En alerta: cómo los ciberataques pueden vulnerar los cada vez más complejos sistemas de las empresas energéticas

Los ciberataques dejaron de ser solo una amenaza tecnológica para convertirse en un riesgo costoso en recursos y dinero para las empresas del sector energético –al igual que muchas otras de distintos sectores de una economía–, las que con sus amplias y complejas infraestructuras son objetivo de atacantes que combinan la vulnerabilidad digital con la manipulación financiera y el riesgo físico.

Crystian Moreno, CEO de Wtech y consultor especialista en ciberdefensa, aseguró que en este nuevo escenario, el costo de un incidente cibernético puede superar el millón de dólares por día, afectar de manera importante la provisión del servicio energético y generar una caída de hasta el 10% en el valor de las acciones de una compañía, afectando su valuación y su reputación.

“Hoy las empresas globales son blanco de ataques de microtargeting con un nivel de sofisticación sin precedentes. Un equipo de respuesta y defensa puede estar lidiando con entre 3.000 y 4.000 vectores de ataque en un solo día", explicó Moreno. "Esto se logra a través de contenedores soportados por inteligencia artificial (IA), que se programan para identificar vulnerabilidades. Es como tener miles de humanos buscando un punto débil al mismo tiempo".

Los ataques híbridos, nueva dimensión

El concepto de "hibridación" es clave para entender la nueva dimensión de estos ataques. Hace poco tiempo, el delito virtual y el delito físico funcionaban de manera separada. Hoy, se complementan y potencian. "Se están encontrando y aportándose lo que la otra parte no tiene", comenta Moreno, al señalar que “esto pone en peligro no solo la operación digital, sino también las instalaciones físicas y hasta la seguridad del personal”.

“El riesgo se intensifica en el sector energético. Un ataque a la cadena de suministro, desde el upstream hasta el consumidor, puede generar una interrupción que, en sistemas de gran volumen, como los de oil & gas, es casi imposible de recuperar rápidamente. Esta interrupción provoca un desequilibrio que demanda mucho dinero y, en los peores casos, puede afectar la infraestructura y generar incidentes que pongan en riesgo a las personas”, aseguró Moreno.

El especialista destaca que esta nueva era de la IA generativa y el acceso público a modelos de lenguaje poderosos (LLMs) ha democratizado la capacidad de ataque. Por un lado, existen grandes organizaciones delictivas que lanzan ataques coordinados contra infraestructuras críticas con un fin específico. Por el otro, cualquier persona con una intención delictiva puede acceder a estas herramientas para ejecutar ataques de manera sencilla, lo que amplía la escala de la amenaza.

Una mirada "holística" de la seguridad

Frente a este panorama, las empresas necesitan adoptar una visión "muy holística" de la ciberdefensa y romper con la cultura que permite vulnerabilidades en diferentes sectores de la organización. "La ciberseguridad no es un gasto, sino una inversión", afirma el titular de WTech. Las compañías de oferta pública, en particular, enfrentan el riesgo de que un incidente no solo genere pérdidas operativas, sino que también provoque una caída en el valor de sus acciones y calificaciones negativas.

Un ejemplo emblemático de los riesgos es el ataque de ransomware a Colonial Pipeline en 2021, que paralizó una parte crucial de la distribución de combustible en Estados Unidos. Aunque la industria en América Latina no ha sufrido incidentes de esa magnitud, Moreno advierte que la pregunta no es si algo similar podría suceder, sino cuándo y con qué consecuencias.

Además de los ataques directos, las empresas energéticas son blanco de estrategias de manipulación del mercado. Un método conocido como "short and distort" combina la venta en corto de acciones con campañas de desprestigio coordinadas. Los atacantes primero toman prestadas acciones para venderlas, luego lanzan una ofensiva de rumores falsos para dañar la reputación de la empresa, y cuando las acciones caen, las recompran a un precio mucho menor, embolsándose la diferencia.

Moreno enfatiza que para abordar esta realidad es fundamental una readecuación de la ley, para que los delitos de hackeo tengan un encuadre judicial claro que hoy es prácticamente inexistente. "Hay muchos grises y no hay un tratamiento real de cómo abordarlo", explica. Una respuesta eficaz requiere la articulación entre el sector privado, el Estado y los organismos internacionales, para crear un mapa del delito que pueda mutar tan rápido como las amenazas.

A nivel interno, las empresas deben trabajar en su resiliencia. Esto implica tener soporte externo, trabajar en conjunto con el gobierno, y compartir estrategias para intervenir en los incidentes. Un aspecto crucial es la ingeniería social, porque “muchas veces los sistemas no fallan, pero sí las personas y la cultura de la compañía. Los empleados pueden abrir una puerta trasera a un ataque que genere un daño enorme", advierte Moreno.