Antes de hablar de Perú y ciberseguridad, conviene recordar que se trata del tercer país más grande de América del Sur. Está ubicado en la costa oeste central de Sudamérica y tiene una de las economías más fuertes de la región. Desde el año 2000 ha logrado que su Producto Bruto Interno (PBI) muestre un impresionante crecimiento del 126 por ciento, al que ha contribuido directamente el sector de los hidrocarburos.
Actualmente, Perú tiene un potencial de hidrocarburos de 10.000 millones de barriles de petróleo al año. Camisea es el proyecto energético más importante del país y se basa en la explotación, el transporte y la distribución de gas natural y líquidos (LGN) de esta fuente energética de una de las reservas más importantes de América Latina. Tanto es así que se logran transportar más de 900.000 millones de pies cúbicos diarios, cifra que representa el 50 por ciento de la generación eléctrica de toda la nación.
Todo este auge y crecimiento económico ha ocasionado que Perú sea atractivo para los ciberdelincuentes, hasta el punto de que se ha posicionado, de forma sostenible, entre los tres países latinoamericanos más atacados desde el año 2014. Según Kaspersky, Perú sufre más de cuatro millones de ataques cibernéticos al año, lo que ha puesto en alerta al Gobierno, sobre todo en lo relativo a la protección de sus infraestructuras críticas.
Iniciativas públicas
En el país, la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) es la encargada de emitir normas para desarrollar e implementar controles de seguridad de la información. En el año 2013 se aprobó la Política Nacional de Gobierno Electrónico para fortalecer, desarrollar y optimizar los procesos de la administración pública, siendo ONGEI el ente rector responsable de su implementación. El tercer objetivo estratégico de esta Política Nacional es “garantizar la integridad, confidencialidad y disponibilidad de la información de la administración pública mediante mecanismos de seguridad de la información gestionada, así como articular los temas de ciberseguridad en el Estado”.
Un año después se publicó la Norma Técnica Peruana NTP-ISO/IEC 27001. Se trata de una adaptación de la certificación ISO 27001 y su fin es que sirva como marco referencial para la implementación de un sistema de gestión de la seguridad de la información (SGSI) en todos los organismos gubernamentales. Y en 2016, mediante un Decreto Supremo, se aprobó la obligatoriedad de cumplir dicha norma en todas las instituciones públicas que formasen parte del Sistema Nacional de Informática del país.
Adicionalmente, tres leyes son claves para soportar de forma sostenible la ciberseguridad en el Perú: la Ley 27309 –que incorpora la delincuencia cibernética en el Código Penal–, la Ley 29733 –que regula la protección de datos personales– y la Ley 30096 –que regula los delitos informáticos–. Cabe resaltar que, gracias a la Ley 29733, que fue aprobada en el año 2011 y empezó a ser fiscalizada a partir de 2015, las empresas peruanas, públicas y privadas, se han visto obligadas a tomar conciencia de la seguridad de la información e implementar controles de ciberseguridad.
Infraestructuras críticas
Respecto a las infraestructuras críticas nacionales, el Gobierno peruano ha solicitado la asistencia técnica de la Organización de los Estados Americanos (OEA) para desarrollar y adoptar un Plan Nacional de Ciberseguridad. En el informe Ciberseguridad. ¿Estamos preparados en América Latina y el Caribe?, elaborado por la OEA en coordinación con el Banco Interamericano de Desarrollo (BID) y el Centro Global de Capacitación de Seguridad Cibernética de la Universidad de Oxford, se afirma que, a pesar de que no existe una estrategia nacional de ciberseguridad, se evidencia que los operadores de infraestructuras críticas “han adoptado algunas normas de seguridad” y que la gestión de las mismas se realiza de manera informal.
Si bien ONGEI hace todo lo posible por ayudar, su desempeño resulta insuficiente. Es aquí donde el Organismo Supervisor de la Inversión en Energía y Minería (Osinergmin) ha tomado un rol importante en los últimos años. Osinergmin es la entidad pública encargada de regular, supervisar y fiscalizar a las empresas de los sectores de la energía y la minería. Entre otras cosas, a modo de ejemplo, este organismo exige a las empresas tener un plan de continuidad que permita reanudar las operaciones ante un posible evento o fallo del centro de operaciones principal. Por dicho motivo, es habitual que tengan controles de ciberseguridad implementados en las redes y tecnologías de operación (OT), también conocidas como redes SCADA, con un mayor nivel de madurez que en las redes administrativas o corporativas (IT).
Con la aparición de software malicioso contra las OT, que tiene como objetivo dañar, tomar el control o realizar modificaciones no autorizadas sobre los equipos industriales que monitorean y controlan las infraestructuras críticas, ocasionando desde el paro de las operaciones del negocio hasta grandes catástrofes naturales, y en algunos casos hasta pérdidas de vidas humanas, en el Perú se ha empezado a tomar conciencia para implementar controles en las redes corporativas.
Cooperación y asistencia
Esto se ve reflejado en las empresas del sector de hidrocarburos que forman parte del consorcio Camisea, como Pluspetrol y la Compañía Operadora de Gas del Amazonas (COGA), que, al igual que Petroperú (empresa de propiedad del Estado y de derecho privado dedicada al transporte, refinación, distribución y comercialización de combustibles y otros productos derivados del petróleo), forman parte del Comité de Ciberseguridad de la Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL), donde participan activamente en eventos tanto presenciales como virtuales con el objetivo de buscar la cooperación y la asistencia recíproca en esta materia.
ARPEL es una asociación sin ánimo de lucro conformada por empresas que representan más del 90 por ciento de las actividades del upstream (exploración y producción) y downstream (refinamiento del petróleo crudo y procesamiento y purificación del gas natural) en América Latina y el Caribe. En coordinación con la OEA, formó el Comité de Ciberseguridad Industrial para contemplar la ciberseguridad en infraestructuras críticas entre sus socios. Y, para ello, cuenta con la colaboración activa del Centro de Ciberseguridad Industrial (CCI) de España. Formar parte de organizaciones así es vital para todas las empresas de cualquier sector, sobre todo teniendo en cuenta lo sofisticados y cada vez más dañinos que son los ciberataques.
Sin embargo, y aunque suene contradictorio, a pesar de que los altos directivos puedan tener conocimiento sobre la importancia de la ciberseguridad, solo el 7 por ciento de las empresas que participaron en el estudio Perspectivas sobre Gobierno, Riesgo y Cumplimiento de EY asegura tener un programa robusto de respuesta a incidentes de ciberseguridad. Esta cifra es preocupante y refleja el nivel de madurez de los procesos de ciberseguridad en el Perú, acorde al promedio de América Latina.
