Nova Scotia Power (NSP) y su empresa matriz, Emera Inc., fueron recientemente objeto de un ciberataque que interrumpió sistemas digitales clave. Aunque la red eléctrica en sí permaneció operativa, el ataque expuso varias debilidades críticas en la infraestructura de TI empresarial de la compañía. Ha enviado un mensaje claro al sector energético: incluso cuando las operaciones físicas están seguras, las vulnerabilidades digitales pueden socavar la confianza, la continuidad del servicio y, potencialmente, la seguridad.

Cronología del ciberataque

El 25 de abril, NSP descubrió acceso no autorizado a múltiples partes de su red y servidores. La violación afectó los sistemas de TI empresarial, principalmente aquellos responsables de gestionar los datos de clientes, plataformas de facturación y comunicaciones internas. En respuesta, la compañía activó rápidamente su plan de respuesta a incidentes preplanificado, trajo expertos en ciberseguridad y trabajó para aislar los sistemas afectados para contener el radio de impacto.

Este esfuerzo de contención ayudó a evitar que el ataque se propagara a redes operativas, como los sistemas de generación y transmisión de energía. El ataque deshabilitó temporalmente varios servicios orientados al cliente, incluidos la gestión de cuentas en línea y el soporte telefónico. Muchos clientes experimentaron dificultades para pagar facturas y acceder a sus cuentas, generando preocupación pública sobre la seguridad de la información personal y financiera.

Aunque la compañía involucrada aseguró al público que la entrega de electricidad no fue afectada, el incidente levantó varias banderas rojas sobre el potencial de los ciberataques para explotar puntos débiles en los ecosistemas digitales de las empresas de servicios públicos, incluso cuando las operaciones centrales están bien protegidas. Si bien el ataque afectó los sistemas de TI, un ataque a los sistemas de OT, que son relativamente menos seguros, podría haber tenido un resultado mucho más devastador con la recuperación alargándose en semanas, si no meses, como hemos visto en el pasado. 

Impacto en la infraestructura

Los impactos más inmediatos y visibles fueron en las capacidades de servicio al cliente de la empresa:

• Portales para clientes fueron desactivados para prevenir un mayor compromiso.

• Centros de llamadas experimentaron interrupciones y largos tiempos de espera.

• Confianza del cliente se vio afectada, especialmente debido a preocupaciones sobre la posible exposición de datos.

• Coordinación interna se desaceleró ya que partes de la infraestructura empresarial de la compañía fueron cerradas o operaban bajo procesos manuales.

En ausencia de una auditoría, es difícil decir qué otros sistemas fueron impactados.

Aunque no había evidencia hasta el momento que indique que los sistemas operativos fueron comprometidos, el ataque creó muchos riesgos operacionales indirectos. Por ejemplo, las comunicaciones retrasadas con los clientes y la falta de acceso a los datos de la cuenta podrían obstaculizar la coordinación de la respuesta a interrupciones o la precisión de facturación a largo plazo. Además, los datos exfiltrados durante el último ataque podrían ser utilizados para penetrar redes en el futuro.

¿Qué podría haberse hecho para prevenirlo?

A primera vista, la violación parece haber surgido de vulnerabilidades en el entorno de TI empresarial, un segmento común, pero a menudo sin protección suficiente, de las redes de servicios públicos.  Las medidas preventivas que podrían haber reducido el riesgo o el impacto incluyen:

• Capa adicional de protección para sistemas clave

• Auditorías basadas en IEC 62443 para la infraestructura general

• Segmentación robusta de la red: Los sistemas de Tecnología Operativa (OT) y los sistemas de TI deben estar estrictamente segmentados. Aunque este ataque no violó OT, el hecho de que tal segmentación se mantuviera podría posiblemente sugerir que pudo haber sido un salvavidas.  

• Arquitectura de Confianza Cero: La confianza cero asume que ningún usuario, sesión o dispositivo se considera confiable por defecto. Al imponer una autenticación estricta y una validación continua, incluso los actores internos deben probar su legitimidad antes de acceder y retener acceso a sistemas sensibles. Este enfoque ayuda a contener las brechas antes de que escalen.

• Conciencia de seguridad y defensa contra el phishing: Muchas violaciones se originan en el phishing. Entrenamiento regular, campañas de phishing simuladas y filtrado de spam agresivo pueden reducir el riesgo de que un empleado entregue accidentalmente credenciales o instale malware.

• Monitoreo proactivo y búsqueda de amenazas: Utilizando sistemas de Administración de Información y Eventos de Seguridad (SIEM) con análisis de comportamiento, se puede detectar actividad inusual antes de que una violación se vuelva generalizada. La detección en tiempo real reduce el "tiempo de permanencia" de los atacantes en el sistema. En el lado de OT, el uso de una solución madura de Detección y Respuesta de Red OT podría ayudar en la detección temprana de amenazas.

• Gestión de vulnerabilidades e higiene de parches: Las vulnerabilidades de software no parcheadas son un punto de entrada frecuente. Un programa disciplinado y rastreado para actualizar sistemas, especialmente servicios web orientados al cliente, puede cerrar muchas brechas conocidas que los atacantes explotan comúnmente.

Fortalecimiento de la Ciberseguridad de las Empresas de Servicios Públicos con NERC CIP e IEC 62443

Para defenderse contra amenazas cada vez más sofisticadas, las empresas de servicios públicos deben alinear sus programas de ciberseguridad con estándares regulatorios y técnicos establecidos. Dos de los estándares más importantes en el sector energético son NERC CIP e IEC 62443.

NERC CIP (Protección de Infraestructura Crítica de la North American Electric Reliability Corporation)

Los estándares NERC CIP son obligatorios para las empresas de servicios públicos que operan el sistema eléctrico a granel en América del Norte. Estos estándares se centran en identificar, categorizar y proteger activos cibernéticos críticos. Las áreas clave incluyen:

• CIP-002: Identificación y clasificación de activos (gestión de inventario de activos con clasificación de activos alineada con la seguridad)

• CIP-005: Perímetros de seguridad electrónica y acceso remoto seguro

• CIP-007: Gestión de la seguridad del sistema (parcheo, NDR, antivirus, etc.)

• CIP-013: Gestión del riesgo de ciberseguridad de la cadena de suministro (enfocando la seguridad desde un punto de vista del ciclo de vida del componente y del sistema)

El cumplimiento de NERC CIP asegura que las empresas eléctricas apliquen controles de seguridad básicos en sus sistemas críticos, ayudando a reducir la probabilidad de compromiso y permitiendo una respuesta más rápida a incidentes, cuando sea necesario.

IEC 62443 (Comisión Electrotécnica Internacional)

La IEC 62443 ofrece un marco reconocido globalmente para la protección de sistemas de automatización y control industrial (IACS). Es neutral respecto al proveedor y proporciona orientación integral en múltiples niveles:

• Políticas y Procedimientos (por ejemplo, IEC 62443-2-1): Para que los propietarios de activos gobiernen eficazmente la ciberseguridad a través de un programa de seguridad IACS

• Gestión de parches en el entorno IACS: Para asegurar que los sistemas permanezcan seguros abordando las vulnerabilidades. Recomienda la gestión de parches que cubra la clasificación e identificación de parches, priorización (según el impacto o el resultado comercial), pruebas, implementación y verificación.

• Seguridad del sistema: IEC 62443-3-2:2020 establece requisitos para definir un sistema en consideración (SUC) para un sistema de automatización y control industrial

• Diseño del Sistema (por ejemplo, IEC 62443-3-3): Para integradores implementar arquitecturas seguras respaldadas por sistemas de control técnico para fortalecer la infraestructura mientras se da profundidad a las medidas de seguridad

• Seguridad de componentes (por ejemplo, IEC 62443-4-2): Para desarrolladores de productos asegurar dispositivos seguros

La IEC 62443 enfatiza niveles de seguridad basados en riesgos, haciéndola lo suficientemente flexible como para adaptarse a diferentes industrias y clases de activos. Cuando se implementa de manera efectiva, puede complementar los requisitos de NERC CIP y llenar lagunas en el proceso, diseño y gestión del ciclo de vida.

Avanzando: Un plan de seguridad para las empresas de energía

El incidente de NSP destaca una verdad urgente: la ciberseguridad en el sector energético no puede silenciarse en listas de verificación de cumplimiento o centrarse únicamente en redes operativas. Los atacantes explotarán el eslabón más débil, ya sea un servidor de facturación, un proveedor externo o un empleado no suficientemente capacitado.

Para avanzar hacia una postura más resiliente, las empresas de energía deben:

1. Tratar la seguridad de TI y OT con la misma seriedad. Los portales de clientes son tan propensos a ser atacados como los sistemas SCADA, y las violaciones en uno pueden amenazar al otro.

2. Integrar la ciberseguridad en el registro de riesgos corporativos. La seguridad es un tema a nivel de la junta directiva y debe ser presupuestado, gobernado y revisado como tal.

3. Participar en colaboración a nivel de la industria. Compartir inteligencia de amenazas y mejores prácticas a través de ISACs y asociaciones entre servicios públicos puede proporcionar advertencias tempranas y acelerar la recuperación.

4. Adoptar estrategias de defensa en profundidad. Los firewalls, la detección de endpoints, los controles de acceso a la identidad y la protección de aplicaciones tienen roles que desempeñar en un plan de defensa integral.

El ciberataque a Nova Scotia Power sirve como una llamada de atención. Aunque la empresa evitó un peor escenario que incluyera la interrupción de la red, el incidente puso al descubierto cuán vulnerables pueden ser los sistemas orientados al negocio, y cómo esas vulnerabilidades pueden afectar el riesgo operacional y la confianza pública.

Las empresas de servicios públicos deben ir más allá del cumplimiento mínimo y adoptar un enfoque basado en riesgos, alineado con estándares, para la ciberseguridad. Al adoptar ambos marcos NERC CIP e IEC 62443, y reforzar sus defensas a través de TI y OT, los proveedores de energía pueden prepararse mejor para la próxima ola de amenazas cibernéticas y garantizar la continua entrega de uno de los servicios más críticos de la sociedad: energía confiable y segura.