Ciberseguridad y Acuerdo 1960: garantizando estabilidad energética

Una hoja de ruta para fortalecer la resiliencia digital del sistema eléctrico frente a amenazas cada vez más complejas.

En resumen

• De acuerdo con el Gobierno Colombiano, para abril de 2025 Existen 45 operadores que conforman el Sistema Interconectado Nacional en Colombia
• Desde el ataque de Stuxnet a infraestructuras OT se ha incrementado el numero de ataques a las Infraestructuras Criticas Cibernéticas (ICC).
• Las tensiones geopolíticas como las que se presentan en Asía y Europa han aumentado y expandido el hacktivismo a nivel mundial.
• Las tecnologías como las de inteligencia artificial han sofisticado y perfeccionado la forma de realizar los ataques por parte de los ciberdelincuentes.
• La cadena de suministro de las TIC se ha destacado por ser una de las problemáticas que los CISO reconocen como de mayor importancia para administrar en el futuro de ciberseguridad.

Hablar de seguridad energética ya no se limita a la generación o transmisión de electricidad. Hoy, proteger el sistema eléctrico también significa blindar sus redes digitales frente a amenazas cada vez más sofisticadas. Detrás del suministro constante de energía hay una infraestructura tecnológica que, de ser vulnerada, podría interrumpir no solo servicios esenciales, sino la estabilidad de todo un país.

En este contexto, el Gobierno Colombiano ha emitido el Acuerdo 1960 de abril de 2025, una regulación que actualiza y refuerza las medidas de ciberseguridad para los agentes que conforman el Sistema Interconectado Nacional (SIN), el sistema responsable de garantizar el flujo eléctrico en el territorio nacional e incluso más allá de sus fronteras.

Más que una obligación técnica, este acuerdo representa una decisión estratégica: anticiparse a un entorno en el que las amenazas cibernéticas son tan críticas como las físicas, y donde la resiliencia del sistema eléctrico depende, en gran medida, de su capacidad para resistir ataques digitales.

Un entorno de amenazas a la ciberseguridad en evolución

La decisión de actualizar el marco regulatorio responde a múltiples factores de riesgo que se han intensificado en los últimos años:

• Ataques a infraestructuras OT: desde el caso Stuxnet, se ha evidenciado un aumento en los ciberataques dirigidos a infraestructuras operativas críticas (OT), especialmente en sectores como energía, agua y transporte.
• Tensiones geopolíticas: conflictos en Asia y Europa han estimulado un crecimiento del hacktivismo y de operaciones de ciberespionaje que cruzan fronteras y objetivos estratégicos.
• Tecnologías emergentes: el uso de inteligencia artificial y automatización por parte de actores maliciosos ha elevado el nivel de sofisticación de los ataques, reduciendo el tiempo de ejecución y aumentando su impacto.
• Riesgos en la cadena de suministro: las vulnerabilidades en los proveedores tecnológicos son hoy una de las principales preocupaciones de los responsables de seguridad, dado su potencial para introducir fallas sistémicas difíciles de detectar.

El rol del Sistema Interconectado Nacional (SIN)

El SIN articula las líneas de generación, transmisión y distribución de energía eléctrica en Colombia. Además, mantiene interconexiones estratégicas con Ecuador y Venezuela. Se trata, por tanto, de una infraestructura crítica cibernética cuya interrupción podría tener impactos económicos y sociales de gran magnitud.

Proteger este sistema implica más que tecnología: requiere políticas claras, liderazgo institucional y una cultura organizacional que priorice la ciberseguridad como pilar de la continuidad operativa.

Un marco de ciberseguridad que evoluciona con el tiempo

Las medidas de ciberseguridad para el sector energético no son nuevas. Su trayectoria se remonta al CONPES 3701 de 2011, documento que estableció las bases para la protección de infraestructuras críticas. Desde entonces, se han desarrollado nuevas regulaciones, cada vez más específicas, en respuesta a la transformación digital del sector.

El Acuerdo 1960 de 2025 representa un nuevo hito en esta evolución. Establece obligaciones claras, plazos definidos y un enfoque basado en gestión del riesgo, con el objetivo de fortalecer la postura de seguridad del sector frente a un entorno digital cada vez más complejo.

Principales disposiciones del Acuerdo 1960

El acuerdo establece medidas específicas para todos los agentes que conforman el SIN. A continuación, se destacan las más relevantes:

• Evaluaciones de riesgos integrales (plazo: abril de 2026): las empresas deberán realizar análisis de riesgos tanto internos como a sus proveedores, especialmente en relación con activos críticos.
• Fortalecimiento de controles de ciberseguridad: se exige una gestión documental robusta y la implementación de controles específicos, entre ellos:
  • Gestión de accesos.
  • Monitoreo de sistemas.
  • Configuración segura (líneas base).
  • Gestión de parches y vulnerabilidades.
  • Control de medios extraíbles.
  • Resiliencia operativa.
  • Gestión de la cadena de suministro.
  • Análisis de riesgos.
  • Pruebas de penetración.
  • Respaldo y restauración de información.
• Reportes periódicos: las organizaciones deberán presentar informes sobre el estado de avance en la implementación de estas medidas.

Recomendaciones para una implementación efectiva

Cumplir con el Acuerdo 1960 va más allá de seguir una lista de requisitos. Implica adoptar un enfoque estratégico que permita convertir la regulación en una oportunidad para fortalecer las capacidades organizacionales. Estas son algunas recomendaciones clave:

1. Realizar un diagnóstico inicial: evaluar el estado actual de la seguridad de la información y de ciberseguridad, identificando brechas, fortalezas y áreas de mejora.
2. Fortalecer la gobernanza: analizar el nivel de apropiación de políticas por parte de los equipos clave, e implementar ajustes que faciliten el cumplimiento normativo.
3. Clasificar y proteger los activos de información: verificar que los activos estén correctamente identificados y categorizados según su nivel de criticidad.
4. Ejecutar un análisis de riesgos riguroso: enfocado en los escenarios de mayor impacto y probabilidad para la operación.
5. Diseñar un plan estratégico de seguridad: con visión de largo plazo, alineado al negocio y respaldado por una hoja de ruta clara.
6. Definir un cronograma con hitos: establecer prioridades, responsables y fechas clave para dar seguimiento efectivo a la implementación.
7. Documentar el proceso y generar evidencias: asegurar que cada acción tenga un respaldo documental para efectos de auditoría y mejora continua.
8. Capacitar a los equipos internos: desarrollar un programa de formación que sensibilice a toda la organización sobre el rol de la ciberseguridad en la operación del negocio.

Una visión de país en seguridad digital

El Acuerdo 1960 debe entenderse como parte de una visión más amplia de fortalecimiento institucional en materia de seguridad digital. En un contexto donde las amenazas evolucionan a diario, el liderazgo en ciberseguridad no se mide solo por la reacción ante incidentes, sino por la capacidad de anticiparse, prepararse y adaptarse.

Proteger la infraestructura energética de Colombia es proteger su desarrollo, su estabilidad y su soberanía digital. El compromiso del sector con esta agenda será determinante para construir un entorno más seguro, resiliente y sostenible.