La ciberseguridad en el sector minero

RESUMEN

Las amenazas cibernéticas están evolucionando y aumentando a un ritmo alarmante para la industria minera, así como también  para otras industrias intensivas en activos. Comprender el panorama actual de los riesgos cibernéticos en la minería y las amenazas que traen consigo las nuevas tecnologías es fundamental para planificar operaciones fiables y resistentes.

Hoy en día, la gran mayoría de  las organizaciones mineras son digitales por defecto. En un mundo cada vez más conectado, el panorama digital es vasto, y cada activo que posee o utiliza una organización representa un nodo de la red. Con el aumento de la inversión en activos digitales y la dependencia de los sistemas de control para operaciones eficientes, la superficie de ataque en la industria minera es cada vez mayor.

En este artículo se presenta este nuevo riesgo que está afectando a toda la industria y particularmente al sector minero, para que los ejecutivos estén conscientes de su existencia y puedan comenzar a establecer planes que les permita gestionarlos y establecer medidas e inversiones de corto y largo plazo para minimizar o mitigar sus consecuencias.

SUMMARY

Cyber ​​threats are evolving and increasing at an alarming rate for the mining industry, as well as other asset-intensive industries. Understanding the current landscape of cyber risks in mining and the threats brought by new technologies is critical to planning reliable and resilient operations.

Today, the vast majority of mining organizations are digital by default. In an increasingly connected world, the digital landscape is vast, and every asset that an organization owns or uses represents a node on the network. With increasing investment in digital assets and reliance on control systems for efficient operations, the attack surface in the mining industry is growing.

This article presents this new risk that is affecting the entire industry and particularly the mining sector, so that executives are aware of its existence and can begin to establish plans that allow them to manage them and establish short and long-term measures and investments to minimize or mitigate its consequences.

INTRODUCCIÓN

Hace 50 años atrás la minería basaba sus operaciones minero-metalúrgicas fundamentalmente en la fuerza laboral. En la actualidad y en pleno siglo XXI la industria minera está casi totalmente automatizada, robotizada o digitalizada lo cual ha permitido reducir considerablemente los accidentes laborales y riesgos a las personas, al mismo tiempo que ha permitido aumentar la productividad y rentabilidad de las empresas al reducir las pérdidas y mejorar la disminución de los costos de operación.

Pareciera que fuera ayer la era de las computadoras, los CD y los casetes, sin embargo hoy hablamos de digitalización, los virus, de la nube, las redes, de la robótica y la cibernética y no sabemos que otras sorpresas nos traerá el desarrollo y la innovación tecnológica en estas materias.  Lo anterior ha traído un nuevo tipo de riesgo que desconocíamos y es labor de los empresarios de las empresas mineras-metalúrgicas comprender este panorama de las amenazas cibernéticas, ya que a partir de este conocimiento deben ser capaces de desarrollar un plan claro y conciso que forme parte de su hoja de ruta digital y de su plan de gestión de riesgos.

La alta administración de estar consciente de este nuevo riesgo y debe tener la capacidad para formular planes claros y precisos que les permitan gestionar los “ciberriesgos” detectados, así como también establecer las inversiones estratégicas necesarias a corto y largo plazo para minimizar o mitigar sus consecuencias.

No cabe duda de que la pandemia ha afectado a los diversos sectores de la economía a nivel mundial. Las empresas se vieron obligadas a modificar o cambiar su modelo de negocio enfocado hacia la digitalización y muchas de ellas se tuvieron que adaptar al teletrabajo a distancia. En particular, la industria minera ha dado un paso relevante hacia la automatización e inmersión tecnológica. Sin embargo, esto ha generado una mayor vulnerabilidad ante los delitos cibernéticos. Así, la industria minera ha tenido que revisar sus futuras estrategias de negocio en un nuevo panorama digital y han tenido que destinar millones de dólares para evitar ataques cibernéticos a sus operaciones.

Pero esta inversión en digitalización también ha traído beneficios, ya que gracias a la automatización y digitalización en sus modelos de producción, las empresas mineras se dieron cuenta que pueden reducir sus costos e impulsar proyectos más eficientes. Las compañías mineras y metalúrgicas que operan de forma remota han descubierto también que la tecnología les ha permitido mitigar los impactos de la pandemia, reduciendo la presencia de sus trabajadores en las zonas de operaciones y con ello sus  posibilidades de contagios, permitiendo al mismo tiempo el control y monitoreo remoto de sus operaciones.

Lo anterior, exige también que las empresas mineras se hagan cargo del cambio cultural que traerá esta nueva manera de hacer las cosas y tendrán que preparar a sus trabajadores en tener conciencia de los futuros riesgos cibernéticos que podrían aparecer. Los servicios de seguridad, además, deberán incluir protección de seguridad predictiva y profunda, control, alertas, capacidades de remediación, respuesta al incidente, análisis posterior al incidente y costos mensuales predecibles para prevenir los ciberataques, los cuales pueden afectar muy fuertemente la producción y el gasto operacional.

En los últimos cuatro años el número de violaciones cibernéticas reportadas por las compañías minero-metalúrgicas han aumentado considerablemente. Pese a que la ciberseguridad ha pasado a ser un actividad relevante para estas compañías, solo un porcentaje muy bajo (alrededor del 10%) de los ejecutivos se muestran muy  preocupados por este  tema y han  tomado acciones para contrarrestarlo.

En esta línea, los expertos han sido enfáticos en señalar que es importante que las empresas cuenten con modelos y aplicaciones de tecnología de la información, tales como machine learning, inteligencia artificial y big data, entre otros, los cuales permiten construir modelos predictivos para identificar las amenazas y poder así prevenir los riesgos, en otras palabras, poder anticiparse a la actividad de los hackers.

LA PREVENCIÓN DE RIESGOS CIBERNETICOS

Aunque los costos son elevados, especialistas en la materia señalan que un sistema de seguridad cibernético es fundamental dentro del sector minero. No se trata solamente de una inversión tecnológica, lo más importante es la concientización de todos los trabajadores respecto de este nuevo riesgo y muy especialmente de los Altos Ejecutivos de las empresas. Todos en la empresa deben comprender que la ciberseguridad debe estar dentro de sus riesgos, en sus planes de inversión, en sus políticas y en sus metas.

En el competitivo mercado global actual de las materias primas y productos manufacturados, la dependencia de los recursos naturales para el desarrollo económico y la fluctuación del clima geopolítico, han contribuido a convertir las compañías minero-metalúrgicas  en industrias objetivo para el espionaje cibernético y  en algunos casos extremos, de disruptivos y destructivos ciberataques. Estas campañas de ciberespionaje están diseñadas para asegurar que los grupos de interés tengan acceso a los últimos conocimientos técnicos y de inteligencia de las compañías, para así mantener una ventaja competitiva y prosperar en una economía global impulsada por el mercado.

Solo durante este año 2021 en los Estados Unidos han ocurrido una serie de ataques cibernéticos, los cuales han levantado las alarmas en el país. Algunos de los ataques más relevantes son:

• Colonial Pipeline: el 8 de mayo de este año un ataque cibernético provocó el cierre temporal de uno de los oleoductos más grandes de USA, provocando un aumento significativo del precio de la gasolina por sobre los 3 dólares el galón.
• SolarWinds: A fines de mayo pasado se produjo una filtración de los datos de un proveedor de software.
• Policía DC: Los archivos personales de algunos agentes del Departamento de Policía de Washington DC fueron intervenidos.
• Pulse Secure VPN: Al menos 5 agencias civiles federales fueron atacadas según un funcionario de la Agencia de Ciberseguridad de Estados Unidos.

Todo lo anterior ha hecho que Estados Unidos declare estado de emergencia nacional tras los ciberataques que han ocurrido en esta y otras grandes compañías del país.

La industria minera también está bajo esta amenaza de los ciberataques dirigidos, que explotan su posición estratégica en las cadenas globales de suministro. Altamente coordinados, los ataques son lanzados por un amplio conjunto de grupos especializados, que van desde “hacktivistas” a gobiernos hostiles y criminales organizados. Estos grupos han aprendido cómo aprovechar el importante papel que desempeñan los productos de la minería en las cadenas de suministro regionales y globales y como pueden afectar las economías nacionales, y saben cómo explotar las vulnerabilidades a las que las empresas mineras están expuestas debido a la fuerte dependencia de los sistemas integrados y automatizados que poseen. Estas campañas de ciberespionaje están diseñadas para asegurar que los grupos de interés tengan acceso a los últimos conocimientos técnicos y de inteligencia, para así mantener una ventaja competitiva y prosperar en una economía global impulsada por el mercado.

La industria minera está bajo la amenaza de los ciberataques dirigidos, que explotan su posición estratégica en las cadenas globales de suministro y de esta manera poder intervenir en los precios de los insumos y suministros que requiere la industria minera afectando de esta manera los precios de los productos finales y la competitividad de las empresas.

Los ciberataques no son un problema específico de las TI; tienen un profundo impacto en las operaciones diarias del negocio, como son las paradas operativas, daños a los equipamientos, a la reputación y confianza de los clientes, pérdidas financieras, de propiedad intelectual, de ventajas competitivas, riesgos para la salud y la seguridad, etc. Los ciberdelincuentes actuales no sólo van tras el dinero y la información financiera; han evolucionado no sólo en términos de capacidad técnica y sofisticación, sino que son cada vez más conscientes del valor de los datos confidenciales robados, de cómo pueden cuantificarse económicamente y cómo pueden influir en la dinámica de un negocio.

Cuando analizamos por qué la industria minera podría ser un objetivo viable e importante para los hackers, nos damos cuenta que podrían existir al menos tres factores importantes que podrían explicarlo:

• El aumento y la continua importancia de las materias primas que se cotizan en los mercados internacionales.
• La dependencia de los recursos naturales para el desarrollo económico de los países.
• La importancia que tiene la industria minero-metalúrgica en la política interna de los distintos países.

El sector de la minería es tanto un objetivo socio-geopolítico como económico para los hackers. Los protagonistas de las amenazas que están detrás de las campañas de ciberespionaje están cada vez más interesados en aprender acerca de las políticas de cada gobierno, las decisiones y los procesos de toma de decisión de los ejecutivos de las empresas, pero también tratan de obtener una ventaja competitiva mediante la interrupción de alguna ventaja de un competidor.

Desde el punto de vista económico la industria minera es un sector tremendamente influyente y que se ve afectado o puede afectar la economía mundial. Uno de los aspectos que la industria debe hacer frente permanentemente es la variabilidad de los precios de los productos e insumos que van a afectar su productividad, rentabilidad y competitividad.

En aquellos países altamente dependientes de la variabilidad de la demanda y por ende de los precios del producto final, una caída de la demanda puede provocar una fuerte desaceleración económica. Esta dimensión pone de relieve la vulnerabilidad de la economía de algunos países con cualquier perturbación que afecte a un elemento clave de la economía como es la minería.

Por otro lado contar con  información privilegiada sobre los datos de precios de una compañía determinada puede ayudar a un competidor a apropiarse de un acuerdo de venta pujando para competir, o a un comprador para negociar un mejor precio de compra. La información de los clientes es otro objetivo prioritario del robo de datos. Los competidores pueden utilizar la información robada de los clientes para retener las ventas futuras.

Dado que los  precios de los metales se determinan por el peso de una unidad estándar de los productos refinados, las compañías mineras pueden vender sus productos en diferentes niveles de refinado debido a las limitaciones de producción, capacidad de transporte, o para satisfacer las necesidades del cliente. Es importante considerar que existen dos dimensiones críticas en la fijación de los precios: la facilidad de transporte (capacidad de mover los minerales extraídos) y la homogeneidad o calidad del producto (grado de estandarización), que en última instancia determina el precio negociado entre el comprador y el vendedor.

Finalmente, existen los hacktivistas con conciencia ambiental que protestan por los efectos de la minería en los hábitats de vida silvestre, humana y en general en el medio ambiente y se encargan de tomar represalias para infligir daño a las empresas mineras que a su juicio causan daño al medio ambiente o a las comunidades aledañas. En este sentido los ciberataques ofrecen a estos grupos de activistas una nueva manera de generar pérdidas o interrumpir las operaciones mineras.

CONCLUSIONES

• Las amenazas cibernéticas están evolucionando y aumentando a un ritmo alarmante para la industria minera.
• Los ejecutivos de las empresas mineras deben comprender el panorama actual de los riesgos cibernéticos en la minería y actuar rápidamente para tomar acciones preventivas.
• La alta administración de estar consciente de este nuevo riesgo cibernético y debe tener la capacidad para formular planes claros y precisos que le permitan gestionar estos riesgos lo antes posible.
• La inversión en digitalización ha traído tremendos beneficios a la industria minera, pero hay que tener presente que estos pueden generar también riesgos cibernéticos los cuales pueden afectar muy fuertemente la producción y el gasto operacional.
• El tratamiento de los riesgos cibernéticos requiere de la concientización de todos los trabajadores respecto de este nuevo riesgo y muy especialmente de los Altos Ejecutivos de las empresas.
• La industria minera también está bajo esta amenaza de los ciberataques dirigidos, que explotan su posición estratégica en las cadenas globales de suministro.
• El sector de la minería es tanto un objetivo socio-geopolítico como económico para los hackers.
• También existen los hacktivistas con conciencia ambiental que protestan por los efectos de la minería en el medio ambiente.

REFERENCIAS

• Cámara minera chilena, Webinar Proteccion cibernética para el Sector Minero, 12 de mayo 2021
• CNN, Los 6 ataques informáticos a objetivos gubernamentales y empresariales en EE.UU., mayo 2021.
• Nivel 4Labs, Ciberseguridad en minería, los principales riesgos a informar, mayo 2021.
• Francisco Galarrete, AXUS, Más del 90% del ciberataques en la industria minera corresponden a espionaje industrial, junio 2020.