Martín Raúl Fonzo es especialista en ciberseguridad, compliance y privacidad de datos. Ha liderado proyectos de transformación digital y seguridad en empresas como Barrick, Xstrata, Banco de San Juan y Bolsa de Comercio, entre otras y es consultor de ciberseguridad para compañías en Argentina, Chile y Perú. A su vez, complementa su experiencia corporativa como docente en la Universidad Tecnológica Nacional y la Universidad de Congreso. En esta nota con ACERO Y ROCA el experto explica todo lo que siempre quisiste saber sobre minería y seguridad.

¿Qué tan expuesta está hoy la industria minera a ciberataques?

Más que nunca. Históricamente, el sector se ha centrado en la seguridad física, en proteger sus activos tangibles y a su personal en entornos a menudo remotos y hostiles, pero la rápida transformación digital ha cambiado radicalmente el panorama de riesgos. Ya no se trata sólo de proteger las redes corporativas; ahora hay que resguardar sistemas que tienen un impacto directo en el mundo físico. Un ataque puede significar pérdida de datos y la paralización de una operación completa, daños a maquinaria pesada e, incluso, riesgos para la seguridad de nuestros trabajadores. Informes recientes indican que sectores como la minería y la manufactura han visto un aumento significativo en los ataques, y la tendencia va en alza.

¿Cuáles son las principales amenazas digitales que enfrentan las empresas mineras?

Podríamos agruparlas en tres grandes categorías:

Ransomware: El objetivo es secuestrar los sistemas críticos y exigir un rescate para liberarlos. El impacto es financiero e implica pérdida de producción, que en una operación minera a gran escala puede representar millones de dólares por día. Este ataque afectó a la división Gabriela Mistral de Codelco en Chile, paralizando la operación de camiones autónomos.

Ataques dirigidos a la cadena de suministro y a los sistemas de control industrial (ICS/OT): Muchas operaciones dependen de una compleja red de proveedores y contratistas. Un atacante puede infiltrarse en los sistemas de un proveedor menos seguro para acceder a la red de la compañía minera.

Espionaje industrial y robo de datos: Las empresas mineras manejan datos de exploración geológica, planes de producción, propiedad intelectual sobre nuevas tecnologías de extracción y procesamiento y demás información valiosa. Un ataque exitoso puede erosionar la ventaja competitiva de una empresa, que ha invertido años y sumas considerables en investigación y desarrollo. El Instituto Geológico, Minero y Metalúrgico de Perú sufrió un hackeo en su base de datos, lo que evidencia la vulnerabilidad de la información sensible del sector.

¿Qué tipo de información sensible manejan las compañías mineras que podría ser blanco de hackers?

Datos financieros críticos, información estratégica y operativa, gran cantidad de propiedad intelectual en forma de datos de exploración geológica, resultados de prospecciones y estudios de viabilidad. Esta información es el fruto de años de investigación y una inversión millonaria. Si cayera en manos de un competidor, podría perder una ventaja estratégica fundamental o ver cómo se adelantan en la adquisición de concesiones prometedoras. Además, está toda la información operativa, como planes detallados de la mina y los cronogramas de producción hasta datos en tiempo real sobre el estado de la maquinaria, los niveles de procesamiento de minerales y la gestión de la cadena de suministro. Un ataque puede interrumpir las operaciones y ser utilizado para espionaje industrial, revelando nuestras capacidades y eficiencias.

No podemos olvidar los datos personales de los empleados (identificación, nóminas y datos de salud, etc). Una brecha puede tener consecuencias legales y reputacionales muy serias. Finalmente, manejamos información confidencial sobre fusiones, adquisiciones y estrategias de precios que, en las manos equivocadas, podría manipular los mercados o debilitar nuestra posición negociadora.

¿Qué rol juega la automatización y la operación remota en el aumento de los riesgos cibernéticos?

Desde una perspectiva de ciberseguridad, han expandido drásticamente la «superficie de ataque». La convergencia de las redes de TI y OT es una realidad. Los sensores de IoT, los vehículos autónomos, las perforadoras operadas a distancia y los centros de operaciones centralizados que monitorean y controlan faenas a cientos de kilómetros de distancia dependen de una conectividad constante.
Cada uno de estos puntos de conexión es una potencial puerta de entrada para un atacante, que podría explotar una vulnerabilidad en un sensor de temperatura para acceder a la red de control de toda la planta para sabotear equipos, alterar los datos de los sensores, provocando decisiones erróneas, o incluso paralizar por completo una operación a través de un ataque de ransomware.

¿Se han registrado ataques cibernéticos concretos en proyectos mineros de América Latina o Argentina?

Sí, por supuesto. En América Latina, he visto varios incidentes que han servido como una llamada de atención para toda la industria. Se han reportado ataques a compañías mineras en México y Perú. Por ejemplo, el Instituto Geológico, Minero y Metalúrgico (Ingemmet) de Perú sufrió un hackeo en su base de datos.
En el caso específico de Argentina, el panorama es un poco más opaco en cuanto a incidentes públicos y detallados en el sector minero. Sin embargo, esto no significa que no ocurran. He observado un aumento general de la actividad cibercriminal en el país, afectando a diversas infraestructuras críticas y entidades gubernamentales. Por ejemplo, ha habido amenazas y campañas de «hacktivismo», como las del grupo «Anonymous», que han anunciado intenciones de atacar a empresas mineras que operan en el país en el marco de sus protestas.

---

«La falta de noticias puede deberse a la reticencia de las empresas a informar sobre estos incidentes. En mi opinión, la amenaza es real y presente».

---

 ¿Qué debilidades suelen presentar las operaciones mineras que están en lugares remotos?

Enfrentan un conjunto único y amplificado de debilidades. Desde mi perspectiva, las más significativas son:

• Logística y cadena de suministro: La lejanía complica enormemente el transporte de personal, equipos, repuestos y suministros. Cualquier interrupción, ya sea por condiciones climáticas, problemas geopolíticos o fallas en la infraestructura, puede paralizar las operaciones y generar costos exorbitantes.
• Infraestructura de comunicaciones: A menudo, en estas zonas la conectividad a internet y las redes de comunicación son limitadas, inestables o muy costosas. Esto dificulta la implementación de tecnologías de monitoreo en tiempo real, la teleoperación de maquinaria y la comunicación efectiva con las oficinas corporativas.
• Dependencia del entorno local: Las minas remotas dependen en gran medida de las comunidades y los recursos locales. Esto puede generar tensiones sociales y una mayor vulnerabilidad a la inestabilidad política y regulatoria de la región.
• Respuesta a emergencias: En caso de un accidente grave o una emergencia médica, la distancia a centros de atención especializados es un factor crítico que puede tener consecuencias fatales. La capacidad de respuesta es inherentemente más lenta y compleja.
• Atracción y retención de talento: Convencer a personal altamente calificado para que trabaje y viva en lugares aislados por largos períodos es un desafío constante que impacta directamente en la calidad y la continuidad de las operaciones.

 ¿Cuáles son las principales medidas que una minera debería implementar hoy para proteger su infraestructura digital?

Desde mi perspectiva, la protección de la infraestructura digital en la minería actual exige un enfoque integral que vaya más allá del TI corporativo y se adentre de lleno en el corazón de la operación: la tecnología operacional (OT). Las medidas clave que implementaría sin dudarlo son:

• Segmentación de redes. Es fundamental crear una barrera clara entre el mundo del TI (correos, sistemas administrativos) y el mundo del OT (control de procesos, maquinaria autónoma). Un ataque de ransomware que paraliza las oficinas es un problema serio, pero si ese mismo ataque llega a los sistemas que controlan la planta de procesamiento o la ventilación de la mina subterránea, las consecuencias pueden ser catastróficas.
• Control de acceso riguroso. Implemento el principio de «mínimo privilegio», donde cada usuario y sistema tiene acceso únicamente a lo estrictamente necesario para su función. Esto, combinado con la autenticación multifactor (MFA), reduce enormemente la superficie de ataque. Nadie debería poder acceder a un sistema de control crítico desde una red no autorizada.
• Visibilidad y monitoreo continuo. No podemos proteger lo que no vemos. Es crucial desplegar herramientas especializadas que entiendan los protocolos industriales (OT) para detectar comportamientos anómalos en tiempo real. ¿Un PLC recibiendo comandos no autorizados? ¿Datos de sensores que no tienen sentido? Necesitamos saberlo al instante, no días después.

Finalmente, tener un plan de respuesta a incidentes bien ensayado y específico para el entorno minero. Cuando una pala o un camión se detiene por una anomalía digital, el personal de campo debe saber exactamente a quién llamar y qué información proporcionar. El tiempo es crítico y la confusión puede costar millones.

¿Los sistemas SCADA o de monitoreo geológico son vulnerables a ataques?

Sí, definitivamente. Creo que es un error pensar que los sistemas de Control de Supervisión y Adquisición de Datos (SCADA) o los sistemas de monitoreo geológico son inmunes a los ataques. Las vulnerabilidades más críticas que suelo encontrar son:

• Software obsoleto: Muchos sistemas operan con versiones de software antiguas que ya no reciben actualizaciones de seguridad, dejando vulnerabilidades conocidas y documentadas expuestas.
• Autenticación y controles de acceso débiles: No es raro ver credenciales por defecto, contraseñas poco robustas o la ausencia de autenticación multifactor, lo que facilita un acceso no autorizado.
• Falta de segmentación de red: La interconexión sin una segmentación adecuada permite que un atacante que comprometa la red de tecnología de la información (IT) pueda moverse lateralmente hacia la red de tecnología operacional (OT), donde residen los sistemas SCADA.

¿Qué tan preparado está el personal técnico de campo para identificar un ataque o anomalía?

Aquí tenemos uno de nuestros mayores desafíos y, a la vez, una gran oportunidad. Necesitamos empoderarlos para que sean nuestra primera línea de defensa en el campo. Históricamente, el personal de campo (geólogos, ingenieros de mina, operadores de maquinaria pesada) está entrenado para identificar fallas físicas o mecánicas pero la preparación para identificar un ciberataque es, en general, baja. Una anomalía digital, como un sensor que entrega datos erráticos o un equipo que no responde a los comandos, a menudo se diagnostica incorrectamente como una falla del equipo y se pierde tiempo valioso tratando de solucionar un problema mecánico que en realidad es un problema de software o un ataque en curso.
La clave está en la capacitación contextualizada, para enseñarles a reconocer las «huellas digitales» de un ciberataque en su entorno de trabajo. Por ejemplo: «¿La interfaz de tu equipo muestra un mensaje extraño que nunca habías visto? ¿Los datos de telemetría del camión autónomo son ilógicos? Repórtalo inmediatamente a este número como una posible anomalía de ciberseguridad».

¿Existen normativas internacionales o protocolos específicos para ciberseguridad en minería?

Sí, ya se cuenta con un marco de referencia sólido. No existe una única regulación global obligatoria exclusivamente para la minería, pero sí aplicamos una combinación de estándares internacionales que se han vuelto cruciales.

Desde mi perspectiva, la norma más importante que se debe adoptar es la ISO/IEC 27001. Su flexibilidad nos permite aplicarla directamente a los riesgos específicos de la minería. La ISO 27001 nos obliga a establecer un Sistema de Gestión de Seguridad de la Información (SGSI) completo. Esto abarca desde las políticas administrativas, la clasificación de la información y la gestión de riesgos, hasta la seguridad de los recursos humanos y la continuidad del negocio. Es el pilar administrativo sobre el que se construye una estrategia de defensa.
En el ámbito más técnico y operativo, nos apoyamos en marcos como el del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), especialmente su Cybersecurity Framework, que proporciona un lenguaje común para entender, gestionar y expresar el riesgo cibernético. Para los sistemas de control industrial (ICS) y la tecnología operacional (OT), que son el corazón de cualquier mina moderna, la serie de normas ISA/IEC 62443 es fundamental. Se enfoca en la seguridad de las redes y sistemas de control industrial.

Aunque no tengamos una «norma minera global única», la combinación de ISO 27001 para la gestión, NIST para el marco de riesgo y IEC 62443 para la tecnología operacional nos da una cobertura muy completa y robusta.

¿Qué deberían exigir las autoridades mineras locales a las empresas en materia de seguridad digital?

Deberían exigir un enfoque basado en el riesgo, en lugar de una lista prescriptiva de controles que podría volverse obsoleta rápidamente. Esto significa requerir que las empresas mineras:

• Realicen evaluaciones de riesgos de ciberseguridad de manera periódica y sistemática. Las empresas deben demostrar que han identificado sus activos críticos, tanto en el ámbito de IT como de OT, y evaluado las amenazas y vulnerabilidades a las que están expuestos. Esto debe ser un proceso continuo, no un ejercicio puntual.
• Adopten y demuestren la implementación de un marco de ciberseguridad reconocido internacionalmente. Como mencionaba, la serie ISA/IEC 62443 es el candidato ideal para el entorno industrial minero, complementado por la ISO 27001.
• Desarrollen y pongan a prueba planes de respuesta a incidentes. No es una cuestión de si una empresa sufrirá un incidente de ciberseguridad, sino de cuándo. Las autoridades deben exigir que las compañías cuenten con planes claros y ensayados para detectar, contener, erradicar y recuperarse de un ciberataque, minimizando el impacto en la producción y la seguridad.
• Fomenten una cultura de ciberseguridad. Esto incluye la capacitación continua de todo el personal, desde los operadores en terreno hasta la alta dirección. La concienciación es nuestra primera línea de defensa.
• Establezcan mecanismos para compartir información sobre amenazas y vulnerabilidades. Las autoridades pueden actuar como facilitadores de estos ecosistemas de colaboración.

¿La ciberseguridad puede ser un factor de competitividad en el sector extractivo?

Definitivamente sí, y que no se tome como verdad absoluta, por mucho tiempo, la ciberseguridad fue vista como un centro de costos, una especie de seguro obligatorio. Esa visión ya es obsoleta. Hoy, una estrategia de ciberseguridad robusta es una poderosa ventaja competitiva porque garantiza la resiliencia y la continuidad operacional. Además, genera confianza en toda la cadena de valor. Los inversores y mercados financieros analizan cada vez más los riesgos operativos, y la ciberseguridad es uno de los principales, lo mismo que los clientes y socios estratégicos.
Finalmente, en muchos lugares, cumplir con altos estándares de ciberseguridad se está convirtiendo en parte de la «licencia social y regulatoria para operar». Ser un líder en esta área no sólo protege a la empresa, sino que fortalece su reputación y su posición en el mercado como un actor moderno, responsable y preparado para el futuro.

¿Cómo evolucionan las amenazas en función de la transición energética y el crecimiento de la minería crítica (litio, cobre)?

Esta es una de las conversaciones más importantes que estamos teniendo ahora mismo. Las amenazas están evolucionando de varias maneras clave:

• El valor del objetivo ha aumentado: Las minas de litio y cobre ya no son sólo un objetivo para el cibercrimen común que busca un rescate (ransomware). Ahora son blancos de alto valor para actores estatales que pueden buscar sabotear la cadena de suministro de un país rival, o realizar espionaje industrial para robar propiedad intelectual sobre procesos de extracción y refinamiento más eficientes.
• Los vectores de ataque son más sofisticados: Estamos viendo un mayor enfoque en atacar la cadena de suministro. ¿Para qué intentar penetrar las defensas de una gran minera si se puede comprometer a un proveedor de servicios o a una empresa de logística más pequeña y usar ese acceso como puente?
• El objetivo ya no es solo detener, sino manipular: Las amenazas más avanzadas no buscan simplemente un apagón ruidoso. Buscan manipular sutilmente los sistemas de control industrial (ICS/SCADA). Imaginen un ataque que altere ligeramente la pureza del litio que se está produciendo o que cause un desgaste acelerado y no detectable en la maquinaria crítica.

¿Qué consejo le darías a una minera junior que está por iniciar operaciones en la región?

No consideren la ciberseguridad como un lujo o un gasto para el futuro. Intégrenla en el ADN de su proyecto desde el día cero.
Es inmensamente más económico y eficaz construir una operación segura desde el principio que intentar poner parches de seguridad a un sistema ya en marcha. A la vez una base sólida en ciberseguridad protegerá su inversión y también les dará una ventaja competitiva y demostrará madurez a los inversores y reguladores. Paralelamente les diría que se enfoquen en los fundamentos, lo que yo llamo «higiene cibernética esencial»:

• Conozcan sus activos: No pueden proteger lo que no saben que tienen. Mapeen todos sus sistemas, tanto de IT (oficina) como de OT (operaciones), desde el primer día.
• Segmenten sus redes: Mantengan la red operacional (OT), que controla la maquinaria y los procesos, completamente separada de la red corporativa (IT). Un ataque de ransomware en la red de la oficina no debería poder detener un molino o un camión.
• Capaciten a su gente: El eslabón más débil suele ser el humano. Inviertan en capacitar a cada empleado, desde el gerente general hasta el operador en terreno, para que reconozcan un correo de phishing y entiendan los protocolos de seguridad. La cultura de la seguridad es su defensa más rentable.
• Planifiquen una respuesta: Acepten que los incidentes pueden ocurrir. Tengan un plan de respuesta claro: ¿A quién llaman?, ¿Cómo aíslan los sistemas?, ¿Cómo se comunican con los stakeholders? Practíquenlo antes de que lo necesiten.