Mejorar la ciber resiliencia en el sector de las energías renovables

Las energías renovables son fundamentales para cumplir los objetivos de cero emisiones, pero a medida que crece el sector, también lo hacen los aspectos susceptibles de sufrir ciberataques. Aprenda a prepararse para las amenazas emergentes y a respaldar sus ambiciones a largo plazo.

Principales ideas

  • Las empresas de energías renovables deben hacer frente a los crecientes ciberataques contra infraestructuras críticas, debido a riesgos geopolíticos, tecnológicos y de capital humano.
  • Las aseguradoras se esfuerzan por completar las lagunas de protección de este sector, lo que subraya la importancia de trabajar con un corredor que pueda asesorar sobre exclusiones y coberturas.
  • Las estrategias integrales de gestión de riesgos respaldadas por datos y análisis serán cruciales para prevenir y mitigar las consecuencias de los ciberataques.

A medida que el sector de las energías renovables se expande, sus empresas sufren ciberataques más sofisticados y frecuentes dirigidos contra las infraestructuras energéticas. Al mismo tiempo, dichas compañías también están explorando las eficiencias y los retos que introducen las tecnologías de inteligencia artificial (IA). En este entorno, las empresas de energías renovables pueden apoyarse en estrategias de gestión de riesgos y soluciones de transferencia de riesgos que se ajusten a las aspiraciones de crecimiento del sector y proporcionen protección frente a los cambiantes ciber riesgos.

Ciber riesgos para las energías renovables

En la conferencia sobre cambio climático COP28 celebrada en Dubái, más de 130 gobiernos nacionales acordaron colaborar para triplicar la capacidad mundial instalada de energías renovables hasta alcanzar al menos 11.000 GW en 2030. En este movimiento global hacia la seguridad energética, las energías renovables están llamadas a superar al carbón como principal fuente de generación de electricidad.1

A medida que crece la base de activos de las infraestructuras energéticas, las empresas de energías renovables experimentan también un aumento del número de ciberataques. La Agencia Internacional de la Energía (AIE) informa de que los ciberataques a empresas de suministros públicos han crecido rápidamente desde 2018, alcanzando niveles alarmantemente altos en 2022 tras la invasión rusa de Ucrania.

Las principales preocupaciones en materia de gestión de riesgos para las empresas de energías renovables en este panorama incluyen:

  • Pérdida de conectividad con los sistemas de supervisión, lo que provoca tiempos de inactividad imprevistos
  • Jaqueo de activos, que causa daños y/o pérdidas de ingresos
  • Denegación de acceso a los datos de planificación, que perturba la actividad de la empresa
  • Manipulación de los sistemas de control o seguridad, ocasionando lesiones o daños
  • Ataques a proveedores y subproveedores y consiguiente interrupción de la actividad dependiente2

Más artículos similares

Vulnerabilidades cibernéticas de la energía eólica

En 2022, las grandes empresas de energía eólica se vieron afectadas por ciberataques, ya que los proveedores de aerogeneradores y las empresas de mantenimiento sufrieron ataques de ransomware en sus redes.3 Un incidente provocó el mal funcionamiento de casi 6.000 aerogeneradores en Alemania y afectó a miles de compañías en toda Europa.
La tecnología obsoleta es un factor importante en lo que respecta a los riesgos de los parques eólicos. La primera oleada de parques eólicos instalados en la década de los 2000 está llegando ahora a la edad de jubilación y no cuenta siempre con una ciberseguridad que refleje el estado actual de las ciber amenazas. La vida útil de algunas de estas instalaciones también se está alargando por periodos de entre tres y cinco años, lo que las hace aún más vulnerables si no se mantienen y actualizan adecuadamente.

 

A medida que avanzamos hacia una economía orientada hacia la energía eólica, la base de activos crece y, por tanto, es probable que también aumente el número de ataques a esas instalaciones.»

Oliver Jeffs

Director, Cyber Solutions, Reino Unido

Futuros ciber riesgos

Aunque los ciberataques en el sector de los recursos naturales se han centrado anteriormente en inutilizar sistemas para extorsionar el pago de rescates, la convergencia de los sistemas de tecnología de la información (TI) y de tecnología operativa (TO) ha introducido nuevos riesgos. Hoy en día, los ataques se dirigen a la TO, como los sistemas de control industrial o los dispositivos de supervisión y de adquisición de datos utilizados en el sector de las energías renovables, para permitir la recopilación remota e in situ de datos de equipos en emplazamientos industriales lejanos, incluidos los parques eólicos. En el segundo semestre de 2022, el 74% de las 688 vulnerabilidades publicadas en sistemas ciber físicos afectaban a dispositivos de TO. Esto indica que existen puntos débiles en los sistemas de TO que los actores maliciosos pueden explotar en el futuro.4

Además, a medida que las empresas de energías renovables digitalizan sus operaciones y adoptan tecnologías nuevas y emergentes para gestionar las cadenas de suministro de energías renovables, el procesamiento de materiales y las infraestructuras, es probable que aumente su exposición a las ciber amenazas. A diferencia de las centrales nucleares y de gas tradicionales, las instalaciones renovables más pequeñas de Europa funcionan con sistemas de terceros conectados digitalmente a la red eléctrica y por debajo del umbral de control de generación de energía establecido por las autoridades de seguridad.5

La escasez de talento agrava el ciber riesgo del sector. A medida que aumenta el ciber riesgo, las empresas de todos los sectores necesitan empleados con conocimientos especializados de TI y ciberseguridad que puedan ayudar a abordar específicamente los riesgos en los sistemas de TO, y el sector de las energías renovables no es diferente.

La perspectiva de las personas también entra en juego a la hora de considerar cómo crear una buena ciber higiene y paliar las debilidades de las ciberdefensas. Los proveedores terceros pueden realizar periódicamente tareas de mantenimiento en los activos controlados a distancia. Esto puede aumentar la exposición, ya que las empresas de energías renovables pueden no ser capaces de garantizar los estándares de formación en ciberseguridad para estas personas. Por lo tanto, aumenta considerablemente el riesgo de un USB infectado in situ o del jaqueo de un correo electrónico personal que contenga información de acceso importante.

 

Las empresas deben construir y controlar su exposición potencial a través de toda una cadena de personas que potencialmente podrían estar trabajando en un proyecto o activo, lo que puede ser bastante difícil de gestionar.»

Mark Potter

Power and Renewables Industry Practice Leader, EMEA

La IA en el sector de las energías renovables: oportunidades y contrapartidas

El sector de las energías renovables ya está aplicando la IA de diversas maneras:

Previsión de la captación, almacenamiento y distribución de energía

La tecnología de IA se está utilizando para predecir la captación de energía de fuentes como la eólica y la solar. Los algoritmos de IA analizan las previsiones meteorológicas, los datos históricos de generación y las condiciones en tiempo real, lo que permite a los proveedores de energía predecir cuánta energía renovable estará disponible. Esto equilibra mejor la oferta y la demanda.

La IA también ayuda a optimizar el almacenamiento y la distribución de energía procedente de fuentes renovables. Teniendo en cuenta varios factores, como la demanda, la oferta, el precio y las condiciones de la red, los algoritmos de IA determinan los mejores momentos para almacenar energía, cuándo liberarla y cuánta distribuir.6

Desarrollo de materiales

La IA ha acelerado el ritmo de desarrollo de los materiales. Un parque eólico marino, por ejemplo, está sometido a un entorno duro y corrosivo. La innovación es necesaria para crear materiales más duraderos que puedan utilizarse rápidamente. «Thomas Edison tardó bastante más tiempo en determinar los mejores materiales eléctricos que debía utilizar cuando inventó la bombilla hace 145 años», declara Charles Philpott, Global Natural Resources Leader en el Enterprise Client Group de Aon.

El Autonomous Discovery Accelerator for Materials Innovation de Canadá es un ejemplo de IA en el ámbito de la energía. El proyecto pretende crear una plataforma modular de descubrimiento robótico de código abierto capaz de fabricar nuevos materiales para aplicaciones energéticas y probar sus propiedades.

Energía para los consumidores

También existen aplicaciones de IA para los consumidores en el sector energético. Los sistemas inteligentes de calefacción, aire acondicionado e iluminación ayudan a los consumidores a utilizar la energía de la forma más eficiente, reduciendo el gasto en suministros. A medida que la IA reduzca aún más los costes de los proveedores, este ahorro podría repercutirse en los consumidores.7

Retos de las aplicaciones de IA

Aunque beneficiosa en muchos sentidos, la tecnología de IA también puede abrir la puerta a los ciber riesgos. A los responsables jurídicos, de riesgos y de seguridad les preocupa que las tecnologías basadas en IA utilizadas por los actores maliciosos puedan aumentar el impacto, la escala o la eficiencia de los recursos de los ciberataques, al tiempo que facilitan ataques más selectivos de spear phishing y whaling.

Asimismo, los líderes empresariales están prestando atención a la expansión de los ciber riesgos en sus sistemas y redes, como el envenenamiento de datos de los modelos de IA por parte de actores maliciosos para destruir la funcionalidad y los datos del sistema. En el sector de las energías renovables en concreto, la IA proporciona nuevas herramientas a los actores maliciosos que intentan interrumpir el suministro eléctrico o extraer datos de infraestructuras críticas.8

Otra consideración importante es la demanda de energía de la IA generativa. La potencia de cálculo adicional necesaria para el rápido crecimiento de los modelos de IA y sus aplicaciones podría disparar la demanda de electricidad. La electricidad no sólo es necesaria para alimentar equipos adicionales como servidores, sino también para enfriar los sistemas tras la intensa acumulación de calor derivada del procesamiento de datos.9

Se calcula que el aumento total del consumo eléctrico de los centros de datos debido a la IA será de unos 200 teravatios-hora al año entre 2023 y 2030. Para 2028, se prevé que la IA represente alrededor del 19% de la demanda de energía de los centros de datos. A medida que aumente el interés por las energías limpias, el uso de modelos de IA podría, a su vez, aumentar la competencia por un recurso ya de por sí demandado.10

Reforzar la ciber resiliencia mediante soluciones de transferencia de riesgos

Los seguros en el sector de las energías renovables aún no han alcanzado todo su potencial, en parte debido a la incertidumbre sobre los modelos y la exposición a las catástrofes. El Grupo de Estrategia y Tecnología de Aon ha estado trabajando con las aseguradoras para evaluar las oportunidades del mercado y atraer la capacidad que tanto se necesita. Pero todavía se puede hacer mucho más colectivamente para atraer a más aseguradoras a este espacio y hacer frente a una laguna de protección cada vez mayor.

«Negociamos regularmente la inclusión de coberturas para los casos de fallos de terceros derivados de eventos cibernéticos. Tales fallos, por supuesto, pueden tener enormes efectos en nuestros asegurados directos. Una amplia cobertura de la interrupción de la actividad dependiente es vital para garantizar una sólida protección contra la exposición que se sitúa fuera de tu propio entorno tecnológico», afirma Alexander Curtis, Executive Director, Cyber & Commercial E&O de Aon. «La cobertura general de la interrupción de la actividad no dependiente de la TI está disponible para aquellos clientes que han sido capaces de articular adecuadamente la postura de seguridad de su cadena de suministro».

Los daños a la propiedad de carácter cibernético también son prioritarios para el sector de las energías renovables. El mercado de seguros patrimoniales ha excluido la ciberseguridad como factor desencadenante de las pólizas, mientras que las pólizas cibernéticas tradicionales excluyen los daños a la propiedad. Como consecuencia, ha crecido el interés por una solución de transferencia de riesgos para colmar esa laguna. Una opción es una póliza que se sitúe entre las pólizas cibernéticas tradicionales y las pólizas patrimoniales a todo riesgo, lo que puede ser beneficioso para las empresas de sectores industriales pesados que tienen una gran exposición patrimonial.

Ocho pasos para prepararse para el futuro del ciber riesgo en las energías renovables

Para mitigar las amenazas que plantea el cambiante panorama de los ciber riesgos, las empresas de energías renovables pueden:

  1. Reforzar la ciber resiliencia mediante una estrategia cuidadosamente planificada para mitigar el riesgo de ransomware dentro de la empresa. Ante el aumento del ransomware, debe prestarse especial atención a la seguridad de los sistemas de punto final. En el primer trimestre de 2023, el 57% de las empresas carecían de segregación del software al final de su vida útil, lo que amplifica las vulnerabilidades que proporcionan una puerta de entrada a los actores maliciosos.
  2. Garantizar que se han evaluado, revisado y actualizado el manual de respuesta a incidentes y el plan recuperación/continuidad de la actividad en caso de catástrofe. Deben ponerse a prueba mediante prácticas simuladas para ayudar a mejorar la capacidad de recuperación.
  3. Utilizar escenarios cibernéticos para identificar los peores resultados de los ciberataques y las vulnerabilidades existentes que pueden abordarse mediante la gestión de riesgos o transferirse a una aseguradora. Esto es clave para activos como los utilizados en la energía eólica marina, que dependen de sistemas de acceso remoto para controlar parques eólicos, los cuales son un objetivo preferente para los actores maliciosos.
  4. Evaluar los entornos de TI y TO básicos y establecer un estándar o punto de referencia de la seguridad antes de ampliarlos a los activos recién adquiridos y abordar las lagunas de control.
  5. Confirmar que los activos recién adquiridos tienen el mismo nivel de ciberseguridad que los activos que ya están en la cartera. Aon ha observado un fuerte aumento de los siniestros tras las fusiones y adquisiciones en este sector debido a que los aseguradores incorporan nuevos activos sin tomar las medidas adecuadas para confirmar que se cumplen las medidas de ciberseguridad.
  6. Supervisar y adaptarse a las nuevas y cambiantes normativas sobre ciberseguridad, como la próxima Directiva sobre redes y sistemas de información (NIS2), una legislación centrada en mejorar la ciberseguridad y la responsabilidad de los altos cargos en infraestructuras e industrias fundamentales para la economía.
  7. Trabajar con un gestor de riesgos que pueda cuantificar los posibles daños a la propiedad causados por un ciberataque y la interrupción de la actividad derivada de un activo crítico de una cartera, y superponer las exposiciones con el programa de seguros para garantizar que se ajusta a la materialidad y complejidad del riesgo.
  8. Asociarse con un corredor que pueda revisar a fondo las exclusiones de las pólizas y abordar las lagunas en la cobertura.

Obtenga más información sobre cómo las empresas de energías renovables pueden navegar por un panorama de ciberriesgos en evolución y beneficiarse de estrategias de gestión de riesgos más maduras.
1Renewables 2023 | Agencia Internacional de la Energía
2Third-Party Breaches Hit 90% of Top Global Energy Companies | Security Intelligence
3A Retrospective on 2022 Cyber Incidents in the Wind Energy Sector and Building Future Cyber Resilience | Boise State University
4Claroty Finds Fall in Published Vulnerabilities in Cyber-Physical Systems, As Disclosures By Internal Teams Rise 80% | Industrial Cyber
5Insight: Cyberattacks on Renewables: Europe Power Sector’s Dread in Chaos of War | Reuters
6Top 10 Applications of AI in the Energy Sector | FDM Group
7AI: The Secret to Unlocking the Potential of Renewable Energy? | The Renewable Energy Institute
8How Renewables and AI Drive Cyber Threats For Utilities | S&P Global
9Data Volume is Soaring. Here’s How the ICT Sector Can Sustainably Handle the Surge | Foro Económico Mundial
10AI is Poised to Drive 160% Increase in Data Center Power Demand | Goldman Sachs

Referentes de Aon

  • José María Pernía, Natural Resources National Practice Leader.
  • Verónica Jiménez Romero, Director Cyber Solutions
  • Carlos Bereciartua González, Head of Cyber Consulting.
Si quieres saber más sobre este artículo, contacta con nuestros especialistas:

¿Conoces todos los riesgos a los que se enfrenta tu organización?

Contacta con nosotros para que un especialista te ayude a dar forma a las mejores decisiones.


Entrada anterior
Informe de la Encuesta Internacional de Movilidad de Personas 2024
Entrada siguiente
Preparación de las empresas de la UE para el cumplimiento de la NIS2

Historias
de un mundo
volátil

by Aon

Descubre otros artículos que te pueden interesar

  1. Inicio
  2. Soluciones de Riesgos
  3. Mejorar la ciber resiliencia en el sector de las energías renovables
Mejorar la ciber resiliencia en el sector de las energías renovables