ProActivo | El sector minero atraviesa una transformación digital en sus operaciones de la mano de la tecnología, a fin de reducir su huella de carbono y ser más sostenibles elevando la productividad. Sin embargo, estas innovaciones traen consigo el riesgo latente de ataques cibernéticos con la capacidad de paralizar las operaciones mineras o las actividades de una empresa, incluso a escala mundial.
En esa línea, Rafael Estrada, gerente de Sistemas, Telecomunicaciones y Control de Procesos en Antamina, se refirió al reciente informe de Riesgos Globales del Foro Económico Mundial (FEM), el cual señala que los ciberataques y la desinformación generada con Inteligencia Artificial (IA), dos ámbitos vinculados a la ciberseguridad, están dentro de los 5 riesgos clave que podrían generar una crisis material a escala global en este 2024.
Durante su ponencia titulada “Ciberseguridad en minería” en el último Jueves Minero, del Instituto de Ingenieros de Minas del Perú (IIMP), el especialista precisó que, en el referido estudio, el 95% de los eventos de ciberseguridad tienen alguna relación con errores humanos. “O sea, alguien hizo algo. Esto nos recuerda la similitud con las estrategias de prevención de accidentes en las compañías”, indicó.
La investigación del FEM revela que la minería es uno de los sectores con mayor potencial para la aplicación de innovaciones basadas en IA, automatización, operación remota, analítica avanzada, entre otros avances donde la tecnología pueda resolver desafíos. Estrada señala que son precisamente estos desarrollos tecnológicos la puerta de entrada para los ataques a las operaciones extractivas.
Debido a la alta incidencia del factor humano en ambos riesgos globales, el ejecutivo de Antamina indicó que una de cada tres empresas mineras en el mundo ha reportado haber sufrido un ataque a sus sistemas, principalmente de ransomware. “Tenemos modelos de gestión, controles de ingeniería, hasta los controles administrativos que dependen de una persona, procesos, procedimientos. También se reporta que, al día de hoy, una de cada tres empresas en el mundo ha sufrido un ataque ransomware”, sostuvo en declaraciones recogidas por ProActivo.
Estrada mencionó que el sector minero tuvo la seguridad de que los distintos tipos de software utilizados en sus operaciones eran impenetrables debido al reducido número de personas especializadas en su uso; sin embargo, con el rápido crecimiento de las IA, como ChatGPT, un hacker con poco conocimiento de sistemas mineros puede usar esta herramienta para vulnerar una red de control o un PLC.
“Pensamos que, en nuestras operaciones, como tenemos sistemas de control que son complejos, que poca gente conoce, era un poco lejano a los hackers. Pero ahora, ocurre que le podemos pedir a ChatGPT que nos ayude a hacer un script para escanear una red de control o un PLC. Lo que antes podía tomar años de conocimiento experto, ahora en segundos podemos obtener el código”, alertó.
¿Cómo prevenir ciberataques y amenazas basadas en IA?
Frente a las posibilidades del riesgo de ciberataques y de amenazas realizadas en base a IA, la primera sugerencia del representante de Antamina es abordar esta situación bajo un modelo de gestión de riesgos a nivel de la compañía, y no solo como un incidente tecnológico. “Que se gestione bajo esos modelos, donde se aplican metodologías para identificar, calificar, analizar, ver controles existentes, controles necesarios, nivel de riesgo tolerable”, indicó.
Una vez el problema se aborde desde la ciberseguridad, Rafael Estrada sugiere utilizar un enfoque integral, desplegando mecanismos para proteger los procesos y sistemas, a fin de evitar que estos se interrumpan por motivos que están fuera del control de los operarios. Esto permitirá garantizar la continuidad de las labores. Asimismo, estos mecanismos de protección permitirán gestionar la confidencialidad de los activos críticos de información, poniéndolos fuera del alcance de cualquier ataque cibernético. “Adopten un enfoque de gestión integral, donde se combinen diferentes modelos de referencia para garantizar la continuidad operativa a partir de los sistemas y la tecnología que se usa”, recomendó el especialista.
Estrada también propuso trabajar las capacidades de las personas que laboran con sistemas de control, bases de datos y herramientas de automatización, con el fin de mantener capacitado al personal y fomentar una cultura de prevención. Además, sugiere mejorar los procesos de gestión que utilice tecnología, colocando barreras de seguridad adecuadas en cada software utilizado por la empresa.
- “Hay mecanismos anti-spam, diferentes soluciones tecnológicas que tienen un rol, pero siempre bajo un modelo. Y también, muy importante, el trabajo con todos los elementos de nuestra cadena de abastecimiento”, puntualizó.