El reciente ataque de delincuentes cibernéticos a un oleoducto de la firma Colonial Pipelines, en Texas, Estados Unidos, puso sobre la mesa el inminente riesgo de seguridad digital para la infraestructura crítica de las energéticas petroleras, entre ellas Petróleos Mexicanos (Pemex), que aunque cuenta con sistemas preventivos, son insuficientes y son vistos más como un gasto que como una inversión afirmó Arturo Carranza, especialista del sector energético.
Por ejemplo, un informe de la firma de ciberseguridad Kaspersky mostró que los ataques contra los sistemas de control industrial (ICS, por sus siglas en inglés) crecieron durante la segunda mitad de 2020, tras 12 meses de declive.
Consultado por MILENIO, Arturo Carranza dijo que en el caso de Pemex atacado en 2019 y Colonial Pipelines no fueron suficientes los sistemas de protección, “lo que nos lleva a la conclusión de la importancia de invertir de manera constante para fortalecer y modernizar los sistemas de seguridad”.
El especialista asegura que aunque en Pemex se cuenta con sistemas de seguridad, “son vistos como un gasto y no como una inversión que se tiene que crecer año con año”.
Además, comentó, “tiene que haber una estrategia coordinada, porque en el caso de Colonia Pipeline fue evidente que la administración del presidente Biden jugó un papel determinante junto con la empresa para resolver este tema de manera pronta”.
En México “la falta de desarrollo de cultura también tiene impacto en la falta de una legislación de vanguardia”, sentenció Arturo Carranza.
El de Estados Unidos no es el primer ataque cibernético a petroleras, aunque en el pasado parecía algo lejano para México, en 2019 Pemex se vio afectada por un ransomware que afectó las computadoras de administrativos de la compañía, aunque el ataque no vulneró ningún sistema crítico, se expuso la debilidad de la empresa a ante este tipo de ataques.
- Te recomendamos Rusia multa a Apple con más de 12 mdd por abuso en mercado de apps Negocios
El reporte de Kaspersky explicó que el porcentaje de equipos ICS atacados en los últimos seis meses del año pasado fue de 33.4 por ciento, con un aumento de 0.85 puntos porcentuales y destacó que todas las industrias encuestadas mostraron un crecimiento en ciberataques, pero las más relevantes está en los segmentos de ingeniería, automatización de edificios, petróleo y gas.
Amenaza latente
Los investigadores de Kaspersky detectaron que en las industrias de petróleo y gas, así como de automatización de edificios, las amenazas aumentan desde el primer semestre de 2019. Las otras dos industrias analizadas (energía y fabricación de automóviles) también experimentaron un aumento en el porcentaje de equipos ICS en los que se bloquearon objetos maliciosos.
Previo a los ataques al oleoducto en Texas de la semana pasada y al de Pemex en 2019. La empresa nacional de energía ucraniana sufrió uno de estos ataques en 2017 que provocó un apagón en ese país. Otro más también realizado por un ransomware que desconectó algunos equipos y que era la variante de un malware, conocido como WannaCry tuvo afectaciones a escala global.
El caso de WannaCry se caracterizó por un ransomware que afectó a 150 países el 12 de mayo de 2017 y 230 mil equipos de cómputo a escala global, sin embargo, muchas veces los casos de ataques cibernéticos no se dan a conocer por un tema reputacional de las empresas.
Carranza explicó que el tema de la ciberseguridad en el sector energético en todo el mundo es una prioridad y siempre han estado expuestos a ciberataques, pero con este caso se coloca nuevamente en la vitrina de la opinión pública la discusión sobre la relevancia de la seguridad en los sistemas energéticos.
Añadió que en estas situaciones es necesaria una participación coordinada del gobierno con las empresas y en el caso de Pemex, no existió una coordinación ni un buen manejo de la crisis. Comentó que es necesario estar preparado para comunicar y en el caso de Colonia Pipeline fue muy efectivo que se haya fijado una fecha de recuperación.
En su momento la titular de la Secretaría de Energía (Sener) negó que se fuera a pagar el rescate solicitado por los cibercriminales y pese al riesgo que corre la empresa de energía, y otros ataques a registrados como a la Secretaría de Economía (SE) y el sistema de pagos electrónicos interbancarios (SPEI), todavía se busca que la ciberseguridad se incluya en la Constitución como tema de seguridad nacional.
Sin desabasto en México
El ataque al oleoducto provocó escasez de combustible en algunas ciudades de EU y elevó los precios de combustibles. De acuerdo con los expertos, esto no tuvo un efecto en México.
Carranza destacó que “en el contexto de lo que sucedió con Colonial Pipeline hay que entender que el suministro hacia abajo no se vio interrumpido, se vio afectado hacia los estados del norte de Estados Unidos y ahí sí tuvieron problemas de abasto y problemas de aumentos”, dijo el especialista. _