MÉXICO, D.F., (apro).- No sólo ocurre en Estados Unidos y Canadá, en México el ramo energético también es vulnerable a los ataques informáticos y el espionaje económico e industrial. El riesgo crece con la entrada masiva de empresas privadas atraídas por la reforma peñanietista, sin embargo, el país carece de una política nacional en ciberseguridad, lo que pone en peligro a Petróleos Mexicanos (Pemex), la Comisión Federal de Electricidad (CFE) y los operadores particulares. Andrés Velásquez, presidente fundador de Mattica –el primer laboratorio ciberforense de América Latina–, asegura que el problema ofrece dos vertientes: una intromisión no autorizada o espionaje informático. En el primer caso “el riesgo puede ser menor por la manera en que opera el sector y el tamaño de las redes”. Cuando se vulnera la web, agrega, la interconexión hacia los sistemas internos es nula. En entrevista con Apro, Velásquez destaca que la posibilidad de un ataque está relacionada con la maduración de la inteconectividad. Y en Estados Unidos, apunta, “hay más interconectividad y eso potencia los ataques”. En la segunda instancia el perjuicio puede ser mayor “cuando hablamos de aquellas situaciones en las que de alguna forma se obtiene acceso a información privilegiada dentro de la organización, que no es pública, que se encuentra en la red privada, protegida con ciertos elementos de seguridad. Sin embargo, por la forma como están aisladas las redes de CFE y PEMEX, no hay tanto riesgo. Pemex no usa una sola red. Podría espiarse una subsidiaria, pero no todo el grupo”, puntualiza el especialista. En los últimos años, sostiene, empresas y redes en Estados Unidos y Canadá han sufrido intromisiones informáticas, atribuidas especialmente a hackers chinos en busca de información sensible sobre sus actividades eléctricas y petroleras. En México, siete de cada 10 ataques informáticos padecidos por el gobierno federal se dirigen a Pemex y a la Comisión Federal de Electricidad, de acuerdo con empresas de seguridad cibernética. Las redes petrolera y eléctrica caben en la definición de infraestructura crítica, cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Según el ‘Reporte de seguridad cibernética e infraestructura crítica de las Américas 2015’, elaborado por la Organización de Estados Americanos (OEA) y la consultora estadunidense Trend Micro, no sólo se incrementó el número de ataques computacionales, sino que cada vez se vuelven más complejos y hay una relativa preparación para enfrentarlos. De acuerdo con los encuestados, 53% advirtió un aumento en las embestidas a sus sistemas de cómputo en 2014 y 76% aseguró que aquellas son cada vez más sofisticadas. “Los datos de Brasil, Chile y México revelan que la mayoría de las vulnerabilidades se relaciona con las configuraciones erróneas de los sistemas, seguidas por versiones obsoletas y problemas con las aplicaciones”, cita el reporte. A la pregunta sobre qué tanta organización hay para responder a un incidente cibernético, México se ubicó en el grupo mayoritario de países que contestó “algo preparado”. “Sólo Chile y República Dominicana afirmaron su preparación frente a esa amenaza, lo que sugiere que el esfuerzo por mejorar su preparación podría ser más complicado de lo que parece”, resalta la OEA, para quien los países que no están preparados o están algo preparados deben considerar de inmediato mejorar sus capacidades de detección, protección y respuesta. El informe, basado en una encuesta realizada en enero último entre los jefes de seguridad de las principales infraestructuras críticas de miembros de la OEA y organizaciones privadas que dan el servicio en sus respectivos países, resalta que México y otras 12 naciones reconocieron que sus instituciones gubernamentales experimentaron intentos de manipulación de su equipo a través de una red o sistema de control. A la consulta sobre si se ha detectado algún ataque dirigido específicamente a la infraestructura, 43% aseveró que sí y 31% señaló que no estaba seguro, otro indicio de las deficiencias en la preparación. El documento sostiene que el sector energético fue el segundo más atacado, luego de las instituciones del gobierno. Freno a intromisiones El pasado 22 de junio, el diario ‘El Universal’ dio a conocer que el rubro energético invertirá 560 millones de dólares para prevenir esas intromisiones y actualizar sus equipos y redes. Dicho monto se suma a lo que Petróleos Mexicanos erogó en cuestiones de seguridad. El 8 de septiembre de 2005 la petrolera firmó el contrato 4101950010 con la estadunidense Thales-Raytheon Systems, LLC, para la adquisición e instalación de cinco radares y dos centros de comando y control, conectados a la red de comunicación digital de Pemex y su filial Exploración y Producción (PEP), por un monto de 390 millones 068 mil 200 pesos, dentro del llamado Proyecto Sentinel. El equipo (modelo AN/MPQ64 Sentinel instalado en posiciones no reveladas en plataformas petroleras del Golfo de México) opera con el sistema de comando y control Sentry, que provee de vigilancia y defensa diversas aéreas en línea. Los radares vigilan las plataformas petroleras e instalaciones de la CFE, de las cuales transfieren los datos a dos centros de inteligencia situados en Veracruz y el Distrito Federal. El 24 de mayo de 2011, PEP rubricó el contrato 4104918001 por 15 millones 504 mil 307 pesos, con la misma empresa, para la rehabilitación con suministro de partes de repuesto y equipamiento, con el fin de mantener la configuración y actualización de ese sistema de vigilancia. Sin embargo, uno de los desafíos es proteger el programa que controla los dispositivos de intrusiones. En el caso de CFE, el reporte de septiembre de 2014 denominado ‘Marco regulatorio de la Red Eléctrica Inteligente (REI) en México para la Comisión Reguladora de Energía’, elaborado por la consultora ESTA International, LLC, bajo patrocinio de la Agencia de Comercio y Desarrollo de EU, refiere que esa compañía aborda la seguridad informática para sus sistemas de automatización. Como miembro de la Red Internacional de Acción de la Red Eléctrica Inteligente, la CFE analiza la aplicación de tecnología para seguridad cibernética, a desarrollar inicialmente entre 2018 y 2022. Pero esos tiempos podrían adelantarse, mientras avanza la ejecución de la reforma energética de 2013 que abre el mercado eléctrico a la inversión privada. En la medida en que la CFE y los operadores privados construyen la red eléctrica inteligente, la interoperabilidad y la interconectividad aumentan, pero también el riesgo de intervenciones informáticas. Uno de los flancos débiles es la utilización de sistemas de control de supervisión y adquisición de datos (SCADA, por sus siglas en inglés) extendida en la industria eléctrica. Blancos masivos SCADA ha sido objeto de ataques cibernéticos en varios países. En mayo de 2009, el presidente estadunidense Barack Obama reconoció que piratas cibernéticos habían puesto a prueba la red eléctrica, pero no reveló –como lo relata el libro ‘Ciberguerr@’, del periodista Shane Harris– que en realidad dos intrusiones cibernéticas ocasionaron apagones en 2003 y 2008. El primero, atribuido a hackers chinos por el gobierno estadunidense, afectó a unos 50 millones de personas en un área de 93 mil millas cuadradas a lo largo de Michigan, Ohio, Nueva York y zonas de Canadá. La campaña de ciberintrusiones alcanzó un pico en 2012, cuando en marzo los invasores irrumpieron en las redes de 20 corporaciones dueñas y operadoras de ductos de gas. Aunque no ocasionaron daños considerables, el Departamento de Seguridad Interior (DHS, por sus siglas en inglés) emitió una alerta a la industria energética para que protegiera sus redes. Dentro de los sectores que más preocupan están las empresas de petróleo y gas natural, propietarias y operadoras de refinerías, y gasoductos controlados por SCADA. La empresa de ciberseguridad McAffee indicó que en 2009, petroleras estadunidenses perdieron datos sobre depósitos de crudo descubiertos en todo el mundo, debido a una ola de ciberintrusiones. En 2012, DHS reportó 198 ataques contra infraestructura crítica, un aumento de 52% en comparación con el año previo, en tanto que 40% se enfocó en empresas energéticas. Un reporte de 2013 de la consultora Critical Intelligence concluyó que desde 2011 hackers chinos habían infiltrado las redes de corporaciones energéticas estadunidenses para robar información sobre la fractura hidráulica y la extracción de gas. Ese mismo año, el secretario de Energía de Estados Unidos, Ernest Moniz, dijo que la mayoría de ciberataques en el país apuntaron hacia la infraestructura energética, incluidas las empresas que poseen y operan la red eléctrica, así como la producción y distribución de petróleo. En febrero de 2013 Obama rubricó una orden ejecutiva con la que su país adoptó la fortificación de la seguridad y la resiliencia de la infraestructura crítica de Estados Unidos. Se instruyó a las agencias federales a intercambiar más información sobre amenazas cibernéticas con las empresas, se autorizó al Departamento de Comercio y al Instituto Nacional de Estándares y Tecnología a modelar un marco de estándares de seguridad para que las corporaciones lo adopten voluntariamente, y se ordenó al DHS a elaborar una lista de infraestructura crítica, en la que un incidente informático podría derivar en efectos catastróficos regionales o nacionales. En enero de ese mismo año, DHS, el Buró Federal de Investigación y la Administración de Seguridad en el Transporte lanzaron una campaña para informar a las compañías sobre la situación de las amenazas y las medidas de respuesta. Paralelamente, las empresas energéticas empezaron a capacitar a sus empleados en ciberdefensa. SCADA también era empleado por la planta nuclear de Natanz (Irán), atacada entre 2008 y 2010 por Estados Unidos con el programa Stuxnet, un complejo virus de código abierto diseñado en conjunto con Israel. En junio de 2010, una empresa de ciberseguridad de Bielorrusia descubrió el malware, que infiltró redes informáticas en todo el mundo y poco a poco desapareció de las mismas. En su informe, la OEA menciona el mayor conocimiento que los atacantes tienen de SCADA, que “ha crecido mes con mes”, y prevé que esa tendencia aumente “considerablemente” en 2015 y 2016. “Es probable que se revele más funcionalidad en el malware y los grupos adicionales que atacan a SCADA”, cita el documento. Para Velásquez, es importante la cooperación entre el gobierno y las empresas, especialmente en los campos que registran un avance rápido, como el energético. “No estamos listos para reaccionar, no se tiene la precaución necesaria. Hay una llamada de atención al respecto”, sostiene. El experto sugiere campañas de concienciación y la creación de una política nacional de ciberseguridad. “El problema no es de tecnología, sino cómo se usa. Vemos que nos facilita el trabajo, sin atender las implicaciones legales, porque algo puede ser obtenido de forma ilícita. Es necesario un entendimiento de hacia dónde se mueve ese campo. Muchas veces se desestima, porque se cree que el acceso a internet y el manejo de información son elitistas, cuando la información de cualquier mexicano está en una base de datos”, plantea. El próximo 24 de septiembre México participará en el ejercicio International CyberEx, que consiste en la resolución de varios problemas vinculados a acosos informáticos y que permite el fortalecimiento de las capacidades de respuesta ante incidentes cibernéticos y una mejora de la colaboración y cooperación ante este tipo de incidentes. Organizado por la OEA, el Instituto Nacional de Ciberseguridad de España y el Centro Nacional para la Protección de las Infraestructuras Críticas de ese país, la actividad está diseñada para servir como un entrenamiento que otorgue a los participantes experiencia en el seguimiento de una intrusión y trabajar la reacción ante ciberataques análogos a los reales.