En la República Dominicana, como en muchas otras partes del mundo, las empresas de generación de electricidad enfrentan riesgos significativos relacionados con la ciberseguridad tanto en sus Tecnologías de la Información (TI) como en las Tecnologías Operativas (TO).
“Estos riesgos no sólo amenazan la estabilidad operativa de las empresas, sino también la seguridad nacional debido a la importancia crítica de la infraestructura eléctrica”, advirtió Elsa Encarnación, Directora de Ciberseguridad y Ciberdefensa del Ministerio de Defensa de República Dominicana.
¿A qué delitos informáticos están expuestos los generadores que venden electricidad? La especialista amplió que los delitos informáticos pueden tipificarse de la siguiente manera:
Los delitos contra la confidencialidad, integridad y disponibilidad de datos en las empresas de generación de electricidad en la República Dominicana comprometen tanto las Tecnologías de la Información (TI) como las Tecnologías Operativas(TO). Estos delitos abarcan acciones como el acceso ilegal a sistemas críticos y la interceptación de datos, afectando tanto a la infraestructura de TI, que incluye bases de datos y redes de comunicación, como a la de TO, que involucra sistemas de control y automatización. La protección de estos sistemas es fundamental para evitar manipulaciones no autorizadas y garantizar que los datos y recursos necesarios estén disponibles para operaciones legítimas, preservando así la seguridad y eficiencia de las operaciones críticas en el sector energético.
Los ataques a la infraestructura de red en las empresas de generación de electricidad representan una amenaza significativa debido a su potencial para manipular operaciones y robar datos sensibles. En el ámbito de TI, estas incursiones pueden comprometer redes empresariales, sistemas de gestión de datos y otras plataformas digitales esenciales para la operación diaria y la toma de decisiones estratégicas. Por el lado de TO, los ataques se centran en sistemas de control industrial y automatización que son críticos para el funcionamiento seguro y eficiente de las instalaciones de generación de energía. Estos ataques pueden tener como objetivo alterar el funcionamiento de los procesos operativos, lo que podría resultar en interrupciones del servicio o incluso desastres de mayor escala. Es por esto que, la seguridad integrada que proteja tanto TIcomo TOes crucial para mitigar estos riesgos, asegurando la continuidad y la fiabilidad de las operaciones energéticas.
Los sabotajes en forma de ataques de Denegación de Servicio (DoS) y ataques Distribuidos de Denegación de Servicio (DDoS) constituyen una amenaza severa para las empresas de generación de electricidad, afectando tanto las tecnologías de información (TI) como las operativas (TO). En el nivel de TI, estos ataques buscan sobrecargar los servidores y las redes con un volumen abrumador de tráfico malintencionado, lo que impide que los sistemas gestionen las operaciones normales y, por ende, interrumpe la prestación de servicios críticos. A nivel de TO, el sabotaje puede tomar formas más directas, como la alteración maliciosa de la configuración de los sistemas de control industrial que regulan los procesos físicos de generación y distribución de energía. Estas interferencias no solo pueden paralizar la producción de energía, sino también poner en riesgo la seguridad de las instalaciones y la integridad física del entorno. En ese sentido, para prevenir tales ataques se requiere de una estrategia de seguridad cibernética robusta que combine protección digital avanzada con controles físicos estrictos, asegurando la resiliencia de los sistemas críticos frente a intentos de sabotaje.
Phishing y otras estafas de ingeniería social, dirigidas a colaboradores para obtener acceso a redes corporativas, estos métodos explotan la confianza y la falta de conocimiento, induciéndoles a revelar información sensible o realizar acciones que comprometan la seguridad interna. Por lo tanto, para contrarrestar estos ataques, es imprescindible implementar soluciones de ciberseguridad robustas, como sistemas anti-phishing, y desarrollar programas exhaustivos de capacitación que refuercen la concienciación sobre los riesgos y mejoren las capacidades de detección y respuesta de los empleados ante intentos de manipulación.
Las intrusiones en los Sistemas de Control Industrial (SCI) representan una de las amenazas más graves para las empresas de generación de electricidad, debido a su potencial para comprometer operaciones críticas y la seguridad general de las instalaciones. Estos sistemas, que incluyen SCADA, PLCs y otros dispositivos de automatización, son esenciales para el monitoreo y control de procesos industriales complejos y su interrupción puede tener consecuencias catastróficas. Cuando los ciberdelincuentes logran infiltrarse en estos sistemas, pueden manipular operaciones desde el ajuste de parámetros de producción hasta el control de dispositivos operativos, lo que puede llevar a fallos de maquinaria, paradas no programadas, e incluso desastres ambientales. La alteración de los SCI también puede facilitar el robo de datos operativos y comerciales críticos.
La filtración de datos sensibles en la Dark Web relacionados con la infraestructura de generación eléctrica presenta riesgos significativos de seguridad y operacionales. Estos datos pueden incluir desde configuraciones de sistemas y planos hasta información de acceso a sistemas críticos y detalles personales y financieros. La disponibilidad de esta información facilita el espionaje industrial y el sabotaje, comprometiendo la integridad y la seguridad de las operaciones. Por lo tanto, para mitigar estos riesgos, es esencial que las empresas implementen medidas robustas de ciberseguridad, mejoren sus protocolos de detección de brechas de datos y fortalezcan sus políticas de manejo y protección de información confidencial.
En la actualidad, los riesgos tecnológicos asociados a la infraestructura de generación eléctrica, como las filtraciones de datos sensibles y los ataques a sistemas de control industrial, están siendo abordados a través de normativas internacionales y esfuerzos regulatorios locales.
Citando un ejemplo, la Directora de Ciberseguridad y Ciberdefensa del Centro de Comando, Control, Comunicaciones, Computadoras, Ciberseguridad e Inteligencia (C5i) de las Fuerzas Armadas, señaló que en América del Norte, el cumplimiento con el NERC CIP (Protección de Infraestructura Crítica de la Red Eléctrica) ayuda a proteger las redes eléctricas contra posibles amenazas de seguridad cibernética. Paralelamente, el estándar IEC 62443 indicó que proporciona un marco para asegurar los sistemas de control industrial utilizados en diversas formas de infraestructura crítica, incluyendo la energética.
En la República Dominicana, la Superintendencia de Electricidad (SIE) está trabajando activamente en el desarrollo de un reglamento de ciberseguridad específico para el sector energético. Al respecto, Elsa Encarnación, observó:
“Esta iniciativa busca adaptar y reforzar las mejores prácticas internacionales de seguridad para proteger la infraestructura vital del país contra ataques informáticos y otras vulnerabilidades cibernéticas”.
Recomendaciones para reforzar la seguridad
Para mejorar la postura de ciberseguridad, la Directora de Ciberseguridad y Ciberdefensa del Centro de Comando, Control, Comunicaciones, Computadoras, Ciberseguridad e Inteligencia (C5i) de las Fuerzas Armadas, recomienda sin limitarse a:
Implementar medidas de seguridad robustas:
TI: Configurar firewalls de última generación y sistemas de prevención de intrusiones que sean capaces de identificar y bloquear amenazas avanzadas.
TO: Dado que los sistemas de TOsuelen ser críticos y no se actualizan con la misma frecuencia que los sistemas TI, es crucial implementar soluciones de seguridad específicas para TO, como gateways de seguridad industriales y firewalls especializados que pueden operar en entornos de producción.
Capacitación continua para colaboradores:
Desarrollar un programa de concientización en seguridad que incluya simulacros de phishing y formación sobre las últimas tácticas utilizadas por los ciberdelincuentes. Este programa debe ser específico para los riesgos asociados tanto en TIcomo en TO, reconociendo que las tácticas y remedios pueden variar significativamente entre estos entornos.
Evaluaciones de seguridad regulares:
TI: Implementar un calendario de auditorías y pruebas de penetración, cumpliendo con las regulaciones como las mencionadas del Centro Nacional de Ciberseguridad (CNCS) de la República Dominicana, para detectar proactivamente las vulnerabilidades en aplicaciones y redes.
TO: En el ámbito de TO, adaptar las pruebas de penetración para considerar las particularidades de los sistemas de control industrial y automatización, asegurando que estas pruebas no interrumpan los procesos industriales. Además, considerar realizar evaluaciones de seguridad física específicas para las instalaciones de TO.
Seguridad física y lógica:
TI: Asegurar los datos y los sistemas mediante autenticación multifactorial, cifrado y gestión segura de identidades y accesos. En ese mismo tenor, implementar políticas de seguridad que limiten el acceso a información crítica solamente a usuarios autorizados.
TO: Reforzar la seguridad física de las instalaciones de TO, como plantas de producción o centros de datos, utilizando sistemas de control de acceso, videovigilancia y monitoreo ambiental. Ya que, para proteger contra el acceso físico no autorizado que podría permitir manipulaciones físicas o lógicas, esto es sumamente esencial.
Planes de respuesta ante incidentes:
Desarrollar y mantener planes de respuesta ante incidentes que incluyan procedimientos específicos para manejar incidentes en sistemas TIy TO. Esto debe incluir la colaboración con autoridades locales y expertos en ciberseguridad para una gestión efectiva de crisis. En ese mismo orden de ideas, se deben realizar simulacros de respuesta a incidentes regularmente para evaluar la preparación tanto del personal TIcomo de TO
Implementar Políticas de Ciberseguridad para TIy TO
Para fortalecer la ciberseguridad en entornos de Tecnologías de la Información (TI) y Tecnologías Operativass (TO), es esencial implementar políticas de ciberseguridad integradas. Esto incluye realizar evaluaciones de riesgo conjuntas, desarrollar directrices que se adapten tanto a las necesidades universales como a las específicas de cada dominio, y asegurar el cumplimiento a través de capacitaciones continuas y auditorías regulares. Estas políticas deben abordar desde la seguridad en la nube y la protección de datos en TI, hasta la gestión de sistemas de control industrial y la segregación de redes en TO, garantizando así una defensa robusta y coherente a lo largo de toda la organización.
Protocolos a seguir en caso de un ataque informático en República Dominicana
De acuerdo con Elsa Encarnación, los pasos a seguir incluyen:
• Para gestionar incidentes de manera efectiva, es crucial activar el plan de respuesta a incidentes, empleando los playbooks correspondientes (conjuntos detallados de procedimientos) diseñados específicamente para cada tipo de incidente clasificado. Estos procedimientos deben estar alineados con los estándares internacionales de ciberseguridad reconocidos en el sector energético, como el NERC CIP en América del Norte y el estándar IEC 62443, garantizando así una respuesta coherente y eficaz acorde a las mejores prácticas globales en el sector industrial, dentro del cual está el sector energético.
• Notificar a todas las partes afectadas por el ciberataque, siguiendo las directrices establecidas en el plan de comunicación ante crisis. Esta notificación debe ser oportuna y precisa para gestionar eficazmente la situación y minimizar el impacto del incidente.
• Notificar al Centro Nacional de Ciberseguridad (CNCS) sobre el ciberataque tal como lo establece la medida que está contenida en el decreto 685-22, emitido por el Poder Ejecutivo (esto es en el caso de República Dominicana y está sujeto a variación dependiendo de la legislación de cada país).
La entrada Guía de ciberseguridad en el sector energético: cómo proteger los datos y evitar ataques se publicó primero en Energía Estratégica.