Académique Documents
Professionnel Documents
Culture Documents
Ciberseguridad Industrial
Elementos tecnológicos
de la ciberseguridad
industrial
Índice
Esquema 3
Ideas clave 4
3.1. Introducción y objetivos 4
3.2. Redes y sistemas de automatización industrial 8
© Universidad Internacional de La Rioja (UNIR)
3.3. Sistemas SCADA 22
3.4. Diagnóstico técnico y organizativo de la
ciberseguridad industrial 39
3.5. Referencias bibliográficas 42
A fondo 46
Test 49
© Universidad Internacional de La Rioja (UNIR)
ELEMENTOS TECNOLÓGICOS DE LA CIBERSEGURIDAD INDUSTRIAL
Ti pos de automatización Componentes software
Documentos Pa s os para el
Previ os Di a gnóstico
Ámbi tos tecnológicos Componentes hardware
ROE Recuperación
Acuerdos Consolidación
confidencialidad
Ata ques a redes SCADAs en el mercado
Presentación
Exención
responsabilidad
Ci berseguridad en SCADAs
El futuro de l os SCADAs
Tema 1. Esquema
Ciberseguridad Industrial
Esquema
3
Ideas clave
3.1. Introducción y objetivos
E
n este tema se describen los conceptos y fundamentos más importantes
relacionados con los sistemas de ciberseguridad industrial a nivel de
redes y sistemas de control industrial, como los SCADAS. Estos conceptos
son esenciales para poder entender cómo proteger estos sistemas.
Antes de empezar a tratar el resto de la unidad es importante hacer un punto de
situación respecto a por qué es importante entender el funcionamiento de las redes
y los sistemas SCADAs de control.
Las redes y los sistemas SCADAs
En los últimos años se han producido cada vez más ataques contra las redes
industriales, y en especial buscando vulnerabilidades contra los sistemas SCADAs de
control industrial.
Los SCADAs (Supervisory, Control and Data Acquisition) son los sistemas de
supervisión, control y adquisición de datos, base para la automatización de procesos
industriales y, por tanto, para la industria 4.0.
Una de las grandes ventajas de los SCADAs es que permiten visualizar de forma gráfica
los procesos de producción industriales, y en base a ello tomar mejores decisiones o
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
4
Tema 3. Ideas clave
La automatización de los SCADAs se inició en los sectores eléctricos, aunque hoy su
alcance llega a todos los sectores (salud, financiero, etc.).
Otra de las grandes ventajas de los sistemas SCADA es que permite visualizar las
operaciones en tiempo real, reaccionando ante las alarmas, pudiendo cambiar la
configuración a distancia, o incluso pudiendo ser monitorizados mediante programas
de inteligencia artificial con capacidades predicativas en base a los históricos del
mismo.
El proceso de funcionamiento de un SCADA sería, de forma abreviada:
Inicia una comunicación en tiempo real con los controladores PLC (controlador
lógico programable) o RPU (unidad terminal remota).
Reúne toda la información de estos controladores y los procesa.
Finalmente, envía la información al sistema de monitor para que la muestre de
forma gráfica.
Estos sistemas SCADA suelen conectarse a su vez con las redes corporativas de las
compañías (figura 1), en las denominadas redes convergentes, que han ayudado a
mejorar mucho el control de los sistemas SCADA, pero también han disparado sus
brechas de seguridad.
© Universidad Internacional de La Rioja (UNIR)
Figura 1. Red convergente que integra operaciones de la red corporativa y la red de control industrial.
Fuente: Ciberseguridad en Redes de Control Industrial (SCADA). InTec Automatización.
Ciberseguridad Industrial
5
Tema 3. Ideas clave
Por lo tanto, podemos ver como hoy en día los sistemas SCADA se componen de dos
redes convergentes, que integran la red corporativa y la red de control. La primera
desarrolla las actividades de configuración, mantenimiento y operación (mandos o
actuadores, lectura de variables, monitoreo del proceso, etc.), mientras que la red de
control interactúa con un gran número de protocolos específicos (Modbus/TCP, DNP,
etc) y soporta sistemas diversos (wireless, microondas, seguridad de intrusión, etc.).
En el caso de los SCADAs, la red de control suele tener una unidad terminal remota
(UTR) que recibe la información y la envía al interfaz máquina‐hombre (HMI).
Para controlar estas redes y sistemas han surgido normativas específicas, como la
norma ISA/IEC 62443 que es la evolución de la ISA‐99. La norma ISA/IEC 62443 es
actualmente el estándar más reconocido a nivel mundial para la seguridad de control
industrial y está derivado de la familia ISO/IEC 27000, dando un enfoque para los
sistemas industriales. También es muy importante en este aspecto el estándar
propuesto por el NIST Cybersecurity Framework (NIST_FICIC, 2018), en el que están
basados algunos de los patrones de riesgos que se verán posteriormente.
Estas normas definen las políticas de seguridad que deben aplicarse sobre los sistemas
SCADA, siendo las principales:
Protección de datos (acceso y almacenaje).
Configuración del hardware y software (virus, detección de intrusos, etc.).
Seguridad en las comunicaciones, recursos humanos.
Auditorías.
Seguridad física (acceso a equipamiento, destrucción de material).
Ejecución de operaciones de forma manual en caso de fallo.
© Universidad Internacional de La Rioja (UNIR)
En el caso de la normativa ISO/IEC 62443 podemos definir redes redundantes, de alta
disponibilidad, con zonas desmilitarizadas, implementar controles de seguridad, etc. Un
ejemplo de esto se pude ver en la figura 2.
Ciberseguridad Industrial
6
Tema 3. Ideas clave
Figura 2. Arquitectura de seguridad ISA/IEC 62443 en capas donde se muestran las funcionalidades
proporcionadas por cada una de las zonas. Fuente: Ciberseguridad en Redes de Control Industrial (SCADA).
InTec Automatización.
Como podemos ver, en general, la seguridad está tomando un papel muy importante
dentro de este tipo de sistemas.
En el resto de la unidad seguiremos profundizando sobre este tipo de sistemas y su
interacción con la industria 4.0 y los entornos industriales.
Los objetivos que se pretenden conseguir son los siguientes:
Conocer las definiciones formales asociadas con las redes industriales.
Conocer las definiciones formales asociadas con los sistemas SCADA.
Entender cómo estos dos elementos interactúan dentro del ecosistema de la
industria 4.0.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
7
Tema 3. Ideas clave
3.2. Redes y sistemas de automatización industrial
E
n este apartado se define el principal tema a tratar, donde explicaremos
algunos de los conceptos más importantes que se tratarán en la asignatura.
Resulta imprescindible partir de una visión general para comprender en qué
se basa la automatización industrial.
Definición de automatización industrial
El principal objetivo de la automatización industrial consiste en gestionar tareas
repetitivas, monitorizar procesos, maquinaria, aparatos o diferentes tipos de
dispositivos consiguiendo un funcionamiento automático en la medida de lo posible
con la mínima intervención humana (Crespo, 2011).
Se debería definir el fin de la automatización como la mejora de calidad del producto,
el aumento de la producción y la minimización de los riesgos de personal humano. La
automatización puede generar un rechazo general sobre el personal debido al cambio
estructural que conlleva en una compañía, prescindiendo de una gran parte del
personal poco cualificado y la necesidad de otros puestos con mayor responsabilidad y
conocimientos técnicos, tomando estos últimos un peso mayor (Aldakin, 2018).
Tipos de automatización
Los diferentes tipos de automatización que existen dependen de los procesos a
automatizar (JOM, 2016):
© Universidad Internacional de La Rioja (UNIR)
Fija: para la automatización de grandes volúmenes de producción donde los
elementos generados no varían unos de otros. Esto supone un bajo coste de
producción con un alto rendimiento de producción.
Ciberseguridad Industrial
8
Tema 3. Ideas clave
Programable: cuando se requiere de configuraciones propias en volúmenes bajos
de producción donde se debe reajustar hardware o software para la generación
de los elementos dependiendo de las características deseadas.
Flexible: para los volúmenes de producción medianos existe este tipo de
automatización híbrida donde es posible ajustar las necesidades de los
elementos al principio de cada producción.
Ámbitos tecnológicos
Los conocimientos técnicos que han aportado un rápido avance en la posibilidad del
desarrollo industrial son la convergencia de diferentes ámbitos tecnológicos:
Electrónica y eléctrica: este tipo de automatización es uno de los más empleados
en la actualidad, aplicándose sobre herramientas y sistemas de producción
industriales, comunicaciones y sistemas de seguridad (figura 3) (Isbleg, 2011).
© Universidad Internacional de La Rioja (UNIR)
Figura 3. Automatización eléctrica.
Fuente: http://www.uss.edu.pe/uss/transparencia.aspx?nUniOrgCodigo=1030&nDetTipo=201901
Neumática: es una de las automatizaciones más económicas que existen. Se
fundamenta en la utilización de aire comprimido de una forma rápida, limpia y
segura (figura 4) (Electro Industria, 2018).
Ciberseguridad Industrial
9
Tema 3. Ideas clave
Figura 4. Automatización neumática.
Fuente: http://industrial‐automatica.blogspot.com/2010/08/neumatica‐basica.html
Oleohidráulica: esta tecnología se basa en un carácter similar a la neumática a
través de los fluidos con un coste superior (figura 5) (Pardos, 2014).
© Universidad Internacional de La Rioja (UNIR)
Figura 5. Automatización oleohidráulica.
Fuente: http://industrial‐automatica.blogspot.com/2011/05/elementos‐de‐un‐circuito‐hidraulico.html
Ciberseguridad Industrial
10
Tema 3. Ideas clave
Power line communications (PLC): el objetivo principal es poder conectar redes a
través de instalaciones eléctricas existentes transmitiendo datos, todo ello
independiente a una conexión a Internet (figura 6) (Rodriguez, 2013).
Figura 6. Automatización Con PLC.
Fuente: http://www.interempresas.net/Robotica/Articulos/108830‐Nueva‐tendencias‐en‐automatizacion‐
industrial.html
Robótica: los sistemas de robótica industrial se basan en la utilización de robots
para poder ejecutar procesos repetitivos con el fin de aumentar la productividad
(figura 7) (INFAIMON, 2018).
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
11
Tema 3. Ideas clave
Figura 7. Automatización robótica.
Fuente: http://www.infoplc.net/actualidad‐industrial/item/103503‐auge‐robotica‐automatizacion‐alemana
La decisión de automatizar un entorno industrial debe ser establecida por las
necesidades y las posibilidades de la compañía definiendo claramente los
ámbitos de la empresa que se deben automatizar, ya sea de forma completa o
parcial.
Esta decisión debe ser estudiada en detalle, ya que cada tipo de compañía tiene una
serie de necesidades propias que no pueden ser replicadas como base (GrupMcr,
2016).
Para tomar la decisión de automatización podemos basarnos en las principales ventajas
e inconvenientes que aporta una automatización.
Ventajas:
Existen procesos maduros en una compañía que se replican de forma continuada
con bajos niveles de riesgo de error. Estos procesos pueden ser automatizados,
© Universidad Internacional de La Rioja (UNIR)
consiguiendo una alta productividad sin la intervención de personal.
La precisión que ofrece una automatización de ciertos procesos mejora
exponencialmente los resultados obtenidos por la mano de obra, partiendo de la
base de que una máquina consigue medidas, pesajes o mezclas mucho más
exactas, y todo ello sin tiempos de parada.
Ciberseguridad Industrial
12
Tema 3. Ideas clave
A la hora de automatizar procesos la necesidad de mano de obra disminuye, y
además los fallos de materiales y la eficiencia energética mejoran, reduciendo los
costes de forma sustancial.
Redes en la industria 4.0
La evolución de las tecnologías como la robótica, la analítica y la inteligencia
artificial han aportado a la industria, mediante la combinación de estas, la
posibilidad de ampliar y mejorar la productividad y la calidad de los productos,
consiguiendo una información en tiempo real de todos los flujos de datos de la
compañía. Esta monitorización como parte de la cuarta revolución industrial no solo
mejora los procesos de fabricación o calidad, sino que afecta a las expectativas del
cliente y los procesos de negocio, ampliando el campo comercial (Deloitte, 2018).
La llegada de la industria 4.0 viene acompañada de un interés confirmado de
nuevas amenazas en la industria. Esto reside en la centralización y monitorización
del sistema mediante los sistemas de control industrial (ICS). Los sistemas
centralizados pueden ser vulnerables a ataques de códigos maliciosos
repercutiendo en funciones físicas de la industria a través de los dispositivos
inteligentes.
La ciberseguridad toma un papel relevante en esta nueva era tecnológica de la
industria. Esto es debido a la necesidad de conectividad a Internet en los nuevos
entornos industriales, la rápida comunicación y el almacenaje en la nube mediante
cloud computing o el Internet de las cosas. Por tanto, la protección de estos datos y
comunicaciones comprende uno de los temas más importantes a tratar a la hora de
implementar un sistema automatizado de estas características.
© Universidad Internacional de La Rioja (UNIR)
El origen de la automatización nace de la preocupación por la seguridad del
personal, poniendo como objetivo la seguridad en los daños físicos, pero la nueva
automatización industrial se basa en virtualizar en la medida de lo posible toda la
Ciberseguridad Industrial
13
Tema 3. Ideas clave
gestión de la compañía. Por tanto, el tema de la seguridad da un giro drástico
cambiando el punto de vista y dando paso a la ciberseguridad (OASYS, 2017).
La ciberseguridad pone su foco en nuevos objetivos:
Asegurar los procesos de producción en las fábricas y los sistemas ciberfísicos,
protegiendo las instalaciones y sus operaciones.
La integridad de las comunicaciones toma mayor importancia en esta nueva
generación debido a la gran cantidad de información que se transmite entre
dispositivos de la compañía, por lo que estos parámetros deben estar bien
protegidos, por ejemplo, de ataques como man‐in‐the‐middle (figura 8).
Figura 8. Man in the middle.
Fuente: https://seguridadpcs.files.wordpress.com/2011/10/main_the_middle.jpg
Los datos de la compañía pueden ver vulnerada su confidencialidad. Por eso
toma un carácter muy importante la seguridad de estos, protegiendo datos de
© Universidad Internacional de La Rioja (UNIR)
gran valor.
La seguridad y la ciberseguridad son conceptos similares que atañen
diferentes factores de la industria que a su vez se encuentran fuertemente
ligados.
Ciberseguridad Industrial
14
Tema 3. Ideas clave
Estos conceptos deben ser complementarios para conseguir el mayor grado posible
de control sobre las posibles vulnerabilidades que puedan afectar a una compañía.
La convergencia de la seguridad física y virtual responden una de la otra, por
razones obvias. Un fallo de seguridad física puede afectar gravemente a la
ciberseguridad ocasionando daños importantes, al igual que un fallo en la
ciberseguridad puede afectar a la seguridad física no solo en cuanto a producción se
trata, sino ocasionando daños en la integridad del personal (GrupoGaratu, 2018).
Uno de los modelos más apropiados y adquiridos por las compañías es el modelo
de defensa en profundidad. Este modelo surge de la evolución de la norma ISA99
(que se creó con el fin de mejorar la protección de los sistemas informáticos frente
a ataques y mejorar la seguridad de los sistemas de control industrial) para
convertirse en el estándar IEC 62443, líder en seguridad de automatización
industrial. Este modelo puede ser dividido en tres partes que se complementan
para tener un alto nivel de seguridad en la compañía:
La seguridad de la red: las redes de una compañía industrial deben estar bien
preparadas contra diferentes tipos de accesos no autorizados. De esta forma,
para proteger las redes de control frente a accesos no autorizados se precisa de
vigilancia de todas las interfaces, ya sea entre las redes de oficinas y la planta o el
acceso de mantenimiento remoto mediante Internet. En estos sistemas se
aconseja realizar una segmentación para separar las redes, firewalls y DMZ. Los
sistemas DMZ se utilizan para poder servir datos en diferentes redes sin tener
acceso a la red que los contiene. Mediante la segmentación podemos dividir
secciones protegidas de forma individual aumentando en gran medida la
seguridad.
© Universidad Internacional de La Rioja (UNIR)
Además de la segmentación existen otros sistemas que son aconsejables para
conseguir aumentar la seguridad mediante redes privadas virtuales (VPN). Estos
sistemas encriptan la información evitando problemas de confidencialidad e
integridad (figura 9).
Ciberseguridad Industrial
15
Tema 3. Ideas clave
Figura 9. Red local de empresa con DMZ.
Fuente: https://www.euskaditecnologia.com/la‐importancia‐de‐la‐ciberseguridad‐en‐la‐industria‐4‐0/
Las redes de planta pueden ser segmentadas en secciones individualmente
protegidas donde los diferentes dispositivos pueden tener comunicación
entre ellos de una forma segura. Estas secciones se conectan a la red a
través de conexiones privadas virtuales y un firewall, mejorando la seguridad
y evitando los problemas de disponibilidad e integridad que puedan tener
los datos.
En la industria las redes, sistemas y comunicaciones pueden ser securizadas
mediante componentes específicos, como por ejemplo los firewalls. Estos
sistemas (bien configurados) elevan los niveles de protección en las
comunicaciones y redes industriales y actúan como un filtro examinando
cada uno de los paquetes que se transmiten en la red, comparándolos con
ciertos criterios. Existen diferentes tipos de cortafuegos que pueden
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
16
Tema 3. Ideas clave
tráfico entrante y filtrándolo o no dejar pasar nada hasta que se
comprueben los criterios necesarios y después poder habilitar las
conexiones que sean de interés. Este último sistema sería el más aconsejable
(figura 10) (Lazaro 2016).
Figura 10. Firewall industrial.
Fuente: http://www.netmodule.com/products/industrial‐routers/wireline‐router.html
La integridad del sistema: la integridad de los sistemas tiene como propiedad
más relevante la protección de los sistemas automatizables y los componentes
como los firewalls, además de sistemas como los anteriormente mencionados
SCADA y HMI, contra los accesos no autorizados. Por tanto, una de las
características principales que debe tomar importancia en la integridad de un
sistema es la robustez de este controlando en la medida de los posible todos los
aspectos, como los accesos de los usuarios autorizados.
La seguridad en la planta: el principal objetivo es controlar que las personas que
no estén autorizadas no puedan acceder sin permiso de forma física a las zonas
© Universidad Internacional de La Rioja (UNIR)
y los componentes críticos. Para este cometido se utilizan diferentes métodos
de prevención de riesgos, como pueden ser los comúnmente llamados sistemas
de control de acceso, las cámaras de vigilancia u otros dispositivos que puedan
controlas esos tipos de acceso físico (figura 11).
Ciberseguridad Industrial
17
Tema 3. Ideas clave
Figura 11. Control de accesos.
Fuente: https://www.prevent.es/servicios‐de‐seguridad/control‐de‐accesos
Mediante un sistema bien securizado por parte de la compañía y los
diferentes dispositivos para el control y monitorización en tiempo real
podemos tener una visión general de la compañía y sus niveles de seguridad,
de tal forma que se puedan tomar decisiones para mejorar posibles brechas
de seguridad (figura 12) (CiudadesDelFuturo, 2017).
Figura 12. Defensa en profundidad.
Fuente: https://ciudadesdelfuturo.es/sin‐ciberseguridad‐no‐hay‐ industria‐4‐0.php
© Universidad Internacional de La Rioja (UNIR)
Las compañías deben prepararse frente a estas nuevas amenazas, ya que la nueva
evolución hacia estas tecnologías las convierte en objeto de ataque. De esta
forma, simples dispositivos como una impresora o un frigorífico inteligente, así
como sistemas de mayor complejidad como un control de accesos, se convierten en
Ciberseguridad Industrial
18
Tema 3. Ideas clave
nuevos focos de interés para los ciberataques pudiendo convertirse en peligros de
grandes dimensiones.
Estos ataques contra el nuevo concepto del Internet industrial de las cosas (IIoT)
son objeto de preocupación, destacando los sistemas de infraestructuras críticas
que controlan todos los procesos en tiempo real como son los sistemas SCADA
(supervisión, control y adquisición de datos). Estos sistemas se gestionan a través de
un software que monitoriza los procesos de una compañía sin la necesidad de
presencia física en las instalaciones, pudiendo realizar el control a distancia (figura
13). Estos sistemas se verán con mayor detalle en el siguiente apartado.
Figura 13. SCADA.
Fuente: http://www.etecvn.com/en/delta‐diaview‐scada‐system‐achieves‐highly‐efficient‐smart‐factory‐
management‐with‐flexible‐alarm‐function‐and‐hierarchical‐notification.html
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
19
Tema 3. Ideas clave
Ataques
Existen diferentes tipos de ataques que pueden vulnerar los distintos tipos de sistemas
de automatización industrial hoy en día:
ICS Insider: personal descontento de la compañía con acceso a los ICS (Internet
conection sharing) que mediante ingeniería social consiguen contraseñas con la
posibilidad de activar o desactivar funcionalidades de una compañía.
Ransomware común: consiste en un software malicioso que es descargado de
forma accidental en una de las estaciones de trabajo de la compañía infectando
las comunicaciones e incluso expandiéndose, pudiendo repercutir en daños
graves.
Cero‐Day ransomware: consiste en una vulnerabilidad descubierta en un sistema
que aún no ha implementado un parche o revisión para solventarlo, y que es
explotada en el espacio de tiempo entre la alerta de la brecha y la creación del
parche. Estos ataques suelen ir acompañados de troyanos, rootkits, virus,
gusanos, etc., para infectar la mayor cantidad de terminales posibles.
El interés de mejora en la seguridad por la industria 4.0 de las compañías ha
aumentado de forma considerable, llegando a duplicar las inversiones en
ciberseguridad. Esto es debido a la digitalización de los datos que han realizado (o
están en proceso) las compañías y los métodos de almacenaje de los mismos
utilizando tecnologías en la nube.
Compañías como Marisma Shield S. L., experta en ciberseguridad y análisis de
riesgos, han conseguido mediante una amplia investigación generar adaptaciones
de la ISO27000, una norma internacional emitida por la Organización Internacional
© Universidad Internacional de La Rioja (UNIR)
de Normalización (ISO) que describe cómo se debe gestionar la seguridad de la
información dentro de una compañía. Estas adaptaciones consisten en la
ampliación de la norma a las necesidades de seguridad de las infraestructuras
críticas y la industria 4.0, generando patrones que pueden ser modificados
Ciberseguridad Industrial
20
Tema 3. Ideas clave
específicamente para los distintos sectores industriales y configurando y
cumplimentando las amenazas propias de cada sector (figura 14).
Figura 14. Amenazas I4.0. Fuente: Grupo de Investigación GSyA & Marisma Shield S.L.
La metodología de análisis y gestión de riesgos que veremos en la siguiente unidad,
incluye una herramienta que la soporta denominada eMarisma, la cual comprende
diferentes entornos para la gestión de la seguridad, entre ellos el análisis de riesgos.
De esta forma, eMarisma da la posibilidad de generar un análisis de riesgos
basándose en un patrón donde se encuentran los controles, tipos de activos y
amenazas que puede tener una compañía, de tal forma que podamos saber el
estado de la compañía en cada momento mediante la monitorización de los
cuadros de mando y los eventos de seguridad.
Además, permite generar un plan de tratamiento para solventar las
vulnerabilidades más críticas (figura 15).
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
21
Tema 3. Ideas clave
Figura 15. Cuadro de Mando I4.0. Fuente: Grupo de Investigación GSyA & Marisma Shield S.L.
En el tema siguiente se verá con más detalle tanto la metodología MARISMA como
eMarisma, la herramienta que la soporta.
3.3. Sistemas SCADA
E
l sistema SCADA proviene de las siglas Supervisory Control And Data
Acquisition (adquisición de datos y supervisión de control), y es el sistema
usado en todo tipo de industrias para automatizar procesos de forma
rápida y eficiente. Estos sistemas toman decisiones (generalmente preestablecidas) de
forma automática en función de valores tomados del mundo real y que tienen,
asimismo, una consecuencia sobre elementos reales.
Estos sistemas son escalables y se adaptan especialmente bien a procesos industriales
en los que la obtención de unos valores (temperatura, humedad, etc.) dan como
© Universidad Internacional de La Rioja (UNIR)
resultado una acción concreta (encender una bomba, cerrar una válvula), pudiendo
llegar a niveles de complejidad muy elevados.
Cada vez más, los SCADA se hacen imprescindibles en los procesos industriales tanto
públicos como privados, abarcando prácticamente todos los ámbitos por su
Ciberseguridad Industrial
22
Tema 3. Ideas clave
contrastado ahorro de tiempo y dinero. Se encuentran no solo en los procesos que
requieren una mínima seguridad sino también en casi cualquiera, ya que facilitan
enormemente la monitorización de procesos, llegando incluso a usarse en aplicaciones
de gestión personal (por ejemplo, saber cuánta energía se gasta en casa).
No hay que confundir los PLCs con los SCADA. Mientras los primeros son sistemas
simples y robustos que dan una respuesta según unos valores de entrada, los SCADA
además controlan, vigilan y supervisan unidades remotas y toman acciones
complejas, coordinando varios sistemas entre los que suelen estar los PLCs. SCADA es
un software de monitorización remota donde las entradas y salidas suelen estar
representadas en imágenes y cada objeto está representado por un nombre, de tal
forma que la interfaz hombre‐máquina es una parte importante del sistema.
Un SCADA debe ser (Inductive Automation, 2018):
Capaz de crecer y adaptarse conforme a las necesidades cambiantes de la
empresa.
Comunicarse con facilidad y transparencia con el usuario, de forma fácil e
intuitiva.
Seguro y confiable.
Útil para el proceso, de tal forma que ayude a mejorarlo y hacerlo más eficiente y
claro.
Capaz de supervisar, medir y corregir permitiendo la interacción humana en
tiempo real.
Capaz de permitir un control remoto y de operación a distancia.
En la figura 16, podemos ver una representación gráfica de los elementos anteriores.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
23
Tema 3. Ideas clave
Figura 16. Diagrama básico de SCADA.
Fuente: https://inductiveautomation.com/what‐is‐scada
Un sistema SCADA estaría formado por los siguientes componentes:
Componentes software
Supervisión
Es fundamental que un operador humano supervise el estado del sistema y, además,
hacerlo de manera sencilla accediendo a toda la información de forma rápida. Por esta
razón se utiliza un formato gráfico representando el proceso industrial con indicadores
de estado en las partes críticas del sistema. De esta forma se tiene, de un vistazo, una
© Universidad Internacional de La Rioja (UNIR)
idea general del sistema y de cómo se desarrolla el proceso en cada una de sus etapas
(figura 17).
Ciberseguridad Industrial
24
Tema 3. Ideas clave
Figura 17. Ejemplo de visualización de un SCADA.
Fuente : https://www.sielcosistemi.com/en/systems/technology/what‐is‐scada‐software.html#WhatIsScada1
Control
El sistema debe ser capaz de tomar decisiones de forma autónoma para controlar el
proceso de acuerdo con situaciones preestablecidas. Ha de tener programadas una
serie de acciones para unos casos determinados teniendo en cuenta las implicaciones
sobre el conjunto, ya sea para corregir la situación o simplemente para avisar al
operador humano.
El sistema además debe ser lo suficientemente flexible para poder controlar no solo un
proceso concreto, sino que debe adaptarse a los cambios productivos de la industria y
tener capacidad de respuesta ante ellos sin requerir un reprogramado completo del
© Universidad Internacional de La Rioja (UNIR)
sistema.
Además, se debe permitir que el supervisor humano pueda controlar y actuar sobre el
sistema aparte de las decisiones automáticas, pudiendo ser ambas complementarias
(una acción humana puede ser restringida por la máquina por seguridad y viceversa).
Ciberseguridad Industrial
25
Tema 3. Ideas clave
Como veremos más adelante, la capacidad de control es la que hace a los SCADA tan
importantes y a la vez críticos, precisamente por la interacción humana y por el tipo de
entornos que pueden llegar a controlar (figura 18).
Figura 18. Ejemplo de interfaz y control de SCADA. Fuente: http://www.adasasistemas.com/
Adquisición de datos
No solo se trata de obtener un input de los sensores del sistema, también debe aceptar
las órdenes del operador humano que supervisa el proceso. Es fundamental que
existan protocolos de limitación de errores para la recepción de datos, ya que los
sensores pueden fluctuar sus valores bajo determinadas condiciones o la recepción de
estos puede ser discontinua, especialmente si se manejan redes inalámbricas.
Otros
Los anteriores componentes son los fundamentales de un SCADA, pero en general
© Universidad Internacional de La Rioja (UNIR)
disponen de más elementos que facilitan las tareas de programación, mantenimiento,
registro, etc.
Estos otros sistemas suelen comprender: la conexión con bases de datos que permite
disponer de un histórico como base a elaborar previsiones futuras, la generación de
Ciberseguridad Industrial
26
Tema 3. Ideas clave
informes sobre situaciones o la exportación a otros formatos (Excel), la ejecución de
cálculos complejos que solo un ordenador puede realizar, el envío o recepción de datos
a la red (emails, webs, móviles…), la integración con otros SCADAs, la adquisición de
datos por otros medios externos, etc. (figura 19).
Figura 19. Esquema de adquisición de datos.
Fuente : https://www.sielcosistemi.com/en/systems/technology/what‐is‐scada‐software.html#WhatIsScada1
Componentes hardware
Ordenador central o MTU (master terminal unit)
Es la unidad de procesamiento que controla todo el sistema, pudiendo ser un solo
ordenador o un sistema distribuido en red. Es el encargado de recoger los datos de los
© Universidad Internacional de La Rioja (UNIR)
sensores (RTU), presentar la información al usuario y enviar las órdenes a los
actuadores. Como vimos anteriormente, puede tener otras muchas funciones
asociadas como ayudas al sistema y al operador.
Ciberseguridad Industrial
27
Tema 3. Ideas clave
Unidad terminal remota o RTU (remote terminal unit)
Es la unidad de procesamiento sobre cada uno de los elementos críticos del sistema,
recogiendo y enviando la información de uno o varios sensores o actuando
directamente sobre un elemento físico, ejecutando una orden. No son ordenadores, ya
que no requieren un alto nivel de complejidad. Tampoco son PLCs, aunque la tendencia
es la de convertirlos en RTUs. Suelen verse como interruptores o actuadores en
armarios de control.
Figura 20. Imagen de RTU para montar en armario.
Fuente: https://www.schneider‐electric.com/en/product‐range/63678‐foxboro‐scada‐
rtus?subNodeId=3984635168en_WW
Instrumentos de campo
© Universidad Internacional de La Rioja (UNIR)
Se engloban aquí todos los elementos que permiten interactuar con el mundo real de
forma automática, ya sean sensores, actuadores o alarmas. En general, estos
instrumentos son de diferentes fabricantes, lo que se ha de tener en cuenta a la hora
Ciberseguridad Industrial
28
Tema 3. Ideas clave
de comunicarlos con los RTUs. También hay que tener en cuenta en qué condiciones
operan y en qué rango dejan de ser exactos o controlables.
Red de comunicación
La comunicación entre los diferentes elementos se realiza mediante un bus específico
que se determina al crear el SCADA. En general se usan los estándares RS‐232, RS‐422 y
RS‐485, y el TCP/IP para facilitar la conexión con todo tipo de redes (wifi, radio, cable,
etc.) y permitir la comunicación WAN (Wide Area Network) para deslocalizar los RTUs o
comunicar el terminal con el operador humano.
En este apartado se hace imprescindible tener en cuenta conceptos como seguridad de
la transmisión, errores de detección, velocidad de la comunicación y cobertura. Todo el
conjunto SCADA es un sistema distribuido con sus ventajas e inconvenientes.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
29
Tema 3. Ideas clave
Figura 21. Esquema general de comunicación de un SCADA.
Fuente: https://electrical‐engineering‐portal.com/scada‐dcs‐plc‐rtu‐smart‐instrument
Ventajas de un SCADA
Dejando a un lado las ventajas obvias de facilidad de visualización y manejo de
sistemas industriales complejos, existen otras ventajas a tener en cuenta (Csanyi
2018):
El manejo de sustancias peligrosas o contaminantes se hace de forma remota y/o
automática sin poner en riesgo a operadores humanos.
Gracias a los dispositivos portátiles se puede conocer el estado general del
© Universidad Internacional de La Rioja (UNIR)
sistema tanto desde un centro de control cercano, desde cualquier otro lugar
lejano o desde el mismo lugar de la acción para labores de mantenimiento o
verificación.
Ciberseguridad Industrial
30
Tema 3. Ideas clave
La automatización como salvaguarda de la seguridad en sistemas complejos que
evita errores humanos impidiendo acciones lesivas para el sistema o los
trabajadores.
Previsión de futuro y registro de eventos del proceso industrial tanto cuando
todo es correcto como cuando no lo es tanto.
Alerta en previsión de un fallo o cuando este se produce de forma automática.
Es un sistema flexible que se adapta a cualquier proceso industrial, o incluso
dentro de un mismo proceso permite alternar entre diferentes líneas
productivas.
Ahorro económico y de energía.
SCADA en el mercado
Multitud de empresas se dedican a crear e implantar SCADA en todo tipo de
industrias. Por lo general, disponen de un sistema propio que es adaptable al caso
concreto.
Se puede usar todo tipo de lenguaje, pero últimamente se adoptan los orientados a
objetos como .net o Java. También suelen disponer de paquetes estructurados, o
incluso personalizables por web según las necesidades (por ejemplo, el sistema
ECAVA IGX: https://www.integraxor.com/scada‐edition/), e incluso los hay que
disponen de módulos que pueden ser instalados progresivamente.
A la hora de implementar un SCADA se debe tener en cuenta:
Seguridad del sistema.
Adaptabilidad a las necesidades presentes y futuras de la industria.
© Universidad Internacional de La Rioja (UNIR)
Escalabilidad.
Si existe algún tipo de soporte, mantenimiento o actualización.
Si es posible ver previamente una demostración en vivo en una industria similar.
Qué elementos de la industria será necesario renovar para su instalación.
Ciberseguridad Industrial
31
Tema 3. Ideas clave
Cuánto tarda en implementarse el sistema y si es necesario interrumpir el
proceso productivo.
Ciberseguridad en SCADA
La mayoría de los problemas de seguridad de los SCADA están relacionados con la
corrupción de la memoria, credenciales poco seguras, fallos de seguridad a la hora
de autentificarse y fallos o bugs en código que permiten ejecutar acciones
indebidas o introducir valores, siendo este último el más común.
En la mayoría de los casos podría eliminarse una gran cantidad de estas
vulnerabilidades con un testeo y análisis básico, ya que la concepción de seguridad
en SCADAs a nivel bajo y medio no suele ser una prioridad o una preocupación por
parte de la dirección. Por otro lado, los fabricantes de estos sistemas relacionados
se han centrado más en el hardware y en sus posibilidades que en el software en sí.
Una de las prioridades para los futuros fabricantes de software de SCADA, sobre
todo a nivel HMI (interfaz hombre máquina), es crear estándares de seguridad y
actualizaciones periódicas mediante parches, tal y como se hace para otro tipo de
aplicaciones.
La motivación para los ciberataques puede ser muy variada: desde la mera prueba
pasando por una obtención de datos, manipulación del proceso para beneficio
propio o un sabotaje industrial que retrase, detenga o destruya la producción.
Igualmente, los agentes responsables pueden ser desde un hacker aficionado, uno
profesional, un operador mal intencionado o torpe hasta incluso un Estado.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
32
Tema 3. Ideas clave
Figura 22. Diagrama de ataques más comunes a sistemas SCADA.
Fuente: http://securityaffairs.co/wordpress/wp‐content/uploads/2015/04/SCADA‐Attack‐methods‐Dell‐
Report.png
Recomendaciones de seguridad básicas
Las recomendaciones básicas en general no difieren de las que pueden emplearse
en cualquier otro sistema informático distribuido (Tecnozero, 2018):
Control de acceso físico a las instalaciones o a las zonas de control: se debe
limitar el acceso no solo a personas sino a cualquier elemento que pueda
interferir en el sistema (por ejemplo, un dron), especialmente si es una
instalación crítica.
Utilizar firewalls específicos y limitar las reglas de acceso: limitar el acceso de
cada elemento por dirección IP y, a la vez evitar el acceso de programas
© Universidad Internacional de La Rioja (UNIR)
indeseados a la aplicación de la entrada.
Cifrar los datos en las transmisiones: la comunicación entre los diferentes
elementos y el operador remoto debe ser cifrada para evitar que un tercero se
interponga y falsee o acceda a datos sensibles.
Ciberseguridad Industrial
33
Tema 3. Ideas clave
Dividir físicamente la red de acceso al HMI y la de HMI con los RTU: de esta
forma se limita el acceso a los RTUs únicamente al SCADA, que es el que debe
hacerlo.
Segmentar el sistema como elementos aislados con únicamente conexiones
seguras entre ellos. Especialmente en sistemas grandes o distribuidos debe
considerarse cada parte como un elemento independiente al que solo se puede
acceder por un canal seguro, evitando puertas traseras. De esta forma, una
intrusión en un elemento no interfiere en el resto y se puede acotar el daño.
Conectarse a SCADA mediante VPN: de esta forma se limita el acceso libre de
cualquier agente no autorizado.
Instalar sistemas específicos de protección contra malware para el entorno en
que se trabaja. Existen empresas que desarrollan este tipo de software para
entornos industriales y lo mantienen actualizado.
Diseñar un protocolo de actuación y recuperación en caso de fallo crítico. Una
vez que el fallo se ha producido, ocasionando una posible detención del
sistema, se debe ser capaz de levantarlo de forma rápida y sin riesgos para el
proceso industrial, especialmente en las partes sensibles que pueden estar en
ejecución y que pueden ser peligrosas para los equipos o las personas.
Sistema de backups periódicos en entornos seguros y alejados del original: los
datos almacenados, históricos y el mismo programa deben poder recuperarse
fácilmente. Para ello se deben hacer copias de forma periódica y almacenarse en
un lugar separado transmitiéndose por canales seguros.
Sistema de auditorías: existen empresas especializadas capaces de detectar las
vulnerabilidades del sistema y formar a los trabajadores en operatividad de los
equipos y ciberseguridad. Las auditorías deben ser periódicas.
Sistemas de operado manual en caso de fallo del sistema: en cualquier caso,
deben existir formas manuales de operar los componentes críticos de forma
© Universidad Internacional de La Rioja (UNIR)
sencilla, para así evitar daños catastróficos en la maquinaria, equipos y personal
tanto ajenos como propios.
Seguridad física de los componentes críticos: disponer de protocolos de
actuación y sistemas redundantes para los casos de fallo, destrucción o avería
de los componentes críticos. Un ciberataque, un evento fortuito o un desastre
Ciberseguridad Industrial
34
Tema 3. Ideas clave
natural pueden provocar la destrucción de elementos físicos no críticos,
afectando por proximidad a otros críticos (incendio, inundación, etc.).
Reportar ataques: un ataque detectado debe reportarse ya que puede ayudar a
determinar el origen o el sistema empleado, pudiendo evitar ataques a otras
partes del sistema o incluso a otras industrias (ver figura 1).
Ayuda gubernamental
En España disponemos del Centro Nacional de Protección de las Infraestructuras
Críticas (CNPIC, ver figura 23), que define y establece qué infraestructuras de
carácter industrial son de una importancia crítica para el país, existiendo un
catálogo de estas para las que se han definido unos protocolos de seguridad y
acción en caso de ciberataque.
Existe un CERT (Computer emergency response team, equipo de respuesta ante
emergencias informáticas) como un conjunto de medios y personas expertas en
ciberseguridad de los sistemas industriales críticos designados como tales por el
CNPIC. Son los encargados de investigar, prevenir y dar respuesta a las
ciberamenazas industriales y, por extensión, a las relacionadas con SCADAs. Este
equipo trabaja en conjunto con el operador y le advierte e informa de las posibles
amenazas, así como asiste en la incorporación de medidas de seguridad,
seguimiento de incidentes e incluso asesoramiento jurídico.
© Universidad Internacional de La Rioja (UNIR)
Figura 23. Logotipo del CNPIC.
Fuente: http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/index.html
Ciberseguridad Industrial
35
Tema 3. Ideas clave
Vulnerabilidades en SCADA
El conocimiento de las vulnerabilidades de los sistemas es crucial en los
ciberataques. En el caso de los SCADA, donde el testeo y las actualizaciones son
escasas, suelen darse con facilidad. Por esta razón el proveedor de software y el que
implanta el sistema deben ser empresas confiables y además facilitar las medidas
(que ya se mencionaron) para limitar intrusiones (ElectronicosOnline, 2017).
La vulnerabilidad de día cero son aquellas que ya tiene un sistema desde el mismo
momento de crearse y que pueden haber pasado desapercibidas en la creación de
este o bien se han creado con el propósito de acceder de forma furtiva.
Existe un mercado para este tipo de vulnerabilidad con compradores
gubernamentales interesados en poder acceder a SCADAs de infraestructuras
críticas extranjeras (centrales nucleares, redes eléctricas, etc.) y poder proteger las
propias. Por ello diferentes organismos como el CNPIC ayudan en la seguridad de
SCADAs.
Existen además páginas y organismos particulares que ayudan en la detección de
vulnerabilidades, muchas veces de forma gratuita (Por ejemplo: AGORA SCADA:
http://www.gleg.net/agora_scada.shtml). En la figura 24 se puede ver un rango de
precios de las vulnerabilidades en el mercado negro.
© Universidad Internacional de La Rioja (UNIR)
Figura 24. Rango de precios de vulnerabilidades en el mercado negro en 2014.
Fuente: https://resources.infosecinstitute.com/how‐much‐is‐a‐zero‐day‐exploit‐for‐an‐scadaics‐system/#gref
Ciberseguridad Industrial
36
Tema 3. Ideas clave
Incidentes reales
No es fácil conocer la cantidad real de ataques a SCADA en el mundo ya que en
muchos casos se camuflan como accidentes, otras veces no se denuncian y otras
simplemente no son detectados. Además, un problema añadido es poder identificar
al ejecutor del ataque, que en el caso de infraestructuras críticas puede haber
pasado años planeando y elaborando dicho ataque. De hecho, se estima que en el
38 % de los casos no se puede identificar al atacante. Por otro lado, los ataques
suelen provenir de grupos organizados o incluso Estados, disponiendo de unos
recursos a veces ilimitados (Veiguela, 2013).
Existen casos de ataques de forma constante pero no suelen llegar a los medios de
comunicación y no son conocidos por el público pese a su importancia geopolítica y
estratégica:
Organizaciones como ReVuln se encargan de descubrir y publicar
vulnerabilidades importantes en SCADA como la detectada en el software HMI,
de uso muy extendido (18 de abril de 2014).
EE. UU. e Israel lograron detener el programa nuclear iraní infiltrando un virus en
el software de control de las centrifugadoras de uranio llegando hasta los PLCs
(2009‐2010).
La CIA (Agencia Central de Inteligencia) consiguió infiltrar un software
defectuoso en el control de la presión de gas de los oleoductos rusos,
provocando una de las mayores explosiones no nucleares jamás registradas
(1982).
Un atacante desconocido atacó una empresa metalúrgica alemana accediendo a
las redes de producción de tal forma que varió los parámetros para que un horno
© Universidad Internacional de La Rioja (UNIR)
industrial no pudiera ser apagado, provocando un daño masivo a la planta.
(2014).
Ciberseguridad Industrial
37
Tema 3. Ideas clave
Durante el año 2017 se detectaron más de 26 000 ciberincidentes en empresas
españolas críticas tanto públicas como privadas, creciendo un 26 % respecto a años
anteriores según el Centro Criptológico Nacional: https://www.ccn‐cert.cni.es/.
El futuro del SCADA
SCADA ya es un elemento fundamental en el plano industrial y no se concibe un
proceso que no disponga de esta automatización y control, tanto por seguridad
como por facilidad de manejo y estandarización (DIYMakers, 2014).
El sistema en su conjunto ha ido evolucionando conforme lo ha ido haciendo el
sector tecnológico, desde simplemente la forma de visualización de los datos hasta
la deslocalización de elementos y el uso de bases de datos.
Cada vez se extiende más el uso desde elementos portátiles (como móviles) para
poder controlar o recibir avisos en cualquier lugar, así como la comunicación entre
diferentes SCADA para la coordinación de producciones a cualquier escala (ver
figura 25). Cada vez se demanda más versatilidad y facilidad de implementación
para los sistemas, creciendo hacia la conectividad, elementos en la nube y sistemas
inteligentes de monitorización y control. Se incorporan cada vez más elementos
multimedia como vídeo o audio, y se produce una mejora en los sistemas
operativos y en la creación de software y ampliación de las capacidades y velocidad
de comunicación. Empresas especializadas trabajan en software IA (inteligencia
artificial) para el control eficiente del sistema y la gestión de la seguridad.
Además, la proliferación y el abaratamiento de los componentes permite cada vez
más la democratización de los componentes básicos para crear un SCADA, y en
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
38
Tema 3. Ideas clave
Figura 25. HMI SCADA para todo tipo de dispositivos.
Fuente: https://w5.siemens.com/spain/web/es/industry/automatizacion/hmi/pages/scada.aspx
C
omo hemos visto en los apartados anteriores, uno de los principales
problemas de la seguridad en este tipo de sistemas es la seguridad de las
redes y los sistemas SCADA, pero tenemos que ver cómo podemos
realizar un diagnóstico técnico para poder identificar estos problemas y
dar una solución a los mismos.
Objetivos
Los objetivos que se buscan conseguir con un diagnóstico de ciberseguridad son:
© Universidad Internacional de La Rioja (UNIR)
Conocer el estado de la ciberseguridad de una instalación industrial.
Identificar sus puntos débiles.
Proporcionar información actualizada y completa acerca de la arquitectura de
redes y sistemas de la instalación.
Entender los riesgos que afronta la instalación.
Ciberseguridad Industrial
39
Tema 3. Ideas clave
Proponer recomendaciones de mejora.
Estos objetivos se conseguirán mediante la realización de un análisis de riesgos
detallado, bajo uno o varios patrones específicos de seguridad. En la siguiente
unidad se verá cómo se puede realizar un análisis de riesgos utilizando la
metodología de análisis de riesgos MARISMA y se construirán análisis sobre la
herramienta eMarisma.
Los servicios de análisis de riesgos, y más cuando hablamos de servicios sobre
infraestructuras industriales, son servicios muy especializados y que cada vez se
demandan más, al estar apareciendo nuevas leyes que exigen que los sistemas
tengan siempre un análisis de riesgos adecuado y actualizado.
Documentos previos
Cuando vamos a iniciar un diagnóstico técnico en una infraestructura industrial
tenemos que preparar una serie de documentos:
Definir las reglas de enfrentamiento (ROE: Rules of Engagement): se trata de un
conjunto de reglas en las que se definen las condiciones, intensidad y forma en
la que los «combatientes» están autorizados a usar la fuerza contra los
atacantes. En el campo de la ciberseguridad esto presenta una peculiaridad, y es
que en muchos casos los atacantes lo son de forma involuntaria (por ejemplo:
redes zombis, bot‐net).
Establecer el escenario de los trabajos: para esto es de vital importancia
determinar el alcance de la revisión, ya que puede hacer variar mucho los
resultados obtenidos.
© Universidad Internacional de La Rioja (UNIR)
Firmar acuerdos de confidencialidad: estos acuerdos son una garantía para el
cliente de que el auditor mantendrá el más estricto secreto respecto a la
información a la que tenga acceso. Este tipo de acuerdo también es vital para
cumplir con las leyes de protección de datos personales, o en el caso de Europa
Ciberseguridad Industrial
40
Tema 3. Ideas clave
con la GDPR (General Data Privacy Regulation) que entró en vigor el 25 de mayo
del 2018.
Firmar el documento de exención de responsabilidades (get out of jail card): este
es un documento orientado a proteger al auditor frente a los fallos que
posteriormente puedan aparecer en al sistema auditado. El auditor se
compromete a seguir un código deontológico y actuar con el cuidado debido, y
siempre conforme a las reglas de enfrentamiento que se hayan definido.
Pasos para el diagnóstico
Una vez que hemos realizado los pasos previos y firmado los documentos, estamos
en disposición de iniciar el diagnóstico de la empresa o del alcance definido dentro
de esta.
El diagnóstico estará formado por cuatro fases:
Recopilación de la información: supone mantener una entrevista con el personal
de la empresa en la que se pueda obtener la documentación relevante. En esta
fase podemos distinguir dos subfases:
• Identificación de los RR. HH: se deben identificar los interlocutores válidos de
la empresa, que tendrán diferentes perfiles. Siempre se debe transmitir
seriedad y profesionalidad, intentando tener siempre una actitud positiva y
constructiva.
• Documentación: entre otros documentos se debe solicitar un organigrama de
la compañía, el mapa de red, procedimientos y políticas e información
general sobre la instalación. En este sentido, seguir el checklist de controles
de la ISO27001 puede ayudar.
© Universidad Internacional de La Rioja (UNIR)
Verificación: la información se obtiene por medio de entrevistas y de la
documentación facilitada, pero esto presenta algunos inconvenientes, ya que esa
documentación puede estar obsoleta o ser imprecisa y las entrevistas suelen
estar sesgadas y contar con un elevado nivel de subjetividad. Por ello, debe
Ciberseguridad Industrial
41
Tema 3. Ideas clave
poderse acceder físicamente a las instalaciones (acceso físico al sistema, visita a
las plantas, recopilación de información nosotros mismos, etc.).
• Advertencia: uno de los grandes problemas de los ambientes OT frente a los IT
es que son mucho más inestables, por lo que las pruebas se tienen que
realizar de una forma mucho más controlada.
Consolidación: para consolidar los hallazgos debemos siempre recoger
evidencias. Para ello podemos revisar las configuraciones, buscar activos no
actualizados o redes desactualizadas, o relacionar datos de varias partes que nos
permitan obtener conclusiones. Estas siempre se deben soportar sobre
evidencias demostrables, y siempre tener una finalidad constructiva. Para las
empresas es importante poder entender las decisiones que tienen que tomar.
Presentación de resultados: finalmente, una vez que tenemos todos los
resultados del sistema, es muy importante elaborar un informe ejecutivo que
refleje claramente la situación actual y un apartado reflejando las posibilidades
de mejora. Este informe debe incluir las evidencias encontradas y un resumen
final pensado para los altos mandos, y a ser posible debe tener información
visual que sea fácilmente interpretable (gráficas, tablas comparativas).
• Advertencia: en la presentación se deben reflejar los resultados más
relevantes, siempre buscando las causas y no los culpables, con actitud muy
constructiva y positiva, evitando los detalles técnicos si asiste personal
directivo. Finalmente, este informe siempre es recomendable que tenga un
carácter previo y no definitivo, de forma que pueda dar lugar a un debate e
intercambio de opiniones, permitiendo sufrir alguna modificación si queda
bien justificada.
3.5. Referencias bibliográficas
© Universidad Internacional de La Rioja (UNIR)
Aldakin. (agosto de 2018). Automatización Industrial y robótica. Qué es y sus claves
de éxito. aldakin.com. Recuperado de http://www.aldakin.com/automatizacion‐
industrial‐robotica‐claves‐exito/
Ciberseguridad Industrial
42
Tema 3. Ideas clave
ANSI/ISA‐62443‐4‐1‐2018, Security for industrial automation and control systems
Part 4‐1: Product security development life‐cycle requirements.
Barrett, M. (2018). Framework for Improving Critical Infrastructure Cybersecurity.
Version 1.1. NIST (National Institute of Standards and Technology). U.S. Department
of Commerce.
Crespo, W. (2011). ¿Qué es la Automatización Industrial? [Mensaje en un blog].
Recuperado de
https://automatizacionindustrial.wordpress.com/2011/02/09/queeslaautomatizaci
onindustrial/
CiudadesDelFuturo. (agosto de 2017). Sin ciberseguridad no hay Industria 4.0.
[Mensaje en un blog]. Recuperado de https://ciudadesdelfuturo.es/sin‐
ciberseguridad‐no‐hay‐industria‐4‐0.php
Csanyi, E. (25 de abril de 2018). Five Terms You MUST Be Familiar With: SCADA,
DCS, PLC, RTU and Smart Instrument [Mensaje en un blog]. Recuperado de
https://electrical‐engineering‐portal.com/scada‐dcs‐plc‐rtu‐smart‐instrument
Deloitte. (agosto de 2018). ¿Qué es la Industria 4.0? Davos y la Industria 4.0.
deloitte.com. Recuperado de
https://www2.deloitte.com/es/es/pages/manufacturing/articles/que‐es‐la‐
industria‐4.0.html
DIYMakers. (2 de mayo de 2014). Software Tools for Makers: un Scada para Arduino
[Mensaje en un blog]. Recuperado de http://diymakers.es/software‐tools‐makers‐
© Universidad Internacional de La Rioja (UNIR)
un‐scada‐para‐arduino/
Ciberseguridad Industrial
43
Tema 3. Ideas clave
Electro Industria. (2018). Automatización Neumática en la Industria. Un sistema de
producción rápido, limpio y seguro. [Mensaje en un blog]. Recuperado de
http://www.emb.cl/electroindustria/articulo.mvc?xid=3118
Electronicos Online.com. (3 de julio de 2017). He aquí las vulnerabilidades más
latentes de los Sistemas SCADA. electronicosonline.com. Recuperado de:
https://www.electronicosonline.com/he‐aqui‐las‐vulnerabilidades‐mas‐latentes‐de‐
los‐sistemas‐scada/
Grup Mcr. (29 de julio de 2016). Ventajas y desventajas de la automatización
industrial [Mensaje en un blog]. Recuperado de https://www.mcr.es/ventajas‐y‐
desventajas‐de‐la‐automatizacion‐industrial/
Grupo Garatu. (2018). Ciberseguridad contra los “hackers” de la nueva Industria 4.0.
grupogaratu.com. Recuperado de https://grupogaratu.com/ciberseguridad‐y‐los‐
hackers‐de‐la‐industria‐40/
Inductive Automation. (2018). What is SCADA? inductiveautomation.com.
Recuperado de https://inductiveautomation.com/what‐is‐scada
INFAIMON. (2018). [R]evolución artificial. Blog con soluciones de visión artificial y
nuevas tecnologías para mejorar la calidad de tus productos [Blog]. Recuperado de:
https://blog.infaimon.com/
Isbel G. (2011). El Blog de Isbelg [Blog]. Recuperado de http://isbelg.over‐blog.com/
JOM (2016). Tipos de automatización industrial ¿Cuál es el más indicado?
© Universidad Internacional de La Rioja (UNIR)
estampacionesjom.com.
Lazaro, P. (16 de mayo de 2016). La importancia de la ciberseguridad en la Indutria
4.0. euskaditecnologia.com. Recuperado de https://www.euskaditecnologia.com/la‐
importancia‐de‐la‐ciberseguridad‐en‐la‐industria‐4‐0/
Ciberseguridad Industrial
44
Tema 3. Ideas clave
OASYS. (20 de abril de 2017). La Importancia de la Ciberseguridad en la Industria
4.0. [Mensaje en un blog] Recuperado de https://oasys‐sw.com/ciberseguridad‐
industria‐40/
Pardos, J. A. (agosto de 2014). Historia de la Oleohidráulica [Mensaje en un blog].
Recuperado de https://www.seas.es/blog/energias_renovables/historia‐de‐la‐
oleohidraulica/
Rodriguez, P. (3 de abril de 2013). Redes PLC (I): Qué son y para qué sirven [Mensaje
en un blog]. Recuperado de https://www.xatakahome.com/la‐red‐local/redes‐plc‐i‐
que‐son‐y‐para‐que‐sirven
Tecnozero. (2018). Seguridad en sistemas SCADA [Mensaje en un blog]. Recuperado
de https://www.tecnozero.com/blog/ciberseguridad‐industrial‐la‐seguridad‐en‐
infraestructuras‐criticas/
UNE‐ISO/IEC‐27000: 2014. Information technology ‐‐ Security techniques ‐‐
Information security management systems – Overview and vocabulary.
Veiguela, L. G. (2013). Los ciberataques (conocidos) más importantes. esglobal.org.
Recuperado de https://www.esglobal.org/la‐lista‐los‐ciberataques‐conocidos‐mas‐
importantes/
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
45
Tema 3. Ideas clave
A fondo
Ciberseguridad en Sistemas de Automatización Industriales
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.schneider‐electric.es/es/work/insights/industrial‐automation‐
systems‐cybersecurity.jsp
Ciberseguridad en Redes de Control Industrial (SCADA)
Moya, S. (2017). Ciberseguridad en redes de control industrial (SCADA) [Mensaje en un
blog].
Artículo en el que Antonio Ortiz Islas, ingeniero en Comunicaciones y Electrónica y
experto en seguridad informática, realiza una definición de los sistemas de control
© Universidad Internacional de La Rioja (UNIR)
industrial tipo SCADA y repasa las principales políticas de seguridad en las redes.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://isamex.org/intechmx/index.php/2017/09/22/ciberseguridad‐en‐redes‐de‐
control‐industrial‐scada/
Ciberseguridad Industrial
46
Tema 3. A fondo
Ciberseguridad en TPVs y Scada
Vídeo en el que se entrevista a David Sancho, investigador antivirus de Trend Micro.
En dicha entrevista se desgranan los problemas y necesidades de seguridad de los
sistemas SCADA y TPV, los ciberataques efectuados a sistemas TPV, las normativas
que tratan de fomentar la ciberseguridad en sistemas industriales y los avances en
investigación sobre ciberseguridad en sistemas SCADA.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=‐9BpOPE8‐eo
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
47
Tema 3. A fondo
Vulnerabilidades en SCADA
Trend Micro (23 de mayo de 2017). The State of SCADA HMI Vulnerabilities.
trendmicro.com.
Artículo en el que se revisan los tipos de ataque susceptibles de sufrir por sistemas
SCADA a través de HMI (interfaces hombre‐máquina), las principales
vulnerabilidades de este tipo de sistemas y comparativas con otros tipos de
sistemas.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.trendmicro.com/vinfo/nl/security/news/vulnerabilities‐and‐
exploits/the‐state‐of‐scada‐hmi‐vulnerabilities
Ciber‐vulnerabilidades en infraestructuras críticas
Esteve, J. (2015). 'Hackear' la red ferroviaria es posible: así se paraliza todo un país.
elconfidencial.com
Artículo en el que, de forma amena y coloquial, se introduce la problemática de la
seguridad en las infraestructuras críticas, el aumento de los ciberataques que obliga
a una constante monitorización activa de la seguridad y los efectos que estos
ataques pueden acarrear.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
© Universidad Internacional de La Rioja (UNIR)
https://www.elconfidencial.com/tecnologia/2015‐12‐30/asi‐se‐puede‐poner‐en‐
jaque‐a‐la‐red‐ferroviaria_1128591/
Ciberseguridad Industrial
48
Tema 3. A fondo
Test
1. ¿Qué concepto asocia mejor con un sistema SCADA?
A. Son sistemas utilizados para la automatización de procesos.
B. Son sistemas de supervisión y control utilizados para los procesos
industriales.
C. Son sistemas de supervisión, control y adquisición de datos utilizados para
la automatización de procesos industriales.
D. Son sistemas de adquisición de datos que se utilizan para agilizar el proceso
de búsqueda de datos.
2. ¿De qué redes convergentes se compone un sistema SCADA?
A. Red de control, red corporativa, red local y red global.
B. Red de planificación, red de área local y red global.
C. Red de área local, red de área amplia y red corporativa.
D. Red de control y red corporativa.
3. ¿En qué consiste la automatización industrial?
A. En la gestión de monitorizar diferentes dispositivos para que funcionen
automáticamente en la medida de lo posible.
B. En la planificación de los diferentes recursos humanos de una industria para
que trabajen de una forma más eficiente y automatizada gracias a las últimas
tecnologías.
C. En la gestión de programar diferentes dispositivos para que sigan con el
© Universidad Internacional de La Rioja (UNIR)
funcionamiento de las tareas, una vez que los recursos humanos de una
industria acaben su jornada.
D. En la gestión de programar máquinas para que trabajen durante toda una
cadena de producción con la mayor rapidez posible.
Ciberseguridad Industrial
49
Tema 3. Test
4. ¿Qué tipos de automatización existen?
A. Variable, programable y flexible.
B. Flexible, fija y ordenada.
C. Programable, flexible y fija.
D. Fija, variable, flexible y ordenada.
5. ¿Qué ataques pueden vulnerar los distintos sistemas de automatización
industrial actualmente?
A. Cero – day ransomware.
B. Ransomware común.
C. ICS Insider.
D. Todas son correctas.
6. Un SCADA debe ser:
A. Capaz de crecer y adaptarse conforme a las necesidades cambiantes de la
empresa.
B. Seguro y confiable.
C. Capaz de permitir un control remoto y de operación a distancia.
D. Todas son correctas.
7. ¿Qué componentes forman un sistema SCADA?
A. Software.
B. Hardware.
C. Software y hardware.
D. Redes.
© Universidad Internacional de La Rioja (UNIR)
8. ¿Qué se debe tener en cuenta a la hora de implementar un SCADA?
A. La seguridad del sistema.
B. La escalabilidad.
C. La adaptabilidad a las necesidades presentes y futuras de la industria.
D. Todas son correctas.
Ciberseguridad Industrial
50
Tema 3. Test
9. ¿Qué objetivos se buscan conseguir con un diagnóstico de ciberseguridad?
A. Conocer los virus que atacan al sistema para poder crear una defensa que
impida ese ataque.
B. Identificar las distintas maneras en las que se puede recibir un ataque y las
causas que pueden afectar al sistema.
C. Proporcionar información actualizada y completa acerca de la arquitectura
de redes y sistemas de la instalación, identificar los puntos débiles y entender
los riesgos que afronta la instalación.
D. Proporcionar información de las vulnerabilidades del sistema.
10. ¿De qué pasos se compone un diagnóstico de seguridad de una empresa?
A. Recopilación de información, identificación del problema, solución
B. Recopilación de información sobre los problemas, y el desarrollo de las
diferentes soluciones para estos.
C. Recopilación de la información, verificación, consolidación y presentación
de resultados.
D. Recopilación de la información, consolidación, entrega de documentación y
solución.
© Universidad Internacional de La Rioja (UNIR)
Ciberseguridad Industrial
51
Tema 3. Test