Hace un tiempo, una conocida empresa minera chilena sufrió una súbita caída total de sus sistemas. Nadie sabía qué pasaba. En Chile, los ciberataques no dejan de aumentar cada año y estos crecieron un 30% solo en el primer semestre de 2024. Parecía que este podía ser uno más.
Pero no. Lo que pasó es que un proveedor, inadvertidamente, había dejado conectada a la red una sonda de monitoreo durante la realización de unas pruebas. Nadie se dio cuenta que esta siguió ahí. Y en las 24 horas siguientes comenzó a modificar automáticamente todas las direcciones IP, alterando el normal funcionamiento de los sistemas.
No se trató de un ataque externo, si no la consecuencia de una cadena de errores internos que podrían haberse evitado con una formación y protocolos adecuados. Tampoco es un caso aislado: según información de mercado, el 60% de los ciberataques o brechas de seguridad no provienen de amenazas externas sofisticadas, sino de fallas internas no intencionales como esta. Un ejemplo de muchos que ilustra hasta qué punto la seguridad de la tecnología operativa (OT) sigue siendo una deuda pendiente en la mayoría de las empresas chilenas.
¿Por qué los errores humanos, accesos no autorizados o dispositivos mal configurados se han convertido en la cara más común –y más desatendida– del riesgo cibernético en nuestros sectores productivos?
Porque sistemas industriales pensados para durar décadas, no fueron diseñados para convivir con los desafíos que impone la hiperconectividad actual. Muchas compañías aún operan con software obsoleto como Windows XP, sin monitoreo alguno ni protocolos claros. Y cuando ocurre un incidente como el descrito, el costo no es sólo informático: puede detener una línea de producción, comprometer la seguridad física o afectar la reputación de toda la operación.
Según datos de Fortinet, en Chile el nivel promedio de preparación en ciberseguridad OT que tiene la industria no supera el 40%. Esa frágil realidad es en la cual comenzó a regir hace poco la Ley 21.663 de Ciberseguridad, que obliga a reportar incidentes en menos de 30 minutos y establece multas de hasta 40.000 UTM. Aunque el reglamento aún está en desarrollo, el mensaje es claro: las industrias críticas que aún deben ponerse al día en este frente, deben hacerlo con urgencia.
Por lo general, un plan que permita cumplir con el estándar de seguridad que exige la nueva ley toma entre 6 y 9 meses, desde el diagnóstico y levantamiento de la información hasta las pruebas y puesta en marcha. Muchas compañías, especialmente las medianas y pequeñas, son sensibles a los costos que esta actualización conlleva y tienen razón: para una organización mediana estos pueden fluctuar entre 75 y 150 millones de pesos, sin considerar costos operacionales adicionales.
Pero deben considerar también que una brecha de seguridad grave simplemente las puede dejar fuera del mercado. En América Latina, el costo promedio por filtración de datos en 2024 fue de US$ 2,76 millones, un 12% más que el año anterior. En el sector industrial ese promedio escaló hasta US$ 3,54 millones por incidente, según el Cost of a Data Breach de IBM. Entonces, o inviertes en actualización o expones a la organización a perder millones de dólares o incluso el negocio mismo.
Ahora, no se puede aplicar un modelo de TI tradicional al mundo OT. Las redes industriales requieren diagnósticos específicos, soluciones personalizadas y equipos interdisciplinarios que entiendan tanto la lógica operativa como los riesgos cibernéticos de cada organización. Aquí no existe una receta mágica, lo que se necesita es entender el proceso del cliente y hacer un buen traje a la medida.
Estamos frente a una oportunidad estratégica. Si Chile apuesta en serio por la ciberseguridad industrial, puede convertirse en un referente regional. Pero para eso se requiere inversión, entrenamiento, conciencia ejecutiva y un cambio cultural profundo. Hay que dejar de ver a la ciberseguridad como un gasto y mirarla en cambio como una garantía para seguir operando. Y como tal, debe ser parte central de cualquier estrategia de continuidad de negocios en la industria.
Por Patricio Campusano, Líder en Ciberseguridad OT de NeoSecure by SEK