Las grandes empresas minero energéticas que operan en Perú y a nivel global han experimentado un avance significativo en la digitalización de sus operaciones. Este cambio, que ha contribuido, por ejemplo, a una minería 4.0 – más sostenible, inteligente, productiva y amigable con el ambiente – también ha implicado un reto mayor: el aumento de los ciberataques dirigidos a infraestructuras críticas.
Un informe de Palo Alto Networks, empresa estadounidense experta en ciberseguridad, y el IDC Research, revela un concepto que cada vez más relevante: la “ciber-resiliencia”, definida como la estrategia orientada a garantizar la continuidad de las operaciones, mitigando las pérdidas luego de un ataque. Esta preocupación ha tomado un lugar central para los directores de seguridad de la información a nivel global y para el 78% de las organizaciones en América Latina.
«Durante mucho tiempo el mundo de ciberseguridad se ha visto desde la perspectiva meramente técnica: ¿Cuántos firewalls tenías? ¿Cuántos antivirus tenías? ¿Qué protocolos técnicos pueden protegerme? Cuando, en realidad, la ciberseguridad es un tema de políticas y de la continuidad del negocio», explica el Dr. Erick Iriarte Ahon, CEO de eBIZ, y quien participará como panelista en el próximo TICAR 2024.
«Todavía no se ha convencido a las Juntas Directivas de que esto no es solo un asunto de instalación de tecnología, sino del desarrollo de capacidades en las personas, políticas institucionales, mecanismos de resguardo y espacios de intercambio», agrega Iriarte. «Si no tengo claridad sobre cómo enfrentar un problema de ciberseguridad, no voy a poder continuar con mi negocio. En el sector minero energético hay un elemento extra: el Internet de las Cosas (IoT). Porque cuando aumento la conectividad y hago una mayor utilización efectiva de este tipo de operaciones, aumenta tu flanco de vulnerabilidad», afirma el experto.
Panorama regional
Según el estudio Evolution of Cybersecurity Latin America and the Caribbean 2023, elaborado por el Latin America and Caribbean Cyber Competence Center (LAC4), México, Brasil, Colombia, Perú, Ecuador, Chile y Argentina se encuentran entre los países más afectados de América Latina. «Estos países representan una parte importante de la población y la economía de la región, lo que los convierte en objetivos lucrativos para los cibercriminales», señala el estudio.
Aunque en los últimos diez años los gobiernos de América Latina y el Caribe – incluido el Perú – han fortalecido sus capacidades de ciberseguridad, la región aún enfrenta desafíos significativos, como limitaciones de recursos y escasez de profesionales altamente capacitados en esta área. La constante evolución de las amenazas digitales plantea interrogantes sobre la capacidad de la región para salvaguardar su espacio digital.
«En el sector minero energético hay un elemento extra: el Internet de las Cosas (IoT). Porque cuando aumento la conectividad y hago una mayor utilización efectiva de este tipo de operaciones, aumenta tu flanco de vulnerabilidad».
Dr. Erick Iriarte Ahon, CEO de eBIZ
¿Cómo avanza el Perú?
«Las empresas que cotizan en la Bolsa de Valores en el Perú están obligadas a reportar como ‘hechos de importancia’ los temas relacionados con ciberseguridad. Pero no hay ningún reporte formal en este sentido. Esto se debe a la falta de información que va aparejada al temor de no querer exponerse frente a otras empresas del sector, así como la falta de espacios de intercambio en un ambiente seguro», explica Iriarte.
«En general, la industria peruana es extremadamente vulnerable por diversos factores», agrega el experto. «No es obligatorio contar con estándares o políticas de ciberseguridad, y quienes lo tienen suelen ser empresas con matrices extranjeras o aquellas en sectores donde la normativa es estricta, como el bancario. Este es un primer problema: la falta de obligación normativa».
Iriarte agrega un tercer punto: «Lo que gasta la industria bancaria – principal víctima de intentos de ciberdelincuencia – es entre un 10% y un 15% de su presupuesto anual en ciberseguridad. Si bien es cierto que no es igual al sector minero, por ejemplo, un ransomware (una forma de malware que bloquea al usuario de sus archivos o su dispositivo, y luego exige un pago para restaurar el acceso) puede paralizar la operación de una mina. ¿Cuánto dinero se pierde por día? Y, además, existe un factor humano: escasez de personal especializado en esta materia, y estamos importando especialistas en seguridad».
«Los ciberdelincuentes habían implementado una estrategia medianamente sofisticada que involucraba la creación de sitios web falsos de medios reconocidos, donde publicaban noticias falsas sobre una iniciativa de Antamina para atraer inversionistas».
Rafael Estrada, gerente de Tecnología de Información, Telecomunicaciones y Control de Procesos en Antamina
¿IA: una amenaza más?
La aparición de herramientas impulsadas por Inteligencia Artificial (IA) para crear contenido fraudulento indica que los cibercriminales están utilizando tecnología avanzada para automatizar sus ataques. Esto podría dificultar que las medidas de seguridad tradicionales detecten y mitiguen eficazmente estas amenazas, como se explica en el estudio mencionado.
En este contexto, Rafael Estrada, gerente de Tecnología de Información, Telecomunicaciones y Control de Procesos en Antamina, compartió su experiencia en la gestión de ciberseguridad y el impacto de la desinformación generada por IA en el sector minero. La situación se tornó crítica cuando el CEO de la compañía, Víctor Gobitz, y otros empleados detectaron «contenidos falsos en redes sociales» que comprometían la reputación de la empresa.
«Los ciberdelincuentes habían implementado una estrategia medianamente sofisticada que involucraba la creación de sitios web falsos de medios reconocidos, donde publicaban noticias falsas sobre una iniciativa de Antamina para atraer inversionistas», explicó Estrada. Un video falso de Gobitz, creado con inteligencia artificial, invitaba a invertir en un negocio ficticio, generando preocupación y consultas sobre su autenticidad.
Como sugiere Iriarte, es esencial desarrollar capacidades en los trabajadores, realizar ‘ciberejercicios’ y simular ataques como el phishing (utilizar correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas y hacer que compartan datos confidenciales), tal como las empresas se preparan ante terremotos o situaciones de emergencia.
Frente a esta situación, Antamina activó un «equipo multidisciplinario». El equipo legal presentó denuncias ante las autoridades, mientras que el área de ciberseguridad y comunicación implementaron un sistema de monitoreo en redes sociales. «Hemos estado eliminando las publicaciones en un promedio de 24 a 48 horas, logrando reducir significativamente los incidentes», destacó Estrada.
Además, el representante de Antamina subrayó que este no fue un caso aislado, ya que la compañía había anticipado el riesgo de desinformación. «El Foro Económico Mundial identificó, por primera vez, a través de su Global Risk Report, el riesgo de mala información y desinformación – información falsa persistente creada con medios artificiales – como uno de los más importantes a nivel mundial», afirmó.
Colaboración: lección aprendida
Las lecciones aprendidas incluyen la importancia de un enfoque colaborativo en la ciberseguridad. «La ciberseguridad requiere un trabajo multidisciplinario, estructurado y constante. Es fundamental que cada empresa desarrolle sus propios mecanismos de ciberdefensa y mantenga campañas de concientización activas», recomendó Estrada.
Con el avance de la IA, Antamina se está adaptando a nuevas amenazas. «Necesitamos incorporar herramientas que nos permitan analizar el comportamiento de las identidades digitales y actuar de manera preventiva», dijo. Para Estrada, los equipos de ciberseguridad deben estar involucrados desde el diseño de nuevas tecnologías para evaluar sus riesgos desde el inicio.
«En el futuro, la ciberseguridad se debe abordar desde un enfoque de gestión de riesgos y con un trabajo constante entre las áreas de la organización», enfatizó, recalcando que no existe un esquema infalible, pero sí la posibilidad de mejorar continuamente las defensas.
Por ello, como sugiere Iriarte, es esencial desarrollar capacidades en los trabajadores, realizar ‘ciberejercicios’ y simular ataques como el phishing (utilizar correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas y hacer que compartan datos confidenciales), tal como las empresas se preparan ante terremotos o situaciones de emergencia.
Por último, ambos expertos coinciden en hacer un llamado a la industria para que trabaje unida en la construcción de un entorno más seguro. La necesidad de adoptar un enfoque integral y colaborativo en ciberseguridad es urgente, no solo para la protección de las empresas, sino también para el bienestar del sector minero energético en su conjunto.
Contenido en colaboración con la Sociedad Nacional de Minería, Petróleo y Energía (SNMPE).
