Si los piratas informáticos quisieran debilitar a la sociedad estadounidense, tendrían problemas para derribar toda la red eléctrica o el sistema financiero, pero podrían causar graves daños a las empresas que fabrican y entregan los alimentos a los estadounidenses.
El sector de alimentos y agricultura de EE. UU. carece de los recursos, la experiencia y el apoyo del gobierno para protegerse a sí mismo y a sus productos de una gama de amenazas de seguridad cibernética que se expande rápidamente, según legisladores, expertos en políticas y ex funcionarios gubernamentales. Estas deficiencias dejan brechas que los agentes de gobiernos extranjeros o los ciberdelincuentes podrían aprovechar para inhabilitar equipos agrícolas de forma remota, contaminar fertilizantes, paralizar los suministros de leche y matar pollos.
En los últimos años, los ataques cibernéticos contra el gigante de procesamiento de carne JBS Foods y la empresa de servicios agrícolas de Iowa NEW Cooperative han dejado al descubierto las vulnerabilidades generalizadas de la industria. Y las nuevas tecnologías, incluidos los avances en inteligencia artificial, están creando riesgos antes inimaginables, abrumando a una fuerza laboral que no está acostumbrada a lidiar con la seguridad digital. Para empeorar las cosas, la alimentación y la agricultura es uno de los pocos sectores de infraestructura crítica que no tiene un centro de análisis e intercambio de información, o ISAC, que ayude a las empresas a defenderse.
Todas estas deficiencias hacen que las empresas de alimentos y agricultura sean un objetivo principal para los operativos rusos empeñados en vengarse de las sanciones occidentales, los espías chinos que buscan una ventaja competitiva para sus empresas nacionales y las bandas de ransomware que buscan víctimas que no pueden permitirse el tiempo de inactividad.
El gobierno federal ha comenzado recientemente a abordar estos peligros. Los legisladores están presentando proyectos de ley y destacando el tema en las audiencias, y una directiva presidencial ha generado una serie de informes y revisiones. Para las personas más informadas y preocupadas por el caos que podrían causar los piratas informáticos, estos desarrollos están muy atrasados.
“La seguridad agrícola y alimentaria es la base de la seguridad estadounidense”, dice el congresista estadounidense August Pfluger, un republicano de Texas que ha patrocinado un proyecto de ley sobre el tema. “Sin un suministro estable de alimentos, la sociedad deja de funcionar”.
Las amenazas a la seguridad para el sector de la alimentación y la agricultura se han multiplicado a medida que la industria se ha vuelto cada vez más automatizada y digitalizada.
La agricultura de precisión utiliza sensores GPS e imágenes satelitales para determinar el tipo correcto de fertilizante para cada parcela de suelo y enviar instrucciones directamente a los tractores que se mueven automáticamente y rocían las mezclas adecuadas. Si los piratas informáticos violaran estos sistemas, podrían envenenar los cultivos de todos los agricultores que los usen. El impacto no sería claro hasta meses después, cuando los cultivos comenzarían a crecer mal o dejarían de crecer.
Los agricultores también son vulnerables a un sabotaje más inmediato. La misma tecnología de acceso remoto que permitió a John Deere desactivar de forma remota un lote de tractores ucranianos robados por las fuerzas rusas podría permitir que los piratas informáticos apaguen millones de tractores en todo Estados Unidos.
El suministro de carne de Estados Unidos también enfrenta grandes riesgos. Dentro de las enormes instalaciones industriales donde se crían y sacrifican la mayoría de los pollos, la temperatura y la humedad se controlan con precisión mediante computadoras conectadas a Internet. Con el control de este sistema, los piratas informáticos podrían diseñar una catástrofe.
“Podría perder decenas de miles de aves literalmente en 10 a 15 minutos”, dice Marcus Sachs, subdirector de investigación del Instituto McCrary de Seguridad Cibernética e Infraestructura Crítica de la Universidad de Auburn. “Hemos visto que esto suceda antes. Es casi como si una ola atravesara el gallinero, donde todos simplemente mueren”.
La logística justo a tiempo significa que incluso los ciberataques a corto plazo pueden tener graves consecuencias. Los trucos que interrumpen la producción de fertilizantes o pesticidas pueden obligar a los agricultores a no participar en las temporadas de siembra. Las infracciones en las plantas empacadoras de carne pueden causar una escasez de suministro desestabilizadora. La manipulación en una empresa de procesamiento de alimentos puede provocar una contaminación mortal. Los ataques de ransomware que han obligado a las empresas a cerrar sus operaciones durante una semana ya han dejado a las escuelas sin leche, jugo y huevos, según Sachs.
“Una interrupción importante en este sector conduce a problemas inmediatos de salud y seguridad pública”, dice Mark Montgomery, quien se desempeñó como director ejecutivo de la Cyberspace Solarium Commission.
A pesar de ser cada vez más vulnerable, dice Sachs, el sector de la alimentación y la agricultura todavía "no comprende realmente la mentalidad de amenaza", al igual que los sectores de mayor perfil, como los servicios financieros y la energía.
Hoy en día, la alimentación y la agricultura es uno de los cuatro sectores de infraestructura crítica (de 16) sin un ISAC, junto con las represas, las instalaciones gubernamentales y los reactores y materiales nucleares.
El sector de la alimentación y la agricultura fue uno de los primeros en lanzar un centro de este tipo, en 2002, pero se disolvió en 2008 porque pocas empresas compartían información a través de él. Los miembros temían que tal apertura pusiera en peligro sus ventajas competitivas y los expusiera a la acción regulatoria. Ahora, dice Sachs, a las empresas les preocupa que el intercambio de información entre sí pueda dar lugar a demandas antimonopolio, a pesar de que dicha colaboración es legal.
Algunas empresas participan en un Grupo de Interés Especial (SIG) de Alimentos y Agricultura alojado dentro de IT-ISAC, que les brinda acceso a datos y análisis de algunas de las empresas tecnológicas más grandes del mundo, así como recursos como guías para confrontar grupos específicos de piratas informáticos.
“Nuestro trabajo con la industria realmente se ha expandido durante los últimos tres años”, dice Scott Algeier, director ejecutivo de IT-ISAC. En ese mismo período de tiempo, IT-ISAC ha registrado 300 ataques de ransomware en el sector de la alimentación y la agricultura.
Pero las ofertas de SIG son limitadas, argumenta Sachs. No lleva a cabo ejercicios regulares a gran escala que simulen ataques contra empresas de alimentos y agricultura, no cuenta con un centro de vigilancia las 24 horas del día, los 7 días de la semana, que monitoree constantemente la infraestructura de estas empresas (junto con eventos relacionados como condiciones climáticas adversas e interrupciones en la cadena de suministro), y no puede generar automáticamente información y alertas comparando inteligencia gubernamental clasificada con datos de sensores dentro de esa infraestructura. “Aprecio todo lo que Scott está haciendo allí”, dice Sachs. “Es algo muy bueno. Pero [el SIG] no es un ISAC”.
Algeier dice que IT-ISAC ha organizado ejercicios centrados en el sector de la alimentación y la agricultura y que "los miembros pueden comunicarse con nosotros las 24 horas del día, los 7 días de la semana si es necesario".
Pero el sector necesita su propio ISAC que pueda “analizar la amenaza y proporcionar una verdadera evaluación operativa”, dice Brian Harrell, ex subdirector de seguridad de infraestructura en la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Pfluger dice: "Muchas personas con las que he hablado piensan que debe haber un ISAC dedicado".
Las empresas también necesitan más apoyo del gobierno federal.
El Departamento de Agricultura de EE. UU., la agencia de gestión de riesgos del sector de la industria, es “significativamente menos eficaz” que otras SRMA, dice Montgomery. El USDA ni siquiera tiene fondos dedicados para su apoyo de seguridad, que incluye reuniones semestrales de todo el sector, boletines semanales de amenazas y reuniones públicas ocasionales.
“A medida que las amenazas y vulnerabilidades de seguridad cibernética continúan creciendo, el USDA no puede llevar a cabo estas responsabilidades de SRMA, lo que podría tener un impacto significativo en la seguridad de la agricultura de EE. UU.”, dijo el departamento en su propuesta de presupuesto para el año fiscal 2024, que para el primera vez solicitó $225,000 para este trabajo.
En comparación, el Departamento de Energía solicitó $245 millones para su Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias.
El USDA ha mostrado “muy poco interés” en la seguridad cibernética, dice Sachs, quien ha tratado de incitar a los funcionarios a actuar.
Allan Rodríguez, vocero del USDA, dice que la agencia y la FDA trabajan en estrecha colaboración con CISA, el FBI y el sector privado. Eric Goldstein, subdirector ejecutivo de seguridad cibernética de CISA, dice que su agencia está trabajando con el USDA y otros socios "para mejorar la seguridad cibernética en todo el sector y desarrollar la resiliencia ante las interrupciones cibernéticas".
Afortunadamente, existe un creciente sentido de urgencia dentro del gobierno de EE. UU. para proteger los tractores, fertilizantes, leche y pollos de la nación de los piratas informáticos.
El proyecto de ley de Pfluger, la Ley de Apoyo a la Ciberseguridad de la Industria de Alimentos y Agricultura, crearía nuevos recursos federales para las empresas, requeriría una mejor coordinación entre el gobierno y la industria, y lanzaría una revisión de la Oficina de Responsabilidad del Gobierno sobre la situación del sector, incluso si es necesario un ISAC. Pfluger dice que es "muy optimista" sobre la perspectiva de su proyecto de ley, que han copatrocinado dos republicanos y un demócrata.
La Casa Blanca también está tomando medidas. En noviembre pasado, el presidente Joe Biden firmó un memorando sobre “la seguridad y la resiliencia de los alimentos y la agricultura de los Estados Unidos” que ordenó un conjunto de informes de amenazas, revisiones de riesgos y evaluaciones de vulnerabilidad que abordan desafíos físicos y cibernéticos. Las agencias completaron una evaluación inicial que vencía en enero y están finalizando una revisión intermedia que vencía en marzo, según la portavoz del DHS, Ruth Clemens.
Mientras tanto, los expertos dicen que el gobierno podría usar mejor sus programas existentes para ayudar.
El Servicio de Extensión Cooperativa del USDA se asocia con universidades de concesión de tierras y organizaciones comunitarias para brindar capacitación y orientación agrícola a los agricultores de los EE. UU. Sachs alienta al USDA a aprovechar las relaciones de confianza que los agricultores tienen con sus agentes de extensión locales para promover las mejores prácticas en ciberseguridad.
Sachs y sus colegas incluso están considerando ayudar a una coalición de universidades con concesión de tierras a lanzar un ISAC que facilitaría el intercambio de información y prepararía a los estudiantes para ingresar a la fuerza laboral de alimentos y agricultura con habilidades cibernéticas clave.
Ya sea que el sector forme o no un ISAC, existe un acuerdo generalizado de que se debe hacer más para contrarrestar la creciente variedad de amenazas que ponen en peligro a estas empresas ya los cientos de millones de personas que dependen de ellas para su sustento básico.
“Una vulnerabilidad y un ataque”, dice Pfluger, “pueden conducir a una catástrofe para todos los que están aguas abajo”.