes de que los incidentes generasen impactos mayores. Confío en que la ley se materialice en un futuro cercano.
A su vez, debería robustecer las capacidades de Colombia en la materia a través del fortalecimiento de los CSIRT nacionales, el soporte en centros de respuesta sectoriales especializados y el apoyo de un ecosistema que incluya tanques de pensamiento, una evolución de las capacidades de la industria nacional para soportar sus infraestructuras críticas y la coordinación requerida entre la academia, la industria, el sector defensa, el Gobierno y los operadores privados.
-Para finalizar, ¿desea realizar algún comentario que considere de interés para los profesionales de la ciberseguridad de Latinoamérica?
En este escenario de crimen cibernético transnacional y de amenazas persistentes avanzadas apoyadas por organizaciones terroristas y estados, la unidad entre la academia y los sectores público y privado a nivel internacional es fundamental para mantener un entorno de operaciones seguro que permita prestar los servicios esenciales a los ciudadanos en las condiciones requeridas. De esta forma, nuestras sociedades podrán funcionar adecuadamente y responder oportunamente a los incidentes que se puedan presentar, logrando así la resiliencia de las operaciones.
Por ello, invito a los profesionales de ciberseguridad de la región a que sigamos uniendo esfuerzos para desarrollar una cultura de seguridad en todos los niveles de la sociedad y de nuestras organizaciones. Y también a mantener un espíritu colaborativo que ayude a que los problemas y soluciones que encontremos en este entorno faciliten su gestión a los que aún no los han sufrido.
Comité de Supervisión y Ciberseguridad del CNO
-¿Cuándo se creó el Consejo Nacional de Operación (CNO) del sector eléctrico colombiano? ¿Cuántos miembros forman parte de él y cuál es su misión principal?
El CNO es un organismo privado creado por la Ley 143 de 1994, cuya misión fundamental es la de mantener la operación confiable, segura y económica del Sistema Interconectado Nacional (SIN), para lo cual realiza acuerdos de obligatorio cumplimiento con los diferentes agentes del sector eléctrico. Actualmente, está conformado por 13 empresas.
-El CNO cuenta con el Comité de Supervisión y Ciberseguridad. ¿Quiénes lo integran? ¿Cuál es su objetivo?
El Comité de Supervisión y Ciberseguridad recomienda acuerdos para mantener la operación confiable económica y segura del SIN en temas de supervisión y ciberseguridad. Está conformado por importantes empresas de generación, transmisión y distribución del país como AES Colombia, Emgesa, EPM, Gecelca, ISA Intercolombia, Isagen, Tebsa y XM. Y como invitados figuran Codensa, Enel Green Power, Grupo Energía Bogotá, Termocandelaria y Transelca.
