La Política Nacional de Ciberseguridad publicada el año pasado, nos entrega varios lineamientos en este campo, como: gestión de riesgos, equipos de respuesta a incidentes (CSIRT) sectoriales, cooperación y generación de una cultura de Ciberseguridad, y desarrollo de un polo industrial en este ámbito. Basado en estas directrices y en la clasificación que hace acerca de los sectores que componen las Infraestructuras Críticas de la Información (ICI), donde uno de ellos es el de la Energía, qué duda cabe comenzar a ver la Ciberseguridad aplicada al sector eléctrico como un pilar clave en materia de planificación, diseño y operación, que hoy en día no puede obviarse.

Se observa con mucha atención lo que viene ocurriendo hace un tiempo a nivel mundial, acerca de las potenciales amenazas y ciberataques a los sistemas eléctricos. Un caso emblemático y de estudio que deberíamos analizar en Chile son los ciberataques de hace un par de años a los sistemas de la red eléctrica en la zona oeste de Ucrania, operada por empresas privadas de transmisión y distribución eléctrica.

Durante el primer ciberataque (diciembre de 2015), cayeron varias subestaciones eléctricas dejando cerca de 700.000 residentes sin electricidad por cerca de siete horas. Expertos indican que en este incidente se utilizó una variante del malware “KillDisk”, la que incluía funcionalidades adicionales que permitían al troyano de puerta trasera “BlackEnergy” no solo borrar archivos del sistema para evitar cualquier posibilidad de reinicio, sino que también portaba códigos específicos para sabotear sistemas industriales.

“Industroyer”, el primer malware modular y altamente personalizable que podría adaptarse a cualquier infraestructura crítica como suministro de luz, agua y gas, es el responsable de que Ucrania se quedara a oscuras nuevamente en diciembre de 2016. Una especie de ciber-arma que no se veía desde Stuxnet, Industroyer es una amenaza particularmente peligrosa, dado que es capaz de controlar los interruptores de una subestación eléctrica directamente, utilizando protocolos de comunicación industrial implementados mundialmente (estándares IEC 60870-5-101, IEC 60870-5-104, IEC 61850, y OLE for Process Control Data Access o OPC DA).

Entonces, debemos reflexionar sobre las motivaciones que originan la causaraíz de cualquier tipo de ciberataques a infraestructuras críticas. Después de haber estudiado varios casos y juicios de especialistas, se pueden distinguir, al menos, tres tipos de causa-raíz que explican una buena parte de los ciberataques industriales:

• Dinero (por ejemplo, fraude electrónico, ciberespionaje industrial, clonación de tarjetas, entre otras actividades manejadas por el cibercrimen organizado a nivel mundial).

• Poder (sabotaje informático, ciberespionaje gubernamental, ciber-armas usadas contra Estados). Atribuido a Estados que desean ejercer control y poder sobre otros.

• Subversión (como hacktivismo y ciberterrorismo). Por lo general, se trata de grupos que buscan desestabilizar gobiernos o el sistema económico en pro de sus ideales.


En los próximos años, nuestro país deberá estar preparado a nivel tecnológico y legal, considerando muy bien que los ataques a nuestras infraestructuras críticas vendrán por estos tres frentes. Asimismo, la importancia de entender hoy los sistemas ciber-físicos como el resultado de dotar a los componentes/objetos físicos de capacidades de computación y de comunicación para convertirlos en objetos inteligentes que pueden cooperar entre ellos, formando ecosistemas distribuidos y autónomos, permitirá también saber cómo protegerlos y hacia dónde debemos evolucionar de manera segura en campos tan disímiles como Smart Grid, Smart Transport, Smart Mining, etc.

Los sistemas ciber-físicos unen el Control, la Computación y las Comunicaciones en una sola Infraestructura; estas serán las infraestructuras críticas del mañana. Un ejemplo de ello es la recientemente inaugurada línea 6 del Metro de Santiago, cuyos trenes no requieren de un conductor humano para transportar pasajeros.

La ciberseguridad para el sector Energía

Con estos casos ocurridos en Ucrania, tomando en cuenta las motivaciones de los ciberatacantes y la protección de los sistemas ciber-físicos que a futuro se vienen, se hace indispensable tener una mayor visibilidad en los sistemas eléctricos de potencia, siendo importante trabajar en un mapa de riesgos asociados a los activos críticos de la información, para comenzar a abordar la ciberseguridad de manera estratégica al interior de cada empresa, como también de manera sectorial. Esto, ya que un ciberataque exitoso podría ocasionar cortes eléctricos, pérdidas económicas, perjuicio a personas electrodependientes y daño a la reputación de toda la cadena de valor en la energía eléctrica.

Para el sector eléctrico, se debe pensar en trabajar en los siguientes aspectos fundamentales:

• Mapa de Riesgos y Activos Críticos de la infraestructura crítica del sector.

• Creación y Diseño de ISOC (Integrated Security Operations Center) y CSIRT (Computer Security Incident Response Team) para las empresas del rubro y sectorial, para hacer frente a ciberataques o preparación de ciberejercicios para el desarrollo de capacidades.

• Adherencia a normativas internacionales y mejores prácticas como NERC CIP, Sans Institute (Defensa en Profundidad), NIST, IEC 62443, ISO 27001/27002, ISO 22301, entre otros.

• Educación y capacitación de todo el personal de la empresa en temas de seguridad de la información y protección de datos, que permitan mitigar las vulnerabilidades de capa 8 (factor humano).

• Tener un responsable de la ciberseguridad en cada empresa del sector, que fomente una cultura de ciberseguridad y que esté a cargo de una estructura organizacional que conecte la ciberseguridad con el negocio o la misión institucional de manera estratégica.

• Fomentar alianzas de colaboración y cooperación entre empresas del mismo rubro, universidades e institutos, partners de ciberseguridad y gobierno.


Si pensamos a futuro en el despliegue de redes eléctricas inteligentes, debemos pensar la ciberseguridad de estas infraestructuras críticas como un componente que deberá venir embebido en cada uno de los proyectos o licitaciones del rubro, en materia de diseño y presupuesto de los sistemas eléctricos de potencia, ejecución y operación de los sistemas de potencia, gestión de proveedores externos, etc. Es la única manera que la ciberseguridad no sea un freno a la transformación digital del sector, sino que un acelerador que protege la cadena de valor de extremo a extremo y da seguridad a todos los actores del sector eléctrico cuando se trabaja para tener una infraestructura ciber-resiliente.