Como todos los sectores, la industria Petrolera en México no está desasociada de los temas de amenaza cibernética, puesto que, hoy día, todas las empresas –o bien, un número importante de ellas– integran sistemas de Tecnología de la Información (TI) para sustentar sus operaciones.
En el caso de la industria del Petróleo y Gas, de acuerdo con Luis Isselin, Country Manager de Tenable México, el cambió crítico se ha dado en la incorporación de los sistemas de control: válvulas, termómetros y controles de presión, entre otros, que en el pasado estaban aislados de una red TI; campo de operación de los hackers.
La transformación digital: Internet de las Cosas (IoT), Internet Industrial de las Cosas (IIoT) o Tecnología Operativa (OT) está provocando que el sector energético monitoree en tiempo real los sistemas, lo que representa una ventaja productiva en comparación con el pasado, sin embargo, hacerlo también implica un riesgo para la organización, debido a la amenaza cibernética.
“Son grandes los beneficios de monitorear desde las redes los sensores de presión. No obstante, de todo esto se derivan grandes responsabilidades. Es necesario asegurar no ser víctima de un ataque cibernético”.
Como refiere nuestro entrevistado, en México y América Latina la amenaza cibernética se basa en tres puntos clave: 1) interrumpir un servicio, es decir, inhabilitar, por ejemplo, los servicios digitales de CFE o Pemex; 2) software malicioso, o malware que extrae información sensible o crítica para la empresa o para la organización y 3) secuestrar los equipos, se trata de impedir a la empresa el acceso a la información y exigir un rescate.
A decir de Luis Isselin, las organizaciones deben prestar atención a estos temas, sobre todo en un momento en el que las herramientas de la industria Manufacturera están conectadas a la red, tal como ocurre con una banda en una línea de producción o con la válvula de presión en una termoeléctrica.
“Esas son cosas que típicamente no asociamos con el tema de amenazas cibernéticas y con el tiempo cada vez va a ser más apetitoso explotar las vulnerabilidades que estos sistemas tengan. Se han documentado en otros países, como Ucrania, ataques a las redes eléctricas”.
Según explica el directivo, en México todavía no hay casos públicos documentados, “porque, en parte, la regulación no obliga a las empresas a hacer una revelación de este tipo de incidentes”.
Motivantes para la negación de servicio
La negación del servicio puede ser un distractor. En palabras Luis Isselin, el hacker interrumpe el servicio (página web) para que todo el personal de ciberseguridad se enfoque a eso “y descuiden las joyas de la corona”.
Temas financieros –indica– son los motivantes que llevan a un hacker a negar los servicios. En ocaciones, el intruso podría ser la misma competencia, aunque, según comenta, muchas veces los ataques no son dirigidos.
“Hace como tres años hubo un caso en que se encontraron vulnerabilidades en un proveedor de cámaras de vigilancia y utilizaron las cámaras como robots para generar un ataque”.
Pero eso no es todo, inclusive –apunta–, existe el concepto hacktivistas, “que son simplemente personas que están apoyando una causa social o radical y realizan este tipo de ataques nada más para llamar la atención y hacer llegar el mensaje que ellos quieren”.
Empresas de petróleo y gas
Estas compañías cada vez buscan la manera de ser más competitivas. Como un diferenciador, invierten en procesos de transformación digital, además de que adoptan herramientas que garantizan la disponibilidad de los sistemas y protección ante la amenaza cibernética.
“Vemos a más empresas con apetito por diferenciarse; estas compañías entran al mundo de la tecnología operativa”.
De forma adicional, el experto en ciberseguridad enfatiza en que las empresas que no trabajaron en este proceso de transformación digital antes del COVID-19, fueron las que tuvieron dificultades para mantener la continuidad operativa por continuar bajo un esquema de presencia física y de intervención manual en sitio.
“Afortunadamente los que sí entraron a este proceso a tiempo, el impacto fue mucho menor, y no solamente en el sector energético, sino prácticamente en cualquier empresa”.
Sobre este punto, cabe mencionar que una infraestructura de ciberseguridad hoy día va más allá de proteger la red corporativa, puesto que el perímetro de actividad de los empleados, incluso antes del COVID-19, ya se extendía a cafeterías y home office a través de laptops (con un módem casero sin seguridad) y teléfono móviles.
“Típicamente los atacantes utilizan el tema de moda para generar interés y atraer a las víctimas a sus sitios, vimos muchos sitios apócrifos de gráficas del avance del COVID-19 que lo que hacían era atraer a la gente y ahí, al entrar a ese sitio malicioso, depositar el malware y poder afectar”.
