La transformación digital ha aportado innegables beneficios al sector energético en términos de flexibilidad y racionalización de la red de distribución. Al mismo tiempo, sin embargo, ha introducido vulnerabilidades significativas, creando puntos de entrada adicionales a un área física ya extensa que abarca la producción, transmisión y distribución de energía. En consecuencia, las infraestructuras energéticas, de importancia esencial y vital para nuestra economía, están cada vez más expuestas al riesgo de ciberataques.
¿Cómo proteger los distintos puntos de acceso a estas infraestructuras críticas? ¿Y cómo minimizar los daños, desde la interrupción de las operaciones hasta la destrucción física de los equipos? Un mejor conocimiento de los distintos métodos empleados por los ciberdelincuentes, de los tipos de ataque más comunes y de las soluciones disponibles situará a los gestores de infraestructuras en una mejor posición para prepararse y hacerles frente.
Una superficie de ataque extensa
Incluso antes de la transformación digital, la infraestructura energética tenía su propia distribución geográfica específica, basada en varios centros de producción y una red de distribución fragmentada. Como resultado, la superficie de ataque ya es extensa – y lo será aún más con la llegada de innumerables sensores, robots y objetos conectados, redes cada vez más interconectadas y acceso a entornos en la nube.
Los ordenadores, los distintos dispositivos inteligentes e incluso los flujos de comunicación actúan como posibles puntos de entrada para los ciberdelincuentes. Al fin y al cabo, estas infraestructuras energéticas tienen décadas de antigüedad, al igual que algunos de los equipos que las componen. Habiendo sido diseñadas normalmente para una vida útil de más de 50 años, el único aspecto de las operaciones que generalmente se ha mantenido al día con las tendencias y ha modernizado sus equipos es la función de TI. La parte operativa (OT), por el contrario, ha tendido a permanecer en su estado original... hasta el punto de que (demasiadas) máquinas siguen funcionando hoy en día con versiones de software antiguas y obsoletas que no han sido parcheadas para hacer frente a las últimas vulnerabilidades. Mientras los sistemas y/o las redes privadas de las centrales y plantas permanecían desconectados entre sí, el riesgo se minimizaba. Pero la (famosa) convergencia TI/OT ha puesto en entredicho este ya frágil aislamiento. Al mismo tiempo, los diversos equipos utilizados en las centrales eléctricas, hidroeléctricas y térmicas no han sido diseñados con un enfoque de "ciberseguridad por diseño". Todos estos sensores, ya sean IED (Dispositivos Electrónicos Inteligentes), RTU (Unidades Terminales Remotas) u otros, se convierten en puntos de entrada fácilmente accesibles para los ciberdelincuentes en cuanto se conectan. Y para empeorar las cosas, estos entornos suelen utilizar sistemas llave en mano que nunca se diseñaron para aceptar parches de seguridad.
Además de estos puntos de entrada iniciales, los protocolos de comunicación utilizados en el sector de la energía son otra preocupación importante en términos de ciberseguridad. Los protocolos de comunicación se desarrollaron a menudo en un momento en el que la seguridad no era una prioridad. Por ejemplo, el protocolo IEC-104 se utiliza habitualmente para la telemetría en el sector de la generación de energía. Pero carece de mecanismos de autenticación o cifrado, lo que lo hace extremadamente vulnerable a los ciberataques. Lo mismo ocurre con el protocolo GOOSE (Generic Object Oriented Substation Events, protocolo de eventos genéricos de subestación orientados a objetos, incluido en la norma IEC 61850). Este protocolo, que en un principio se diseñó para reducir al mínimo las lentas comprobaciones y acelerar la capacidad de recuperación del sistema en caso de fallo, puede aprovecharse ahora fácilmente para inyectar paquetes maliciosos. Esta vulnerabilidad también afecta a las conexiones remotas, como en el caso del mantenimiento a distancia. Este tipo de conexiones – esenciales por ejemplo para rendimiento operativo de las subestaciones – también pueden aprovecharse para obtener acceso no autorizado (y malicioso) a la red.
Para facilitar el acceso a estos distintos puntos, los ciberdelincuentes pueden explotar una serie de vectores de ataque: red, software, físico o incluso humano. Este factor humano es especialmente sensible en el sector de la energía, donde existe un gran número de subcontratistas.
Ciberataques multifacéticos
Los ciberdelincuentes utilizan varios tipos de ciberataques para atacar al sector energético. Dado que la continuidad del negocio es crucial en este sector, los ataques de denegación distribuida de servicio (DDoS) y el ransomware forman parte del arsenal ofensivo clásico.
Pero el espionaje y el sabotaje de las infraestructuras energéticas pueden adoptar otras formas... o incluso otros caminos, como la cadena de suministro del sector. Así, los ataques a la cadena de suministro tienen la particularidad de dirigirse a los proveedores y socios comerciales del sector energético. A través de estas entidades mucho menos seguras (y por tanto más vulnerables), los ciberdelincuentes obtienen acceso indirecto a las redes de las empresas energéticas. Estos ataques son especialmente insidiosos porque se aprovechan de las relaciones de confianza entre las empresas energéticas y sus proveedores de servicios.
Además de este arsenal ya considerable, las empresas energéticas también tienen que hacer frente a otro nivel de riesgo: la naturaleza altamente sensible del sector hace que los actores estatales se interesen por él en relación con conflictos geopolíticos. Pueden incluso invertir en programas maliciosos especializados que hayan sido escritos para atacar equipos o procesos operativos específicos. Stuxnet en 2010, BlackEnergy en 2015 e Industroyer en 2016 son ejemplos destacados de ello. Por ejemplo, el malware Industroyer es capaz de detectar y explotar los protocolos de comunicación utilizados en una red industrial, y puede atacar eficazmente los sistemas energéticos.
Más recientemente, los programas maliciosos Industroyer.V2 y Cosmicenergy han vuelto a poner la protección de los sistemas operativos en el punto de mira – mientras que otros ciberataques se han centrado en el sector de TI. Descrito por el equipo de Mandiant en 2023, el malware Cosmicenergy intercepta comandos emitidos a través del protocolo IEC-104 para interactuar con las RTU y la red OT. "Habiendo obtenido acceso de esta forma, un atacante puede enviar comandos remotos para influir en el funcionamiento de los interruptores y disyuntores de la línea eléctrica, y así interrumpir el suministro eléctrico", explica el artículo de los investigadores. Este malware no se detectó como resultado de un ataque, sino porque fue... descargado de una utilidad pública para el análisis de malware. Ya se trate de una casualidad o de un paso en falso, este episodio demuestra que los ciberdelincuentes están centrando sus investigaciones en el malware dirigido a los protocolos industriales de energía.
Mecanismos de protección en el sector de la energía
Ante tales hechos y amenazas, ¿cómo proteger el sector energético? Ya en 2018, Guillaume Poupard – entonces director general de la agencia francesa de ciberseguridad ANSSI – compareció ante la Comisión de Asuntos Exteriores, Defensa y Fuerzas Armadas de Francia para advertir de las consecuencias de un ataque a las redes de distribución de energía de un país.
Para garantizar una protección eficaz de sistemas tan complejos e interdependientes, es necesario un enfoque global y a varios niveles. Ante los diversos puntos de entrada de la amenaza, es de vital importancia desplegar una estrategia de defensa adecuada, que abarque desde la implantación de herramientas de ciberseguridad apropiadas hasta la formación continua de empleados y proveedores de servicios. Cada tipo de ataque presenta retos únicos en términos de detección, prevención... y, sobre todo, de respuesta. Los sistemas de mitigación y filtrado del tráfico, la segmentación precisa de la red, el uso de sistemas de detección de intrusiones y las copias de seguridad periódicas son sólo algunos ejemplos de la lista no exhaustiva de elementos esenciales de la ciberseguridad industrial. "En el mundo real, hemos visto que el sector de la energía en Francia ya ha puesto en marcha una serie de mecanismos de seguridad adaptados a sus operaciones", explica Khobeib Ben Boubaker, jefe de la línea de negocio de seguridad industrial de Stormshield. Y este enfoque está empezando a dar sus frutos en términos de ciberseguridad".
Se trata de un ámbito en el que los profesionales de la energía deben recurrir al concepto de defensa en profundidad que tanto valora la ANSSI. Este concepto se expone detalladamente en la norma IEC 62443, una norma transversal que aboga por la seguridad en cada subconjunto del sistema. Al fin y al cabo, el aspecto normativo también es útil en el sector energético, dado su tratamiento exhaustivo del tema. Entre las normas figuran: IEC 62645, un conjunto de medidas para prevenir, detectar y responder a los actos malintencionados cometidos por ciberatacantes en los sistemas TI de las centrales nucleares; IEC 62859, que proporciona un marco para la gestión de las interacciones entre la seguridad física y la ciberseguridad; ISO 27019, que contiene recomendaciones de seguridad aplicadas a los sistemas de control de procesos utilizados por el sector de operadores energéticos; y, por último, IEC 61850, mencionada anteriormente en este documento, como la norma de comunicaciones adoptada por los sistemas de protección de subestaciones en el sector de la generación de energía. Al otro lado del Atlántico, existen normas como la estadounidense NERC-CIP, que especifica un conjunto de reglas para asegurar los activos necesarios para el funcionamiento de la infraestructura de la red eléctrica en Norteamérica, del mismo modo que la ley francesa de planificación militar (LPM). Por último, la NIS2 – segunda versión de la Directiva europea NIS – se aplica a los actores de la cadena de suministro (subcontratistas y proveedores de servicios) con acceso a infraestructuras críticas. Obliga a los interesados a cumplir las medidas de seguridad relativas a la protección de las redes gestionadas por operadores de servicios esenciales (OSEs).
Ejemplos como los de BHI Energy (Estados Unidos), Energy One (Australia) y HSE (Eslovenia) demuestran que los ciberataques contra el sector energético están más de actualidad que nunca. Con los ciberataques aumentando tanto en número como en complejidad, la ciberseguridad en el sector energético se ha convertido en una prioridad absoluta para 2024 y más allá. La protección requiere una vigilancia constante y una estrecha cooperación entre las empresas del sector, los gobiernos y los expertos en ciberseguridad.