El fin de semana pasado se conoció un ciberataque en Estados Unidos a la mayor red de oleoductos del país, lo que resultó en que gobierno declarara el estado de emergencia regional. Un grupo de piratas informáticos desconectó por completo y robó más de 100 GB de información del Oleoducto Colonial, que transporta más de 2,5 millones de barriles por día, esto es el 45% del suministro de diésel, gasolina y combustible que consumen los aviones de la costa este.
No muy lejos en el tiempo, otro ataque afectó la infraestructura física y crítica cuando en febrero de este mismo año un atacante logró tomar control remoto de una consola en una planta de procesamiento de agua en la ciudad de Oldsmar, en Florida. El atacante cambió los niveles de hidróxido de sodio (“soda cáustica”) del agua de 100 partículas por millón (la cantidad normal) a 11.100 partículas por millón. Afortunadamente, el ataque fue detectado a tiempo por un operador de la planta, lo que evitó un desastre que hubiera afectado la salud de miles de personas. Sin embargo, si el agresor hubiera realizado un estudio más profundo de la planta y su funcionamiento, podría haber lanzado un ataque mucho más sofisticado y difícil de detectar.
La realidad es que estos atentados vienen multiplicándose en los últimos años, con una capacidad de daño cada vez más alarmante. El primer caso en ganar relevancia se remonta hacia el año 2010, cuando se reveló un ataque a varios dispositivos de una planta de enriquecimiento de uranio en Irán, una operación de tal sofisticación que solo pudo haber sido perpetrada por expertos con evidente apoyo económico. En 2017 una parte muy importante de Ucrania se quedó sin energía eléctrica por un ciberataque dirigido con precisión para desactivar el servicio. Y estos son solo algunos de los casos más renombrados.
La convergencia entre la tecnología que maneja la operación física de una empresa (OT) y la tecnología informática (IT) es parte fundamental de las transformaciones que nos trae la Industria 4.0, con un gran número de beneficios. Pero por otro lado esta convergencia trae aparejado este nuevo tipo de riesgo. Un ataque a la infraestructura física puede causar daños económicos sumamente importantes, además de poner vidas humanas en juego. Y si es, además, a la infraestructura crítica de un país (energía, agua, entre otras) el impacto económico y político puede ser muy significativo.
En general, un ataque de esta naturaleza no es casual ni tampoco la obra de un hacker aficionado. Lanzar uno sobre infraestructura crítica requiere una combinación especial de habilidades (ciberseguridad, redes y tecnología operacional) y acceso a hardware específico para probar los ataques (lo cual es sumamente caro). Los actores detrás de estos ataques pueden ir desde grupos organizados hasta países. Dado el potencial impacto de un ataque de este tipo sobre la geopolítica global, no debemos sorprendernos de ver cada vez más este tipo de operaciones “sponsoreadas” por Estados.
Para protegerse, las empresas deben tener un análisis integral de sus medidas de protección y estar, además, preparadas para responder y recuperarse ante un ataque, no solo en lo técnico sino también en las medidas de control que se adoptan y en los procesos; así como en todo aquello relacionado a la cultura interna de ciberseguridad que debe abarcar a la estructura de la organización. Los programas más eficientes son aquellos en los que la alta dirección se involucra directamente con su equipo y personal, realizando acciones de simulación de ataques y las posibles respuestas a dar. No debemos olvidar tampoco que hoy las empresas trabajan con un ecosistema de proveedores y aliados que deben formar parte de la cadena a proteger. La mejor defensa es que toda la empresa (incluyendo su ecosistema) esté comprometida y consustanciada para contrarrestar inesperados ciberataques que pueden afectar muy seriamente a la organización.
* Socio de Consulting en KPMG de Argentina. Líder global de ciberseguridad en IIOT en KPMG Internacional.