Acuerdo CNO 1960: Guía Práctica de Cumplimiento para el Sector Eléctrico Colombiano

Cómo prepararse para los nuevos requisitos de ciberseguridad en infraestructura crítica

El 2 de septiembre de 2024, Air-e, la principal comercializadora de energía del Caribe colombiano, enfrentó un ciberataque tipo ransomware que comprometió sus sistemas críticos. Miles de usuarios quedaron sin poder pagar sus facturas en línea. Lo más preocupante: el ataque logró vulnerar herramientas avanzadas de protección de Kaspersky utilizando un ransomware no identificado previamente. [10]

Este incidente no es aislado. Colombia enfrentó 36.000 millones de intentos de ciberataques en 2024, posicionándose como el cuarto país más atacado de América Latina. El sector energético representa el 10% de estos ataques, evidenciando una vulnerabilidad crítica en la infraestructura del país.

En respuesta a esta creciente amenaza, el Consejo Nacional de Operación (CNO) expidió el 3 de abril de 2025 el Acuerdo 1960, que actualiza los requisitos de ciberseguridad para todas las empresas del Sistema Interconectado Nacional (SIN). Este artículo ofrece una guía práctica y objetiva para entender qué exige la nueva normativa y cómo prepararse para su cumplimiento.

1. El Panorama de Amenazas que Motivó el Acuerdo 1960 

1.1 Estadísticas de Ciberataques en Colombia

Los números son contundentes:

• 36.000 millones de intentos de ciberataques en 2024 (Fortinet, IBM X-Force)
• 77.866 denuncias por delitos informáticos ante la Policía Nacional (+23% vs 2023)
• 22.086 vulnerabilidades identificadas en sistemas críticos (ColCert)
• 10% de los ataques se dirigen específicamente al sector energético

Colombia es actualmente el cuarto país más atacado de América Latina, evidenciando la urgencia de fortalecer las defensas digitales, especialmente en infraestructuras críticas como el sector eléctrico.

1.2 El Caso Air-e: Anatomía de un Ataque a Infraestructura Crítica

El ataque a Air-e ilustra la sofisticación de las amenazas actuales:

• Fecha: 2 de septiembre de 2024
• Víctima: Air-e (principal distribuidora de energía del Caribe colombiano)
• Tipo de ataque: Ransomware no identificado previamente
• Impacto: Interrupción de servicios críticos, imposibilidad de pagos en línea
• Sofisticación: Logró evadir herramientas avanzadas de Kaspersky

Este incidente demuestra que incluso con soluciones de ciberseguridad de nivel empresarial, las amenazas evolucionan más rápido que las defensas tradicionales.

1.3 Precedentes Internacionales que Justifican el Acuerdo

El Acuerdo 1960 responde a una tendencia global. El Considerando 7 del CNO es explícito: "La probabilidad de ciberataques de alto impacto ha aumentado. Casos como los apagones registrados en Ucrania en 2015, 2016, 2022 y 2024 producidos por ciberataques, así como los ataques a infraestructuras eléctricas del Reino Unido, Irlanda, Estados Unidos, Israel, India, entre otros han demostrado que los ataques cibernéticos a estas infraestructuras son una parte activa del panorama de riesgos actual y futuro."

Los casos emblemáticos:

• Ucrania (2015-2024): El primer apagón causado por ciberataque afectó a 225,000 personas en diciembre de 2015. Un año después, el malware Industroyer dejó sin energía a una quinta parte de Kiev. Los ataques continuaron en 2022 y 2024, demostrando que estas amenazas son persistentes y evolutivas.
• Stuxnet (2010): La primera ciberarma diseñada para infraestructuras críticas destruyó aproximadamente 1,000 centrifugadoras nucleares en Irán, probando que el malware puede causar destrucción física real.
• Colonial Pipeline, EE.UU. (2021): El mayor ataque a infraestructura petrolera estadounidense interrumpió el suministro del 45% del combustible de la costa este durante seis días, causando escasez y pánico en la población.
• Lección para Colombia: Estos casos comparten un patrón preocupante: infraestructuras consideradas seguras fueron comprometidas, las defensas tradicionales resultaron insuficientes, y los impactos trascendieron lo digital para causar apagones reales y pérdidas económicas. El Acuerdo 1960 traduce estas lecciones internacionales en requisitos concretos para el Sistema Interconectado Nacional.

2. ¿Qué es el Acuerdo CNO 1960?

El Acuerdo 1960 es la actualización más reciente de la Guía de Ciberseguridad del sector eléctrico colombiano, expedida por el Consejo Nacional de Operación el 3 de abril de 2025.

2.1 Alcance y Aplicabilidad

El acuerdo aplica a todos los agentes del Sistema Interconectado Nacional (SIN):

• Operador del sistema (XM)
• Generadores de energía
• Transmisores
• Distribuidores

Esto incluye tanto a plantas mayores como menores, con requisitos diferenciados según la criticidad de los activos.

2.2 Cambio de Enfoque: De Cumplimiento Normativo a Gestión de Riesgos

Una de las innovaciones más significativas del Acuerdo 1960 es el cambio de paradigma:

Antes (Acuerdo 1502): Enfoque de cumplimiento normativo con controles estandarizados para todos.

Ahora (Acuerdo 1960): Enfoque basado en riesgos que permite a cada agente adaptar sus controles según su perfil específico de riesgo.

Este cambio permite optimizar inversiones en ciberseguridad, priorizando recursos hacia la protección de aquellos activos con mayor impacto potencial en la operación del SIN.

3. Estructura y Controles del Acuerdo 1960

El Acuerdo 1960 establece 58 controles obligatorios organizados en 10 categorías principales. Cada control tiene plazos específicos de implementación y revisión periódica.

3.1 Las 10 Categorías de Controles

3.2 Plazos Críticos de Implementación

El Acuerdo establece diferentes plazos según la criticidad de cada control:

Controles Urgentes (6 meses o menos):

• Verificación de registros de autorización
• Listas de acceso a ciberactivos críticos

Controles a Mediano Plazo (12 meses):

• Identificación y actualización de activos críticos
• Evaluación de riesgos del personal
• Procedimientos de gestión de accesos
• Plan de recuperación y resiliencia

Controles a Largo Plazo (24 meses):

• Auditorías internas de ciberseguridad
• Procedimientos de control de cambios
• Validación de cambios en configuraciones

4. Cómo Prepararse para el Cumplimiento

El cumplimiento del Acuerdo 1960 requiere un enfoque estructurado y planificado. A continuación, una ruta práctica de implementación.

4.1 Fase 1: Diagnóstico Inicial (Meses 1-2)

Objetivo: Evaluar el estado actual de ciberseguridad e identificar brechas.

Acciones clave:

• Realizar inventario completo de activos y ciberactivos críticos
• Evaluar controles existentes contra los 58 requisitos del Acuerdo 1960
• Identificar brechas críticas que requieren atención inmediata
• Estimar recursos necesarios (presupuesto, personal, tecnología)

4.2 Fase 2: Fortalecimiento de Gobernanza (Meses 3-4)

Objetivo: Establecer la estructura organizacional y políticas base.

Acciones clave:

• Designar y notificar al CNO el responsable de ciberseguridad (plazo: 6 meses)
• Actualizar políticas de ciberseguridad alineadas al Acuerdo 1960
• Implementar programa de concienciación para todo el personal
• Establecer procedimientos de gestión de accesos y revocación

4.3 Fase 3: Implementación de Controles Técnicos (Meses 5-12)

Objetivo: Desplegar controles técnicos prioritarios.

Acciones clave:

• Implementar monitoreo 24/7 de sistemas críticos
• Desplegar herramientas de detección de amenazas (SIEM, EDR)
• Establecer gestión de vulnerabilidades y parchado continuo
• Configurar respaldo y recuperación de información crítica
• Realizar pruebas de penetración en activos críticos

4.4 Fase 4: Análisis de Riesgos y Optimización (Meses 13-18)

Objetivo: Realizar análisis de riesgos integral y ajustar controles.

Acciones clave:

• Ejecutar análisis de riesgos interno y de proveedores (plazo: abril 2026)
• Evaluar cadena de suministro tecnológica
• Ajustar controles según perfil de riesgo específico
• Documentar evidencias de cumplimiento para auditorías

5. Decisiones Estratégicas: ¿Construir o Contratar?

Una de las decisiones más críticas que enfrentarán los operadores del SIN es cómo implementar las capacidades de monitoreo, detección y respuesta requeridas por el Acuerdo 1960.

5.1 Opción 1: Centro de Operaciones de Seguridad (SOC) Interno

Ventajas:

• Control total sobre infraestructura y procesos
• Conocimiento profundo de sistemas OT/SCADA propios
• Sin dependencia de terceros para operación

Desventajas:

• Inversión inicial elevada: plataformas SIEM, EDR, SOAR pueden costar entre USD 200.000 - 500.000
• Escasez de talento: difícil contratar y retener analistas especializados en OT
• Tiempo de implementación: 12-18 meses para operación efectiva
• Cobertura limitada: difícil mantener operación 24/7/365 con recursos internos

5.2 Opción 2: SOC como Servicio (SOC-as-a-Service)

Ventajas:

• Implementación rápida: operativo en 30-60 días
• Costo predecible: modelo de suscripción mensual
• Acceso a expertise: analistas especializados y actualizados en amenazas
• Cobertura completa: monitoreo 24/7/365 garantizado
• Tecnología actualizada: acceso a últimas herramientas sin inversión adicional

Desventajas:

• Dependencia del proveedor para operación crítica
• Necesidad de seleccionar proveedor con experiencia en OT/SCADA
• Costo recurrente a largo plazo

5.3 Opción 3: Modelo Híbrido

Muchas organizaciones están optando por un modelo híbrido que combina:

• Equipo interno pequeño para conocimiento del negocio y coordinación
• SOC externo para monitoreo 24/7, análisis de amenazas y respuesta inicial
• Consultores especializados para análisis de riesgos, auditorías y pruebas de penetración

Este modelo permite cumplir con el Acuerdo 1960 de manera eficiente mientras se construyen capacidades internas progresivamente.

6. Recomendaciones para una Implementación Exitosa

Basándose en las mejores prácticas internacionales y el contexto colombiano, se recomiendan las siguientes acciones:

6.1 Iniciar con un Diagnóstico Riguroso

No asuma el nivel actual de ciberseguridad. Realice un diagnóstico profesional que evalúe:

• Estado de cumplimiento actual vs. los 58 controles del Acuerdo 1960
• Madurez de procesos de ciberseguridad existentes
• Capacidades técnicas y de personal disponibles
• Brecha de inversión requerida

6.2 Priorizar Según Riesgo Real

El enfoque basado en riesgos del Acuerdo 1960 permite priorizar. Enfóquese primero en:

• Activos de mayor criticidad: sistemas que, de fallar, impactan la operación del SIN
• Controles con plazos más cercanos: cumplir primero con requisitos de 6-12 meses
• Brechas de mayor riesgo: vulnerabilidades críticas identificadas en el diagnóstico

6.3 Invertir en Capacitación del Personal

El error humano sigue siendo la principal causa de brechas de seguridad. Es fundamental:

• Implementar programa de concienciación continua para todo el personal
• Capacitar equipos técnicos en seguridad OT/SCADA
• Entrenar a líderes en gestión de incidentes de seguridad
• Certificar al responsable de ciberseguridad en estándares relevantes (CISSP, CISM, IEC 62443)

6.4 Establecer Gobernanza Clara

La ciberseguridad no es solo un tema técnico. Requiere:

• Patrocinio ejecutivo: la alta dirección debe priorizar y aprobar recursos
• Responsabilidades claras: definir quién hace qué y con qué autoridad
• Políticas documentadas: formalizar procedimientos y aprobarlos formalmente
• Reportes periódicos: informar al directorio sobre estado de ciberseguridad

6.5 Documentar Todo

El Acuerdo 1960 requiere evidencias documentales de cumplimiento. Desde el inicio:

• Mantenga registros de todas las actividades de ciberseguridad
• Documente decisiones de análisis de riesgos y controles compensatorios
• Archive evidencias de auditorías, evaluaciones y pruebas
• Prepare reportes periódicos para el CNO

6.6 Considerar Alianzas Estratégicas

Dado el alcance del Acuerdo 1960, evalúe alianzas con:

• Proveedores de SOC especializado que entiendan la operación del sector eléctrico
• Consultores de ciberseguridad OT con experiencia en NERC CIP e IEC 62443
• Otros operadores del SIN para compartir mejores prácticas y lecciones aprendidas
• Gremios y asociaciones del sector para mantenerse actualizado

7. Conclusión: Un Desafío Transformado en Oportunidad

El Acuerdo CNO 1960 representa un cambio fundamental en cómo el sector eléctrico colombiano aborda la ciberseguridad. Lejos de ser una carga regulatoria, debe entenderse como una oportunidad para:

• Modernizar la infraestructura tecnológica con estándares internacionales
• Reducir el riesgo operacional ante amenazas cada vez más sofisticadas
• Fortalecer la resiliencia del SIN garantizando el suministro eléctrico nacional
• Posicionarse competitivamente con capacidades de ciberseguridad de clase mundial

El caso de Air-e demostró que ninguna organización está inmune a ciberataques, sin importar las herramientas que tenga implementadas. Lo que marca la diferencia es:

• Un enfoque integral que combine tecnología, procesos y personas
• Capacidades de detección y respuesta rápida
• Monitoreo continuo especializado en entornos OT/SCADA
• Planes de recuperación y resiliencia probados

El plazo para cumplir con el Acuerdo 1960 puede parecer desafiante, pero con una planificación estructurada y las alianzas correctas, es totalmente alcanzable. Las organizaciones que aborden este reto de manera proactiva no solo cumplirán con la normativa, sino que construirán una ventaja competitiva sostenible en un entorno cada vez más digital.

 InterNexa, parte del Grupo ISA, ofrece servicios de SOC como Servicio especializados en infraestructura crítica, con más de 25 años de experiencia en el sector energético colombiano. Para consultas sobre soluciones de ciberseguridad alineadas al Acuerdo 1960, puede contactar a través de nuestro sitio web.