En los últimos años, Latinoamérica ha estado iniciándose en lo que respecta a Ciberseguridad en Infraestructura Crítica (CIC). Esto, en un contexto en que las grandes empresas han comenzado a tomar conciencia del impacto que produciría un ciberataque en sus procesos productivos, debido a que cada vez es más frecuente escuchar en el mundo ataques deliberados que afectan a esas infraestructuras.

Sin ir más lejos, la agencia de noticias Reuters informó hace pocas semanas que la red de energía eléctrica de Ucrania fue atacada durante el domingo 18 de diciembre de 2016, siendo afectado el suministro de energía de su capital, Kiev, degradando el servicio en una capacidad aproximada de 200 Megawatts de potencia, dejando así a oscuras a un quinto de su población. Por este motivo, distintas empresas latinoamericanas, especialmente del sector energético, se están preocupando por estos sucesos para no ser “la próxima Ucrania”.

A diferencia de Europa y Estados Unidos, en donde existe un mayor avance en este tema, Latinoamérica está por detrás de estos países líderes, y se debe, básicamente, a la diferencia en presupuesto disponible en la Región para destinar al desarrollo de la madurez de la CIC. Por ejemplo, si se compara a cualquiera de las compañías petroleras del mundo con alguna de Latinoamérica, se comprobará una gran brecha en lo que respecta a su desarrollo en materia de ciberseguridad. Incluso, esta diferencia se produce también entre filiales de las mismas compañías ubicadas en distintas locaciones. Adicionalmente, las empresas europeas y estadounidenses son blanco de una mayor cantidad de ataques que las latinoamericanas. Y en las empresas de la Región, las áreas de Tecnologías de la Información (IT) y de Operaciones (OT) están empezando tímidamente a interactuar entre sí. A diferencia de hace unos años, donde la integración entre las redes de IT y OT no era tan necesaria, hoy es una condición ineludible para el negocio. Ante esta situación, se presentan dificultades que si no se tratan correctamente, el proyecto de asegurarlas podría fracasar.

Un aspecto importante a destacar de las empresas de la Región es la falta de conocimiento del personal de IT sobre automatización y procesos industriales. Por otra parte, de manera análoga, el área de operaciones posee una falta de conocimiento de ciberseguridad. Estos aspectos, sumado a que en la Región existen pocas consultoras con conocimiento de ciberseguridad en OT y experiencia comprobable en la temática, hace que las iniciativas de ciberseguridad sean difíciles de implementar y llevar a cabo.

Durante las decenas de evaluaciones de ciberseguridad en ambientes industriales que KPMG ha hecho en Latinoamérica en los últimos años, los problemas técnicos más recurrentes han sido las faltas de seguridad en los controles de acceso a los perímetros, inventarios actualizados de los ciberactivos de antimalware (antivirus) en los sistemas, incorrecta segregación de redes, nulos procedimientos de actualización específicos para OT, de capacitaciones en ciberseguridad y accesos de proveedores de forma insegura desde Internet o aplicaciones inseguras que podrían ser fácilmente explotadas por hackers, como VNC.

Cabe destacar que el 73% de los equipos analizados no poseían antimalware o estaba desactualizado; que el 80% de las compañías tenían graves problemas en sus controles de acceso y que el 33% tenía un software obsoleto. Incluso, se han identificado virus dentro de seis redes industriales que provocaban situaciones anómalas.

Para el futuro, la región latinoamericana deberá enfocarse en crear regulaciones en la temática, de forma cooperativa entre los países, ya que parte de la infraestructura es compartida y es fundamental que estas regulaciones tomen en cuenta el contexto socioeconómico de cada país y de la Región.