En México falta madurez en ciberseguridad energética

En México, estamos empezando a protegernos con respecto a la detección y respuesta ante ataques cibernéticos.

20 octubre 2017, 8:12 pm

REDACCIÓN
ORO NEGRO

CIUDAD DE MÉXICO.- Las instalaciones de producción y transporte de combustibles y de energía eléctrica requieren medidas de seguridad en sus redes de comunicación y sistemas de información que garanticen que no sufrirán vulnerabilidades cibernéticas desde el interior y exterior de las mismas. En México, aunque no ha ocurrido ningún ataque de este tipo, esta seguridad aún no está garantizada, dijeron especialistas del sector.

“En México, estamos empezando a protegernos con respecto a la detección y respuesta ante ataques cibernéticos. No estamos completamente preparados, estamos en la evolución de este tipo de protección. Afortunadamente, en México no ha habido este tipo de ataques”, dijo el maestro René Ávila Rosales, director TIC en el Centro Nacional de Control de Energía (Cenace), el organismo público descentralizado encargado de ejecutar el control operativo del Sistema Eléctrico Nacional.

En la tercera mesa de la VIII Cumbre de Seguridad, organizada por Zumma y Blugroup, la cual estuvo enfocada en los desafíos de ciberseguridad en el sector energético, se habló de los retos que enfrentan las empresas en el control de la información y de cómo es necesario garantizar la seguridad en los sistemas estratégicos de producción, transporte y control de energía  al mismo tiempo que hay que asegurar el acceso a la información que sirva como guía para los diferentes actores del recién creado mercado energético mexicano.

El Centro Nacional de Control de Gas Natural (Cenagas), que gestiona el Sistema de Transporte y Almacenamiento Nacional Integrado de Gas Natural (Sistrangas), tampoco cuenta aún con su propio Sistema Supervisorio de Control y Adquisición de Datos (Scada), de acuerdo con su director David Madero Suárez, por lo que deben trabajar con el sistema de supervisión de Pemex.

“Es muy necesario en este tipo de empresas descentralizadas tener muchas tecnologías de información, pero también muchas tecnologías de operación y esta tecnología de operación que es el sistema Scada implica un gran flujo de datos que nos permite visualizar lo que está ocurriendo en los ductos de transporte de gas natural pero que también nos debe permitir controlar y el tener ese control conlleva un gran riesgo en caso de que hubiera un ciberataque”, dijo Madero Suárez.

La prevención es el reto más importante en el caso de la ciberseguridad en las empresas de generación y transporte de energía que en muchos casos cuentan con instalaciones críticas o estratégicas para la seguridad del país.

“Una vez que ya hubo un ciberataque, probablemente tuviste varias oportunidades para prevenirlo. Es similar a lo que ocurre con las unidades físicas, es necesario establecer marcos de referencia para identificar tus activos estratégicos y establecer prioridades de protección, porque no puedes proteger todo de la misma forma”, dijo Bill Magness, CEO de ERCOT, el mayor operador de la red de energía eléctrica de Texas en Estados Unidos.

De acuerdo con Magness, en el caso del sector de la energía eléctrica, lo que hacen los ciberatacantes en muchos casos es intentar abrir una puerta tras otra hasta que tienen éxito y logran infiltrarse. “Tenemos personas cuya labor es estar observando a través del cristal y todo el tiempo ven cómo hay personas que quieren entrar. Si no estuviéramos observando todo el tiempo, no podríamos prevenir ningún ataque”, dijo Magness.

En algunos casos, las filtraciones en los sistemas de estas empresas se dan a través de métodos tan sencillos como es el phishing, en el que alguien externo a la compañía envía un correo electrónico con las identificaciones de la compañía que parece bastante real pero que permite abrir una brecha en estos sistemas que puede incluso llegar a desactivarlos.

Acceso a información es necesario para el mercado

A los requerimientos de ciberseguridad de las compañías e instituciones energéticas se agrega la necesidad de acceso a información que ofrezca certidumbre y dé señales del rumbo que está tomando el mercado energético mexicano a partir de la apertura comercial y la competencia que implicó la reforma energética.

“En México venimos de un monopolio en el que no existía la necesidad de información y se llegó al extremo en el que todo prácticamente estaba reservado. Con la reforma energética todos los días hay más necesidad de información sobre lo que está pasando y eso nos hace caminar hacia las mejores prácticas internacionales, pues ahora en la página del Cenagas hay mucha más información sobre lo que ocurre en los ductos de gas que la que nunca hubo”, dijo David Madero Suárez.

A manera de ejemplo, la compañía estadounidense ERCOT publica alrededor de 100,000 nodos de datos diarios y cuentan con 25 millones de accesos de usuarios al mes.

“Tú quieres proteger tus activos pero cada vez hay más información que es pública y esto hace que el mercado se vuelva aún más interesante. Lo que hacemos es darle acceso a la información solamente a usuarios certificados, para garantizar que entran de forma adecuada y también tenemos diferentes tipos de información, desde la que puedes encontrar en nuestra página de Internet hasta la que mantenemos completamente alejada de la web”, dijo Bill Magness.

rodrigo.riquelme@eleconomista.mx