EH PLUS, REDACCIÓN.- Una interrupción del suministro eléctrico puede dejarnos sin luz durante un tiempo. Su efecto en cascada puede afectar a otras redes, incluso a otros países. ¿Estamos preparados para una correcta gestión y continuidad de servicios básicos para la población? El Centro Nacional de Ciberseguridad (CNCS) del Ministerio de la Presidencia, el Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT) de la Policía Nacional, y la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología (PEDATEC) trabajan para luchar contra posibles ciberataques en el país.
También cuando ocurren contra el sector de hidrocarburos y energía. En este reportaje especial para EH+, de mano de los protagonistas que enfrentan el reto, hacemos un recorrido por los principales objetivos que tiene República Dominicana en el corto y medio plazo.
En “El arte de la invisibilidad”, Ketvin Mitnick cuestiona si estamos preparados frente a nuevas amenazas. Todo es relativo, supongo. Depende de a quien preguntemos, pero, lo cierto, es que, por ejemplo, economías y sociedades dependen del sector energético para su normal funcionamiento. ¿Qué pasa si estas están en riesgo?
El objetivo de las infraestructuras energéticas es ofrecer un suministro continuo e ininterrumpido, y esto sólo puede lograrse si esta cadena, funciona apropiadamente y de forma segura. Asegurar su resiliencia ante incidentes de ciberseguridad es una prioridad. De hecho, en un informe de la consultora Deloitte, el gobierno estadounidense califica a la energía como uno de los 16 sectores fundamentales de infraestructura considerados tan vitales que su inhabilitación o destrucción tendría un efecto debilitante sobre la seguridad económica y la integridad o salud pública nacional. Algo así, como si metafóricamente representara a uno de los cuatros jinetes del Apocalipsis, porque cuando hablamos de energía, estamos hablando de la electricidad, el gas y el petróleo, fundamentalmente, y, si hablamos de la distribución de energía, de infraestructuras que ofrecen unos servicios que posibilitan el normal funcionamiento de otras industrias y de la vida ciudadana.
“El sector energético y los servicios públicos en general son muy atractivos desde el punto de vista de los ciberatacantes, porque estos sectores de consumo masivo tienen un alto impacto en la productividad, la salud y la vida de los habitantes de una ciudad o nación. A través de un ciberataque se podría concretizar una acción de alto impacto creando caos y anarquía, a un relativo bajo costo y bajo la sombrilla del anonimato”, explica Miguel Raúl González, especialista en ciberseguridad con más de 30 años de experiencia en gestión del área de tecnología en empresas industriales y de infraestructura crítica.
Como ingeniero de sistemas, González asegura que hasta la aparición del virus Stuxnet en el año 2010 que atacó los sistemas SCADA del programa nuclear iraní, no había conciencia del riesgo de ciberataques en los sistemas industriales. Seis años más tarde, el 23 de diciembre del año 2016, la compañía de electricidad Prykarpattyaoblenerg de Ucrania sufrió una interrupción de servicio por un ciberataque que dejó a 600,000 hogares sin electricidad en pleno invierno. Es decir que la identificación del riesgo de ciberataques a las infraestructuras críticas es relativamente reciente y su impacto ha confirmado que se trata de una herramienta útil para la desestabilización de gobiernos, infringir daños reputacionales, habilitar el espionaje industrial y el sabotaje.
“Desde el Estado se ha venido fomentando una cultura de ciberseguridad a nivel nacional y especialmente en las organizaciones que gestionan las infraestructuras críticas. También controles efectivos en los mecanismos de transporte de información entre los ambientes industriales y las redes IT, ya que estos han probado ser un vector de ataque efectivo aprovechando la complejidad en la cadena de suministro de software y la necesidad creciente de obtener información en tiempo real del rendimiento de los activos”, señala el especialista en IT y seguridad.
En República Dominicana, según el Portal Único de Solicitud de Acceso a la Información Pública (SAIP) (www.saip.gobdo),, el Centro Nacional de Ciberseguridad (CNCS), de acuerdo con el decreto 230-18, es responsable de la prevención y apoyo a la respuesta, a incidentes cibernéticos de las infraestructuras de TI del Estado y de las infraestructuras críticas tanto públicas como privadas, incluyendo por supuesto, las organizaciones del sector energético. El General de la Policía Nacional, Claudio Peguero, colaboró en la creación de este organismo que recibe, genera y disemina alertas sobre amenazas cibernéticas, gestiona incidentes y, además, asesora a su comunidad atendida y produce estadísticas, boletines informativos y de sensibilización sobre las amenazas.
“Cuando un incidente de seguridad informática constituye crimen o delito de acuerdo con nuestra legislación penal (principalmente la Ley 53-07) pasa a ser responsabilidad del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT) de la Policía Nacional y la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología (PEDATEC), quienes llevan las estadísticas de los ciberdelitos”, señala Peguero, quien atesora 18 años de experiencia y especialización en ciberseguridad y más de tres décadas en la Policía Nacional.
Según el Portal Único de Transparencia (www.transparencia.gob.do), el C5i forma parte del subsistema de Ciberdefensa, que integra el ecosistema de la ciberseguridad. Se conecta al CNCS a través de uno de los planes complementarios de la Estrategia Nacional de Ciberseguridad. Su director forma parte del Comité Técnico del Centro Nacional de Ciberseguridad. Uno de los factores críticos de éxito es la compartición oportuna de alertas sobre amenazas. Por tanto, todos los CSIRT’s sectoriales deben trabajar en estrecha colaboración entre sí y con el CNCS.
Y es que cada vez más los ciberatacantes colocan en su mira a las infraestructuras críticas. “Representan activos de gran valor e importancia en la sostenibilidad, estabilidad económica y social de los Estados, siendo el sector de hidrocarburos uno de los más relevantes por el impacto negativo que pudiera ocasionar”, explica Carlos Leonardo, Director Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD) en el Centro Nacional de Ciberseguridad (DO).
Ciberataques, un riesgo global
El Departamento de Seguridad Nacional de Estados Unidos ha exigido a los propietarios y operadores de oleoductos cruciales, que transportan líquidos peligrosos y gas natural, que implementen las protecciones que se necesitan con urgencia contra las intrusiones cibernéticas. Se trata de la segunda disposición de seguridad emitida por la Administración de Seguridad en el Transporte (TSA, por su sigla en inglés) del departamento desde mayo de 2021, luego de que un ataque informático contra Colonial Pipeline interrumpiera el suministro de combustible en el sureste de Estados Unidos durante días y que puso de relevancia la importancia del establecimiento de estándares de ciberseguridad alineados a la operación de estas infraestructuras tecnologías, así como establecer los controles preventivos, de respuesta y recuperación incluidos en estos marcos de referencia de la industria.
“Hoy en día la automatización de los sistemas brinda importantes beneficios, pero trae consigo grandes riesgos y retos, que ameritan contar con los mecanismos de gestión y monitoreo de los activos tanto de hardware como de software”, sostiene el director del CSIRT-RD.
Algo con coherencia, cuando escuchamos desde hace semanas que en Europa, el Gobierno de Austria lanzó la alarma sobre un posible apagón eléctrico de larga duración, y que en Alemania existe una percepción parecida de riesgo para este invierno. Preocupación viva desde hace años, después del apagón de noviembre de 2006 (con 15 millones de afectados en varios países debido a una maniobra errónea en la red alemana de E.On, que dio lugar a cortes en cascada) y que muestra la necesidad del establecimiento de un marco regulatorio adaptado al sector y a los componentes tecnológicos que lo conforman.
“Estamos hablando no solo a nivel de TI sino también a nivel de PLC/SCADA. El examen de los ataques y las infracciones que se han producido en la industria de la energía en todo el mundo, ilustra la importancia de proteger el vasto ecosistema de la cadena de suministro de la industria de la energía”, puntualiza Carlos Leonardo.
Si tenemos en cuenta que las empresas de energía adquieren información, hardware, software y todo tipo de servicios de proveedores externos globalmente y que los actores de amenazas pueden introducir componentes comprometidos en un sistema o red en cualquier momento del ciclo de vida del sistema, es verdaderamente escalofriante al estilo de las tramas que ya vaticinaban películas como Blackhat o Snowden.
Para el especialista en IT y consultor, Miguel Raúl González, los ataques a infraestructuras críticas, por su complejidad, son perpetrados por actores patrocinados por estados (state sponsored actors) o en algunos casos, por individuos dentro de la organización (insiders). “Por eso es crítico detectar actividades maliciosas, malware, ataques de ingeniería social, comportamientos inusuales en el tráfico de la red, intentos de violación de accesos, escalamiento de privilegios y otros indicadores de compromiso”.
“Hablamos de grupos organizados que realizan ataques con fines económicos y que operan grandes estructuras de distribución de malware. Así como también los actores relacionados a otros Estados que realizan operaciones en el ciberespacio con fines políticos y/o espionaje”, especifica Carlos Leonardo.
El ransomware y las amenazas al almacenamiento en la nube siguen siendo generalizadas para las organizaciones de energía debido a su naturaleza operativa de 24×7, lo cual les impide estar inactivas por cualquier período de tiempo. Este requisito es algo que los ciberdelincuentes conocen.
“En nuestro país, durante el último año se han reportado eventos de actividad maliciosa en organizaciones del sector, sin embargo, la mayoría de estos han sido atendido y contenidos gracias los controles aplicados en la organización. Por motivo de confidencialidad no es posible referir la organización, pero si puntualizar que han sido ataques relacionados con ransomware y Advanced Persistent Threats – APT”, precisa Carlos Leonardo.
De hecho, según Miguel Raúl González, en los últimos años, el ransomware ha evolucionado a lo que llamamos hoy RaaS o Ransomware as a Service. “El RaaS es un modelo de negocio en el que el atacante (con conocimiento o no de tecnología), renta a través de un portal web una plataforma de ataque por un pago fijo mensual en bitcoins o por un porcentaje de las ganancias”, sostiene el ingeniero, subrayando que la simplicidad del proceso ha estimulado la ambición de múltiples actores y una proliferación de los ataques.
Sector energía, infraestructura crítica nacional
En República Dominicana, según el Portal de Datos Abiertos de la República Dominicana (www.datos.gob.do), como parte de la Política Nacional de Ciberseguridad se establece la energía como uno de los sectores de infraestructura crítica, y el Centro Nacional de Ciberseguridad (CNCS), circunscrito a la Estrategia Nacional de Ciberseguridad que data del año 2018, y que actualmente se encuentra en proceso de actualización para el periodo 2021 – 2024, tiene la tarea de fortalecer la seguridad del ecosistema cibernético para proteger los servicios críticos y el estilo de vida dominicano. ¿Cómo? Bueno, el CNCS trabaja en estrecha colaboración con la comunidad de infraestructura crítica para identificar, y analizar los riesgos y gestionar estratégicamente los esfuerzos de seguridad a través del reglamento de seguridad cibernética para este sector.
Cada regulador juega un rol fundamental en sus sectores, ya que a través de estos se asegura el establecimiento de los controles y las medidas de evaluación de cumplimiento de las organizaciones reguladas.
“En el ámbito de los ciberdelitos hemos estado trabajando desde el año 2003 y contamos con una de las leyes más robustas y actualizadas del hemisferio, la Ley 53-07 contra Crímenes y Delitos de Alta Tecnología, promulgada en abril del 2007, y que también se encuentra en proceso de actualización en el Congreso de la República actualmente, para introducir algunos elementos nuevos y fortalecer otros existentes”, amplía el General Claudio Peguero.
En el caso del sector energético, existen varios marcos de referencia, como el European Programme for Critical Infrastructure Protection (EPCIP) usado mayormente en países de la EU. También estándares de protección de infraestructura crítica de la Corporación de Confiabilidad Eléctrica de América del Norte (NERC CIP) que regula los programas de seguridad cibernética para el sector de energía eléctrica de Norteamérica, el cual se considera un modelo de seguridad cibernética para otros sectores industriales e infraestructura crítica en todo el mundo.
“El Cybersecurity Framework (CSF) del The National Institute of Standards and Technology (NIST) es perfectamente adaptable, más no cubre específicamente los componentes OT y sistemas de subestaciones eléctricas como NERC CIP”, mantiene Carlos Leonardo.
En materia de ciberseguridad muchas empresas del sector, a nivel nacional, han sido víctimas de explotación de vulnerabilidades como las de SolarWinds y Exchange. “Algunas han sido víctimas de fraudes como el “Business E-mail Compromise (BEC)”, también conocido como “El Fraude del CEO” en el que los delincuentes se hacen pasar por un funcionario tomador de decisiones de la empresa (presidente, director financiero, gerente general, etc) cambiando las instrucciones de pago mediante transferencia internacional a un suplidor”, explica el general Peguero.
El CNCS cuenta con varias alianzas internacionales tanto para el apoyo en el desarrollo de un estándar para el sector, como también para el fortalecimiento de capacidades a través de capacitaciones especializadas y metodologías de gestión de riesgo en las infraestructuras críticas. Además, como indica el general Peguero, Republica Dominicana ha tenido buena experiencia en materia de cooperación internacional sobre ciberdelitos, llevando a cabo investigaciones y operaciones conjuntas con Colombia, España, Estados Unidos e INTERPOL entre otros.
“Si bien es cierto que hemos avanzado en el nivel de madurez, ningún sistema se encuentra exento de ser atacado. Sin embargo, se han desarrollado de protocolos de activación de planes de respuesta ante crisis y se han establecido los medios de comunicación para el intercambio de inteligencia de amenazas”, argumenta Carlos Leonardo.
Estas amenazas contra el sector de energía demuestran no solo un impacto potencial para la salud, la seguridad y el medio ambiente, sino también un efecto económico que podría sentirse en todas las industrias.
“En definitiva, el sector energético es transversal a todas las actividades críticas del país, desde la generación hasta la transmisión y la distribución. Actualmente el país se encamina a realizar un análisis nacional de riesgo que determine el nivel de criticidad de cada uno de los actores del sector y sus componentes, de modo que permita orientar los esfuerzos en fortalecer la capacidad de resiliencia de las redes eléctricas en caso de sufrir un ataque”, puntualiza Carlos Leonardo.
Uno de nuestros hándicaps está, según los especialistas, en que aunque el Consejo Mundial de la Energía, recomienda que las empresas energéticas consideren los riesgos cibernéticos como riesgos empresariales fundamentales. en República Dominicana, no existe una regulación específica para las amenazas persistentes avanzadas (Advanced Persistent Threats – APT)
“Actualmente no existe una regulación específica para este sector en materia de APT, sin embargo, el CNCS realiza importantes esfuerzos en realizar análisis de las amenazas persistentes emergentes de cara a compartir indicadores de compromiso relacionados a incidentes en otras regiones que permitan tomar a las organizaciones las medidas preventivas y de mitigación de lugar”, explica Carlos Leonardo.
“El Ministerio de la Presidencia, el Centro Nacional de Ciberseguridad y el CSIRT-RD están forjando una alianza pública-privada para establecer concienciación y protección, haciendo hincapié en la colaboración entre todos los actores que inciden en la seguridad de nuestro ciberespacio”, señala por su parte, Miguel Raúl González
Con cerca de 20 años especializado en gerencia estratégica policial, planificación y desarrollo, investigación de crímenes y delitos de alta tecnología (ciberdelitos) y ciberseguridad, para el general Peguero el principal reto en la lucha contra los ciberdelitos es lograr incrementar las capacidades a nivel de herramientas y recursos humanos y desplegar las unidades especializadas de investigación y análisis forense a nivel nacional, de forma que tengamos presencia en todas y cada una de las provincias para poder atender de manera oportuna a todas las víctimas de ciberdelitos.
“Esto a la vez constituye en sí mismo una gran oportunidad de un salto cualitativo y cuantitativo. En materia de ciberseguridad el principal reto es el de lograr sensibilizar a toda la población sobre las amenazas y como prevenir caer víctimas de los ciberdelincuentes”.
Para Miguel Raúl González, compartir la información y el conocimiento sobre los incidentes y amenazas de seguridad en las infraestructuras críticas es una aspiración y un gran desafío para el CSIRT-RD por el hermetismo que caracteriza las empresas del sector. “Otro problema común que afecta los sistemas industriales a nivel mundial es la obsolescencia. La disponibilidad constituye la máxima prioridad de la ciberseguridad en los ambientes OT y servicios de salud, por lo tanto, los esfuerzos de reducción de la deuda técnica de obsolescencia en hardware, software, sistemas operativos y protección del perímetro deben estar sujetos a que no interfieran con esta prioridad”.
En futuro es incierto, pero el mayor Talón de Aquiles es estar preparados a tiempo. Por eso formación en ciberseguridad y contra los ciberdelitos es uno de los pilares de la Estrategia Nacional de Ciberseguridad a fortalecer en el corto y medio plazo. “INTEC tiene además de la Maestría en Ciberseguridad una ingeniería en Ciberseguridad a nivel de grado. Otras universidades como UNICARIBE tienen un programa de maestría. La PUCMM y UNIBE han comenzado a incluir el tema de la ciberseguridad en su oferta académica”, concluye Peguero.
Inteligencia Artificial y sector energético
La ciberseguridad y la inteligencia artificial tienen una relación intrínseca y natural que va más allá del su conexión con el sector energético, ya que los ataques y las amenazas son cada vez más avanzados y sofisticados a través del uso de la IA por los ciberatacantes. “Esto nos obliga a ser más proactivos y preventivos que reactivos aplicando controles que puedan tanto mitigar el riesgo como responder rápidamente a estos eventos”, señala Carlos Leonardo.
La Inteligencia Artificial y los algoritmos de Machine Learning se han convertido en herramientas esenciales para al mantenimiento predictivo de los activos, la gestión del rendimiento, la optimización de la cadena de suministro y logística y la detección de amenazas a la infraestructura.
“En el ámbito del ciberespacio, cuando existe un sistema de recolección de eventos en una infraestructura a través de herramientas como los SIEM (Security Information and Event Management), a menudo los analistas del SOC (Security Operation Center) se ven abrumados por la cantidad de mensajes recibidos y se les dificulta correlacionar estos eventos para discernir cuando están recibiendo un ataque que pudiese comprometer los servicios. Es ahí donde los algoritmos de Machine Learning e Inteligencia Artificial ayudan a identificar patrones inusuales”, dice el ingeniero Miguel Raúl González.
