La energía eléctrica es un pilar fundamental e invisible que sostiene la vida moderna de los países, las empresas y las personas. Desde clínicas, hospitales y bancos hasta sistemas de transporte, logística, telecomunicaciones y producción industrial, todo depende de un suministro eléctrico operativo.
Cuando ocurre un evento disruptivo, ya sea por un ciberataque, una falla técnica o un error humano, el impacto es inmediato y requiere acciones planificadas, concretas y bien coordinadas. Los países desarrollados se caracterizan por su resiliencia y capacidad de respuesta.
El apagón del 25 de febrero a las 15:16 horas, provocado por una falla en la Línea de Transmisión Eléctrica Nueva Maitencillo-Nueva Pan de Azúcar, fue el más extenso que ha experimentado Chile desde el 27F de 2010. En aquel entonces, la caída de las redes de telefonía celular generó un caos en las telecomunicaciones, lo que llevó a implementar baterías con una autonomía de cuatro horas. En este nuevo evento, muchas zonas contaron con señal solo durante ese tiempo antes de quedar incomunicadas.
Esta emergencia obligó al Gobierno a decretar estado de excepción por catástrofe en las zonas afectadas, evidenciando la falta de Planes de Contingencia integrales para los servicios críticos a nivel nacional.
La actual Ley de Infraestructura Crítica contempla telecomunicaciones, energía eléctrica, almacenamiento y transporte de gas y combustibles, banca y finanzas, transporte, suministro de agua, servicios de emergencia (médicos, policiales, bomberos y rescate) y la continuidad del negocio. Sin embargo, el proyecto de ley sigue en trámite en el Congreso, dejando vigente solo la Ley Marco de Ciberseguridad, separada del resto de estos sectores esenciales.
Preparación empresarial ante eventos disruptivos
A nivel empresarial, aquellas organizaciones que han implementado un Plan de Continuidad de Negocio (PCN) y un Plan de Contingencia Tecnológica seguramente ya los activaron. En cambio, las que carecen de estas estrategias se vieron obligadas a improvisar medidas para continuar parcialmente con sus operaciones.
En Chile, menos de 100 empresas cuentan con la certificación ISO 22301 de Gestión de Continuidad de Negocio. Sin embargo, esto no implica que las demás carezcan de planes de continuidad o de recuperación ante desastres (DRP). La gran interrogante es: ¿Estos planes consideran al personal crítico que trabaja en modalidad remota? ¿Se han probado en escenarios reales? ¿El personal está capacitado para actuar ante una crisis?
El reciente apagón debe ser una oportunidad para que los directivos de las empresas analicen y cuantifiquen las pérdidas derivadas de la contingencia y, en consecuencia, fortalezcan su preparación ante eventos futuros.
El 25F fue una advertencia. La gran pregunta es: ¿Estamos preparados para la próxima gran falla o evento no deseado?
Mi opinión es que no. Si bien el sector financiero, regulado por la Comisión para el Mercado Financiero (CMF) desde hace más de 20 años y sujeto a las exigencias de Basilea II desde 2007, está mejor preparado, la situación en otros sectores es preocupante.
Lecciones aprendidas y brechas por cerrar
Chile ha enfrentado ciberataques significativos en 2024, incluyendo incidentes en una filial bancaria y en isapres. En muchos casos, los directorios no contaban con protocolos claros para responder a un secuestro de datos (“ransomware”), ni siquiera para decidir si pagar o no el rescate.
La experiencia demuestra que el país tiende a ser reactivo ante estas crisis. Se generan debates y medidas temporales que pronto quedan en el olvido, sin asignarse los presupuestos necesarios para fortalecer la resiliencia empresarial y nacional.
Existen casos de grandes empresas que, por carecer de un PCN bien documentado y de estrategias definidas, han sufrido importantes pérdidas al quedar fuera de operación por periodos prolongados. Más allá de los costos financieros, el daño a la reputación puede ser incalculable.
Claves para una preparación efectiva
Para enfrentar este tipo de riesgos, es crucial adoptar las mejores prácticas internacionales. Las normas ISO y frameworks como NIST ofrecen guías útiles, pero la capacitación y educación en todos los niveles de la empresa son esenciales.
Algunas acciones recomendadas incluyen:
- Simulacros y pruebas de contingencia para evaluar la efectividad de los planes.
- Ejercicios de Ethical Phishing y Ethical Hacking para mejorar la seguridad.
- Procesos de escalamiento de incidentes bien definidos.
- Mayor inversión en infraestructura crítica y planes de contingencia.
Finalmente, invito a conocer las normas ISO 22301, 22317 e ISO 22361, fundamentales para la Gestión de Continuidad del Negocio y la Gestión de Crisis. Estas normas son aplicables a empresas de todos los tamaños y sectores.
Chile aún tiene un largo camino por recorrer en la protección de su infraestructura crítica. Mientras la legislación avanza lentamente, las empresas deben asumir un rol proactivo y fortalecer sus estrategias de resiliencia.
