Ciberamenazas en el sector energético, cuando la realidad supera a la ficción

El sector energético mueve en la actualidad miles de millones de euros. Para que la electricidad, el petróleo o el gas lleguen hasta los hogares y empresas de todo el mundo, entra en funcionamiento una red de entidades de los sectores público y privado que engloban grandes infraestructuras y tecnologías.

Puede parecer una película de ciencia ficción el que se dé un ciberataque que haga caer este ecosistema. Pero en 2021, el ataque a Colonial Pipeline, demostró que la amenaza era real. Hasta tal punto que EEUU tuvo que declarar el estado de emergencia. Por tanto, es un hecho que las empresas energéticas deben estar más atentas que nunca y poner todos los medios a su alcance para evitar ataques de este tipo.

Los objetivos de los ciberdelincuentes pueden ser diferentes: desde robar propiedad intelectual a perturbar el orden social o generar pérdidas millonarias a una entidad. También obtener dinero. Según un informe de McKinsey, cada vez hay más ciberdelincuentes que atacan infraestructuras críticas con fines lucrativos.

Ante este panorama, ¿qué pueden hacer las empresas para protegerse? Muchas empresas realizan tests de penetración o pentesting. El pentesting consiste en simular un ataque al sistema informático de una empresa con el objetivo de encontrar vulnerabilidades que podrían aprovechar los ciberdelincuentes. De esta forma, la empresa conoce sus puntos débiles y puede remediarlos antes de sufrir un ataque real. El problema es que muchas empresas realizan este tipo de comprobaciones de forma anual y esto no es suficiente.

Para asegurar la protección frente a ataques cibernéticos, es imprescindible tomar una serie de medidas:

• Poner a prueba todos los sistemas informáticos, incluidas las redes físicas, la nube, las aplicaciones web y móviles, y las API, para asegurar que no tengan brechas de seguridad o que puedan dar pie a accesos indeseados que puedan suponer un punto de entrada a la organización.
• Contar con un equipo que tenga una formación exhaustiva y actualizada, que sea capaz de actuar como lo haría un ciberdelincuente. La mayoría de las empresas no pueden contar con equipos dedicados a este tipo de prueba, pero se puede confiar en proveedores externos especializados. Es el caso del Red Team de Synack, compuesto por 1.500 expertos capaces de ponerse en la piel de un hacker para poner a prueba las defensas de las organizaciones.
• También es importante tener visibilidad de las evaluaciones de seguridad, para conocer en tiempo real la existencia de vulnerabilidades críticas, el estado de remediación de las mismas y la cobertura de la superficie de ataque: qué activos se han probado, cuándo y cómo.
• Conocer la causa de las vulnerabilidades puede ayudar a resolver problemas endémicos y también puede ayudar a formar a los equipos de desarrollo para evitarlos en el futuro.
• Otra cuestión clave es probar las aplicaciones de terceros que utiliza la organización, ya que también pueden suponer un punto de entrada. Contar con una herramienta que permite probar dichas aplicaciones es fundamental para gestionar una cadena de suministro compleja.

Las empresas del sector energético se enfrentan a situaciones cada vez más complejas y la ciberseguridad se ha convertido en un problema esencial para estas organizaciones. Por eso es importante contar con una solución y un equipo especializado que les ayuden a estar preparados ante cualquier incidencia, yendo siempre un paso por delante de los ciberdelincuentes.