Una guía para la ciberseguridad de los servicios públicos

En una época, las infraestructuras de los servicios públicos de energía y agua estuvieron dominadas por subestaciones, plantas de tratamiento de agua, gasoductos y otros activos físicos. Ahora, los medidores inteligentes, los sensores, las redes de datos complejas y otros sistemas digitales también son necesarios para ofrecer servicios de forma segura y confiable. Este cambio ha ayudado a las empresas de servicios públicos a mejorar la eficiencia y el compromiso con los clientes, pero también los ha abierto a las amenazas de ciberseguridad. En este artículo analizará los principales desafíos y amenazas a los que se enfrentan las empresas de servicios públicos, así como las mejores prácticas para proteger sus datos e infraestructura crítica.

¿Qué es la ciberseguridad de los servicios públicos?

La ciberseguridad de los servicios públicos es la tecnología y las mejores prácticas en las que confían las empresas de energía y agua para proteger sus redes, tuberías, sistemas de control, aplicaciones empresariales y otros activos digitales de los ciberataques.

Contar con un sólido programa de ciberseguridad ayuda a las empresas de servicios públicos a mantener sus sistemas funcionando sin problemas, proteger la integridad de las señales de control, proteger los datos operativos y de los clientes y crear resiliencia para que los sistemas puedan recuperarse rápidamente después de un incidente.

Conclusiones clave

• Las empresas de servicios públicos centran sus esfuerzos de ciberseguridad en múltiples frentes: aplicaciones para finanzas, gestión de la cadena de suministro, RR. HH. y gestión de relaciones con los clientes, así como sistemas operativos que gestionan centrales eléctricas, redes de transmisión y distribución, instalaciones de tratamiento de agua y tuberías.
• El ransomware y los ataques de estado-nación son las amenazas cibernéticas más graves que enfrentan las empresas de servicios públicos: un ataque exitoso puede interrumpir los servicios esenciales para toda una región.
• Los servicios públicos deben proporcionar regularmente a los empleados formación en seguridad de datos adaptada a sus roles específicos y desarrollar planes de respuesta a incidentes que se prueben y actualicen rutinariamente.

La ciberseguridad de los servicios públicos en detalle

Los servicios públicos se han convertido en objetivos principales tanto para los ciberdelincuentes como para los actores de nación-estado. Las pandillas de ransomware buscan ganancias financieras rápidas, mientras que los gobiernos hostiles buscan causar interrupciones a largo plazo. Los puntos de entrada comunes para estos ataques incluyen proveedores externos que corren riesgos, activos vulnerables accesibles a Internet, tácticas de ingeniería social y uso indebido de privilegios de acceso por parte de los usuarios internos. La convergencia de las redes de TI y tecnología operativa (TO) ha introducido nuevas vulnerabilidades, lo que permite a los agresores pasar de las finanzas, la cadena de suministro y otros sistemas empresariales a sistemas de control que gestionan el flujo de electricidad, la seguridad del agua y las operaciones de tuberías.

Si una empresa de servicios públicos se convierte en víctima de un ciberataque, puede generar problemas para millones de personas, como cortes de energía, escasez de agua, daños ambientales e incluso contaminación del agua. Los ciberataques como el ransomware, el phishing y las violaciones de la cadena de suministro se están volviendo más sofisticados. Incluso las organizaciones con fuertes defensas deben actualizar continuamente sus estrategias para protegerse, detectar y responder a estas amenazas en evolución. Las empresas de servicios públicos están empezando a buscar sistemas operativos y empresariales basados en la nube para mejorar su ciberseguridad, aprovechando la capacidad de ampliar fácilmente las capacidades de supervisión y copia de seguridad de seguridad durante los aumentos repentinos de los ataques. Las plataformas en la nube están sumando cada vez más funciones de seguridad basadas en IA que pueden identificar rápidamente actividades inusuales, incluidos intentos de inicio de sesión sospechosos o ataques de malware, mucho más rápido que los sistemas heredados. La gestión de la seguridad local en varias ubicaciones puede generar incoherencias, ya que cada sitio puede gestionar las actualizaciones y los parches de forma diferente. Por el contrario, la seguridad basada en la nube ofrece una gestión centralizada, lo que permite que las actualizaciones y los parches se apliquen de manera uniforme y regular en todos los sitios.

¿Por qué es importante la ciberseguridad de los servicios públicos?

Las empresas de servicios públicos proporcionan suministros esenciales (electricidad, agua y gas) de los que todos dependemos diariamente. Un ciberataque a estos sistemas no es solo un problema técnico. Puede perturbar la seguridad pública, sacudir la estabilidad económica e incluso amenazar la seguridad nacional.

Según la Agencia de Protección Ambiental de EE. UU., EE. UU. tiene alrededor de 150 000 sistemas públicos de agua y 16 000 sistemas de aguas residuales de propiedad pública, con el 97 % de estas instalaciones que atienden a 10 000 o menos clientes. Muchos de estos operadores de servicios públicos se enfrentan a desafíos significativos en la gestión de su infraestructura crítica debido a los presupuestos limitados y los pequeños equipos de TI o seguridad. Esta situación puede ser abrumadora, especialmente cuando los ciberataques se dirigen tanto a sus sistemas de TI como a los de TO. El uso generalizado de contratistas, proveedores y proveedores externos introduce vulnerabilidades adicionales.

En 2023, varias agencias gubernamentales publicaron un aviso de ciberseguridad que detalla los ataques contra los sistemas mundiales de agua y aguas residuales por parte de una organización militar iraní. Los atacantes obtuvieron acceso a estas instalaciones aprovechando los dispositivos conectados a Internet que todavía tenían contraseñas predeterminadas, que deberían haber sido cambiadas antes de que los dispositivos se pusieran en línea y no deberían haberse conectado directamente a Internet. En estos casos, los atacantes parecían estar interesados solo en enviar un mensaje político. Sin embargo, las violaciones destacaron el potencial de que se produjeran daños significativos, ya que podrían haberse dirigido a los sistemas TO que controlan bombas, turbinas y válvulas de liberación —lo que puede provocar incendios, inundaciones o contaminación.

En otros lugares, los ataques a la facturación de servicios públicos, CRM, la cadena de suministro y otros sistemas empresariales pueden exponer los datos confidenciales de clientes y partners, lo que lleva al fraude, el robo de identidad, las sanciones regulatorias y la disminución de la confianza de la marca. Los patrones de uso en particular pueden representar grandes riesgos de seguridad física, ya que revelan cuándo las casas suelen estar desocupadas o las empresas no tienen personal.

Desafíos en la ciberseguridad de los servicios públicos

Los servicios públicos se consideran objetivos de alto valor y alto impacto, pero a menudo utilizan software obsoleto en sus redes operativas, lo que brinda a los ciberataques un medio de entrada propicio. A continuación se presentan los principales desafíos de ciberseguridad para los servicios públicos.

• Infraestructura heredada. Muchas empresas de servicios públicos todavía operan en una infraestructura obsoleta que carece de defensas de ciberseguridad, lo que las convierte en objetivos principales para los ciberataques. Estos sistemas heredados, que a menudo se ejecutan en sistemas operativos no compatibles, son difíciles de actualizar y aplicar parches, lo que deja importantes brechas de seguridad.
• Convergencia de TI y TO. Los sistemas de TO fueron una vez aislados, proporcionando una defensa natural contra ataques externos. Sin embargo, a medida que los servicios públicos integran la TO con sistemas de TI, por ejemplo, para la lectura automatizada de medidores o para identificar posibles fallos de equipos, se abren oportunidades para que los ciberataques entren en los sistemas de TO a través de los sistemas de TI.
• Ataques de ransomware. El ransomware ha existido durante décadas. Pero en los últimos 15 años, estos ataques se han vuelto más sofisticados y generalizados. El aumento de las criptomonedas ha facilitado que los atacantes reciban pagos de rescate imposibles de rastrear. Los servicios públicos son objetivos particularmente atractivos porque la interrupción de los servicios de agua y energía eléctrica puede tener graves consecuencias para regiones enteras. Los ciberataques saben que las empresas de servicios públicos se enfrentarán a una inmensa presión para restaurar las operaciones rápidamente, lo que los hace más propensos a pagar rescates. Además, muchas empresas de servicios públicos siguen dependiendo de sistemas operativos obsoletos que carecen de las defensas necesarias contra ataques cada vez más sofisticados.
• Amenaza interna. Los empleados descontentos pueden sabotear intencionalmente los sistemas, filtrar datos confidenciales o introducir malware, mientras que el personal bien intencionado puede causar inadvertidamente una violación de seguridad al caer en fraudes de phishing o mal manejo de información confidencial.
• Recursos limitados. Muchas empresas de servicios públicos, especialmente aquellas que prestan servicios en áreas pequeñas y remotas, operan con presupuestos limitados y tienen dificultades para atraer profesionales cualificados de TI y ciberseguridad. Esto a menudo conduce a equipos de seguridad insuficientes, fondos insuficientes para herramientas de seguridad avanzadas y un enfoque reactivo, en lugar de proactivo, para la ciberseguridad.
• Cumplimiento normativo. Los servicios públicos son necesarios para seguir el ritmo de la evolución de las normativas de seguridad de datos gubernamentales, que pueden llevar tiempo y recursos. Mientras tanto, esas regulaciones a menudo van por detrás de las amenazas emergentes y generalmente establecen solo estándares mínimos, lo que potencialmente crea deficiencias que pueden aprovechar los ciberdelincuentes.
• Necesidades de respuesta en tiempo real. Los servicios públicos deben abordar rápidamente los eventos operativos, como las fluctuaciones de la red, los cambios en la presión del agua y las anomalías en las tuberías, al tiempo que mantienen una fuerte vigilancia de la ciberseguridad. Por ejemplo, las empresas de servicios públicos pueden aplicar herramientas de seguridad que segmentan eficazmente sus sistemas de TI y TO para que los atacantes no puedan entrar en los sistemas de TI (que normalmente están más protegidos que los sistemas de TO) y luego pasar a sistemas de TO que albergan controles y recursos críticos del sistema. Los sistemas de supervisión continua y de inteligencia de amenazas ayudan a las empresas de servicios públicos a anticiparse y responder rápidamente a posibles ataques.
• La exposición del Internet de las cosas y la red inteligente. Con el uso generalizado de medidores inteligentes, nodos de comunicación, sensores de red, líneas eléctricas controladas a distancia y otros dispositivos IoT, los ciberataques tienen numerosos puntos de entrada para robar datos o causar daños físicos.
• Riesgos en la privacidad de los datos. Cuando se trata de recopilar y almacenar grandes cantidades de datos de clientes y otros, las empresas de servicios públicos aún no están en la misma liga que las mayores empresas de redes sociales, comercio electrónico y servicios financieros. Pero las empresas de servicios públicos están subiendo en el ranking con su adopción de medidores inteligentes, aplicaciones CRM y otros sistemas de recopilación de datos, lo que crea el desafío de mantener esos datos privados. Por ejemplo, los contadores inteligentes recopilan datos detallados de uso de energía que, y si los hackers pueden acceder a ellos, podrían revelar cuándo los residentes están fuera, lo que podría aumentar el riesgo de robos físicos. Los servicios públicos que no protegen esta información confidencial ponen en peligro la privacidad del cliente y se enfrentan a posibles violaciones normativas, demandas y daños a su reputación.

10 principales amenazas de ciberseguridad de los servicios públicos

Los servicios públicos son cada vez más vulnerables a los ciberataques debido a lo siguiente:

1. Ataques de ransomware. En un ataque de ransomware, los ciberdelincuentes implementan software malicioso para cifrar los datos de una red, haciéndolos inaccesibles hasta que se pague un rescate, a menudo en criptomonedas. Estos ataques pueden ser particularmente devastadores para los servicios públicos porque pueden conducir a apagones, contaminación del agua y cierres de tuberías, todos los cuales representan una amenaza significativa para la seguridad pública.
2. Phishing e ingeniería social. Los empleados de servicios públicos pueden poner en peligro inadvertidamente los sistemas de red al caer en ataques de phishing y otras formas de ingeniería social, que implican manipular a las personas para que divulguen información confidencial o realicen acciones que den a los malos actores acceso a sistemas y datos propietarios.
3. Amenazas de tráfico de información confidencial (maliciosas o negligentes). Las amenazas de tráfico de información confidencial representan una gran preocupación para las empresas de servicios públicos, ya que muchos de sus empleados tienen acceso privilegiado a sistemas esenciales que no se pueden desconectar fácilmente. Los infiltrados maliciosos, como empleados descontentos, pueden hacer un uso indebido intencional de este acceso eliminando datos, alterando la configuración de control o dañando el equipo. Además, los informantes negligentes pueden comprometer inadvertidamente la seguridad al caer en intentos de phishing (ver la amenaza n.º 2 anterior) o al mal configurar accidentalmente los sistemas durante el mantenimiento o las actualizaciones, creando vulnerabilidades que los atacantes podrían explotar.
4. Vulnerabilidades de la cadena de suministro. Los servicios públicos utilizan una compleja red de proveedores, incluidos desarrolladores de software, fabricantes de dispositivos inteligentes, proveedores de sistemas de control, contratistas de mantenimiento de infraestructura y empresas de facturación, cada uno de los cuales potencialmente sirve como punto de entrada para los ciberataques. Las investigaciones realizadas en 2024 por SecurityScorecard y KPMG pusieron de relieve que el 45 % de las infracciones de seguridad del sector se produjeron a través de proveedores externos. Además, una investigación publicada por DNV Cyber encontró que solo la mitad de los profesionales de infraestructuras esenciales encuestados afirmaban que su organización conocía adecuadamente sus vulnerabilidades de la cadena de suministro.
5. Software sin parches y sistemas heredados. Muchas empresas de servicios públicos se basan en sistemas heredados que funcionan con software obsoleto o incompatible. Una vez que los atacantes descubren una vulnerabilidad de seguridad, es posible que las empresas de servicios públicos no tengan forma de solucionarla rápidamente.
6. Ataque de denegación de servicio distribuido (DDoS). Un ataque DDoS implica abrumar la red de una empresa de servicios públicos con exceso de tráfico, interrumpir las operaciones y desviar la atención de los equipos de seguridad. Al dirigirse a portales de clientes, sistemas de facturación o incluso puntos de entrada de TO, estos ataques pueden truncar servidores o redes, generando así interrupciones del servicio. Tales ataques pueden servir como actos de vandalismo malicioso o como desvíos para enmascarar intrusiones más sofisticadas destinadas a obtener algo de valor de la organización objetivo.
7. Amenazas persistentes avanzadas (APT). Los APT son sofisticados ciberataques en los que los intrusos obtienen acceso no autorizado a un sistema y permanecen sin ser detectados durante un periodo prolongado, a veces meses o incluso años. Su objetivo principal es mantener un acceso prolongado a los datos y sistemas confidenciales. Los APT a menudo son orquestados por sindicatos del crimen organizado, grupos terroristas o estados-nación con motivos como espionaje, sabotaje o malestar social.
8. Acceso de terceros expuestos a riesgos. Los servicios públicos dependen en gran medida de los proveedores, distribuidores y contratistas de TI para la implementación, el mantenimiento y las actualizaciones del sistema. Esta dependencia introduce vías adicionales para que los ciberataques se infiltren en los sistemas conectados a la red, ya que a menudo es más fácil romper con un partner menos seguro que atacar directamente a la empresa de servicios públicos.
9. IoT y vulnerabilidades de red inteligente. A medida que las empresas de servicios públicos integran sensores y dispositivos inteligentes en su infraestructura, amplían inadvertidamente el número de puntos de entrada potenciales para los ciberataques sin tener necesariamente que actualizar la ciberseguridad subyacente. Los delincuentes pueden aprovechar este entorno de ataque ampliado para atacar en un punto débil.
10. Violación de seguridad de datos y acceso no autorizado. Las violaciones de seguridad de datos y el acceso no autorizado presentan desafíos significativos para las empresas de servicios públicos, que deben proteger la información confidencial de los clientes y las redes esenciales que controlan la infraestructura física. Incluso cuando se contiene rápidamente, una sola infracción puede erosionar la confianza del consumidor, aumentar las primas de los seguros de servicios públicos e propiciar mayor escrutinio regulatorio.

10 mejores prácticas de ciberseguridad de los servicios públicos

La ciberseguridad es un desafío multifacético, y los líderes de servicios públicos no pueden abordarla de forma aislada. Para ser eficaces, las estrategias deben integrar la tecnología, la capacitación de los empleados, el cumplimiento normativo y las asociaciones estratégicas con proveedores de tecnología y agencias gubernamentales. Estas son las 10 mejores prácticas para mejorar la ciberseguridad en las empresas de servicios públicos:

1. Implantar una arquitectura de seguridad de varias capas. A nivel básico, la seguridad multicapa implica la implementación de cortafuegos y sistemas de detección/prevención de intrusiones para proteger el perímetro; puertas de enlace para proteger los límites entre los sistemas de TI y OT; microsegmentación dentro de las redes de TO para aislar activos críticos, como los sistemas de control de generación y control de distribución; y seguridad de puntos finales para ayudar a evitar que los atacantes entren a través de aplicaciones sin protección y sin parches.
   
2. Segmentar redes de TI y TO. Al reducir el enfoque de varias capas descrito anteriormente a una capa, las empresas de servicios públicos pueden restringir los movimientos de los atacantes entre las redes de TI y TO, minimizando así el daño a los activos esenciales. Esto implica crear zonas distintas con la red, cada una con controles de acceso específicos. Por ejemplo, las redes de TI deben segmentarse para limitar el acceso directo a Internet, mientras que las redes de TO deben tener segmentos dedicados con acceso limitado a activos esenciales. Los dispositivos críticos, como los que controlan los generadores de energía, las tuberías de transmisión o las bombas de tratamiento de agua, deben estar aislados de las conexiones públicas a Internet. Si se necesita acceso remoto, se debe facilitar a través de conexiones privadas seguras.
   
3. Problemas operativos y técnicos. La mayoría de los bancos también deben abordar los desafíos de integración de sistemas, ya que los datos almacenados en mainframes y otros sistemas heredados generalmente no están listos para ser procesados por IA. Los bancos también luchan por mantener datos de alta calidad sobre sus clientes, en particular aquellos que han estado con ellos por mucho tiempo, cuya historia puede estar parcialmente almacenada en formatos no estandarizados o derivada de formularios en papel, según la consultora McKinsey & Company.
   
4. Actualiza e instala parches en los sistemas con frecuencia. Las empresas de servicios públicos deben mantener un inventario completo de todos los activos digitales, tanto locales como en la nube, y disponer de un programa para garantizar que todos los sistemas (aplicaciones, bases de datos y sistemas operativos) estén actualizados y configurados correctamente, y que los parches de seguridad se apliquen en el momento oportuno.
   
5. Utiliza controles de acceso y autenticación compleja. Exige autenticación multifactor para todo el acceso remoto a los recursos. Mejor aún, incorpora métodos de autenticación biométrica siempre que sea posible. Implementa controles de acceso basados en roles para que el personal solo tenga los niveles mínimos de privilegio necesarios para realizar sus tareas. Las organizaciones también pueden emplear una estrategia de acceso justo a tiempo, que otorga a los usuarios acceso temporal y limitado a los sistemas y datos individuales cuando sea necesario.
6. Realiza continuamente un control y detección de amenazas. El establecimiento de centros de operaciones de seguridad las 24 horas del día, los 7 días de la semana, o la externalización de funciones de detección y respuesta ayuda a las empresas de servicios públicos a identificar amenazas antes de que puedan interrumpir los sistemas y las redes. Las herramientas de seguridad del sistema de TO pueden detectar violaciones de seguridad de datos y anomalías sin incrementar la latencia ni interrumpir las operaciones esenciales. La IA puede mejorar estas capacidades mediante el análisis de datos en tiempo real para identificar patrones sospechosos y anomalías, así como mediante el examen de datos históricos de ataques e inteligencia de amenazas para predecir posibles ataques futuros.
7. Proporciona formación en ciberseguridad a los empleados. Capacitar a todos los miembros del personal para identificar intentos de phishing y otras actividades sospechosas, y asegurarse de que entienden la importancia de asegurar dispositivos personales. Es crucial establecer canales claros y accesibles para que el personal reporte los incidentes rápidamente, antes de que los ataques puedan propagarse.
8. Desarrolla y prueba planes de respuesta a incidentes. Los planes de respuesta a incidentes deben cubrir tanto los sistemas de TI como los de TO, incluidos los sistemas heredados que pueden carecer de controles de seguridad integrados. Estos planes deben definir lo que cuenta como un incidente, por ejemplo, malware, intentos de phishing, ransomware y errores internos, y asignar una cadena de comando clara para determinar quién puede desconectar o cerrar los sistemas, ponerse en contacto con los reguladores e involucrar a las fuerzas del orden cuando sea necesario. Prueba estos planes utilizando simulaciones basadas en debates o simulacros.
9. Cifrado de datos confidenciales en tránsito y estáticos. Las empresas de servicios públicos deben identificar sus datos más confidenciales, especialmente los de carácter operativo y de clientes, y cifrarlos. La implementación de protocolos de cifrado para datos tanto en tránsito como estáticos es una práctica recomendada de seguridad fundamental.
10. Realiza evaluaciones y auditorías de riesgos periódicas. Los servicios públicos deben asignar sus recursos de seguridad de datos en función del impacto potencial de una infracción y programar auditorías de seguridad periódicas para evaluar los niveles de detección de amenazas cibernéticas. Estas auditorías deben incluir evaluaciones de políticas y procedimientos de gobernanza; comprobaciones periódicas de firewalls, sistemas de detección de intrusiones, controles de acceso y procesos de cifrado de datos; y exploraciones de vulnerabilidades para identificar posibles debilidades. Deben realizarse evaluaciones periódicas de los planes de respuesta a incidentes. Este tipo de evaluación incluye simulacros operativos y discusiones en equipo destinadas a simular diferentes tipos de ciberataques. Debido a que los riesgos de terceros también pueden ser altos, muchas empresas utilizan evaluaciones de riesgos de proveedores, incluidas encuestas, auditorías y pruebas de penetración, para evaluar el estado de seguridad de los proveedores de software, contratistas y fabricantes de equipos.
11. Colaborar con partners del sector y del gobierno. Colaborar con colegas de la industria y partners de las administraciones públicas se ha convertido en una estrategia crucial para que las empresas de servicios públicos aborden las ciberamenazas. Las empresas de servicios públicos pueden participar en ejercicios nacionales o regionales que simulan ciberataques a gran escala para comprobar sus planes de respuesta, protocolos de comunicación y capacidades de los miembros del equipo. Las empresas de servicios públicos pueden colaborar con proveedores de tecnología, organismos policiales e instituciones educativas para identificar y probar soluciones emergentes, como modelos de seguridad de confianza cero y monitoreo de seguridad basado en IA. Las empresas de servicios públicos también deben considerar la posibilidad de participar en organizaciones de intercambio de datos específicas de la industria, como el Centro de intercambio y análisis de información sobre electricidad (E-ISAC) y WaterISAC, para obtener una visión más amplia de la inteligencia de amenazas en tiempo real, las vulnerabilidades y los informes de incidentes.

Mejora la seguridad y la resiliencia con Oracle Cloud

En el panorama digital actual, las entidades de servicios públicos se enfrentan a desafíos únicos en materia de seguridad que requieren soluciones especializadas. Oracle Utilities ofrece aplicaciones diseñadas específicamente para ayudar a satisfacer estas necesidades, proporcionando sólidas funciones de seguridad adaptadas a los servicios públicos. Basadas en Oracle Cloud Infrastructure, estas soluciones incorporan capacidades de seguridad avanzadas, como la IA. Aprovechar la experiencia de Oracle ayuda a las empresas de servicios públicos a operar de forma segura, responder rápidamente a potenciales amenazas y mantener la confianza de las comunidades a las que sirven.

Preguntas frecuentes sobre ciberseguridad de los servicios públicos

¿Cuál es la mayor amenaza de ciberseguridad a la que se enfrentan las empresas en la actualidad?
Es difícil determinar la amenaza de ciberseguridad más importante. Entre las más comunes y potencialmente peligrosas están las amenazas de malware, como el ransomware y los virus, así como las amenazas de ingeniería social, como el phishing y el baiting (por el cual los estafadores hacen falsas promesas a las víctimas).

¿Cuál es una de las principales amenazas de ciberseguridad para las redes eléctricas?
Una gran amenaza de ciberseguridad para las redes eléctricas implica ataques a los sistemas que gestionan la generación, la transmisión y la distribución de electricidad. Estos ataques podrían conducir a apagones generalizados, interrumpiendo infraestructuras esenciales, mermando la seguridad pública y dañando la estabilidad económica.