En casi todos los aspectos de nuestra sociedad, desde los sectores residenciales hasta los ámbitos industriales, ha ido creciendo nuestra dependencia de la energía eléctrica, y por ende, de la continuidad operacional de nuestras redes eléctricas, unidas en sistemas interconectados entre sí altamente abiertos, complejos y automatizados. Sin embargo, cabe preguntarse si en estas plataformas la Automatización y Control abren la puerta a ataques informáticos maliciosos.

Como menciona Patricio Valenzuela, Coordinador Grupo de Trabajo de Energías Renovables no Convencionales de CIGRE Chile, un posible ejemplo es el ciberataque que sufrió la región Ivano- Frankivsk de Ucrania, el 23 de diciembre de 2015, en el que la mitad de dicha región quedó sin energía eléctrica por varias horas. “Según fuentes periodísticas, en este caso el ataque habría sido realizado mediante un software malicioso conocido como ‘BlackEnergy’ que habría desconectado algunas subestaciones de la red, lo que habría derivado en un blackout. Se indica que al menos uno de los sistemas de potencia habría sido infectado con dicho ‘malware’, el que tendría la habilidad de tomar el control de un sistema teniendo acceso a computadores clave, pudiendo borrar archivos del sistema informático para producir daño”, explica.

Al respecto, Felipe Calderón, Responsable de las Líneas de Productos Ruggedcom en Siemens, enumera los posibles peligros que enfrenta actualmente el sector eléctrico en términos de seguridad informática, afirmando que los riesgos van desde saboteo de subestaciones y robo de información confidencial, hasta cambios de configuraciones de equipos de finales de línea o daños a empresas dependientes de la red eléctrica “hackeada”.

En este sentido, un reciente informe de Kaspersky Lab sobre ciberseguridad industrial, afirma que 92% de los dispositivos de sistemas de control industrial (ICS) disponibles externamente usa protocolos de conexión a Internet abiertos e inseguros. Desde 2010, el número de vulnerabilidades de componentes ICS también ha aumentado 10 veces, lo que hace de estos dispositivos un objetivo fácil y lucrativo para los ciberdelincuentes. En este aspecto, la empresa de ciberseguridad señala que el reto para las compañías del sector eléctrico es claro, pues el informe “Global Information Security Survey” más reciente de Ernst&Young revela que 42% de las compañías eléctricas y de servicios públicos cree que es poco probable que puedan detectar un ataque avanzado.

“La automatización, el control y la protección de los equipos de energía eléctrica ya no son manejados por sistemas cerrados y, en su estado actual, detectar una amenaza potencial, tanto técnica como de la organización, es extremadamente difícil”, sostiene en un comunicado de prensa Andrey Suvorov, Director de Protección de la Infraestructura Crítica de la mencionada compañía de seguridad TI.

No obstante, desde el campo de la electrotecnia nacional, si bien se reconocen los posibles riesgos, se afirma que se ha trabajado para mitigarlos. Por ejemplo, Juan Martínez, Leader Sales & Marketing Network Managment Substation Automation & Communication de ABB en Chile, indica que el diseño de los sistemas de información asociados a la producción, transporte y distribución de energía eléctrica, siempre exige la instalación de un dispositivo cortafuegos (o firewall), cuya función de “no dejar pasar” ningún tráfico de datos más que los especificados en su configuración.

Para el profesional, existen vulnerabilidades que pueden eliminarse mediante procesos de auditorías bien conocidos, los que evidencian falencias como puertos TCP abiertos, acceso a computadores desde dispositivos de almacenamiento masivo, direcciones IP accesibles con rango amplio, uso de claves muy débiles, etc. “Las grandes compañías como Transelec, Colbún y AES Gener tienen políticas de ciberseguridad, pero siempre existirá un riesgo desde que los sistemas de las subestaciones eléctricas se conectan con las redes corporativas, las que tienen acceso global, además de que existen personas que ingresan a las subestaciones donde pueden existir condiciones de riesgo”, agrega.

Por su parte, Roberto Hernández, Gerente de Ventas, Area Comunicaciones Industriales, de Techvalue, considera que las políticas de seguridad realizadas por las empresas eléctricas han ido mejorando con los años con la implementación de nuevas normas y políticas. “Esto, gracias a los estudios de entidades como NERC (North American Electric Reliability Corporation), cuyo anexo CIP hace referencia a la protección de infraestructura crítica. Medidas como el uso de firewalls al interior de las subestaciones, la restricción en las políticas de uso de los ISP (Proveedores de Internet), y el empleo de VPN (Virtual Private Network), han mejorado la seguridad, sin embargo aún existen flancos en donde los hackers pueden realizar ataques, como acceder a la conexión de un módem celular conectado directamente a una protección eléctrica sin alguna política de seguridad”, sostiene.

De acuerdo a Calderón, de Siemens, Chile no cuenta hoy en día con una normativa oficial para proteger al sector eléctrico contra ciberataques. “Esto es un problema no solo de nuestro país, sino de toda Latinoamérica, siendo Colombia el único país que ha adoptado ciertos requerimientos del mencionado estándar NERC CIP. Al no tener un lineamiento claro de cómo hacer nuestras subestaciones eléctricas seguras, somos un blanco fácil para las organizaciones que buscan beneficios con este tipo de actos”, informa.

En este sentido, para Arnau Vásquez, Account Manager - South Cone de Belden, no hay que esperar que ocurra un caso crítico para abordar en pleno el tema. “Pensemos que la gran mayoría de los sistemas de protección y control del sector eléctrico están conectados a Internet, redes corporativas, SCADAS locales o bien a estaciones de ingeniería. Esta situación hace que cualquiera de estos sistemas sea potencialmente inseguro”, advierte. “Convengamos que la implementación de ciberseguridad no contempla únicamente la prevención de ataques maliciosos, sino que también considera un alto porcentaje de amenazas producidas por errores humanos o bien fallos en equipos o software”.

En la actualidad existe un conjunto de normas y buenas prácticas para el correcto diseño de la infraestructura crítica. Por su parte, Valenzuela, de CIGRE Chile, destaca que desde el punto de vista de solución técnica, existen protocolos y equipamientos que permiten mitigar riesgos y disminuir las vulnerabilidades de las redes y plataformas de comunicaciones, basados en estándares normativos internacionales, como por ejemplo la serie de normas IEC 62351 que se ha implementado con buenos resultados en distintos protocolos de comunicación, como IEC 60870-5-104 e IEC 61850, alcanzado distintos niveles o capas de la infraestructura de comunicaciones. “Estos estándares se siguen desarrollando y probando en la actualidad conforme evolucionan las tecnologías y los tipos de ciberataques. En general, las metodologías de protección están basadas en mecanismos de autentificación y algoritmos sofisticados de cifrado o encriptación que intentan evitar el acceso a la información y el reconocimiento de la información transmitida vía ocultamiento, respectivamente. Otras prácticas de seguridad de la información, en las redes de comunicación y control asociadas a sistemas eléctricos, se basan en un monitoreo continuo y reconocimiento del tráfico normal de información mediante correlación de indicadores (IDS), para efectos de detectar anormalidades y reconocer eventos de intrusión o posibles ciberataques, de manera de tomar acciones rápidas para evitar consecuencias indeseadas”, continúa.

No obstante lo anterior, y considerando lo sofisticados que están resultando estos sistemas de protección, el foco de los ciberataques no se centra actualmente en superar las barreras de estos nuevos estándares, sino más bien en aprovechar las debilidades y vulnerabilidades que presentan las organizaciones producto de la falta de buenas prácticas y la falta de una cultura orientada a la seguridad de la información. “A través de Ingeniería Social (manipulación o engaño de usuarios), los terceros logran tener acceso y control para efectuar los denominados ciberataques”, agrega.

Para finalizar, Valenzuela destaca que este tipo de ataques requiere de conocimiento de las instalaciones eléctricas y sistemas asociados para poder lograr efectos como los descritos, por lo que estos ataques estarían siendo planificados con un mayor nivel de conocimiento de los sistemas eléctricos. “Conforme a esto, en redes eléctricas menos enmalladas, estos ciberataques podrían tener importantes y mayores consecuencias que las producidas en Ucrania, lo que debiera ser una alerta a nivel nacional para mejorar las políticas de seguridad de la información en el sector, teniendo presente una mirada estratégica para abordar y mitigar estos riesgos, haciéndose cargo de estas amenazas”, concluye.