Análisis de ciberseguridad de la EPM

Abstract

El presente informe técnico aplica los fundamentos del seminario de ciberseguridad organizacional al análisis de la empresa pública de Medellín EPM, empresa industrial y comercial del estado colombiano, operadora de infraestructura critica en los sectores energéticos de gas natural y agua potable y telecomunicaciones para más de cuatro millones de usuarios en Colombia y en varios países de latino América. EPM constituye un caso de estudio de alto valor académico, dado que en diciembre de 2022 fue víctima de un ataque de ransomware ejecutado por un grupo criminal llamado BlackCat/ALPHV, el cual comprometió sus sistemas administrativos y digitales interrumpió servicios de atención al cliente y genero la exfiltración de más de 500GB de información confidencial. El análisis se estructuro en tres componentes identificación y clasificación de activos de información evaluación de riesgos mediante una matriz activo, vulnerabilidad impacto y propuesta de controles de seguridad alineados con la ISO/IEC 27001 (ISO, 2013), el NIST y el estándar IEC 62443 para entornos industriales al análisis de la EPM y su condición de infraestructura critica la convierte en un objetivo de alto valor para ransomware y de ciberataque lo cual el ataque que sufrió afecto gravemente sus operaciones administrativos y suspendió su portal web y aplicación móvil y se identificaron ocho activos de información estratégica clasificada en niveles críticos. También se identificaron entre los ocho activos seis de ellos de niveles críticos y altos. Entre ellos los sistemas de SCADA/ICS, el ERP corporativo SAP y los centros de datos propios. Se construyo una matriz de riesgos de ocho amenazas priorizadas, siendo el ransomware sobre seguridad alineados con ISO/IEC 27001, NIST e IEC 62443 destacando la segmentación de redes OT/IT, la evidencia que la EPM ha fortalecido su postura de seguridad tras su incidente, pero persiste brechas críticas en la convergencia OT/IT y en la cultura organizacional de ciberseguridad. Según la ISO (2013), la gestión de riesgos permite proteger los activos críticos de una organización. La convergencia OT/IT incrementa la superficie de ataque en infraestructuras críticas (IEC, 2013). El framework NIST (2018) establece funciones esenciales para la gestión de incidentes de ciberseguridad. La Ley 1581 de 2012 regula la protección de datos personales en Colombia (Congreso de Colombia, 2012). Los ataques de ransomware representan una amenaza creciente para las infraestructuras críticas (IBM Security, 2024).