Durante el XV Foro Anual TICAR, Claudio Querol, socio asociado de McKinsey & Company y colíder de la práctica de ciberseguridad en América Latina, presentó un detallado estudio sobre el panorama actual de la ciberseguridad en el sector minero energético peruano. Su exposición se centró en la creciente relevancia que adquiere la ciberseguridad dentro de este sector y en los riesgos que enfrenta, debido a la digitalización de sus procesos y la interconexión de sus sistemas industriales.
¿Por qué la ciberseguridad es importante para el sector minero energético?
El sector está experimentando una digitalización acelerada, lo que amplía su “superficie de ataque”, aquellos puntos vulnerables por donde pueden ingresar los ciberatacantes. Actualmente, la industria minera energética enfrenta a mayores riesgos debido a la interconexión de dispositivos industriales (IoT) y el uso de computación en la nube, lo que ha generado entornos más difíciles de proteger. Las tecnologías de ataque son más accesibles que nunca, mientras que la escasez de talento especializado para gestionar la ciberseguridad agrava el problema.
¿Qué datos pueden compartir sobre los desafíos de la ciberseguridad?
Nuestro estudio revela que el 17% de los ciberataques en el Perú están dirigidos a la industria minera, un sector crucial para la economía nacional. El crimen cibernético ha crecido un 15% año a año y se estima que alcanzará un impacto global de US$ 10 trillones en el 2024, lo cual, para ponerlo en perspectiva, es equivalente a 2.5 veces el PBI de Japón. Este impacto también se ha manifestado en casos concretos de ciberataques a nivel global, como el sufrido por Fresnillo en México o Evolution en Australia, que generaron pérdidas económicas significativas y exposición de datos críticos.
¿Qué nos podría decir del nivel de madurez de la ciberseguridad en el Perú?
En colaboración con la Sociedad Nacional de Minería, Petróleo y Energía (SNMPE), McKinsey facilitó la autoevaluación en 24 organizaciones del sector minero energético: 12 minas, 9 empresas de electricidad e hidrocarburos, y 3 empresas de servicios. Los resultados indican que, si bien el sector minero energético en el Perú se encuentra cercano al promedio global en términos de madurez cibernética, existen áreas críticas de mejora. Especialmente, en la gestión de riesgos de terceros y en la respuesta ante incidentes, donde el sector aún presenta importantes brechas. En cuanto a los sistemas industriales, la situación es aún más preocupante, con vulnerabilidades marcadas como accesos remotos no controlados que representan puertas abiertas para posibles atacantes, entre otras. Por ello, es urgente adoptar una estrategia más robusta de fortalecimiento de la postura cibernética y elevar el nivel de preparación buscando mitigar estos riesgos.
¿Cuál diría que es el principal desafío que enfrenta hoy el sector minero energético en términos de ciberseguridad?
La ciberseguridad en el sector minero energético ha evolucionado significativamente en los últimos años, impulsada por la digitalización, la interconexión de sistemas antes desconectados y la automatización de procesos operativos. Aunque las empresas han adoptado medidas de segmentación entre redes industriales y de TI, monitoreo en tiempo real y políticas de seguridad más estrictas, los grandes desafíos incluyen la interconexión de sistemas industriales y la falta de talento especializado en ciberseguridad industrial, lo que hace más difícil gestionar estos sistemas.
Se habla mucho de “ciberresiliencia”. ¿Podría explicar en qué consiste y qué desafíos se enfrentan en torno a este concepto?
La ciberresiliencia implica la capacidad de una organización para responder y recuperarse ante incidentes cibernéticos. En el sector minero energético, este concepto aún es incipiente, pero está ganando importancia. La resiliencia cibernética y tecnológica en la industria minera energética enfrenta retos como la dependencia en sistemas industriales antiguos (legacy) que son difíciles de actualizar ya que muchas veces estas actualizaciones pueden interrumpir la producción.
En comparación con otros países de Latinoamérica o Europa, ¿qué tan vulnerable es el sector minero energético peruano?
El sector industrial en general, incluyendo minería, hidrocarburos y electricidad, está más retrasado en términos de ciberseguridad que el sector financiero, que ha sido el objetivo principal de los ciberataques durante años. Las vulnerabilidades en minería se han incrementado debido a la digitalización y la interconexión de procesos que antes estaban aislados. En comparación con otros países, el Perú está en un nivel similar al de otros países latinoamericanos. Sin embargo, la ciberseguridad en el sector minero energético tiene una dispersión significativa: algunas empresas están muy avanzadas, mientras que otras están más rezagadas.
Mencionó la falta de talento especializado. ¿Cuán preparados están los directivos y empleados en las empresas mineras para enfrentar los riesgos cibernéticos?
Los colaboradores más cercanos a la tecnología, como los equipos de TI o los responsables de sistemas de control industrial, suelen estar bastante actualizados sobre ciberseguridad. Sin embargo, a medida que uno asciende en la organización, el conocimiento y la concientización disminuyen. Los directivos y las personas que no están directamente relacionadas con tecnología a menudo tienen una menor conciencia de los riesgos. Es crucial que las empresas implementen programas de capacitación personalizados, adaptados al rol de cada colaborador, para mejorar la concientización y preparación en todos los niveles. Las simulaciones de ciberataques, como los ejercicios “tabletop” o “war games”, han demostrado ser herramientas efectivas para crear conciencia y formar buenas prácticas.