¿Estamos preparados para proteger nuestras infraestructuras críticas? ¿Estamos en condiciones de proteger las centrales nucleares? ¿Tenemos certeza de que la electricidad seguirá siendo distribuida desde las generadoras hasta las casas y las industrias? Son muchas las preguntas que surgen hoy a partir de los últimos eventos de inseguridad informática ocurridos en el mundo y en la Argentina.
Hace unos días los argentinos nos enteramos de que la web institucional del Ejército Argentino fue hackeada. Sumado a lo anterior, a principio de año fue público que las cuentas de correo del Ministerio de Defensa fueron también hackeadas y, peor aún, una de las afectadas fue la propia ministra de Defensa, Patricia Bullrich. Las dudas no son pocas. ¿Nadie se preguntó qué información pudo ser filtrada y a quién? ¿Qué más estará siendo objeto de hacking? ¿Qué otros sistemas estarán intervenidos y por quién? Y por estas horas se está haciendo masivo otro ciberataque de escala mundial, el ramsonware, virus especialmente diseñados para secuestrar equipos y paralizar sistemas.
Este caso deja en evidencia que el país no está preparado para prevenir o responder a simples ciberataques. De hecho, hace unos días renunció el funcionario encargado de la ciberseguridad nacional. Es decir, el encargado de protegernos. Argentina, como el resto del mundo, posee sistemas informáticos que dan soporte a sistemas industriales, es decir, los usados para controlar y operar la distribución de electricidad para que llegue de la central nuclear Atucha a las casas; y también para que el gas transportado desde Chile se entregue a hogares e industrias. En resumen, lo que está en juego ante un posible ataque son los servicios básicos de electricidad, gas, comunicaciones y transporte, por poner los más importantes. Estos sectores conforman la infraestructura crítica nacional. Entonces, si no podemos proteger la cuenta de la ministra de Seguridad, ¿cómo podemos hacerlo para evitar ataques que produzcan un apagón como el ocurrido, por ejemplo, en Ucrania a principios de año? O, en otro caso, ¿se puede estar tranquilo de que el agua que tomamos sea potable?
El país no tiene ningún lineamiento en lo que respecta a cómo proteger su infraestructura crítica. Las empresas tímidamente están empezando a tomar conciencia de lo importante que es proteger sus sistemas de control y se encuentran iniciando proyectos de evaluación de ciberseguridad.
El año pasado KPMG participó de la conferencia más importante del mundo relacionada con ciberseguridad en infraestructuras críticas desarrollada en la Universidad de Georgia, Estados Unidos, en la que se expusieron nuestras experiencias en Latinoamérica y se observó lo atrasada que se encuentra la región en la materia comparándose con otros lugares del mundo.
Vale una advertencia: en la actualidad es posible atacar el sistema eléctrico nacional como los sistemas de gas y las industrias alimenticias. Es importante que el Estado nacional empiece a adquirir conciencia de esta situación de vulnerabilidad y tome la iniciativa antes de que suceda algo grave. Ya hemos tenido recientemente ataques al sistema eléctrico pero, por suerte, fue acotado a zonas de bajo impacto.
Ya hay evidencias de que Argentina comenzó a ser atacada, pero no sabemos cuáles y cuántos de estos ataques son exitosos, cuántas redes están bajo el control de hackers esperando el momento para atacar y así provocar múltiples fallas que dejarían a nuestra infraestructura crítica seriamente dañada. Por ello, es importante tener en cuenta estas advertencias de lo que nos podría suceder si no se actúa de forma inmediata corrigiendo ciertos aspectos que exponen a la Argentina a un ciberataque. Por su parte, los países latinoamericanos deberían enfocarse en crear regulaciones de forma cooperativa, ya que parte de la infraestructura es compartida entre los países. Y es fundamental que estas regulaciones tomen en cuenta el contexto socioeconómico de cada país y de la región.
El autor es gerente IT Advisory KPMG Argentina.