La ciberseguridad OT gana relevancia a medida que se acelera la convergencia entre TI y OT (tecnologías operativas) en la industria en Chile. Este cruce, aunque necesario, también eleva los riesgos. En una nueva Mesa de Trabajo de Revista Gerencia, ejecutivos y especialistas en Ciberseguridad Industrial ahondaron en los desafíos que en esta materia enfrentan los entornos industriales.
Observando el estado actual de la madurez de la ciberseguridad OT en Chile, Gonzalo Rojas, OT Cybersecurity Business Development Engineer de Fortinet, destaca que nuestro país siempre ha estado un poco encima del promedio en Latinoamérica. “Son pocos los países que tienen regulación en ciberseguridad aplicada a entornos industriales, y acá contamos con la Ley Marco de Ciberseguridad, que ya empezó a instalar el tema a nivel directivo. Aun así, no estamos al nivel de regiones como Europa. Falta avanzar en regulación específica y, sobre todo, en acercar la ciberseguridad OT al negocio. Todavía hay brechas importantes en el entendimiento del tema, tanto a nivel técnico como directivo”, detalla.
Estas leyes ayudan a visibilizar la urgencia del tema. “Permiten que el directorio, los clientes y las organizaciones en general entiendan que este tema llegó para quedarse, y que hay que empezar a trabajarlo desde ya”, agrega Cristian Berríos, Regional Director Cybersecurity Services de Sonda.
“La visibilidad en las redes OT es fundamental. Como se dice, no se puede proteger lo que no se ve. Sin esa visibilidad, las organizaciones solo reaccionan ante los síntomas de un incidente, en lugar de abordar el problema de raíz”
En términos de madurez, Chile hoy tiene cerca de un 88% de digitalización, estamos en buena posición dentro de Latinoamérica, y seguimos mejorando año a año, según el índice global de la ITU, lo que implica que estamos conectando cada vez más sistemas, industriales y no industriales, explica Alfredo Rolando, Gerente de Tecnología de Siemens. “Eso exige mayor atención y colaboración entre todos los sectores. Tenemos avances importantes: la Ley 21.719 de Protección de Datos basada en la GDPR y la Ley 21.663 Marco de Ciberseguridad inspirada en la directiva europea NIS2”, indica.
Según Paulo Mery, Business Development Manager de Schneider Electric, el cambio cultural es notorio. Hace siete u ocho años, las técnicas de gestión del cambio frente a la incorporación de tecnologías –no solo de ciberseguridad, sino también en áreas como el análisis de sensibilidad de datos o la maduración de data centers– eran muy limitadas.
“Mencionar un CISO era como hablar de ‘ingeniería de la NASA’. Hoy, en cambio, ya se asume la existencia del modelo CISO as a Service y está disponible en el mercado”, comenta y agrega que los indicadores “hoy reflejan que tanto los usuarios finales como las empresas integradoras están adoptando estos modelos y reconociendo su valor real”.
Índice de temas
Amenazas que impulsan la ciberseguridad OT en Chile
En el mundo corporativo, muchas veces las medidas de ciberseguridad llegan solo después de un incidente.
Al principio nadie pensaba en usar antivirus hasta que aparecieron los primeros virus. Lo mismo ocurrió con el ransomware. Como explica Mario Benedetti, Gerente de Territorio de Tenable, algo similar pasa en entornos OT: históricamente estaban aislados del mundo TI, pero hoy esas redes están interconectadas. Y en OT no solo hay válvulas y sensores; también hay servidores, bases de datos y sistemas TI que ahora están igual de expuestos.
Las amenazas que afectan al mundo TI ya están cruzando al mundo OT, y muchas organizaciones aún no toman conciencia hasta que les ocurre algo. Muchas veces, por necesidades operativas, en OT se introducen riesgos sin medir el impacto. Por ejemplo, conectar un dongle a Internet para actualizar un sistema puede dejar expuesto un entorno que antes estaba aislado. “La visibilidad en las redes OT es fundamental. Como se dice, no se puede proteger lo que no se ve. Sin esa visibilidad, las organizaciones solo reaccionan ante los síntomas de un incidente, en lugar de abordar el problema de raíz”, agrega el ejecutivo. El enfoque debe ser proactivo: entender la superficie de ataque, detectar debilidades y anticiparse a los riesgos.
No hay que esperar a que algo pase, sino actuar antes de que ocurra. A nivel mundial y en Latinoamérica, las industrias son las más afectadas. A su juicio, “los atacantes están cada vez más enfocados en encontrar dónde pueden causar mayor impacto económico, y el entorno industrial es especialmente vulnerable”. Muchas de estas compañías operan 24/7, y un ataque que detiene la producción impacta directamente en los ingresos. La interrupción no solo afecta operaciones, sino que golpea el negocio financieramente.
El profesional destaca que en la transformación digital industrial 4.0 un punto clave es procesar grandes volúmenes de datos en la nube. Sin embargo, sin una buena seguridad en el entorno industrial, las empresas no podrán avanzar en su digitalización. Según explica Jonathan Armijo, Especialista Senior Operación CS en Entel Digital, en términos técnicos, se utiliza el análisis de TTPs (Tácticas, Técnicas y Procedimientos) para entender cómo los ciberactores ejecutan sus ataques.
Actualmente, se emplean IOCs (indicadores de compromiso) e IOAs (indicadores de ataque), pero también se pueden estudiar los comportamientos para detectar cómo se llevan a cabo los ataques y por dónde ingresan. “Y aunque no se pueden aplicar parches rápidamente en el mundo OT, sí es posible implementar medidas de mitigación para gestionar las vulnerabilidades”, señala.
Además, destaca la importancia de la colaboración en la industria, como en los ISACs (Centros de Información de Compartición de Amenazas), donde se recopilan y comparten datos de TTPs, IOCs y IOAs para anticipar y contener los ataques. “Eso también se deberá reforzar en pro de anticiparnos a un posible ataque”, comenta.
Algunos retos de la ciberseguridad OT
Uno de los desafíos de la ciberseguridad OT en Chile es cómo implementar correctamente las políticas de seguridad y las buenas prácticas en el día a día, destaca el profesional de Fortinet. Esto involucra también aspectos como los contratos con integradores y otros actores, así como las herramientas de seguridad que se exigen en las operaciones para garantizar los estándares necesarios.
También hay desafíos en capacitación y concientización, “especialmente considerando que cuesta llegar a aquellos en la faena o en turnos, que a menudo no tienen acceso a un computador o tiempo fuera de su jornada laboral para tomar cursos”, detalla Smith Saavedra, Jefe Ciberseguridad OT Corporativo de Empresas CMPC.
Agrega que “los enfoques de ciberseguridad en TI y OT son muy distintos, tanto en lenguaje como en metodología, lo que puede generar problemas cuando se intenta aplicar soluciones de TI en OT, porque requieren un tratamiento diferente”. Es que hoy hay una convergencia tecnológica, pero no de recursos.
Las empresas medianas enfrentan un dilema: priorizar la ciberseguridad o mejorar la eficiencia productiva. Con recursos limitados, muchas eligen lo segundo. En las más pequeñas, la ciberseguridad rara vez es prioridad, ya que deben enfocar sus escasos recursos donde logren mayor avance, agrega el ejecutivo de Schneider Electric.
También hay una brecha digital entre el operador y el usuario de TI tradicional. El operador muchas veces no percibe ciertos actos como riesgosos porque no tiene la conciencia digital o la formación que sí existe en entornos administrativos, donde hay mayor capacitación y foco en la experiencia del cliente, según plantea Mauricio Fierro, Líder de Ciberseguridad de IBM Consulting Chile.
“Los enfoques de ciberseguridad en TI y OT son muy distintos, tanto en lenguaje como en metodología, lo que puede generar problemas cuando se intenta aplicar soluciones de TI en OT, porque requieren un tratamiento diferente”
Además, no se debe perder de vista el impacto en las personas. “Un ataque en OT puede generar consecuencias mucho más graves que en TI, afectando sistemas críticos como el eléctrico, lo que puede provocar un caos generalizado, como ya se vivió en Chile con el apagón de este año, que sin ser un ataque, fue una muestra de cómo un sistema crítico paraliza al país”, explica Emilio Villanueva, Business Development Manager Banca, Servicios Financieros y Minería de Claro Empresas. Según el ejecutivo de Tenable, cualquier impacto en OT afecta la vida cotidiana, como ocurrió en mayo de 2021 con el ataque a Colonial Pipeline, que paralizó la Costa Este de EE.UU.
“Por eso, un diseño debería empezar siempre con la ciberseguridad OT para no tener sorpresas más adelante. Es decir, el proveedor hace una propuesta y debería estar el componente de ciberseguridad ya involucrado”, explica el profesional de Siemens.
Y es clave involucrar al equipo de ciberseguridad desde el diseño de cualquier proyecto –sea una expansión o un proyecto Greenfield–. Para Smith Saavedra, “si no se considera desde el inicio la disponibilidad, el blindaje de la información y el control de accesos a terceros, es inevitable que surjan fallas en la gestión”.
“Hoy muchas empresas ya tienen proyectos en marcha y vienen los temas regulatorios a complementar este mal o débil diseño de ciberseguridad”, señala el ejecutivo de Sonda. En este sentido, se debe actuar integrando seguridad desde el inicio en nuevos proyectos y, en sistemas existentes, partir con un assessment para identificar activos, accesos y estructura de red. Con esa base, se construye un roadmap de seguridad para presentar a la compañía y mejorar progresivamente el nivel de protección, explica el profesional de IBM.
Un aspecto importante es no “llenar al cliente de ‘consolas’, sino que ofrecer soluciones compatibles y colaborativas con su base instalada, construidas sobre estándares abiertos”, enfatiza Paulo Mery. Esto permite generar confianza y facilita la conversación con clientes nuevos o existentes.
Todos concuerdan en que aún hay una brecha entre TI y OT, ya que cada área tiene necesidades y lenguajes distintos. Es muy difícil llegar a unirlas en una sola conversación, y generalmente las empresas más maduras son las que tienden a converger esta conversación. En este sentido, hoy en día el CIO tiene un rol más central para alinear ambas visiones y tomar decisiones coordinadas.
Estrategias para integrar los mundos TI y OT
Superar la histórica separación entre TI y OT requiere una estrategia clara basada en distintos pilares, coinciden los asistentes a la mesa. Hay un punto de conexión clave a nivel directivo: el riesgo. Al final del día, todo se traduce en retorno de inversión.
“Cuando hablo con alguien del área de planta, la ciberseguridad muchas veces se percibe como una obligación, casi como un ‘stopper’ para avanzar. En cambio, desde TI se busca visibilidad, pero muchas veces tampoco se comprende del todo el mundo OT”, destaca Gonzalo Rojas.
Por eso, la conversación debe centrarse en los impactos reales para el negocio y los indicadores clave de riesgo. No se trata solo de tecnología, sino de continuidad operativa y reputación. El ejecutivo de CMPC destaca que la regulación y el impulso desde la alta dirección son claves. Cuando la ciberseguridad se aborda desde el gobierno corporativo, se rompe el silo y se baja una cultura de protección transversal. Si no se respalda desde arriba, las iniciativas no maduran, explica.
Asimismo, entender “a quién le duele” el problema permite avanzar, a juicio de Mauricio Fierro. Ahí se debe llegar, ya que es un tema de riesgo y compliance: lo que debo cumplir v/s el riesgo como compañía de no proteger adecuadamente mis activos. Agrega que hoy los directorios más avanzados ya tienen la ciberseguridad como un punto permanente en su agenda. “Finalmente, los cibercriminales no distinguen entre TI, OT o Cloud. Ven una sola superficie de ataque”, agrega.
Muchas veces, la decisión de intervenir no se toma porque “todo está funcionando bien”. Pero no hacer nada puede ser riesgoso, advierte Alfredo Rolando. Si no se aíslan vulnerabilidades a tiempo, estas pueden explotar. “Actualizar sistemas en una planta no es simple: no puedes aplicar un parche de Windows si eso implica detener una operación crítica. Por eso, hay que planificar bien los momentos de intervención, como en paradas de planta programada”, detalla. En TI, los componentes como computadores tienen una vida útil corta, de tres a cinco años. En cambio, en OT, equipos como PLCs o variadores de frecuencia pueden funcionar entre 10 y 15 años. Esta diferencia implica enfoques distintos también en ciberseguridad.
En TI, la confidencialidad suele ser la prioridad. Si se detiene el ERP por un día para mantención, no pasa gran cosa. En OT, lo primero es la disponibilidad. Un reinicio puede parar la producción y generar un gran impacto. Por eso, mientras en TI se reemplaza tecnología cada pocos años, en OT ese plazo es el mínimo aceptable, añade el ejecutivo de IBM.
El rol de IA en ciberseguridad industrial
En cuanto a las tecnologías que predominan hoy en ciberseguridad OT en Chile, el profesional de Fortinet destaca que lideran las herramientas tradicionales pero esenciales: firewalls, switches, soluciones de acceso remoto seguro y visibilidad. “En empresas con mayor madurez, comienza a aparecer la discusión sobre el uso de SIEMs especializados para OT y la integración de IA como apoyo al análisis”.
Los expertos coinciden en que la IA aún no toma de forma autónoma decisiones críticas de ciberseguridad en entornos OT en Chile, ya que un falso positivo podría afectar operaciones vitales. Por ahora, su rol es asistir al operador: entender patrones de comportamiento, priorizar alarmas y apoyar el análisis sin reemplazar el criterio humano, ayudando a reducir la cantidad de información que llega a los operadores, para que puedan ser más certeros en su análisis. Siempre está el riesgo de usar IA con datos sensibles, recalcando la importancia de la veracidad del dato y la madurez del algoritmo.
El ejecutivo de Entel Digital agrega que “no confiaría un incidente completo de ciberseguridad, como un ransomware, a una IA para que lo gestione de forma autónoma. Seguimos dependiendo del operador humano, de su pericia y experiencia. La IA puede apoyar en el análisis y ayudar a estructurar la respuesta, pero aún no estamos en condiciones de delegar completamente el control. Tal vez en el futuro, sí, pero hoy todavía no”.
La IA permite estar presentes antes de la brecha o de que ocurra un incidente, entregando visibilidad sobre debilidades, vulnerabilidades o malas configuraciones, incluso en componentes como los PLC. “Además, al mirar todo el entorno IoT, la IA permite entender cómo esas debilidades se conectan y podrían formar un camino real de ataque, lo que sin esta tecnología podría tomar días, semanas o requerir un equipo completo para depurar. Por eso, ayuda a priorizar y enfocar esfuerzos donde realmente hay una problemática más crítica”, precisa Mario Benedetti.
¿Por dónde empezar a fortalecer en Chile la ciberseguridad OT?
“Antes de hacer cualquier recomendación, es esencial realizar un assessment a través de una consultoría”, explica el profesional de Siemens. De otra forma, sería irresponsable sugerir soluciones sin conocer el estado real de la infraestructura.
Desde el primer momento, incluso al ingresar a las instalaciones, hay que estar conscientes de la seguridad. Si se conecta un dispositivo en un punto no seguro, hay que hacerse responsable. La cultura tecnológica, especialmente en OT, necesita mejorar, enfatiza Paulo Mery.
Además, hay un riesgo creciente de fuga de datos -a juicio de Jonathan Armijo-, ya que credenciales, tanto personales como organizacionales, se venden en foros clandestinos. Los atacantes pueden obtener acceso a estaciones de trabajo mediante malware, comprometiendo incluso a usuarios no críticos, lo que les permite acceder a información sensible. Incluso se están comercializando vectores de comportamiento de los usuarios, lo que demuestra la demanda real de estos datos en el mercado ilegal.
Los ciberdelincuentes realizan un perfilamiento exhaustivo de sus objetivos. Analizan redes sociales, comportamiento en línea y datos personales para crear un perfil detallado. Con esta información, recién inician sus ataques, aprovechando el conocimiento previo, agrega el ejecutivo. En este sentido, es clave realizar simulaciones de crisis con la mesa directiva, explica Gonzalo Rojas. Ya con la información técnica en mano, el desafío es cómo comunicarlo a la alta dirección. A veces, el responsable de seguridad no logra transmitir adecuadamente el mensaje. En estos casos, el acompañamiento externo puede ser muy útil, asegurando que el mensaje llegue de manera clara y efectiva. Para Cristian Berríos, es fundamental realizar “tabletops” y simulaciones a alto nivel. Estas prácticas deben incluir incluso a los proveedores, así como definir cómo se comunicará el evento fuera de la organización.
Consultados sobre seguros en ciberseguridad industrial, los proveedores señalan que existen coberturas, pero suelen estar incluidas en pólizas más amplias que abordan riesgos físicos, ambientales u operacionales. Aunque algunas empresas de software ofrecen protecciones parciales, no es común ver seguros dedicados exclusivamente a ciberseguridad industrial. Hoy una brecha general de seguridad puede costar en promedio US$4,88 millones, considerando pérdidas operativas, sanciones y daño reputacional. Además, los ciberataques pueden tener motivaciones económicas, políticas o activistas, lo que hace esencial anticiparse y evaluar bien los riesgos.
