En los últimos años, la ciberseguridad se ha convertido en una preocupación fundamental para las infraestructuras críticas de Latinoamérica y, en la gran mayoría de los casos, se ha volcado a inversiones tanto en la reorganización de sus equipos de ciberseguridad industrial como en la adquisición de nuevas tecnologías.
Estas infraestructuras, que como sabemos abarcan sectores como la energía, agua, transporte, telecomunicaciones, alimentación y salud, entre otros, son vitales para la estabilidad económica, social y política de los países de la región; sobre todo, ya que, además de su importante rol por el cual se han definido como críticas, muchas de ellas se desarrollan y evolucionan a partir de la imposibilidad económica de acceder a determinados productos de grandes fabricantes, permitiendo incluso que pequeñas y medianas empresas aparezcan en sus ecosistemas como proveedores importantes.
A medida que la digitalización y la interconexión de sistemas industriales avanzan en el mundo, las organizaciones industriales alrededor de las infraestructuras críticas y de los servicios esenciales de Latinoamérica intentan seguir el ritmo de cambio, pero teniendo que atravesar dificultades propias del escenario económico de la región. Territorio donde, por ejemplo, la conectividad no es tan buena, donde los costos de los servicios en la nube no son tan accesibles y donde las inversiones en ciberseguridad han crecido, pero tampoco parecen alcanzar para satisfacer las necesidades del sector considerando el crecimiento de las amenazas cibernéticas, que lo empiezan a tener como objetivos claros.
En la gran mayoría de los casos, las infraestructuras críticas en Latinoamérica cuentan con equipos y sistemas heredados (también conocidos como legacy) en sus funciones core de la operación, equipos y sistemas que tienen décadas de antigüedad y que no fueron diseñados para enfrentar amenazas modernas. Esto implica que no solo el problema está en lo complejo de implementar actualizaciones o parches por la distribución de los equipos o por las cortas ventanas de mantenimiento, sino también en la inexistencia de los mismos por ser equipos fuera de soporte hace muchos años.
Ventaja
Latinoamérica cuenta con la ventaja de no estar en zona de conflictos bélicos a pesar de los crecientes problemas políticos que atraviesan sus países (tanto internamente como entre sí por diferencias ideológicas). Por tanto, no hay una real preocupación en torno a potenciales ataques directos a las infraestructuras críticas, como el caso de Fuxnet; aunque, sin duda, siempre es un tema considerado en los análisis de riesgos de las organizaciones dado que un ataque exitoso podría paralizar servicios esenciales y generar consecuencias catastróficas, como ya todos sabemos.
Como muestra de ello podemos ver, a nivel de legislación, cómo ha ido cambiando en los últimos cinco años el mapa de normas, leyes y reglamentaciones en los diferentes países de la región que se han ido ayornando en cuanto a las definiciones y a las necesidades de protección. Como ejemplo de esto último podemos citar el caso de Chile, que el último 8 de abril publicó la Ley Marco de Ciberseguridad, donde habla sobre la creación de la ANCI (Agencia Nacional de Ciberseguridad) y sobre que se deberá iniciar el trabajo en lo que respecta a esta área en los operadores de servicios esenciales e infraestructuras críticas del país.
Amenazas de ciberseguridad en infraestructuras críticas
A nivel general, las amenazas que enfrenta Latinoamérica para este sector no son diferentes a las del resto del mundo: ataques de ransomware, campañas de phishing y de spear phishing y explotación de vulnerabilidades en servicios expuestos tanto de Tecnologías de Operación como de Internet de las Cosas e incluso en algunos pocos casos de Internet Industrial de las Cosas.
Sin embargo, sí es de destacar que pocos de esos ataques han sido dirigidos o los han tenido como objetivo primario. En la mayoría de los incidentes que se han dado a conocer públicamente, aunque las afectaciones han sido grandes, son muy contados los casos donde la motivación del ataque estuvo relacionada con las propias funciones de las infraestructuras críticas o de los propios servicios esenciales; por lo cual, se ha dado muy en menor medida ataques tipo APT (amenaza persistente avanzada, por sus siglas en inglés).
Talento
En relación a la aparición de grandes talentos y a la formación de profesionales en ciberseguridad industrial en Latinoamérica, es bastante particular, ya que, si bien la región siempre ha destacado por la calidad y cantidad de investigadores (researchers) y profesionales técnicos, las empresas del ámbito de las infraestructuras críticas y de los servicios esenciales parecen tener problemas para contratar y, sobre todo, retener a los especialistas en ciberseguridad industrial.
Por suerte, la oferta de formación, y especialmente la demanda de la misma, se ha ido incrementando con el correr de los años; cosa que podemos también confirmar desde la escuela del Centro de Ciberseguridad Industrial, lo cual es bueno para todos los actores del ecosistema.
El mercado laboral relacionado con la ciberseguridad industrial se encuentra en un momento muy interesante en Latinoamérica debido a que existe una real demanda de profesionales que hoy se están volcando más a trabajar como consultores en grandes empresas o incluso como autónomos por el aumento de la misma por parte de las organizaciones a pesar de no tener una real «presión legal» que las obligue a hacerlo.
Si miramos cuál es el tipo de organizaciones relacionadas con el sector de infraestructuras críticas o servicios esenciales que más ofertas de empleo publican para ocupar estas posiciones, suelen ser las empresas eléctricas y petroleras. Sin embargo, a la mayoría de ellas les cuesta ocupar esas posiciones debido a que:
- No hay un gran volumen de especialistas disponibles y los pocos que hay están ya ocupados, muchos de ellos como consultores.
- No suelen contar con un presupuesto acorde para mantener los salarios de los pocos especialistas disponibles.
- Si cuentan con un presupuesto acorde al salario de los especialistas, no suelen tener uno en consonancia para el área que permita tentar con el proyecto al especialista.
Invertir hoy en ciberseguridad industrial nos dará un mejor futuro a todos
Cerrando este artículo, y como opinión personal, creo que todas o al menos casi todas las organizaciones relacionadas con las infraestructuras críticas o con los servicios esenciales tienen en mente que la ciberseguridad en sus operaciones es sumamente importante. Y si bien muchas asignan presupuestos e intentan armar buenos equipos internos, para todo el resto el tema no es una prioridad; quizás porque tengan problemas de arquitectura mucho más profundos o porque los problemas para brindar los servicios no están relacionados con este ámbito y pasan por temas políticos, económicos, geográficos, sociales o de otra índole que están fuera de mi alcance para analizar. Pero lo que sí está claro es que, para ellas, no es prioritario. Y aunque me encantaría que lo fuera, personalmente no creo que eso ocurra en el corto plazo.
Dicho esto, todos los profesionales del ámbito de la ciberseguridad industrial latinoamericanos tenemos la gran responsabilidad de no bajar los brazos, de seguir empujando en todas las líneas para lograr el cambio (en los marcos legislativos, en la academia, en las conferencias, en las publicaciones, etcétera) y de continuar contagiando a más colegas a que se animen a meterse en este hermoso sector para desarrollarlo. Invertir hoy en ciberseguridad industrial nos dará un mejor futuro a todos.