Tradicionalmente, la minería en el Perú, una de sus principales actividades económicas y responsable de una parte importante de las exportaciones del país, solía priorizar la atención de riesgos sociales, medioambientales y políticos en su agenda. Sin embargo, hoy el tablero de la gestión de riesgos ya presta atención a otro tópico clave para los tomadores de decisiones en el rubro: la ciberseguridad.
La preocupación por este tema es consecuencia de operaciones y procesos mineros cada vez más digitales y conectados, dicen los especialistas. Justamente, Yván Calvo, gerente de Cuentas Minería en Hitachi Energy Perú, explica que, en la última década, la minería peruana ha incorporado inteligencia artificial (IA) en procesos productivos, instrumentación inteligente en maquinarias y sensores, redes de geolocalización, estaciones centralizadas de monitoreo remoto, automatización de maquinarias y sistemas de gestión empresarial, entre otras tecnologías. Calvo asegura que estas soluciones han mejorado la productividad y eficiencia de la industria, pero también han expuesto a las operaciones mineras a nuevos riesgos en el ámbito de la ciberseguridad.
“En este contexto, se ha incrementado la inversión en ciberseguridad, destinándose actualmente entre el 15% y el 20% de los presupuestos de TI a este rubro, frente a menos del 12% hace apenas dos años. Muchas empresas mineras ya cuentan con centros de operaciones de seguridad (SOC) y avanzan hacia una cultura organizacional digital con procesos críticos digitalizados desde su diseño”, resalta Calvo.
LOS PRINCIPALES ATAQUES
¿Cuáles son las principales ciberamenazas que afectan al rubro? De acuerdo con Fabiana Ramírez Cuenca, investigadora de seguridad informática del Laboratorio de ESET Latinoamérica, la industria enfrenta los mismos riesgos que son tendencia en este tiempo. En ese sentido, asegura que el phishing es uno de los principales vectores de ataque a las operaciones mineras. “Se han detectado vulnerabilidades en sistemas de control industrial y no se descarta la presencia de hacktivistas ambientales. Por supuesto, la presencia del espionaje, al igual que en todas las industrias, es y será un problema habitual”, destaca.
El ransomware es otra amenaza presente en el sector. De acuerdo con Calvo, la supervisión en tiempo real, el acceso remoto y la automatización de procesos demandan una interconectividad que, si bien aporta importantes beneficios en eficiencia operativa, también expone a las operaciones a este tipo de ataques.
“Actualmente, el ransomware representa una de las amenazas más críticas para el sector minero en el Perú. Este tipo de ataque puede paralizar las operaciones durante horas o incluso días, generar pérdidas económicas millonarias, interrumpir la continuidad operativa, dañar la reputación corporativa y, aún más grave, poner en riesgo la seguridad de los trabajadores y el entorno ambiental. Una vez infiltrado en las redes de IT y OT, el ransomware encripta información clave y permite al atacante exigir condiciones para su liberación”, detalla el especialista de Hitachi Perú.
De acuerdo con Adriana Fonseca, directora de Industrial Automation de Schneider Electric, otro riesgo relevante está vinculada al factor humano. Ello incluye desde ataques de ransomware ocasionados por descargas inseguras hasta campañas de phishing dirigidas a vulnerar la seguridad de los trabajadores. Además, Fonseca sostiene que se han detectado casos de deepfakes suplantando la identidad de directivos para realizar fraudes, en ocasiones relacionados con falsas ofertas laborales, aprovechando el interés de profesionales por incorporarse al rubro minero (uno de los mejor remunerados del Perú).
RESPUESTA SECTORIAL
Los expertos señalan que el sector minero peruano ha transitado por una evolución significativa en su ciberprotección. Si bien el avance ha sido notable al reconocer la ciberseguridad como un habilitador crítico para el negocio y no solo como un problema técnico, el verdadero salto se está dando ahora con la integración de tecnologías predictivas.
“Hemos dejado de solo proteger lo existente (redes corporativas y sistemas OT) para adoptar un enfoque donde la IA nos permite anticipar amenazas. Esta combinación de un gobierno de ciberseguridad maduro con herramientas innovadoras nos posiciona a la vanguardia, garantizando tanto la protección de los activos como la continuidad de las operaciones”, dice Dante Cárdenas, gerente IT & OT de Minsur.
En este contexto, las mineras están adoptando diversas estrategias y planes de ciberseguridad. En Nexa Perú, por ejemplo, han desarrollado un programa multidisciplinario que combina acciones de concientización, tecnología y gestión de riesgos. “Seguimos revisando constantemente la evolución de la ciberseguridad, siempre en línea con las prioridades estratégicas del negocio. Estamos enfocados en adoptar tecnologías que ya incorporen la ciberseguridad como un requisito desde su diseño. Y mantenemos un diálogo abierto con el mercado para identificar sinergias y soluciones innovadoras que aporten a la madurez del tema dentro de la organización”, manifiesta José Carlos del Valle, CEO de Nexa Perú.
Por su lado, Summa Gold detalla que ha desarrollado un Sistema de Gestión de Seguridad de la Información (SGSI) con políticas robustas y procedimientos específicos para proteger la confidencialidad, integridad y disponibilidad de los datos críticos. De acuerdo con Juan Carlos Miljanovich, gerente de Administración y Finanzas de la compañía, este sistema contempla controles de acceso, protección de infraestructura tecnológica y protocolos para la continuidad operativa.
Actualmente, Summa Gold también está evaluando la implementación de un sistema de comunicación móvil privado (LTE o 5G privado). Al ser una red privada, Miljanovich asegura que permite un mayor control y reduce significativamente el riesgo de ciberataques a nuestros sistemas internos. “También estamos fortaleciendo nuestra estrategia de gestión de datos en la nube mediante el uso de backups inmutables, los cuales aíslan y resguardan la información ante cualquier intento de ataque. A todo ello se suma la contratación de coberturas adecuadas en pólizas de seguro, como medida adicional de protección frente a posibles incidentes de ciberataques exitosos”, dice Miljanovich.
En el caso de Minsur, Cárdenas señala que la ciberseguridad es un equilibrio entre principios probados y la innovación disruptiva. Detalla que la compañía tiene un modelo de tres pilares: personas, procesos y tecnología. “Fortalecemos nuestra cultura de seguridad a través de la capacitación constante y establecemos marcos de gobierno robustos. Al mismo tiempo, estamos integrando tecnologías de vanguardia, como un modelo de Zero Trust, que utiliza la inteligencia artificial (IA) para verificar cada acceso en tiempo real, sin importar su origen. De esta forma, nuestra estrategia no solo se limita a proteger los sistemas con tecnologías de última generación, sino que también empodera a nuestro equipo humano para ser una defensa activa y consciente en un entorno de amenazas en constante evolución”, explica.
RETOS Y DEMANDA
La industria, sin duda, tiene varios retos en materia de ciberseguridad. Según Fabiana Ramírez, de ESET Latinoamérica, uno de los principales es la brecha de talento. “La capacidad técnica del país muchas veces no alcanza a cubrir la demanda [de personal]”, dice. Además, señala que los sistemas de OT utilizados por la industria muchas veces no pasan por pruebas y búsqueda de vulnerabilidades, lo que los deja potencialmente expuestos aumentando riesgos. A ello se suma, según Ramírez y otros especialistas, que muchas empresas mineras todavía no cuentan con planes concretos de ciberseguridad, respuesta a incidentes y de continuidad operativa.
Pese a este escenario, los representantes de empresas proveedoras de tecnología coinciden en que la demanda de soluciones de ciberseguridad seguirá creciendo. “Prevemos que esta demanda seguirá aumentando, impulsada por la convergencia de tecnologías, como el internet de las cosas industriales (IIoT), la IA y el metaverso industrial”, dice Adriana Fonseca, de Schneider Electric. Esa demanda, además, se verá robustecida por una mayor cultura de la ciberseguridad en las organizaciones. De hecho, Yván Calvo, de Hitachi Perú, sostiene que esta cultura ya se ve reflejada en programas de concientización interna, cooperación internacional y la sistematización de información sobre incidentes cibernéticos específicos del entorno industrial y minero.
(forbes.pe)
