Como mencionamos, es complejo determinar qué tan resiliente es el sector eléctrico chileno. Solamente una vez enfrentado a un estrés significativo se puede comprobar no solo si los resguardos existentes funcionaron adecuadamente, sino que también si el incidente provocó un daño o interrupción de servicio grave o difícil de reparar, o si había mecanismos que se pudieran hacer cargo de la contingencia en un lapso adecuado. En el caso del sector eléctrico chileno, si bien ha habido ataques dirigidos a empresas, hasta el momento ninguno de ellos ha afectado la operación del Sistema Interconectado (SI), de forma que puede ser difícil determinar la resiliencia del mismo.

El tema es relevante, ya que a nivel internacional siempre se ha considerado al sector eléctrico como parte de la infraestructura básica o crítica de un país, y así, además, está recogido en el proyecto de ley actualmente en trámite. Esto, porque si se interrumpe el suministro eléctrico acarrea también la interrupción de otros servicios que utilizan el sistema, como sucedió, por ejemplo, después del terremoto de 2010 con las comunicaciones.

Un eventual ataque puede dirigirse contra una empresa, intentando obtener o poner en peligro sus datos, lo que podría tener efectos comerciales y financieros para esta, pero no necesariamente impactar la operación del sistema eléctrico ni ser objeto de sanciones; o bien tratarse de un ataque cuyo objetivo sea afectar la operación del SI, como ha sucedido a nivel internacional con consecuencias muy graves. Cabe tener presente que no existe una exigencia normativa que establezca estándares de ciberseguridad a las empresas que operan en el sector eléctrico. Sin embargo, sí se les exige una cierta calidad de servicio, y su incumplimiento puede ser objeto de severas multas.

Por este motivo, una eventual interrupción en la operación del Sistema Interconectado o de parte de él, e incluso un ataque que causara dificultades en la facturación -solo por dar un ejemplo- podría tener consecuencias gravosas para los afectados, no solo desde el punto de vista reputacional, sino que también del financiero. Esto, sin considerar los efectos que, por ejemplo, un ataque con ransomware podría ocasionar, los que no serían diferentes, pero no por eso menos importantes, que los de una empresa de otro sector en la misma situación.

Puede afirmarse, sin ninguna duda, que en este sentido existen compañías que están muchísimo más aventajadas que otras, lo que abre un espacio en el que se debe trabajar. Existen muchas maneras de acceder al SI, ya sea a través de las redes propias de las empresas o de algunos de sus muchos componentes, los que, a su vez, dependiendo de sus características y antigüedad, podrían no estar a la altura de los estándares de ciberseguridad actuales y podrían tener que ser reemplazados.

Hay, además, una enorme disparidad de medios entre los participantes del Sistema Interconectado y, dado que un sistema es tan fuerte como el más débil de sus componentes, ello implica que debe realizarse un esfuerzo coordinado para lograr un estándar de ciberseguridad. A lo anterior se suma la especial vulnerabilidad que proviene en la interconexión de todo el sistema, lo que -en el extremo- podría dar origen a un efecto a gran escala. Por otro lado, los sistemas y activos actualmente en uso cubren un enorme espectro, tanto en términos de antigüedad como de sofisticación, razón por la cual el eventual número de posibles ocasiones para llevar a cabo un ataque puede ser extremadamente alto. Sin embargo, hay que considerar que el sistema está pensado con redundancias; así como botar un poste no suspende el servicio más que en una zona acotada, el ataque a un sistema correctamente diseñado y protegido no debiera causar mayores interrupciones.

Es importante que los participantes del SI cuenten con un Plan Director de Seguridad que defina, y sobre todo priorice, los riesgos que son o no aceptables para cada organización, además de un plan para gestionarlos.

En razón de lo anterior, el Coordinador Eléctrico Nacional, ente que coordina a los participantes del SI y se preocupa de la seguridad y eficiencia del mismo, tiene un rol determinante en que las políticas internas de cada uno de los integrantes del mismo sean no solo exhaustivas, sino que consistentes entre sí y con las medidas y estándares que en su momento serán definidos por el Ministerio de Interior. Con este objetivo, hace menos de un año se entregó a la autoridad fiscalizadora, la Superintendencia de Electricidad y Combustibles, un Plan de Ciberseguridad, que incluye tanto medidas de corto plazo, como buenas prácticas y definición de estándares.

La industria se encuentra en este momento migrando o intentando migrar hacia sistemas más automatizados con redes inteligentes, lo que debe ir aparejado de un esfuerzo igualmente importante en ciberseguridad e implica no solo la incorporación de nuevas tecnologías, sino que también de nuevos actores. Todo esto, además, debe considerarse en el contexto del esfuerzo nacional, tanto desde el sector público como el privado, para implementar la Política Nacional de Ciberseguridad.

Es por ello que debe comenzarse desde ya a trabajar en diagnósticos, desafíos y planes, no solo a nivel de cada una de las empresas, sino que considerando el SI como un todo. Lo anterior tomando en cuenta, además, las interconexiones internacionales actualmente en estudio, que agregarán un nuevo desafío en lo concerniente a este tema.

En lo inmediato, y pese a la tentación de relevar el componente tecnológico como aquel en que debe invertirse a la brevedad, hay que hacer hincapié en que, en general, los riesgos que son más difíciles de gestionar provienen del factor humano, razón por la cual debe, también, hacerse énfasis en ese aspecto.

En definitiva, se han tomado y siguen tomando medidas para que el sector eléctrico esté lo más resguardado posible de eventuales ciberataques. Esperamos que nunca se dé la ocasión de probar en la práctica cuán resiliente es el sector, pero también existe confianza en que se está avanzando en la dirección correcta.