Marta Solaz es Business Information Security Officer (BISO) de i-DE, la empresa de distribución eléctrica del grupo Iberdrola. Por aterrizarlo, basta decir que forma parte de la "primera línea de defensa" de la compañía, que ofrece un servicio esencial y gestiona una serie de infraestructuras críticas que están repartidas por todo el país. Dos cosas que les convierten en un objetivo habitual de los ciberataques.

El próximo 7 de febrero Solaz participará en el VII Congreso de Inteligencia Artificial organizado por El Independiente en Alicante. Allí debatirá, precisamente, sobre cómo se puede aplicar la ciberseguridad a las infraestructuras críticas. Pero, para abrir boca, esta entrevista sirve para entender cómo una de las empresas más importantes de España se protege contra la ciberdelincuencia.

Pregunta. ¿Cuál es exactamente su labor en Iberdrola y cómo se coordinan a nivel interno todas las áreas dedicadas a la ciberseguridad?

Respuesta. El BISO es la persona que lidera la estrategia y el gobierno de ciberseguridad para asegurarse de que están alineados con los objetivos de la organización. El foco es, sobre todo, identificar los riesgos de ciberseguridad específicos del negocio, y por supuesto también cumplir con todos los requisitos de funcionamiento que tenemos, tanto a nivel interno como externo. En mi caso también soy la responsable de presentar a la dirección de i-DE los planes de riesgo que tenemos y actualizarles para que sepan cómo van avanzando.

Nosotros estamos estructurados en un modelo de tres líneas de defensa. Yo, como BISO, soy la primera porque soy la responsable de los riesgos de nuestros activos y de implantar las medidas de seguridad adaptadas a la operación del negocio. La segunda línea de defensa es el CISO (Corporate Information Security Officer), que es el responsable de definir las políticas, las normas y los procedimientos al más alto nivel. Y la tercera sería la auditoría interna.

Yo a nivel de ciberseguridad me coordino con la figura del CISO, porque soy la responsable de aterrizar en los negocios sus políticas. Y luego también nos coordinamos con una figura que llamamos CISO Global, que es la que se encarga de llevar estos asuntos en los países en los que está presente Iberdrola.


P. ¿Cuál es su enfoque para prevenir ciberataques de todo tipo?

R. Entendiendo que los riesgos no se pueden eliminar del todo, sí se pueden reducir. Y nuestra estrategia se basa en la prevención. Tenemos que prevenir los ataques antes de que ocurran, y para ello tenemos que identificar cómo tenemos nuestros activos y qué nivel de riesgo tenemos, y en base a eso protegernos. Para ello establecemos una serie de controles que nos permiten detectar cuanto antes los ataques y responder de forma rápida para recuperarnos. Y si el incidente se materializa, también nos ayudan a que tenga el menor impacto posible.

La clave es la mejora continua. Tenemos que tener todos nuestros activos identificados correctamente durante todo su ciclo de vida para detectar si hay vulnerabilidades. También hacemos auditorías y evaluaciones constantemente. A nivel de detección tenemos herramientas de monitorización avanzadas para detectar de forma temprana los incidentes. Y también mantenemos una relación muy estrecha con los terceros con los que trabajamos, porque la mayoría de ataques llegan a través de la cadena de suministro y tenemos que evitar que sean el eslabón más débil.


P. Al hilo de lo anterior, ¿cómo están usando la IA para protegerse?

R. La IA nos ayuda porque nos da capacidades adicionales, sobre todo en la vertiente de detección. La usamos en algunas de las herramientas de monitorización para identificar patrones irregulares o poco habituales muy rápido, y así evitar que se materialicen en un incidente de ciberseguridad. Al final lo que nos permite es correlacionar muchos datos y eventos y sacar conclusiones.

A nivel de servicios de inteligencia la capacidad de esos algoritmos de procesar datos nos ayuda para tomar decisiones rápidas y automatizar determinadas acciones. Y también usamos la IA en el entrenamiento para simular ataques y probar que nuestras infraestructuras están seguras.


P. ¿Qué protocolos ponen en marcha cuando detectan que han sufrido un ciberataque? ¿Y de qué manera investigan lo sucedido?

R. Es fundamental estar bien organizados, y tener muy bien identificados los roles y responsabilidades para responder de forma rápida y eficiente. Por supuesto tenemos planes de gestión y respuesta ante incidentes, y como nuestra infraestructura es crítica también tenemos planes de recuperación ante desastres para que el proceso sea lo más rápido posible y tenga el menor menor impacto en el ciudadano.

Luego, como he comentado, el entrenamiento es fundamental. Tenemos que testear todos los procedimientos para tener muy bien definidos los roles de cada uno en el en el momento de crisis. En ese sentido, la formación de nuestros empleados nos da una base sólida, y luego lo completamos a nivel estratégico para responder rápido. Es la única manera de reducir tiempos, porque al final no se trata de si te van a atacar, sino de cuándo.

P. ¿Cómo de habitual es que sufran ciberataques?

R. La detección de incidentes es continua, aunque en la mayoría de casos los ataques no se materializan y no nos impiden operar. El phishing, por ejemplo, está super extendido. Y se ha incrementado con la inteligencia artificial, porque desde que se lanzó ChatGPT en 2023 estos ataques han aumentado un 138%. De hecho, el 90% de los ciberataques en las empresas empiezan con un email de tipo phishing.

Por eso es muy importante que todos los empleados y los terceros con los que trabajamos estén concienciados para que cualquiera pueda reportar un problema. Nosotros hacemos simulacros de forma constante para saber detectar los mails maliciosos.

P. ¿Cómo detectan que están sufriendo un ataque?

R. Hay distintos síntomas que podemos detectar a través de nuestros sistemas de monitorización avanzados, desde comportamientos anómalos en los sistemas hasta correos con volúmenes altos desde una dirección concreta. Los más grave que puede pasar es que no puedas operar en tus sistemas porque han accedido a los datos de tus servidores y los han encriptado. Y te piden un rescate para desencriptarlos y que vuelvan a ser operativos.


P. En ocasiones los ciberdelincuentes consiguen datos de una empresa atacando a los proveedores externos de la compañía. ¿Cómo se coordinan con ellos para tratar de estar preparados?

R. El resumen sería que los ciberatacantes han identificado que la cadena de suministro puede ser la manera más fácil de llegar a empresas como la nuestra y poder tener un impacto mayor en el ciudadano. Pero, por otro lado, nosotros necesitamos a los suministradores para desarrollar nuestras actividades. Dependemos de ellos para el suministro de software, hardware, servicios...

Es algo fundamental, y más ahora con la transposición de la directiva NIS2 a nivel europeo. La gestión de terceros es un riesgo que está incrementándose. Hay distintos informes a nivel nacional e internacional que muestran que el 60% de los ciberataques empiezan en la cadena de suministro. Nosotros, como sector eléctrico e infraestructura crítica, somos un objetivo para los ciberdelincuentes, que al final buscan un impacto en los servicios esenciales. Y cuanto más digitalización haya, más se incrementa la superficie de ataque. La propia IA puede ser un un vector de ataque.

Para eso tenemos mecanismos de control. Lo más importante es tener un control de riesgos de terceros en todo su ciclo de vida, introduciendo al final obligaciones contractuales que incluyan, entre otras cosas, tener planes de continuidad de negocio conjuntos e incluso poder realizar ciberejercicios a nivel entrenamiento de forma conjunta. Y cuando hay algún incidente que impacta en uno de nuestros terceros, ellos están obligados a informarnos durante un periodo de tiempo limitado y a notificarlo a las autoridades pertinentes. Al final es una combinación de colaboración cercana, planes conjuntos y obligaciones contractuales.


P. ¿En Iberdrola utilizan redes privadas de 5G?

R. Hace unos años el organismo regulador del espectro radioeléctrico en España cedió espectro de banda ancha para uso exclusivo de empresas del sector eléctrico. A nosotros nos cedieron espectro en una banda estándar del 3GPP, lo que nos ha permitido desplegar redes privadas 4G LTE, con las ventajas que eso supone. Nosotros siempre apostamos por las tecnologías estándar que faciliten modelos de negocio eficientes, la interoperabilidad y sobre todo la escalabilidad.

En ese sentido, nuestras redes privadas LTE permiten la evolución a 5G. Nuestro diseño de red privada 4G se pensó con esta posible evolución al 5G a nivel global en todos los países en los que estamos presentes con redes. Intentamos tener una combinación de redes de telecomunicaciones que sean privadas y públicas, porque las públicas no siempre están preparadas para los requisitos que muchas veces tenemos las empresas eléctricas a nivel de disponibilidad, cobertura en zonas rurales o capacidad.

Además, aunque todavía no está muy maduro, ya se está viendo como la IA podrá beneficiar a las redes 5G. Hay algoritmos que por un lado podrían optimizar la asignación de recursos en una situación de saturación, y por otro también se pueden usar para aplicar una capa adicional de seguridad entre red y dispositivos. Es algo muy muy incipiente, pero en las redes 6G, que se espera que estén totalmente maduras al final de esta década, la IA ya se usará en su propio diseño.


P. A la hora de garantizar el suministro también hay que echar un vistazo a las redes eléctricas. En concreto, ¿qué salud tienen las españolas?¿Y cómo se pueden mejorar estas redes para hacerlas más eficientes, inteligentes y seguras?

R. En i-DE estamos invirtiendo continuamente en garantizar el suministro eléctrico de calidad. Es algo a lo que nos obliga la regulación externa y también la interna de la propia compañía: que nuestras redes sean totalmente resilientes para hacer frente tanto a posibles eventos de ciberseguridad como a desastres naturales. Un ejemplo reciente lo hemos vivido con la DANA de Valencia de octubre. Ahí hemos podido demostrar que nuestra red está preparada para hacer frente a este tipo de desastres, porque fuimos capaces de restaurar el servicio de la práctica totalidad de los clientes afectados en 72 horas, y de la mitad de ellos en las primeras 24 horas.

Estamos enfocados en que nuestras redes sean cada vez más inteligentes, es algo que va en nuestro propio ADN. Y con la digitalización en los últimos años se ha mejorado enormemente la calidad de suministro, el tiempo de respuesta ante incidentes o la eficiencia. Ha sido un cambio tan grande en poco tiempo que ha sido parecido a la revolución industrial. Para nosotros ha sido clave, y estamos invirtiendo en ello.

Todo esto nos permite incrementar la visibilidad que tenemos de los activos y controlarlos de forma remota. Gracias a las telecomunicaciones conectamos los activos con sistemas de control avanzados que en tiempo real pueden operar la red, y podemos detectar de forma preventiva anomalías antes de que ocurran. Es como predecir un poco el futuro, a nivel de posibles incidencias y de ocupación de la red. Y es la única manera de poder facilitar lo que es la electrificación de la sociedad para reducir las emisiones de CO2.

Aparte, en i-DE promovemos la innovación. Para ello tenemos el Global Smart Grids Innovation Hub en Bilbao, un ecosistema de innovación aplicado al sector eléctrico, con distintos vendedores de tecnologías o startups en campos tan importantes como la ciberseguridad y las redes inteligentes. Aunque todo esto, como he mencionado antes, también es un arma de doble filo, porque se puede incrementar la superficie de ataque y hay nuevos vectores de ataque y puntos de entrada en nuestra red, que hay que reforzar adecuadamente.

P. ¿Qué se entiende por infraestructuras críticas y por qué ahora están en el foco de los ataques? En su caso, ¿cómo las protegen?

R. Nosotros, como i-DE, distribuimos energía eléctrica a 11,4 millones de clientes. Y la electricidad es el motor económico de la sociedad, se necesita para el día a día. Es lo que llamamos un servicio esencial, por eso las infraestructuras que utilizamos para proporcionar este servicio son críticas. Hay ataques que se producen contra infraestructuras energéticas que dan servicio a hogares, pero también a a hospitales, a redes de comunicación... Y el impacto es muchísimo mayor.

Por eso estamos regulados a nivel de infraestructura crítica, y tenemos unas leyes específicas de protección. Por un lado, la LPIC, específica para infraestructuras críticas, y luego, por supuesto, nosotros tenemos nuestros propios mecanismos de cumplimiento y regulación interna, con análisis de impactos, análisis de riesgos y controles físicos y electrónicos.