Sie sind auf Seite 1von 55

AMENAZAS Y

VULNERABILIDADES DE
SEGURIDAD ESPECFICAS
TEMA 5. MANUAL

I Edicin del Curso MOOC


Ciberseguridad en IACS
Copyright Instituto Nacional de Tecnologas de la comunicacin S.A. 2014.Todos los derechos reservados.

NDICE
1

LAS AMENAZAS EN LOS ENTORNOS INDUSTRIALES

1.1

Amenazas

1.2

Amenazas no intencionadas

1.3

Amenazas intencionadas

1.4

Algunas estadsiticas sobre amenazas

1.5

Amenazas intencionadas: vectores de ataque

VULNERABILIDADES EN EL MBITO DEL DISEO, DESARROLLO, OPERACIN Y


EL MANTENIMIENTO DE LOS IACS
13
2.1

Estadsticas

13

2.2

Tipologa de las vulnerabilidades

15

2.3

Vulnerabilidades a nivel de plataforma

15

2.4

Vulnerabilidades a nivel de red

18

2.5

Vulnerabilidades a nivel de procedimientos y polticas

20

2.6

Anlisis de Vulnerabilidades tcnicas

22

FACTORES DE RIESGO

24

3.1

Distintas culturas en el personal tcnico

24

3.2

Falta de formacin y concienciacin

25

3.3

Percepciones errneas por parte de los fabricantes

26

3.4

Comunicaciones mal gestionadas e indocumentadas

27

3.5

largos ciclos de vida del equipamiento industrial

28

3.6

Uso de sistemas operativos obsoletos o desactualizados

30

3.7

Resumen

31

INCIDENTES

32

4.1

Quin es el objetivo?

32

4.2

Informe ICS-Cert 2013

33

4.3

Origen: Red de campo

35

4.4

Origen: Accesos remotos legtimos

36

4.5

Origen: Red Corporativa

38

4.6

Origen: Cortafuegos perimetrales mal configurados

39

4.7

Origen: Redes inalmbricas

40

EJEMPLOS DE INCIDENTES REALES

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

41

A.

5.1

Planta de tratamiento de aguas en Maroochy Shire (Australia)

41

5.2

Central nuclear Davis Besse (Ohio, EE. UU.)

42

5.3

Central nuclear Browns Ferry (Alabama, EE. UU.)

43

5.4

Sistema ferroviario de Lodz (Polonia)

44

5.5

Central nuclear Edwin I. Hatch (Georgia, EE. UU.)

45

5.6

Control de trfico en Italia

46

5.7

Seales de carretera (Texas, EE. UU.)

47

5.8

Central Nuclear Natanz (Irn)

48

5.9

Ataque Night Dragon

51

5.10

Planta de tratamiento de aguas (Illinois, EE. UU.)

52

NDICES Y REFERENCIAS

53

REFERENCIAS TCNICAS

53

NDICE DE FIGURAS

54

NDICE DE TABLAS

55

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

LAS AMENAZAS EN LOS ENTORNOS INDUSTRIALES

1.1 AMENAZAS
Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre los elementos de un sistema. Esto incluye tanto
daos a equipamiento a nivel fsico como a su funcionalidad e informacin.
Las amenazas de los sistemas de control y automatizacin pueden ser de tipo intencionado o no
intencionado. Actualmente, existen estadsticas que demuestran que la mayora de las amenazas
que afectan a estos sistemas son de tipo no intencionado, llegando a alcanzar hasta un 80% de las
mismas. No obstante, existe una tendencia que demuestra que el porcentaje de las amenazas de
origen intencionado est incrementndose poco a poco.

Figura 1. Origen de las amenazas.


Fuente: Security Incidents Organization.

Para ms informacin, consulte:


Security Incidents Organization
http://www.securityincidents.net

1.2 AMENAZAS NO INTENCIONADAS


Las amenazas no intencionadas incluyen todas aquellas que no afectan especficamente a los
sistemas de control y automatizacin, pero que, por diversos motivos, pueden suponer un peligro
para estos sistemas. Habitualmente, las amenazas no intencionadas estn relacionadas con
fenmenos que no podemos controlar.
Dentro de las amenazas no intencionadas es posible establecer una divisin entre aquellas que
tienen un origen humano y aquellas que tienen otros orgenes, siendo aproximadamente de un

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

50% la proporcin de cada una de ellas. Del porcentaje de amenazas de origen humano,
aproximadamente dos terceras partes (38% del total de amenazas de tipo no intencionado) tendrn
origen externo al sistema de control y automatizacin y, en general, a la organizacin a la que
pertenece, mientras que el resto sern amenazas que se originan internamente.
Las amenazas no intencionadas se clasifican en cuatro grandes grupos que sern comentados a
continuacin.

Figura 2. Tipos de amenazas no intencionadas

FALLOS DE SAFETY
Los fallos de los sistemas de safety incluyen los problemas que pueden tener los sistemas de
proteccin tanto del equipamiento fsico controlado (por ejemplo: sensores, actuadores, tuberas,
lneas elctricas) como del personal que lo manipula (por ejemplo: retenes, tcnicos de
mantenimiento...). Al tratarse de instrumentacin mecnica con funcionamiento elctrico (por
ejemplo: detectores de paso de falta 1 o interruptores seccionadores automticos 2), sta puede
verse afectada por fallos de funcionamiento que pueden provocar daos en el sistema de control y
automatizacin y en el propio proceso industrial.
FALLOS DE EQUIPAMIENTO
Al igual que sucede con los sistemas de safety, los dispositivos de automatizacin y control son
elementos hardware mecnicos o electromecnicos con muchos componentes electrnicos. Los
fallos en los equipamientos (por ejemplo: avera de la fuente de alimentacin de una Unidad de
Terminal Remota [RTU], agotamiento de recursos de memoria, etc.) pueden hacer que las lecturas
de las variables de campo sean incorrectas, o que las acciones a realizar sobre el proceso no se
lleven a cabo, o que fallen las comunicaciones entre diferentes dispositivos y no llegue la
informacin desde su origen hasta su destino.

Equipo destinado a detectar un fallo de suministro en una lnea elctrica


Equipamiento similar a un interruptor comn, con la diferencia de que debe ser capaz de mantener aislada la
instalacin elctrica realizando una descarga de la lnea de forma automatizada.
2

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

DESASTRES NATURALES
Los desastres naturales incluyen todo tipo de sucesos ambientales de consecuencias fatales y que
no se pueden controlar. Entre ellos se encuentran los terremotos, las inundaciones, las condiciones
climatolgicas extremas (por ejemplo: ola de calor, ola de fro). Tambin se han de incluir los
incendios dentro de este grupo o incluso las posibles consecuencias de una extincin inadecuada
de los mismos (p. ej. los daos producidos por el agua en el equipamiento electrnico), que pueden
ser peores en algunas ocasiones que el propio incendio.
ERROR HUMANO
Dentro de este grupo de amenazas hemos de considerar los fallos producidos por descuidos o por
dejadez de los empleados. Un ejemplo puede ser la utilizacin de medios personales de
intercambio de ficheros (llaves USB o similares) dentro de los equipos del sistema de control y
automatizacin para compartir informacin entre compaeros. Estos dispositivos, en la mayor parte
de los casos, no son debidamente analizados por motores antivirus y pueden contener malware
que afecte a los sistemas a los que son conectados, aun cuando este malware no est diseado
para sabotear o robar informacin del sistemas de control afectado.
As mismo, dentro de este grupo de amenazas tambin se pueden incluir los ataques a gran escala
contra direcciones IP pblicamente accesibles, que botnets (redes zombi) pertenecientes a mafias,
lanzan de forma automatizada y de manera indiscriminada contra cualquier equipo conectado a
Internet. Estos ataques pueden afectar a los sistemas de control y automatizacin, aun cuando no
vayan dirigidos contra ellos, si resulta que estos tienen direcciones IP pblicamente accesibles que
estn dentro del segmento de red que se est analizando.

1.3 AMENAZAS INTENCIONADAS


Las amenazas intencionadas incluyen todas aquellas fuentes de problemas que van dirigidos
expresamente contra los sistemas de control. Las amenazas intencionadas tienen un origen
humano.

Figura 3. Orgenes de las amenazas intencionadas

Dentro de las amenazas intencionadas podemos identificar aqullas que se originan desde el
interior de las organizaciones, propietarias u operadoras de los sistemas de control objetivo, o
aqullas con un origen externo a stas, siguiendo aproximadamente un reparto 50%-50% segn la
Figura 1.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

A continuacin se explican los orgenes de amenazas intencionadas ms importantes.


EMPLEADOS DESCONTENTOS
Los empleados descontentos suponen la fuente de amenazas ms importante para los sistemas de
control y automatizacin. El personal interno tiene toda la informacin del sistema y, por tanto, el
conocimiento sobre su operacin, configuracin particular; como por ejemplo qu variables del
sistema SCADA estn mapeadas con qu entradas (por ejemplo: sensores de presin, de
temperatura...) y con qu salidas (por ejemplo: vlvulas de alivio de presin, motores...) en un
determinado Controlador Lgico Programable [PLC]. Adems, los fallos que pueden provocar son
ms crticos por el simple hecho de contar con acceso a todos los dispositivos de la infraestructura
y conocer de primera mano los puntos dbiles de la misma.
En este punto, tambin se debe tener presente a los antiguos empleados que, aunque ya no
disponen de acceso ni a las instalaciones ni a los dispositivos, s tienen conocimiento del
funcionamiento, de las posibles configuraciones por defecto en uso, de la ubicacin de dispositivos
accesibles, etc. Debido a este hecho, podran intentar llevar a cabo ciberataques desde fuera de
las fronteras de la organizacin que sean ejecutados de forma exitosa.
INDIVIDUOS / PEQUEOS GRUPOS / HACKTIVISMO
Dentro de este grupo estn esas personas que trabajan, en la mayora de ocasiones, de forma
individual y por un afn de notoriedad. Su fin ltimo no es poner en peligro real al proceso industrial
y la organizacin que est detrs, sino su propia publicidad y reconocimiento.
Un ejemplo de estos grupos lo forma Anonymous, donde diferentes personas realizan ataques a
sistemas, bien de forma individual, bien de forma conjunta, de manera que sean noticia en todo el
mundo al estar relacionados con otros eventos de gran repercusin. Casi todos sus ataques son de
tipo DDoS.
COMPAAS RIVALES
Las compaas rivales son las ms interesadas en conocer el funcionamiento de la competencia,
para poder obtener una ventaja competitiva. Para una compaa rival, lo importante ser la
informacin que pueda obtener, conocer qu estn haciendo y cmo; o desprestigiar la imagen de
su competencia, por lo que puede contratar a grupos criminales con el objetivo de sabotear sus
instalaciones.
GRUPOS CRIMINALES
Los grupos criminales atacan los sistemas de control para chantajear a la industria y pedir dinero a
cambio de no revelar informacin sensible, o amenazando con dejar sin control a los operarios
legtimos y exigir un monto econmico a cambio de devolver el control sobre sus sistemas.
TERRORISTAS
Los grupos terroristas no suponen una amenaza a nivel lgico an, pero s a nivel fsico. Las
amenazas terroristas se basan en la destruccin de las infraestructuras de la industria,
principalmente infraestructuras crticas, con el objetivo de desestabilizar el funcionamiento de un
pas por motivos polticos, etc.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

SERVICIOS DE INTELIGENCIA EXTRANJEROS / ESTADOS


Los servicios de inteligencia de determinados pases realizan actividades de espionaje y captura de
informacin, muchas veces sin un objetivo concreto, tanto dentro de su propio pas como fuera.
Adems, algunos pases cuentan con programas de trabajo para desarrollar estas capacidades.
Los estados son los nicos que poseen el tiempo, recursos y dinero suficiente como para poder
llevar a cabo un ataque a gran escala contra los sistemas de control y automatizacin.
Ejemplo:
Electricity Grid in U.S. Penetrated By Spies

http://online.wsj.com/news/articles/SB123914805204099085

1.4 ALGUNAS ESTADSITICAS SOBRE AMENAZAS


Las amenazas a las que se enfrentan los sistemas de control y automatizacin son cada vez ms
reales. As lo demuestra la ltima encuesta llevada a cabo por Control Engineering, donde al
menos un cuarto de sus encuestados identifica que el nivel de exposicin frente a amenazas de su
sus sistemas de control se encuentra en nivel alto de criticidad o incluso severo, porcentaje similar
a los que indican que su nivel es mnimo.
En particular, en esta encuesta se pone de manifiesto que el malware aleatorio y sin ninguna
intencionalidad o conexin especfica con el sistema afectado, es decir de origen no intencionado,
representa la amenaza ms importante de la industria, con ms de un tercio de afectacin; seguido
del robo de informacin y los ataques a infraestructuras crticas, con un 15% cada una
aproximadamente.

Figura 4. Niveles de amenazas y amenazas ms frecuentes.


Fuente: Cyber Security Study. 2014. Control Engineering

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

1.5 AMENAZAS INTENCIONADAS: VECTORES DE ATAQUE


Las fuentes de amenazas intencionadas van a utilizar diversos vectores de ataque 3 para conseguir
su objetivo. Entre ellas destacamos:
ROBO
Sustraccin de informacin y datos relevantes de la empresa, incluyendo informacin propia del
proceso industrial, de la configuracin y parmetros de los sistemas de automatizacin y control, de
las protecciones... Tambin puede incluir el robo de equipamiento fsico o lgico, como puede ser
una RTU, un PLC o un contador, as como el cobre de los cables utilizados en las infraestructuras
de comunicaciones...
DESTRUCCIN FSICA
La destruccin fsica puede aplicarse tanto a infraestructuras como a equipamiento. La destruccin
fsica puede incluir el sabotaje de un transformador, de una tubera... La destruccin de
equipamiento tambin puede ocurrir por un mal uso del mismo; por ejemplo, a consecuencia de
una reprogramacin incorrecta o al forzado de valores no adecuados en el control de un proceso
industrial (por ejemplo: configurar un lmite de presin de disparo de un proceso de alivio de
presin, superior al lmite de resistencia de la tubera).
MALWARE
El malware son programas maliciosos diseados con mltiples propsitos (por ejemplo: denegacin
de servicio, espionaje, inclusin de una puerta trasera, escalado de privilegios a travs de otros
exploits, sabotaje...). Entre los resultados de sus acciones se pueden encontrar la ralentizacin de
los sistemas (por ejemplo: inundacin de red), la captura (por ejemplo: grabacin de audio, vdeo,
pulsaciones de teclado...) y envo de informacin para su tratamiento (a un C&C), modificacin de
funciones y su ocultamiento (rootkit), establecimiento de una shell remota...
Stuxnet y DuQu son dos de los principales exponentes de programas maliciosos dirigidos contra
sistemas de automatizacin y control. Interrelacionados (se habla de que DuQu fue precursor de
Stuxnet), fueron diseados por los servicios de inteligencia estadounidense e israel, con los
respectivos objetivos de sabotear y realizar labores de inteligencia sobre el programa nuclear iran.
Puede consultar ms informacin:

http://www.elmundo.es/elmundo/2011/01/16/internacional/1295180388.html
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/

MANIPULACIN DE COMUNICACIONES
Consiste principalmente en realizar capturas de trfico, inyecciones de tramas, modificacin de la
informacin en trnsito... aprovechando las debilidades de los protocolos en uso.

Un vector de ataque es el mtodo que utiliza una amenaza para atacar un sistema.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

Por ejemplo, las comunicaciones de tipo Modbus no presentan autenticacin de extremos ni de


mensajes, por lo que es posible realizar una suplantacin de identidad, tanto del maestro como del
esclavo, y engaar a la otra parte de la comunicacin. As mismo, al no utilizar mecanismos de
cifrado que aseguren la informacin en trnsito, es posible realizar un ataque de tipo Man-In-TheMiddle sobre la comunicacin, alterando los datos trasmitidos entre el esclavo y el maestro.
ESCALADO DE PRIVILEGIOS
Consiste en aprovechar un fallo, defecto de diseo, o un descuido por parte del administrador en la
configuracin de un sistema operativo o una aplicacin de software, para obtener acceso a los
recursos que normalmente estn protegidos de una aplicacin o usuario. En definitiva, se cuenta
con una aplicacin con ms privilegios de los que el desarrollador de la aplicacin o el
administrador del sistema le hubieran otorgado inicialmente, por lo que puede realizar acciones no
autorizadas.
INYECCIN DE CDIGO
La inyeccin de cdigo consiste en aprovechar las debilidades de programacin de las
aplicaciones, tanto Web como de escritorio, para obtener informacin a travs de entradas de datos
destinadas a otra funcin, como por ejemplo, utilizar campos de formularios para obtener
informacin de las bases de datos.
Como ejemplo dentro de los sistemas de control y automatizacin, los ataques de inyeccin de
cdigo se pueden utilizar en los sistemas Interfaz Humano-Mquina [HMI] a fin de sacar
informacin sobre la configuracin de variables en un PLC, y su mapeo con el SCADA.
DENEGACIN DE SERVICIO
Las denegaciones de servicio consisten en impedir la comunicacin o el funcionamiento de un
dispositivo o servicio. En el caso de las denegaciones a las comunicaciones, stas se sirven de las
debilidades existentes en los protocolos de comunicacin. Por otro lado, las denegaciones de
servicio a los dispositivos se aprovechan debilidades de las aplicaciones en funcionamiento o de su
construccin.
Como ejemplo prctico, en el caso de una denegacin de servicio sobre una RTU, un atacante
debera inundar de peticiones a uno de los servicios publicados en el dispositivo (por ejemplo, el
servicio Web desde el que se administra su configuracin), hasta que ste sea incapaz de
procesarlas en tiempo real (incumplimiento de requerimientos de determinismo), consumiendo
todos los recursos computacionales y provocando inconsistencias, tanto en el servicio como en el
propio dispositivo en el que se encuentra publicado.
SPOOFING
Uso de diversas tcnicas para realizar una suplantacin de identidad con intencin maliciosa. Se
pueden clasificar los ataques de spoofing en funcin de la tecnologa utilizada, siempre que dicha
tecnologa de red sea susceptible de sufrir suplantaciones de identidad. As, se encuentran las
tcnicas clsicas del entorno de TI tradicional, donde se engloban IP spoofing, ARP spoofing, DNS
spoofing, Web spoofing o email spoofing.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

10

Estas tcnicas tambin pueden aplicarse en los sistemas de control y automatizacin donde,
adems, se pueden aprovechar las debilidades existentes en la gran mayora de protocolos
industriales. Por ejemplo, es relativamente sencillo realizar un spoofing de un comando de Modbus,
o de un extremo de la comunicacin (por ejemplo: esclavo o maestro) en una sesin IEC 104.
REPETICIN
Los ataques por repeticin consisten en la inyeccin de trfico que ha sido capturado previamente,
y en muchas ocasiones tambin manipulado, para hacer que el proceso falle o realice acciones
incorrectas.
Por ejemplo, en protocolos industriales como DNP3 e IEC 104 se puede producir este tipo de
ataque, debido a los escasos bits utilizados para la numeracin de tramas; el trfico capturado se
puede reinyectar y ste ser vlido en un escaso periodo de tiempo.
INGENIERA SOCIAL
La ingeniera social es el proceso de utilizar de las herramientas de comunicacin clsicas (correo
electrnico, telfono,...), as como las redes sociales (por ejemplo: Twitter, Facebook), foros,... para
obtener informacin necesaria para un ataque a un sistema.
Los potenciales atacantes realizan preguntas utilizando estas herramientas fingiendo tener un
problema en su sistema para recabar toda la informacin posible, y expertos o personas que han
sufrido un problema similar al planteado se prestan a ayudar, facilitando en muchas ocasiones
informacin relativa al funcionamiento de los sistemas de control y automatizacin de su lugar de
trabajo.
PHISHING
El phishing es una tcnica de ingeniera social que busca obtener informacin confidencial/
relevante de forma fraudulenta a travs de la suplantacin de identidad de una persona o empresa
de confianza para la persona atacada. Las amenazas de phishing suelen relacionarse
habitualmente con el entorno bancario y el robo de informacin sobre tarjetas de crdito, pero
tambin puede utilizarse para conseguir credenciales de acceso.
Puede consultar ms informacin:
Spear phishing poses threat to industrial control systems
http://www.csoonline.com/article/2134000/access-control/spear-phishing-poses-threat-to-industrialcontrol-systems.html
SPAM
El spam consiste en el envo de mensajes de forma masiva incluyendo informacin no solicitada,
no deseada o de origen desconocido, generalmente asociado con publicidad y que puede hacer al
usuario perder el tiempo, atendiendo a informacin que no es de inters o utilidad para l.
Las tcnicas de spam se utilizan tambin para recabar informacin y direcciones de correo de
usuarios, a los que posteriormente atacar mediante el envo de otros mensajes de spam, phishing o
incluso malware.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

11

Como ejemplo de este tipo de ataques en el entorno de los sistemas de control y automatizacin
industrial, un operario que haya utilizado su correo de trabajo para darse de alta en una web de
dudosa reputacin, puede recibir mensajes no solicitados que pueden hacer que: i) el operario no
llegue a darse cuenta de un correo enviado como mensaje de alarma del sistema de control, o ii)
un troyano, enviado como adjunto, termine infectando la estacin de trabajo del operador.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

12

VULNERABILIDADES EN EL MBITO DEL DISEO,


DESARROLLO, OPERACIN Y EL MANTENIMIENTO DE
LOS IACS

2.1 ESTADSTICAS
Las vulnerabilidades descubiertas relacionadas con los sistemas de control han sufrido un gran
incremento en los ltimos aos. Concretamente, desde la aparicin del malware Stuxnet en el ao
2010, se ha visto incrementado sustancialmente el nmero de vulnerabilidades reveladas que
afectan a estos sistemas, concentrndose en este marco temporal ms del 80% de las
vulnerabilidades. Adems, durante estos aos tambin saltaron a la esfera pblica los programas
maliciosos Flame y DuQu, diseados, al igual que Stuxnet, para atacar en exclusiva a sistemas de
control.

Stuxnet

Figura 5. Grfica de incidentes por ao (2001-2013)


Fuente: ScadaHacker y Open-Source Vulnerability Database. 2014

Este aumento del nmero de vulnerabilidades desde el ao 2010 no ha de interpretarse como que
anteriormente a este ao no existieran o no se aprovecharan (muestra de esto ltimo son el propio
Stuxnet o DuQu), sino que el inters de la comunidad de profesionales de la ciberseguridad ha
crecido y dichas vulnerabilidades han empezado a hacerse pblicas. Tambin es posible que en
crculos ms reducidos (mbito gubernamental y de los servicios de inteligencia) s se conocieran,
evitndose su comunicacin a los fabricantes o su revelacin, ya que se vean como una clara
ventaja estratgica. Afortunadamente, Stuxnet ha logrado un cambio de mentalidad a muchos
niveles, sentando las bases de los redoblados esfuerzos de las administraciones pblicas de todo
el mundo, y en particular el mundo desarrollado, por concienciar sobre la importancia y necesidad

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

13

de su proteccin, as como por formar en seguridad a los operadores, o por establecer programas y
disear regulaciones que contemplen este asunto de capital importancia, entre otros.

Figura 6. Tipos de amenazas descubiertas


Fuente: ScadaHacker y Open-Source Vulnerability Database. 2014.

Tabla 1. Incidencias por tipo y por ao


ScadaHacker y Open-Source Vulnerability Database. 2014.

Retomando el mbito de los nmeros y los indicadores estadsticos, los principales tipos de
vulnerabilidades descubiertas pertenecen a los grupos de denegacin de servicio y de "buffer
overflow". Fijndose en la Tabla 1, se observa que los grandes fabricantes son los que ms
problemas han tenido. Esto no se debe a que sean los ms inseguros, sino a que la mayor parte de
los sistemas de automatizacin y control en uso hoy en da han sido diseados y fabricados por
stos y, por tanto, es ms fcil encontrar fallos de seguridad que les afecten.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

14

Tabla 2. Vendedores y nmero de vulnerabilidades encontradas en 2013


Fuente: Vulnerability Threat Trends: A decade in review, transition on the way. 2013.

2.2 TIPOLOGA DE LAS VULNERABILIDADES


Hay muchas formas de categorizar las vulnerabilidades que afectan a un sistema. Este curso se va
a centrar en la clasificacin de vulnerabilidades que realiza el NIST estadounidense en su
publicacin NIST SP 800-82, donde establece tres grandes categoras de vulnerabilidades. stas
son:
i.
ii.
iii.

vulnerabilidades de plataforma,
vulnerabilidades de red y,
vulnerabilidades a nivel de polticas y procedimientos.

Las dos primeras se pueden enmarcar dentro del mbito de vulnerabilidades tcnicas o
tecnolgicas, ya que afectan a los dispositivos en s, su software o sus comunicaciones. El tercer
grupo afecta a la propia organizacin, al marco de gestin de la seguridad y a las normativas y
procedimientos que se establecen para tratar con los sistemas de automatizacin y control, y en
particular para garantizar su seguridad y proteccin.

2.3 VULNERABILIDADES A NIVEL DE PLATAFORMA


Las vulnerabilidades a nivel de plataforma recogen todas las debilidades que se pueden encontrar
en los sistemas de control y automatizacin que estn relacionadas con los dispositivos, tanto de
las redes de campo como de los centros de control. NIST 800-82 agrupa las diferentes
vulnerabilidades de plataforma en cuatro grupos:

Vulnerabilidades de configuracin de la plataforma


Vulnerabilidades del hardware de la plataforma
Vulnerabilidades del software de la plataforma
Vulnerabilidades frente al malware de la plataforma

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

15

A continuacin, se muestran las vulnerabilidades ms importantes de esta categora.


EQUIPOS DESACTUALIZADOS
En muchas ocasiones los equipos que se utilizan en los sistemas de control no disponen de la
ltima versin de las aplicaciones, mdulos o sistema operativo en uso. Esto puede ocurrir bien
porque el software ya no est soportado por el fabricante, o porque el fabricante haya dejado de
existir. Hay que tener en cuenta que los sistemas de automatizacin y control suelen tener tiempos
de vida de ms de 15 aos. Adems, muchos procesos industriales, y por ende los sistemas de
control y automatizacin asociados, no pueden detenerse en cualquier momento, sino que hay que
esperar a las paradas programadas de mantenimiento.
Los parches de software no desarrollados en tiempo son otra de las vulnerabilidades relacionadas
con los equipos desactualizados. La responsabilidad aqu recae sobre el fabricante, ya que es ste
el encargado de solucionar las brechas de seguridad que pueda tener su software. Asociado a los
parches tambin encontramos los despliegues de los mismos, sin las suficientes garantas o
pruebas para saber si va a funcionar de forma correcta en un sistema de control y automatizacin
concreto.
En definitiva, adems de la obvia falta de funcionalidades, la desactualizacin se traduce en la no
aplicacin de parches de seguridad y, por tanto, en que estos dispositivos adolezcan de brechas de
seguridad. Esto suponen en muchos casos que han de convivir durante cierto tiempo (o incluso
hasta su sustitucin por otros equipos de distinto modelo) con problemas de seguridad conocidos,
antes de poder aplicarles la actualizacin correspondiente (si es que esto si quiera es posible).
CONTROL DE ACCESOS INADECUADO
Los dispositivos antiguos que an funcionan dentro de los sistemas de control y automatizacin no
disponen de sistemas de control de accesos a nivel lgico (no es necesario un usuario/contrasea
para acceder al mismo y/o ver/modificar su contenido). En los dispositivos ms modernos s que
existe el control de acceso basado en usuario y contrasea, pero sin criterios de autorizacin
basado en roles u otros mecanismos de autenticacin/autorizacin. Por ejemplo, esto implica que
un mismo usuario puede utilizarse tanto para leer como para escribir o actualizar el firmware.
Afortunadamente, en los equipos de nueva generacin, s que se estn abordando de manera
global estos aspectos, introduciendo la integracin con sistemas de autenticacin/autorizacin
centralizados, permitiendo diferentes tecnologas de identificacin,...
Hay que destacar que las aplicaciones que componen el software SCADA (HMI, Histrico...) s que
suelen contemplar el control de acceso, pero este sistema suele ser local y no est integrado con
un sistema centralizado de gestin de usuarios y tampoco con sistemas de
autenticacin/autorizacin externos tipo RADIUS o LDAP (vase tema 4).
En cualquier caso, la tecnologa simplemente ofrece una serie de posibilidades. Es labor de la
empresa establecer una poltica adecuada de control de accesos, que evite situaciones habituales
como que los operadores compartan el usuario de acceso a un dispositivo o a un aplicativo
SCADA, y as evitar que no se pueda averiguar qu usuario en realidad es el que realiz una
accin determinada dentro del dispositivo.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

16

Tambin se puede aplicar el concepto de control de accesos a nivel fsico, donde debe controlarse
qu personal puede tener acceso directo al equipamiento de los sistemas de control y
automatizacin.
PUERTOS FSICOS DESPROTEGIDOS
Los dispositivos de los sistemas de control tienen puertos de comunicaciones que en muchas
ocasiones no se utilizan realmente. Es decir, se puede encontrar con un concentrador de datos que
utiliza nicamente comunicacin a travs de un puerto de serie, pero que adems dispone de
puertos USB, Ethernet..., y que adems estn habilitados. Hemos de tener en cuenta que muchos
de estos dispositivos se encuentran en ubicaciones remotas sin un control presencial continuo, por
lo que un atacante puede aprovechar estos puertos para perpetrar su ataque. Es por ello que,
adems de deshabilitar aquellos puertos innecesarios para la operativa del equipo, se ha de contar
con un control de acceso fsico a dichos puertos como, por ejemplo, a travs de la inclusin de una
tapa protectora con un sello anti-apertura, o simplemente mediante su colocacin dentro de un
armario protegido con llave.
SERVICIOS INNECESARIOS EN FUNCIONAMIENTO
Los equipos de los sistemas de control y automatizacin suelen tener una funcin muy concreta,
pero eso no evita que pueda haber servicios innecesarios en ejecucin que aumente la superficie
de ataque a la que estn expuestos. Estos servicios suelen ser residuales de aplicaciones que
fueron necesarias en el pasado y que hoy ya no se utilizan, o propias del sistema operativo de base
o firmware. En este ltimo caso puede ocurrir que un mismo firmware necesite funcionar en
distintos modelos de un dispositivo (cada uno con sus propias necesidades funcionales por parte
del sistema operativo base) y que, por tanto, en todos ellos incluya las mismos servicios. Para los
sistemas operativos base que forman parte de un sistema (por ejemplo: SCADA), donde lo habitual
es que las estaciones de trabajo y servidores tengan el mismo sistema operativo aprobado por la
empresa, y posteriormente se instale el aplicativo software de control y supervisin, es probable
que ciertos servicios del sistema corran simplemente porque vienen por defecto en el software
base instalado.
USO DE CONFIGURACIONES POR DEFECTO
Los entornos industriales suelen contar con muchos dispositivos de automatizacin y control
idnticos realizando funciones similares. En aras de un mantenimiento ms sencillo y de un
proceso de despliegue ms corto, en muchas ocasiones no se modifican las configuraciones por
defecto de fbrica, incluyendo usuarios y contraseas.
Otro motivo para no realizar estos cambios es permitir al propio fabricante realizar un
mantenimiento remoto desde sus instalaciones en caso de fallo del dispositivo, algo que muchas
veces se contrata como servicio de valor aadido.
El problema de utilizar configuraciones por defecto reside, adems de que es simple para un
atacante conseguir dicha informacin (por ejemplo: manuales de producto), en que todos los
equipos van a disponer de los mismos usuarios y configuraciones. As, si se compromete un
equipo, es inmediato comprometer el resto.
Relacionado tambin con las configuraciones, se puede hablar del almacenaje de las mismas. En
muchas ocasiones, no se dispone de una copia de la configuracin de un determinado dispositivo

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

17

que permita su reposicin en un breve plazo de tiempo, realizando las mismas tareas que el
sustituido.
CONTRASEAS
Las contraseas suponen el mayor conjunto dentro de las vulnerabilidades de plataforma. Entre las
vulnerabilidades relacionadas con las contraseas se pueden identificar:

La no utilizacin de contraseas: se deberan usar contraseas para el encendido de los


sistemas (si no dispone de gestin de usuarios) y para el salvapantallas (si el equipo est
desatendido), fuera parte de disponer de un control de accesos.
Falta de una poltica adecuada de contraseas: la poltica de contraseas debe indicar
cundo se deben usar las contraseas, su fortaleza y cmo deben ser mantenidas. Las
contraseas sencillas pueden ser descubiertas fcilmente por humanos o por sistemas de
fuerza bruta para conseguir un acceso no autorizado.
Almacenamiento inseguro de contraseas: las claves deben permanecer en un entorno
seguro que garantice su confidencialidad para prevenir accesos no autorizados.

PROTECCIN CONTRA MALWARE


En relacin a la proteccin anti malware se pueden destacar como vulnerabilidades habituales en
los sistemas de automatizacin y control:

La no presencia de software anti malware, lo que facilita la infeccin de los sistemas de


automatizacin y control pudiendo resultar en una degradacin de las prestaciones del
sistema, prdida de disponibilidad, de informacin, etc.
La desactualizacin del software anti malware, que puede dar lugar a que ciertos programas
maliciosos no sean detectados en los anlisis.
El despliegue de software anti malware sin realizar las oportunas pruebas, lo cual puede
hacer que el sistema de automatizacin y control falle, o que incluso que se detecten como
maliciosos y posteriormente se eliminen ciertos binarios asociados con aplicaciones
especficas del sistema, los cuales pueden ser indispensables para su correcto
funcionamiento, y en definitiva, para el control del proceso.

Puede consultar ms informacin:


NIST Special Publication 800-82. Revision 1: Guide to Industrial Control Systems (ICS) Security.
Apartado 3.3.2

2.4 VULNERABILIDADES A NIVEL DE RED


Las vulnerabilidades a nivel de red abarcan los problemas de seguridad relacionados con las
comunicaciones industriales, tanto a nivel de flujos de comunicacin como de arquitectura. El NIST
800-82 las clasifica en cinco grupos, a saber:

Vulnerabilidades de configuracin de red.


Vulnerabilidades del hardware de red.
Vulnerabilidades del permetro de red.
Vulnerabilidades de monitorizacin y registro en red.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

18

Vulnerabilidades de comunicaciones de red.

A continuacin, se exponen las vulnerabilidades ms destacadas.


PERMETRO DE RED INDEFINIDO
Las redes de los sistemas de control se han visto interconectadas con las redes corporativas o con
Internet con el paso del tiempo, a fin de mejorar la eficiencia de las organizaciones industriales y
ser as ms competitivas. Por ejemplo, hoy en da es habitual en muchas instalaciones industriales
que un responsable de planta desde su despacho tenga acceso a los cuadros de mando del
SCADA, sin necesidad de desplazarse a la sala de control. Tampoco es extrao que un ingeniero
de mantenimiento pueda conectarse remotamente a una estacin para hacer un cambio de
configuracin en un PLC, evitndose as tener que desplazarse hasta donde ste est situado (por
ejemplo: la cima de una montaa). Incluso se pueden encontrar instalaciones industriales donde un
ingeniero de control haya podido desplegar, sin conocimiento del resto de la organizacin, una red
inalmbrica conectada a una red industrial para facilitarle una determinada tarea. De esta forma, la
red de los sistemas de control se ha ido desdibujando y pasando de una red aislada y localizada a
una red compleja donde no se controlan los mltiples puntos de acceso a los sistemas de control.
FALTA DE SEPARACIN ENTRE EL TRFICO DE CONTROL Y OTRO TRFICO
El trfico asociado a los protocolos de control tiene diferentes requerimientos que los protocolos
habituales de TI, como por ejemplo el determinismo o la disponibilidad. Hacer convivir ambos tipos
de trficos en una nica infraestructura de red hace muy complicado el proceso de configuracin de
la misma. Por ejemplo, el trfico asociado con protocolos clsicos de TI puede consumir recursos
necesarios para garantizar el determinismo en el trfico de control, causando interrupciones en los
procesos y funciones del sistema de control y automatizacin industrial.
USO NO SEGURO DE PROTOCOLOS INTRNSECAMENTE INSEGUROS
Muchos de los protocolos que se utilizan en los sistemas de control y automatizacin tienen
problemas de seguridad ya que, cuando se crearon hace ms de 30 aos, en muchas ocasiones la
seguridad no era importante. Los protocolos estaban creados para la necesidad de comunicar
informacin de un punto a otro, y nada ms. Hoy en da, muchos de estos protocolos se continan
utilizando, e incluso se han adaptado para poder hacer uso de la tecnologa Ethernet y TCP/IP.
Esto supone que, adems de los problemas de seguridad intrnsecos a su diseo, como falta de
autenticacin, ausencia de cifrado..., tambin incorporen los propios de los entornos de oficina y
sean susceptibles a las tcnicas y herramientas de hacking utilizadas en los mismos.
USO DE COMUNICACIONES SIN CIFRAR
Los sistemas de control en algunos casos, por su naturaleza de tiempo real, imponen unas
limitaciones muy frreas al timing de los mensajes, los cuales han de llegar en intervalos de
tiempo acotados. Esto, unido a lo comentado en el anterior apartado, hace que muchas de las
comunicaciones vayan habitualmente sin cifrar, de manera que cualquier atacante que escuche la
red ser capaz de observar el trfico que se est transmitiendo, pudiendo obtener informacin
fcilmente sobre el funcionamiento del sistema de control y facilitarle la realizacin de un ataque a
este nivel.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

19

ACCESOS REMOTOS Y FSICOS NO APROPIADOS O MAL CONFIGURADOS


Como ya se ha comentado anteriormente, es habitual que los fabricantes y empresas de
mantenimiento dispongan de acceso remoto a los sistemas de control y automatizacin. En
muchos casos estos accesos son directos (por ejemplo: a las redes de campo), sin pasar por un
sistema central/corporativo de control que garantice la seguridad de dicho acceso, lo cual podra
ser utilizado tambin por un atacante con fines ilcitos.
En lo que respecta a accesos fsicos no apropiados, hay que tener especial cuidado con las
muchas instalaciones de sistemas de control y automatizacin que se encuentran repartidas por la
geografa, y que no disponen de personal de forma continua. Un acceso por parte de un atacante a
una de estas instalaciones le puede garantizar acceso a nivel lgico a otros puntos de la red, como
el propio centro de control. Por desgracia, es ms habitual de lo que cabra esperar, que el grado
de proteccin para evitar dichos accesos fsicos no est a la altura de lo que un atacante podra
llegar a hacer, desde el punto de vista lgico, una vez logrado el acceso fsico a dichas
instalaciones.
USO DE SERVICIOS DE RED EXTERNOS
Las redes de comunicaciones utilizan servicios como DNS o DHCP para gestionar las conexiones.
En muchas redes de sistemas de control y automatizacin estos servicios son proporcionados
directamente desde la red corporativa, haciendo que la red de control sea dependiente de otra red
que tiene diferentes necesidades de disponibilidad y confianza.
Puede consultar ms informacin:
NIST Special Publication 800-82. Revision 1: Guide to Industrial Control Systems (ICS) Security.
Apartado 3.3.3

2.5 VULNERABILIDADES A NIVEL DE PROCEDIMIENTOS Y POLTICAS


Las vulnerabilidades a nivel de polticas y procedimientos afectan al marco de gestin de la
seguridad y a las normativas y procedimientos que se establecen, para tratar con los sistemas de
automatizacin y control de una organizacin.
A continuacin, se exponen las vulnerabilidades ms destacadas de este mbito.
INEXISTENCIA DE NORMATIVAS DE SEGURIDAD
La gran mayora de las normativas y guas de buenas prcticas de seguridad existentes hacen
referencia a los sistemas corporativos y no pueden aplicarse de manera directa sobre los sistemas
de control y automatizacin. Esto se debe principalmente a que las necesidades no son las mismas
y los productos, herramientas y tecnologas utilizados no son iguales. Afortunadamente, algunos
sectores, por su criticidad, s que han desarrollado normativas que estn sirviendo de base para la
creacin de guas para otros sectores. ste es el caso del sector nuclear, a travs de la normativa

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

20

especfica de seguridad RG 5.71 4 de la Nuclear Regulatory Commission de los EE. UU. o NERCCIP 002-0010 5, normativa norteamericana propia del transporte de electricidad.
Adems de las posibles referencias normativas y estndares, que suelen competer al mbito de
organismos de estandarizacin nacional o internacionales, tambin hay que tener en cuenta las
polticas internas de las organizaciones. Las polticas internas relativas a seguridad en los sistemas
de control y automatizacin tambin suelen ser escasas, y slo en los ltimos aos se aprecia un
incremento del inters interno por regular los procesos. De nada sirve disponer pblicamente de
estupendas referencias de seguridad si luego stas no se aplican en la empresa.
FALTA DE UN PROCESO DE GESTIN DE CAMBIOS
Los cambios en los sistemas de control y automatizacin deben ser gestionados de manera
eficiente y apropiada para evitar problemas durante y despus de la implantacin de un nuevo
sistema o modificacin de uno existente. La falta de un proceso de gestin de cambios puede
producir descuidos, exposiciones y riesgos de seguridad evitables, y es por ello que merece
regularse internamente en las organizaciones de manera adecuada.
AUDITORAS TCNICAS DE SEGURIDAD POCO FRECUENTES O INEXISTENTES
Como veremos en el siguiente punto, la realizacin de auditoras tcnicas y anlisis de
vulnerabilidades no es habitual dentro de los sistemas de control y automatizacin. La inexistencia
de estas pruebas impide conocer cul es el estado real de seguridad de la instalacin.
INEXISTENCIA DE UN PLAN DE FORMACIN Y CONCIENCIACIN DEL PERSONAL EN
SEGURIDAD
El personal que trabaja en los sistemas de control y automatizacin no suele estar familiarizado con
la seguridad de los sistemas y las medidas a aplicar. Por ello necesitan primero ser sensibilizados y
despus recibir una formacin adecuada. Una iniciativa de este tipo siempre ha de partir de la
Direccin, de manera que sea aceptada por los operadores de planta.
AUSENCIA DE PROCEDIMIENTOS
CONTINUIDAD DEL NEGOCIO

OPERACIONES

RELACIONADAS

CON

LA

Es habitual que los componentes de los sistemas de control y automatizacin ms crticos


dispongan de homnimos de respaldo/redundantes para proseguir con la actividad si el sistema
principal se ve afectado en su funcionamiento. El problema reside en que muchos sistemas de
control y automatizacin no dispone de un plan de recuperacin de desastres correctamente
probado, preparado y disponible que determine cmo ha de realizarse el cambio de funcionamiento
de los componentes principales del proceso hacia los de respaldo.
La falta de un plan de recuperacin de desastres hace que el tiempo de recuperacin se
incremente y, por tanto, se pierda productividad.
FALTA DE UN INVENTARIO DE ACTIVOS ACTUALIZADO

4
5

http://nrc-stp.ornl.gov/slo/regguide571.pdf
www.nerc.com

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

21

Los sistemas de control y automatizacin incluyen un gran nmero de dispositivos para controlar
todo el proceso. Estos sistemas han ido creciendo segn las necesidades del negocio,
aadindose elementos segn iba avanzando la tecnologa y se identificaban nuevos requisitos en
la operativa cotidiana, crendose nuevas comunicaciones entre ellos o con sistemas externos, Si a
todo ello aadimos que el personal que administra y operan estos sistemas suele ser reducido y a
que gran parte del equipamiento es muy antiguo y no dispone de capacidades de inventario
automtico, llegamos a la conclusin de que es raro el caso en el que se ha realizado un inventario
exhaustivo y actualizado de los equipos de automatizacin y control, a excepcin de sectores
altamente regulados como el nuclear.
Puede consultar ms informacin:
NIST Special Publication 800-82. Revision 1: Guide to Industrial Control Systems (ICS) Security.
Apartado 3.3.1

2.6 ANLISIS DE VULNERABILIDADES TCNICAS


El anlisis de vulnerabilidades es una prctica habitual en los entornos corporativos, pero poco
frecuente en los sistemas de control y automatizacin. La Figura 7 muestra los resultados de una
encuesta llevada a cabo acerca de las vulnerabilidades en los sistemas de control y
automatizacin. Como se puede apreciar, casi un cuarto de los encuestados asegura que no se ha
realizado nunca un anlisis de vulnerabilidades a sus sistemas de control y automatizacin.
Tambin se puede ver cmo ya existe un alto porcentaje de empresas que consideran la seguridad
de sus sistemas de control y automatizacin como algo importante, quedando reflejado en que casi
un tercio ha realizado un anlisis de seguridad en un periodo inferior a seis meses.

Figura 7. Frecuencia de anlisis de vulnerabilidades.


Fuente: Cyber Security Study. 2014. Control Engineering.

Los anlisis de vulnerabilidades tienen algunas limitaciones que hay que asumir para poder
llevarlas a cabo de forma exitosa, dentro de los sistemas de control y automatizacin.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

22

De hecho, los dispositivos de los sistemas de control y automatizacin no pueden detenerse en


cualquier momento, slo en los periodos determinados para su mantenimiento. Esta caracterstica
va a limitar la realizacin de auditoras de seguridad ya que, si se quieren realizar anlisis en
periodos de produccin, stas tendrn que ser no intrusivas para no interferir en el proceso. Por el
contrario, en los periodos de mantenimiento se podr realizar auditoras ms intrusivas sin miedo a
afectar al proceso.
Otra posibilidad para la realizacin de auditoras intrusivas de un sistema de control y
automatizacin en produccin sin esperar a los perodos de mantenimiento, es la utilizacin de
entornos de pruebas que repliquen el sistema. En estos casos que un dispositivo falle no entraa
peligro ya que el sistema no se est controlando un proceso real.
ANLISIS ACTIVOS Y ANLISIS PASIVOS
Un anlisis activo trata de buscar de forma activa todas las vulnerabilidades existentes en un
sistema. Este anlisis puede ser intrusivo, lo que significa que tratar de explotar todos los
servicios, puertos... que se detecten haciendo uso de vulnerabilidades conocidas, ataques de
fuzzing, etc., o puede ser no intrusivo, de tal forma que simplemente se haga un uso normal del
servicio a fin de obtener informacin relevante (por ejemplo: banners de servicio) para luego
consultar bases de datos de vulnerabilidades pblicas. Por el contrario, los anlisis pasivos tratan
de buscar vulnerabilidades escuchando trfico de red, revisando configuraciones..., pero sin
interferir activamente con el propio sistema.
Los anlisis activos de vulnerabilidades suelen provocar, de forma habitual, paradas y fallos en los
dispositivos, aun cuando no sean intrusivos. Este es el caso de ciertas implementaciones de las
pilas TCP/IP, que al no cumplir con el estndar, ante un uso normal pueden llevar a los equipos a
estados indeseados (por ejemplo: Ping of Death). Por este motivo, no puede aplicarse este tipo de
anlisis dentro de los sistemas de control y automatizacin en el entorno de produccin. Los
anlisis de vulnerabilidades dentro de estos sistemas deben ser pasivos, o activos realizados en
entornos de demostracin o preproduccin, lo que limita en muchos casos los resultados por no
disponer de una visin completa del sistema real (por ejemplo: podran faltar aplicaciones, utilizarse
diferentes versiones de productos, no reflejarse todas las comunicaciones existentes...).
FALTA DE HERRAMIENTAS ESPECIALIZADAS
Adicionalmente a lo comentado, las herramientas que se utilizan para hacer auditoras en los
sistemas corporativos no siempre pueden ser utilizadas directamente en los sistemas de control y
automatizacin porque, o bien no son capaces de identificar los protocolos y las aplicaciones que
se emplean en estos entornos, o su forma de realizar el anlisis no es adecuado por ser intrusivo.
Herramientas de anlisis de vulnerabilidades como Nessus pueden ser utilizadas si se le incluye
los archivos de tipo audit correspondientes a sistemas de control, pero otras herramientas como
Metasploit no podrn ser utilizadas en entornos de produccin por ser altamente intrusivas.
Afortunadamente, cada vez ms se est viendo un incremento en el nmero de herramientas que
soportan aplicaciones y caractersticas propias de los sistemas de control, pero su aplicacin es
an muy limitada. En este grupo de aplicaciones se puede destacar Achilles, analizador de redes
diseado para sistemas de control y automatizacin.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

23

FACTORES DE RIESGO

El factor de riesgo se puede definir como toda circunstancia o situacin que aumenta las
probabilidades de que una infraestructura est en riesgo de padecer una situacin no controlable y
que lleve a sta a una zona de peligro.
Aunque ya se adelantaron algunas amenazas en el mdulo 1, en esta seccin los repasaremos y
describiremos otros de inters. Igualmente, cabe destacar que la ausencia de ciertas medidas que
corrijan estos factores de riesgo se puede considerar como vulnerabilidades propias de la
organizacin. En este sentido, alguno de los aspectos que se tratan a continuacin ya han sido
introducidos en la seccin anteriores. No obstante, por su importancia conviene realizar un anlisis
detallado de las circunstancias o situaciones que hacen necesarias de medidas de seguridad para
su correccin y que en muchas organizaciones industriales no existen.

3.1 DISTINTAS CULTURAS EN EL PERSONAL TCNICO


Pueden existir distintos factores que fomenten las confrontaciones entre el personal dedicado a los
sistemas de control y automatizacin y el personal encargado de los sistemas corporativos o de TI.
De hecho es habitual que la comunicacin y el entendimiento entre los departamentos sea
prcticamente inexistente. Frases como no te metas en mi terreno y yo no lo har en el tuyo se
repiten habitualmente. Esto sucede debido a varios factores:

Los sistemas de los que son responsables tienen diferente propsitos: la tarea ms
importante para un sistema de control est en que los procesos funcionen adecuadamente,
mientras que en los sistemas corporativos lo que prima es facilitar el trabajo diario de las
personas de la organizacin.
Falta de inters por saber lo que hacen sus compaeros: en ambos entornos existe un
desinters por conocer las tareas que se desempean en el otro lado, debido
principalmente a que no disponen de los conocimientos necesarios para poder entender su
trabajo. De hecho, la relacin entre el personal de control y el de TI es una relacin
habitualmente de cliente-proveedor. Por ejemplo: necesito que me abras tal puerto en el
firewall corporativo para facilitar el mantenimiento remoto de este autmata al fabricante X
El lenguaje que utilizan es diferente: en el mbito de los sistemas de control prima el
lenguaje industrial, mientras que en sistemas de TI corporativos prima el informtico. Por lo
tanto, la terminologa utilizada es en general distinta.
Falta de una estructura y procesos organizativos que fomenten la colaboracin: es
habitual en las empresas industriales que los responsables de sistemas de TI y de control
pertenezcan a direcciones totalmente independientes, e incluso a empresas del grupo
distintas, por lo que el trabajo en equipo y la colaboracin no se fomentan.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

24

Relaciones internas

Diferencia de cliente-proveedor.
Estructuras organizativas
estatus y
inadecuadas.
separacin
funcional

Dificultad de
comunicacin
Distintas tareas y
propsitos de los sistemas
tratados.
Distinto lenguaje: industrial
vs. Informtico.

Como resultado
Se generan tensiones
innecesarias.
Falta de colaboracin y
trabajo en equipo

Figura 8. Factores que impiden la colaboracin entre los departamentos de TI y de control

3.2 FALTA DE FORMACIN Y CONCIENCIACIN


La falta de formacin en ciberseguridad de los trabajadores de sistemas de control y
automatizacin es otro factor de riesgo habitual, ms an cuando, los antiguos sistemas de control,
sistemas aislados y cerrados, sin ningn tipo de conexin con el exterior, han dado paso a
sistemas interconectados, accesibles, basados en software base comercial.
La formacin de los trabajadores que vienen del mundo del control industrial en sistemas y
metodologas de seguridad para estos entornos es muy importante. Aprender a identificar las
interdependencias entre dispositivos y el riesgo resultante desde una perspectiva de ciberseguridad
es fundamental. Igualmente, conocer cmo mejorar la seguridad en el da a da tambin lo es: uso
adecuado de soportes de almacenamiento portables (USB, CD...); gestin de accesos y permisos
de personal externo (por ejemplo: proveedores, fabricantes, etc.); riesgos y mtodos para la
interconexin segura de distintas redes industriales; uso adecuado de las contraseas, del correo
electrnico y otros recursos de la empresa; etc.
Por otro lado, la formacin del personal de TI en el correcto uso y aplicacin de herramientas de
seguridad propias del entorno de oficina en los sistemas de control y automatizacin es clave
tambin. Es fundamental que tengan unos conocimientos de base sobre el funcionamiento de estos
sistemas. Al ser sistemas en muchos casos totalmente desconocidos para ellos no van a ser
conscientes de los factores limitantes que estos imponen: protocolos diferentes del entorno de TI,
determinismo y tiempos de respuesta muy exigentes, uso de sistemas operativos propietarios,
limitaciones en recursos hardware, inexistencia de mecanismos de seguridad bsicos como el
registro de eventos, etc. As mismo, adems del aspecto puramente tecnolgico han de ser
conscientes de las grandes diferencias existentes a nivel de organizacin, procesos y
procedimientos internos. Aspectos como la disponibilidad 24x7, las paradas de mantenimiento

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

25

programadas, la alta necesidad documental de entornos regulados como el nuclear, etc., pueden
chocar con la forma de trabajar del departamento de TI o de empresas terceras que ofrecen
servicios de ciberseguridad en este mbito.

Figura 9. Factores de riesgo, referentes a la formacin

3.3 PERCEPCIONES ERRNEAS POR PARTE DE LOS FABRICANTES


De alguna manera, relacionado con lo ya explicado en el punto anterior, los fabricantes tanto de
sistemas de control como de soluciones de seguridad, han de asumir su parte de responsabilidad
en este proceso de mejora de la ciberseguridad de los entornos industriales y de infraestructuras.
Aunque ya se empiezan a dar pasos en la buena direccin, por desgracia todava falta mucho por
hacer en este sentido.
Las actuales soluciones de ciberseguridad, son soluciones que han sido diseadas para resolver la
problemtica de seguridad de los entornos de oficina o de TI. Es decir, no tienen en cuenta las
necesidades de los sistemas de control y automatizacin ya mencionadas (determinismo,
protocolos especficos, sistemas operativos y/o aplicaciones exclusivas). En el mejor de los
casos el uso de estas herramientas sin una correcta configuracin y supervisin puede hacer que
resulten ineficaces, y podra verse como un buen puado de horas-hombre y euros tirados a la
basura. Sin embargo, en el caso peor pueden incluso acarrear grandes problemas en el
funcionamiento de los sistemas de control y supervisin de las infraestructuras y procesos
industriales, resultando peor el remedio que la enfermedad. Por lo tanto, los fabricantes de
soluciones de seguridad digital han de colaborar estrechamente con las empresas fabricantes de
sistemas de automatizacin y control, as como con las empresas encargadas de su operacin,
diseo/ingeniera y mantenimiento.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

26

Figura 10. Factores de riesgo referentes a los fabricantes

Por otro lado, los propios fabricantes de sistemas y aplicativos de automatizacin y de control,
tienen tambin su particular responsabilidad. Resulta fundamental que estos fabricantes, capaciten
a sus trabajadores, y cambien sus procesos internos, a fin de que la nueva generacin de software
y equipamiento de automatizacin y control industrial siga unas pautas de diseo y desarrollo
seguro, incluya por defecto mecanismos de seguridad (por ejemplo: criptografa, deshabilitar
puertos y servicios innecesarios, etc.), y cuente con recomendaciones y recursos auxiliares de
configuracin, despliegue y mantenimiento seguro. Para lograrlo, adems de la propia formacin de
sus trabajadores, ser fundamental la colaboracin con fabricantes de soluciones de
ciberseguridad, ya que son quienes tienen el verdadero expertise en este campo.
Para ms informacin, consulte:
Annex V of the report "Protecting Industrial Control Systems. Recommendations for Europe and
Member States" presents the key findings of the ENISA ICS Security study. Puntos 1.12 y 1.13
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/annex-v

3.4 COMUNICACIONES MAL GESTIONADAS E INDOCUMENTADAS


La red de comunicaciones es el elemento que interconecta todos los componentes de los sistemas
de control. Si por algn motivo dicha red fuera atacada, el riesgo para la infraestructura puede ser
muy elevado.
Para proteger la red de comunicaciones industriales es fundamental conocer todos sus elementos
e interconexiones. Desafortunadamente, es habitual encontrarnos con que hay una fuerte carencia
de documentacin que detalle su topologa, los elementos interconectados, los protocolos de
comunicacin en uso en cada enlace (los seguros, los inseguros, los de TI) o los servicios y
puertos accesibles en cada dispositivo. Sin la existencia de este tipo de documentacin, es difcil
abordar exitosamente cualquier proyecto de securizacin de la red de comunicaciones, entender si
lo que est sucediendo en cada instante en la misma est comprendido dentro de la operativa
cotidiana del sistema o si por el contrario es inusual o incluso se trata de un posible ataque.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

27

Figura 11. Comunicaciones

Una correcta documentacin de las redes de los sistemas de control y automatizacin va a facilitar
enormemente la adecuada gestin de las vulnerabilidades presentadas en la seccin anterior: uso
de protocolos inseguros, conexiones directas a Internet, interconexin de redes con distintos
niveles de seguridad, falta de separacin entre el trfico de control y el trfico de TI, un permetro
de red indefinido, uso de servicios de red externos, etc.
Relacionado una inadecuada gestin de las comunicaciones en los sistemas de automatizacin y
control, uno de los aspectos fundamentales que se descuida habitualmente son las conexiones
con Internet o el uso de servicios como DNS, DHCP, antimalware, de backup aprovechando
la infraestructura de TI corporativa, sin valorar adecuadamente los riesgo que esto entraa, y por lo
tanto sin establecer las medidas de seguridad adecuadas en cada caso. La interconexin con
proveedores y fabricantes suele realizarse a travs de Internet, por razones de costo
principalmente. Esta misma razn puede estar detrs de la decisin de interconectar distintas
plantas industriales mediante la red de redes.
El uso de Internet, as como los accesos remotos a equipos de la red de control son necesarios y
muchas veces inevitables, en parte porque los propios fabricantes o empresas de mantenimiento
as lo exigen, y en parte tambin porque la incultura de seguridad de los mandos directivos de la
propia empresa implica la toma de decisiones no informadas. Es necesario saber valorar y
transmitir a la direccin de la compaa operadora de infraestructuras y procesos industriales,
cules son los riesgos en todo momento de ciertas decisiones, que a priori pueden parecer
exclusivamente de negocio, pero que pueden impactar en la seguridad de la organizacin.

3.5 LARGOS CICLOS DE VIDA DEL EQUIPAMIENTO INDUSTRIAL


Como ya se ha comentado a lo largo de este curso, nos podemos encontrar con dispositivos de
automatizacin y control que sigan que sigan en uso despus de 25 o incluso 30 aos, sobre todo
en entornos como el nuclear. En cualquier caso, la vida media de estas soluciones es superior a los
15 aos, muy larga si la comparamos con la informtica corporativa. Esto se debe principalmente a
dos razones:

Coste de reposicin: cambiar los equipamientos cada poco tiempo supone una gran
cantidad de dinero. Un sistema de control pequeo puede contar con ms de mil
dispositivos, por tanto, se debe amortizar la inversin alargando su uso.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

28

La premisa de "si funciona no lo toques": mientras sea capaz de cumplir con su


propsito, y el riesgo de no reposicin no sea elevado, no es necesario cambiarlo. Esta
razn adems trae aparejada la mala praxis de no aplicar parches de seguridad y/o
actualizaciones, con el consiguiente riesgo.
Razones: coste de
reposicin y la
premisa de si
funciona no lo
toques

Medidas
compensatorias
pueden no ser
suficientes o su
coste elevado

Requisitos
funcionales s, pero
tambin seguridad

Figura 12. Factores de riesgo relacionados con la larga vida del equipamiento

Si bien las premisas anteriores son sensatas, faltara tener en cuenta que cuando hablamos de
cumplir con su propsito no solo ha de implicar cumplir con los requisitos puramente funcionales u
operativos, sino que tambin la seguridad ha de ser considerada como tal. Desde el momento que
el hardware o el propio software es incapaz de cumplir con determinados requisitos de seguridad
ste ha de ser considerado para su reemplazo. Es verdad que muchas veces ciertas carencias
pueden suplirse con una estrategia de defensa en profundidad que combine el uso de otras
tecnologas externas con procedimientos de gestin. Sin embargo, habr veces que esto no sea
suficiente, o que el coste de dichas medidas compensatorias supere el de reposicin del equipo.
Ser entonces cuando se necesario plantearse el reemplazo.

Figura 13. Equipamiento de larga vida en funcionamiento

Por otro lado, los fabricantes de equipamiento industrial juegan aqu de nuevo un papel clave. Han
de ser capaces de, manteniendo los costes de fabricacin actuales, mejorar sus capacidades de
seguridad de sus dispositivos y soluciones, teniendo en cuenta adems que el perodo de
mantenimiento ser clave para poner al da estas capacidades ante un entorno de amenazas y
vulnerabilidades de cambio constante y vertiginoso. Para ello habrn de ser capaces de exprimir la
capacidad hardware al mximo e incluso plantearse nuevas filosofas de diseo. En este sentido,
por ejemplo las funcionalidades de seguridad podran incorporarse como un mdulo ms en un
PLC o una RTU. Al igual que existen los mdulos de E/S, que son reemplazables sin cambiar el
dispositivo completo, podra existir un mdulo criptogrfico encargado del cifrado de
comunicaciones, la autenticacin de usuarios y mensajes, etc.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

29

3.6 USO DE SISTEMAS OPERATIVOS OBSOLETOS O DESACTUALIZADOS


Aunque es posible, como se indica en el tema 4, que los sistemas de automatizacin y control
tiendan a un modelo cloud (SaaS), la situacin actual es que el modelo ms habitual es el software
factory, en detrimento de soluciones a medida. Esto ha supuesto el uso, cada vez ms
generalizado, de sistemas operativos comerciales (por ejemplo: Linux, Windows) sustituyendo a
otros propietarios y/o basados en UNIX, tanto a nivel 2 como a nivel 1 de la pirmide de ISA-95.

Figura 14. Factores de riesgo relacionados con los sistemas operativos

Si bien es cierto que estos sistemas operativos, al ser ms generalistas, son ms baratos que sus
contrapartes propietarias, la otra cara de la moneda es que, al ser ms conocidos son ms
fcilmente atacables (existen herramientas, documentacin, vulnerabilidades reportadas). Es por
ello que es necesario aplicar actualizaciones de forma diligente, algo que por desgracia, no est
extendido ni procedimentado de forma generalizada en el mbito industrial.
A esto adems se le suma que, debido a los largos ciclos de vida de los sistemas de
automatizacin y control, la inmensa mayora de estos SSOO comerciales dejan de tener soporte
oficial por parte del fabricante mucho antes de que las soluciones industriales sean reemplazadas
por otras nuevas. ste es el caso de Windows XP, que si bien ha recibido prcticamente 13 aos
de soporte oficial por parte de Microsoft, todava se utilizar en algunas instalaciones industriales
durante 5 o 10 aos ms. Lo mismo ocurre con distribuciones de Linux como RedHat, Ubuntu, etc.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

30

La falta de actualizacin y parcheo de los sistemas operativos de las soluciones de automatizacin


y control impacta por supuesto a nivel de seguridad, ya que se har uso de funciones no seguras,
existirn vulnerabilidades de diseo crticas, etc., pero adems supone la falta de ciertas
funcionalidades de seguridad importantes, como por ejemplo, el registro de comandos y
actividades en el dispositivo, o de ciertas capacidades criptogrficas.

3.7 RESUMEN
Hay que destacar que la simple implantacin de elementos de seguridad en la red no hace que
sta se convierta en segura. No hay nada ms peligroso que la falsa sensacin de seguridad que
se puede tener porque se hayan implantado mltiples soluciones tcnicas pero de forma incorrecta
(por ejemplo: a partir de un mal diseo, o aplicando una mala configuracin) o no utilizando todo su
potencial. Adems la seguridad no es solo un conjunto de tecnologas, sino que abarca un modelo
de gestin y organizacin dentro de las empresas.
Tambin se puede tener una falsa sensacin de seguridad por creer que se est cumpliendo con lo
exigido por una determinada ley o regulacin. Hay que entender que el cumplimiento con un
determinado estndar, norma o regulacin de seguridad es simplemente un posible camino, una
gua que facilita la creacin de una estructura organizativa o la implantacin de medidas de
seguridad, pero nunca es una garanta de la misma. Adems, es habitual que las normativas de
obligado cumplimiento se conviertan en un trmite puramente legal, desvirtundose su espritu
original.

Figura 15. Equipamiento industrial.


Fuente: http://commons.wikimedia.org

Por otro lado, en esencia, los sistemas de control son cada vez ms parecidos a los sistemas de TI.
Esto est facilitando el abaratamiento de los costes de produccin y permite una mayor flexibilidad,
tanto en funciones que realizaran, como en servicios que pueden soportar en un momento dado.
Adems se facilita su gestin, ya que al tener ms caractersticas comunes con los entornos de TI
tradicionales, evita que sea necesaria una formacin ad-hoc. Sin embargo, la flexibilidad antes
mencionada se traduce tambin en ms interconexiones con el exterior, a travs de Internet, la
inclusin de sistemas operativos comerciales, etc., aumentando as exponencialmente los riesgos.
Por desgracia, el personal de control y automatizacin no est preparado todava para gestionar
estos nuevos riesgos, ni tampoco lo estn los propios fabricantes, que han de actualizar sus formas
de trabajo, sus premisas de partida (ciclos de vida, etc.) e innovar para apoyar en esta tarea a las
organizaciones industriales y las operadoras de infraestructuras.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

31

INCIDENTES

Los sistemas de control se parecen cada vez ms a los sistemas corporativos convencionales. Su
creciente interconexin con estos, el acceso remoto por parte de empresas terceras, y el uso de
software de propsito general, incrementan los riesgos de que estos sistemas sufran algn
ciberincidente. De hecho, esto ya est ocurriendo cada da. Es por ello que es necesario
aprovechar estas experiencias previas como caso de estudio para aprender de los errores pasados
y estar mejor preparados para hacer frente al futuro.
Para ms informacin, consulte:

http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrialcontrol-systems/can-we-learn-from-scada-security-incidents.

4.1 QUIN ES EL OBJETIVO?


La Figura 16 muestra algunas estadsticas del estudio Data breach investigations report de
Verizon del ao 2013, donde, aun a pesar de que respectivamente, un 37% y un 24% de las
violaciones de seguridad han afectado a organizaciones financieras y a empresas de distribucin al
detalle o cadenas de restauracin (normalmente, de comida rpida), prcticamente un 20% de las
intrusiones de red estn relacionadas con empresas de fabricacin, de transporte y de servicios
bsicos (aguas, electricidad y gas). Es importante destacar tambin que el 38% de las violaciones
de seguridad han afectado a grandes empresas.

Figura 16: Objetivo de los incidentes.


Fuente: Verizon 2013 Data Breach Investigations Report

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

32

4.2 INFORME ICS-CERT 2013


Anualmente, el ICS-CERT 6 realiza un documento en el que publica estadsticas y conclusiones
basadas en los informes generados a lo largo del ao a partir de las notificaciones recibidas sobre
incidentes de seguridad. En el ltimo informe publicado, correspondiente al ao 2013, se refleja
que el ICS-CERT ha sido notificado de un total de 257 incidentes as como de 187 vulnerabilidades
que afectan a software de control y automatizacin.
Del total de incidentes, el 87% estaba relacionado con vulnerabilidades explotables de forma
remota, mientras que el otro 13% requera de un acceso local para explotar las vulnerabilidades.
Como se muestra en la Figura 17, un tercio de los incidentes estn relacionados con la
autenticacin, lo que pone de manifiesto los problemas que existen en los sistemas de control con
el control de accesos. Seguidamente encontramos las denegaciones de servicio y los buffer
overflow, con casi un cuarto del total de incidentes reportados en ambos casos. Cabe destacar los
incidentes relacionados con la corrupcin de memoria y los protocolos vulnerables, en 4 y 5 lugar
respectivamente.

Figura 17: Clasificacin de incidentes del ao 2013.


Fuente: ICS-CERT year in review 2013.

La Figura 18 muestra los incidentes segn el sector de actividad. Como se puede ver en la imagen,
el sector energtico ha sido el que ms incidentes ha notificado e 2013, con un total de 145 (56%
del total). Este dato puede ser engaoso por el hecho de que el sector elctrico es uno de los ms
involucrados en la seguridad de sus sistemas de control y automatizacin, y adems venir
influenciado por los problemas de seguridad de las nuevas redes inteligentes (smart grids).

El ICS-CERT es una iniciativa estadounidense encargada de coordinar la respuesta ante incidentes de seguridad que
ocurren en los sistemas de control y automatizacin. Esta iniciativa, y otras ms, sern explicadas adecuadamente en el
mdulo 6 de este curso.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

33

Figura 18: Porcentaje de incidentes por sector.


Fuente: ICS-CERT year in review 2013

En la Tabla 3 se muestra una comparativa de incidentes por sector en los ltimos tres aos, desde
de 2011 hasta 2013.

Tabla 3. Comparativa de incidentes por sector (2011-2013).


Fuente: ICS-CERT year in review 2013.

Una de las recomendaciones dadas por el ICS-CERT en su documento anual de revisin de


incidentes, para mitigar aquellos dados por vulnerabilidades explotables de forma remota es reducir
al mnimo la exposicin de la red y proteger las conexiones hacia la red de control mediante
elementos de seguridad como cortafuegos, para que no sean directamente accesibles y
explotables a travs de Internet. Igualmente importante consideran la actualizacin de dispositivos
de control aplicando parches, en cuanto sea materialmente posible, teniendo en cuenta que se

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

34

tiene que entender que las actualizaciones deben ser probadas adecuadamente por cada
propietario de los activos antes de su aplicacin en entornos operativos.
Para ms informacin, consulte:
http://ics-cert.us-cert.gov/ICS-CERT-Year-Review-2013.
Teniendo en cuenta lo comentado tanto en el apartado 4.1 como en el 4.2, consideramos que es
importante conocer adems cules son los potenciales orgenes de una intrusin de seguridad en
un entorno industrial. Esto lo abordaremos en los siguientes apartados:

4.3 ORIGEN: RED DE CAMPO


Las redes de campo (nivel 1 de la pirmide de ISA-95) son uno de los puntos clave de entrada para
un atacante, al estar en muchas ocasiones desatendidas y no contar con demasiadas medidas de
seguridad fsica, sobre todo en el mbito de las infraestructuras de distribucin (por ejemplo: redes
de abastecimiento de agua, de distribucin y transporte de electricidad y/o gas, etc.).
Muchos incidentes tambin se focalizan en esta red por estar directamente en contacto con el
proceso, lo cual facilita su manipulacin. De hecho, en este nivel encontramos PLCs, RTUs, etc.
conectados a los sensores que se encargan de recoger diferentes medidas del proceso, como
pueden ser condiciones meteorolgicas, medidas de presin, as como a actuadores que
interfieren directamente sobre el proceso (control de motores, apertura de vlvulas).

Figura 19: Armario de sensores y controladores ubicado en campo

Como comentbamos, en ocasiones estos dispositivos se encuentran fuera de planta, en un


entorno no controlado de forma constante, y por ello pueden ser susceptible de un ataque a nivel
fsico (como se muestra en la Figura 19 a veces se encuentran desplegados en armarios con
cerradura/candado a la intemperie). Es importante entender tambin las diferencias entre distintas
industrias. Los sistemas de control, automatizacin y proteccin de un reactor nuclear estn
protegidos por estrictas medidas de seguridad fsica (controles de seguridad presencial, doble

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

35

vallado, tarjetas de acceso a recintos, videovigilancia, rondas de seguridad, etc.), mientras que a un
sistema de generacin elica, el cual se encuentra en medio de la montaa, cuenta con algunas
medidas de seguridad (por ejemplo: vallado, videovigilancia), pero de menor alcance, siendo
susceptibles de ser violadas ms fcilmente a sabiendas adems de que los retenes tardarn cierto
tiempo en llegar en caso de fallo. Esto es habitual tambin con ciertas subestaciones o centros de
transformacin de las redes de distribucin de electricidad o de abastecimiento y almacenamiento
de aguas.
Se puede caer en la tentacin de pensar que, a menor cantidad de medidas de seguridad fsica,
menos crtico es el sistema para el proceso industrial o la infraestructura, y por ello requiere de
menor proteccin. Si bien a primera vista esto puede ser cierto, tambin hay que introducir en la
ecuacin que estos sistemas suelen disponer de comunicaciones directas con los centros de
control y operacin, o con otros componentes de control de mayor criticidad, que pueden
aprovecharse para realizar un ataque de mayor envergadura.

4.4 ORIGEN: ACCESOS REMOTOS LEGTIMOS


Como veremos a continuacin los accesos remotos a terceros no controlados son un punto de
entrada claro para lograr una intrusin contra los sistemas SCADA. Estos van desde los accesos
telefnicos en los equipos ms antiguos, hasta Internet.
ACCESOS TELEFNICOS
Es relativamente frecuente todava que la conexin con diferentes dispositivos de control se realice
mediante el uso de mdems telefnicos, sobre todo en dispositivos antiguos, o simplemente como
medio de respaldo en caso de cada de la lnea de comunicacin principal. Esta comunicacin
puede buscar un mantenimiento remoto o tambin una conexin puntual para hacer remotamente
una lectura de estados o enviar algn comando desde el sistema de supervisin central.
Los accesos telefnicos pueden ser uno de los principales orgenes de intrusiones si no se
implantan las medidas de seguridad apropiadas. De hecho, los ataques a estas comunicaciones se
basan en probar a llamar a diferentes nmeros de telfono (wardialing), pertenecientes a una
organizacin encargada de operar el sistema de control, y determinar cul de ellos responde como
un mdem. Una vez que se consigue conectividad, la comunicacin se realiza como se haca hace
ms de 20 aos, con los primeros dispositivos informticos que tenan conexin a Internet.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

36

Figura 20: Acceso telefnico a RTU.


Fuente: ICS-CERT Overview of Cyber Vulnerabilities

Para evitar este tipo de incidentes existen una serie de medidas que evitan que la conexin sea
trivial. Una opcin es restringir la comunicacin con el mdem nicamente a uno o varios equipos o
nmeros de telfono llamantes (lista blanca), o el uso del mtodo de "callback", por el cual cuando
el mdem recibe una llamada, ste no responde sino que realiza seguidamente de forma
automtica una llamada de vuelta a un nmero prefijado, siendo de esta forma el mdem quien
siempre inicia la comunicacin, y hacia un nico equipo conocido. Tambin conviene establecer
medidas de autenticacin en el dispositivo que est detrs del modem (por ejemplo: contraseas
distintas a las de por defecto en una RTU).
ACCESOS REMOTOS DE TERCEROS
Al margen del caso particular de las conexiones remotas comentadas en el prrafo anterior en las
que se aprovecha el acceso telefnico, en el mbito industrial es bastante habitual conceder
accesos remotos a los sistemas crticos de control a los propios trabajadores o a terceras
organizaciones, como fabricantes, contratistas, y proveedores de servicios, a fin de realizar labores
de mantenimiento (actualizaciones y correccin de fallos), operacin remota, etc., para facilitar su
trabajo diario (por ejemplo: a travs de soluciones como PCAnywhere).
Aquellas organizaciones que no han tenido en cuenta la ciberseguridad como uno de los pilares
que sustenta el negocio (la grana mayora en la actualidad), conceden estos accesos sin establecer
unos requisitos sobre el nivel de seguridad o sobre las restricciones que estas terceras empresas o
los propios empleados trabajando en remoto deben aplicar a la hora de realizar dicha conexin, o
lo que es peor, sin establecer las medidas adecuadas en nuestro mbito de actuacin. No resulta
extrao encontrarse con que los proveedores, fabricantes de dispositivos, personal de
mantenimiento o empleados con acceso remoto, se conecten de forma directa hacia la red de
campo o los propios centros de control, directamente desde Internet, sin utilizar ningn tipo de red
intermedia (DMZ) de acceso o sin hacer un uso adecuado de VPN.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

37

Figura 21: Soporte por parte de fabricantes.


Fuente: ICS-CERT Overview of Cyber Vulnerabilities

Tanto es as que el proyecto Shine 7, en un estudio de 2013, revel que haba ms de un milln de
sistemas de automatizacin y control conectados a Internet directamente. Ms an, entre una
cuarta parte y un tercio de estos sistemas era vulnerable a ataques por malware, desbordamiento
de buffer, cross-site scripting, entre otros. En muchos casos se descubri que estos sistemas eran
accesibles mediante puertas (servicios habilitados, autenticacin con credenciales por defecto, etc.)
traseras que los propios fabricantes e integradores dejaban habilitadas para facilitarse el trabajo
diario. Por desgracia, quienes operaban estos sistemas o sus propietarios, no eran conscientes de
ello en la mayora de los casos.
Para ms informacin, consulte:

http://en.wikipedia.org/wiki/Shodan_%28website%29
https://www.tofinosecurity.com/blog/project-shine-1000000-Internet-connected-scada-and-ics-systems-andcounting
http://www.darkreading.com/vulnerabilities---threats/project-shine-illuminates-sad-state-of-scada-ics-securityon-the-net/d/d-id/1140691?

4.5 ORIGEN: RED CORPORATIVA


Las redes corporativas han sido, tradicionalmente, los principales focos de ataque y por ello sus
redes se han fortificado con una amplia gama de herramientas y tcnicas de defensa; pero esta
misma fortificacin ha hecho que los ataques se hayan vuelto ms complejos y sofisticados.
As mismo, las redes corporativas suponen otro potencial punto de entrada no legtimo a los
sistemas de control y automatizacin. Cada vez en mayor medida, como ya se he dicho
anteriormente, los sistemas corporativos y los sistemas de control se encuentran interconectados.

El proyecto SHINE (SHodan INtelligence Extraction) es un proyecto que busca la extraccin de informacin relativa a
sistemas SCADA y de automatizacin y control en general que son accesibles desde Internet. Se basa en el buscador
SHODAN que escanea Internet en busca de cualquier dispositivo con una direccin IP accesible, incluyendo
ordenadores, impresoras, switches, PLCs, SCADA, RTUs, etc.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

38

Las conexiones entre ambas redes se establecen para la recogida de informacin (consulta de
datos del histrico, recogida de datos estadsticos...) o para mantenimiento, y pueden ser de
carcter directo (tpicamente, a una DMZ donde residen los datos) o mediante VPNs.
As, algunos de los ataques que se pueden dar para saltar desde la red corporativa hasta la red de
control son:

Reconfiguracin de electrnica de comunicaciones de la red corporativa. Es habitual


que en las organizaciones industriales, el departamento de TI sea el encargado de negociar
y mantener las lneas de comunicacin de larga distancia. Por ello, muchas veces parte de
las infraestructuras de comunicaciones de los sistemas de automatizacin y control son
administradas por este departamento desde la red de negocio/corporativa. Un atacante
experimentado, aprovechando el acceso a dicha red, podra reconfigurar o comprometer
routers, switches, multiplexadores de enlaces de microondas o los propios cables de fibra
para controlar las comunicaciones de control.

Compromiso de las VPN corporativas. Una gran mayora de sistemas IACS estn
configurados de tal manera que los ingenieros de control tengan acceso desde la red
corporativa a la LAN de control. En la mayor parte de los casos estos accesos estn
basados en conexiones VPN, a travs del cortafuegos que separa la red de control de la red
corporativa. Un atacante podra hacerse con el control de una mquina en la red corporativa
y esperar a que su usuario legtimo estableciera la conexin VPN con la red industrial para
as aprovecharse de dicha conexin para sus propios intereses.

Aprovechamiento de las comunicaciones entre bases de datos de histrico. Es una


buena prctica de seguridad que los sistemas de control cuenten con historizadores, uno
central en la red del centro de control donde est el SCADA central, y una rplica del
mismo en la red corporativa, para su consulta a nivel de negocio (tendencias, grficas, etc.)
con la que optimizar los procesos productivos. Lo habitual en estos casos es que los
administradores de sistemas pongan mucho empeo en establecer reglas en el cortafuegos
perimetral, pero olviden asegurar los entornos de bases de datos. Un atacante habilidoso,
podra lograr acceso a la bases de datos del historizador en la red corporativa, y a partir de
ah, aprovechando las comunicaciones legtimas, utilizar sentencias SQL bien diseadas
contra el servidor de base de datos en la red de control.

Para ms informacin, consulte:


https://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities#dial

4.6 ORIGEN: CORTAFUEGOS PERIMETRALES MAL CONFIGURADOS


Por razones histricas o incluso de poltica interna en las organizaciones, es habitual encontrar
malas prcticas en la configuracin de los cortafuegos perimetrales entre la red de control y la red
corporativa. Algunas de ellas son: i) permitir el paso de tramas de networking de MS Windows
(NetBios, NBNS, LLMNR, SSDP, etc.), ii) permitir servicios remotos (RPC, RDP, NETDDE, etc.), o
iii) configurar hosts confiables en la red corporativa. No obstante, el principal riesgo est en que no
se aplican reglas de filtrado saliente, por lo que si un atacante consigue introducir un payload en

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

39

cualquier mquina del sistema de control, podra llegar a hacer una llamada saliente hacia la red
corporativa o incluso Internet, establecer una conexin y otorgar acceso remoto directo al atacante.

4.7 ORIGEN: REDES INALMBRICAS


Las redes inalmbricas han irrumpido en los sistemas de control y automatizacin para solventar
los problemas existentes en algunas instalaciones donde la utilizacin de tecnologas cableadas no
era factible.

Figura 22: Logotipo de redes inalmbricas

El principal problema de las comunicaciones inalmbricas es que hacen uso de un medio


compartido, que es el aire. De esta forma, cualquiera que disponga de un receptor apropiado
podra acceder a las comunicaciones, si estas no estn correctamente fortificadas. Basta recordar
el caso de las primeras versiones de WiFi, con WEP como mecanismo de seguridad.
Desafortunadamente, en otros estndares ampliamente utilizados en el entorno industrial, como
ZigBee, WirelessHart, etc., tambin se dan vulnerabilidades y fallas de seguridad similares. Basta
con revisar el proyecto Killerbee, un framework basado en Python que permite espiar
comunicaciones ZigBee, reinyectar tramas, atacar a los criptosistemas del estndar y mucho ms.
Para ms informacin, consulte:
http://www.willhackforsushi.com/presentations/toorcon11-wright.pdf
Adems, el uso de redes inalmbricas en ubicaciones desatendidas puede facilitar a un atacante la
consecucin de acceso a la red de control.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

40

EJEMPLOS DE INCIDENTES REALES

5.1 PLANTA

DE

TRATAMIENTO

DE

AGUAS

EN

MAROOCHY

SHIRE

(AUSTRALIA)
EVENTO
En el ao 2000, fueron vertidos ms de 2 millones de litros de aguas residuales en ros, parques,
etc. en el paraje natural del condado de Maroochy (Australia).
IMPACTO
Las consecuencias del vertido fueron la prdida de vida salvaje y un
elevado peligro para los habitantes de la zona, adems del coste
econmico millonario para la recuperacin del entorno.

DESCRIPCIN
Un ex empleado de la empresa Hunter Watertech, encargado de la gestin y desarrollo del sistema
SCADA de tratamiento de aguas del condado de Moroochy, utiliz un ordenador porttil y un
radiotransmisor para tomar el control del SCADA de una instalacin de depuracin de aguas
residuales al menos en 46 ocasiones distintas a lo largo de 3 meses. Con este acceso, el ex
empleado fue capaz de: i) hacer que las bombas no funcionaran cuando deban, ii) que las alarmas
no se reportaran al ordenador central, iii) se perdiera la comunicacin entre el ordenador central y
varias estaciones de bombeo.
Finalmente, el ex empleado fue identificado y arrestado.
LECCIONES APRENDIDAS
Para evitar problemas como los anteriormente descritos relativos a ex empleados, es conveniente
eliminar todas sus credenciales (usuarios/contraseas) y permisos de acceso a los sistemas de la
empresa nada ms termine la relacin laboral.
Por otro lado, cuando se haga uso de comunicaciones inalmbricas y de radio, stas debern estar
bien aseguradas, para lo cual ha de aplicarse el mximo nivel de seguridad ofrecido por el
estndar, tanto a nivel de cifrado como de autenticacin, y ha de establecerse un sistema de
control de accesos adecuado.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

41

5.2 CENTRAL NUCLEAR DAVIS BESSE (OHIO, EE. UU.)


EVENTO
La central nuclear Davis Besse de Ohio (EE. UU.) sufri una infeccin por el gusano Slammer en el
ao 2003, que afect a diversos sistemas de monitorizacin del funcionamiento de la planta.
IMPACTO
Se provoc una parada no programada en la central. Concretamente, se
produjo una cada completa de los sistemas de visualizacin de parmetros
de seguridad, que necesit de casi 5 horas para su restitucin; y el
ordenador de procesos de planta permaneci parado ms de 6 horas.
Si los sistemas de visualizacin de parmetros de seguridad hubiesen
estado parados ms de 5 horas, la central tendra que haber realizado un
comunicado al organismo regulador y posiblemente hubiera recibido una
multa.
DESCRIPCIN
El gusano Slammer accedi a la central a travs de un enlace directo utilizando un acceso de
terceros, desde un contratista a la red corporativa. El gusano consigui transferirse entre las
diferentes redes de la empresa hasta que consigui llegar a la red de control. En su camino iba
buscando servidores vulnerables, y en la red de control encontr un equipo al que poder atacar. El
parche para evitar el ataque de este gusano estaba disponible desde 6 meses antes del ataque,
pero no se haba aplicado en los equipos de la red de control.
LECCIONES APRENDIDAS
Los accesos remotos han de estar asegurados de forma adecuada y se ha de estudiar si son
estrictamente necesarios.
Tambin se ha de tener en cuenta la aplicacin de parches de seguridad y, si no es posible la
aplicacin del parche, estudiar la opcin del parcheo virtual.
Por ltimo, utilizar una estrategia de defensa en profundidad, combinando cortafuegos perimetrales
bien configurados, IDS, IPS, una adecuada segmentacin, soluciones antimalware, etc. que evite la
propagacin de los gusanos entre equipos y redes.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

42

5.3 CENTRAL NUCLEAR BROWNS FERRY (ALABAMA, EE. UU.)


EVENTO
Fallo en agosto de 2006 del controlador (un PLC) del desmineralizador por condensacin y de las
dos bombas de recirculacin redundantes (basadas en variadores de frecuencia que modulaban la
velocidad de los motores) del agua del reactor de la unidad 3 de la central Browns Ferry (la central
dispone de 3 unidades de generacin).
IMPACTO
Como consecuencia de la parada de las bombas, la central tuvo que ser
llevada a parada de forma manual para evitar un desastre.

DESCRIPCIN
Tanto el PLC como los variadores de frecuencia contaban con microprocesadores embebidos que
enviaban datos sobre una LAN Ethernet. Sin embargo, ambos dispositivos fallaban en entornos de
alto trfico al no ser capaces de analizar todos los paquetes, broadcast o no, y determinar si son
ellos los receptores designados.
Al parecer, un mal funcionamiento del PLC inund la red Ethernet con trfico espurio, o que
incluso, desde un origen no determinado llegara un exceso de trfico ARP. Esto se tradujo en que
los variadores de frecuencia dejaron de funcionar.
LECCIONES APRENDIDAS
Para evitar problemas con el trfico de red es conveniente segmentar la red de forma adecuada,
haciendo uso de switches, routers y firewalls, agrupando elementos del mismo nivel de criticidad y
que tengan que comunicarse pero separando adecuadamente los dominios de broadcast. Adems,
es conveniente el uso de herramientas activas de monitorizacin de red que indiquen problemas
como un trfico excesivo.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

43

5.4 SISTEMA FERROVIARIO DE LODZ (POLONIA)


EVENTO
Durante el ao 2008, se produjeron una serie de descarrilamientos de trenes en la ciudad polaca
de Lodz.
IMPACTO
Los descarrilamientos produjeron daos materiales y personales,
ocasionando 12 heridos de diversa consideracin.

DESCRIPCIN
Un joven fue capaz de modificar las agujas de los trenes y, de esta forma, hacerse con el trfico
ferroviario de la ciudad. Para ello utilizaba un dispositivo similar a un mando a distancia, que emita
en la misma frecuencia que los sistemas de cambio de va.
Para llevar a cabo el ataque, realiz un estudio previo de los trenes y sus rutas.
Cuando fue detenido, el joven indic que todo era una broma.
LECCIONES APRENDIDAS
Se debe tener en cuenta la confianza que se tiene en la seguridad de protocolos propietarios que
no han sido analizados por una comunidad de expertos. Adems, se ha de limitar el acceso a los
dispositivos de campo, as como tener claro la necesidad real de utilizar protocolos inalmbricos o
si por el contrario una comunicacin cableada tambin es viable.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

44

5.5 CENTRAL NUCLEAR EDWIN I. HATCH (GEORGIA, EE. UU.)


EVENTO
2008. Parada automtica de la central nuclear durante 48 horas.
IMPACTO
La planta par su funcionamiento y se tuvieron que recalibrar varios sistemas crticos de proteccin
nuclear.
DESCRIPCIN
La empresa Southern Company, contratista responsable de la gestin de operaciones tecnolgicas
de la planta, realiz una actualizacin de software sobre el ordenador utilizado para la
monitorizacin de datos qumicos y de diagnstico asociados con uno de los sistemas de control
primarios de la planta.
Tras la instalacin de la actualizacin, el ordenador fue reiniciado, lo que deriv en falta de
informacin de monitorizacin, que a su vez fue malinterpretada por los sistemas de seguridad de
la planta, que dispararon un apagado de emergencia de la misma.

Figura 23: Mapa de las plantas de generacin de la compaa Southern Company

LECCIONES APRENDIDAS
Hay que tener establecido un plan de gestin de parches, en el cual se prioricen las actualizaciones
crticas, se identifiquen qu elementos son interdependientes, se haga un anlisis de
consecuencias, y se defina un plan de marcha atrs. Se debe probar cada actualizacin en
sistemas de desarrollo/prueba antes de aplicarla en entornos reales, lo que se conoce como
pruebas FAT (Factory Acceptance Test), y realizar pruebas en produccin (pruebas SAT Site
Acceptance Test), durante las paradas de mantenimiento.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

45

5.6 CONTROL DE TRFICO EN ITALIA


EVENTO
2009. Autoridades italianas analizan cambios no autorizados en los sistemas de regulacin del
trfico.
IMPACTO
Incremento del nmero de multas al saltarse semforos en rojo, hasta las 1.400
multas en dos meses.

DESCRIPCIN
Un desarrollador del sistema de multas T-Redspeed y otras 100 personas ms (agentes, policas y
gerentes de empresas) fueron investigadas por manipular y reducir el tiempo de la luz mbar en los
semforos con el fin de obtener ms multas.
Los beneficios obtenidos por el aumento de las multas eran repartidos entre las empresas y las
autoridades.
LECCIONES APRENDIDAS
Hay que tener muy presente que una de las principales amenazas es siempre el insider, es decir,
los propios trabajadores de la empresa. Es importante por ello que se hagan auditoras peridicas,
se otorguen mnimos privilegios, se establezca un sistema de roles y credenciales, etc.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

46

5.7 SEALES DE CARRETERA (TEXAS, EE. UU.)


EVENTO
2009. Compromiso de las seales de carretera del estado de Texas.
IMPACTO
Distraccin y muestra de informacin errnea a los usuarios de
las carreteras.

DESCRIPCIN
Los paneles de informacin de las autovas estadounidenses estaban provistos con contraseas
por defecto, por las cuales podan cambiarse los mensajes que los conductores lean. Un blog de
seguridad indicaba los pasos a seguir para realizar los cambios en los mensajes de informacin.
LECCIONES APRENDIDAS
Hay que tener claro que usar controles de acceso fsico robustos son necesarios en sistemas de
este tipo, adems de nunca dejar las configuraciones por defecto en los dispositivos y usar
mecanismos de gestin y registro de cambios de credenciales. Con ello podremos evitar que
intrusos puedan acceder a los sistemas de forma fcil.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

47

5.8 CENTRAL NUCLEAR NATANZ (IRN)


EVENTO
2010. Primer malware orientado directamente a los sistemas de control.
IMPACTO
Sabotaje a la central nuclear de Natanz, clave del programa de armas nucleares de Irn. Afect
adems a ms centrales en toda la zona y fuera de ella.

Figura 24: Mapa de pases afectados por Stuxnet

DESCRIPCIN
Stuxnet es un malware detectado en junio de 2010 con propiedades de gusano y rootkit (el primero
industrial):

Gusano, ya que explota varias vulnerabilidades (algunas zero-day) para infectar otros
sistemas.
Rootkit, ya que es capaz de modificar la lgica de funcionamiento de los PLC (S7 de
siemens) de forma imperceptible desde el centro de control o las herramientas de
mantenimiento.

La principal va de infeccin de Stuxnet fue a travs de llaves USB. Stuxnet aprovechaba una
famosa vulnerabilidad 0-day en el manejo de ficheros .LNK, por la que con solo visualizar en
Windows Explorer los ficheros de acceso directo contenidos en una llave USB, se ejecuta
automticamente cdigo del fichero al que hace referencia dicho acceso directo, en concreto en el
caso de Stuxnet unos ficheros .tmp que contienen los binarios de Stuxnet.
Otras vas de infeccin incluan el uso de recursos de red compartidos (concretamente Admin$) en
los que la mquina infectada tiene permisos de escritura, y una conocida vulnerabilidad de RPC,
usada por Conficker y otros gusanos.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

48

Una vez infecta la mquina, Stuxnet contacta con su C&C y enva, de forma cifrada, informacin
bsica sobre el host comprometido:

Informacin de la versin de Windows


Nombre del host
Nombre del grupo de trabajo
Un flag indicativo de si el software de WinCC est o no instalado
Direcciones IP de todas las interfaces de red

El C&C responda, bien enviando la orden de ejecutar una llamada a un procedimiento en el host
comprometido, o descargando una nueva DLL para que Stuxnet la ejecutase. Algunas de las
funciones a las que se puede acceder remotamente son:

Lectura de un fichero
Escritura en un fichero
Borrado de un fichero
Creacin de un proceso
Inyeccin de una dll en el proceso Isass.exe (proceso que se encarga del funcionamiento de
los protocolos de seguridad que maneja Windows)
Carga de alguna dll adicional
Inyeccin de cdigo en otro proceso
Actualizar los datos de configuracin del gusano

Stuxnet tena como objetivo los hosts que ejecutan el HMI del SCADA WinCC de Siemens. Todos
los componentes de WinCC utilizan en la misma mquina una base de datos MS SQLServer para
almacenar datos de configuracin. WinCC utiliza una contrasea "hardcodeada" (y conocida) para
acceder a la base de datos. As, Stuxnet aprovecha esta grave vulnerabilidad de WinCC para
lanzar consultas SQL y extraer informacin de direcciones IP y nmero de puertos utilizados en
otras mquinas WinCC conectadas en el sistema de control.
Adems, Stuxnet instalaba un wrapper para la librera s7otbxdx.dll que es la utilizada por el SCADA
WinCC para la comunicacin con los PLCs en campo. En realidad, cada vez que el sistema de
control haca uso de esta librera, el gusano interceptaba las llamadas a las funciones, y en algunos
casos pasaba directamente la llamada a la funcin de la dll legtima y en otros casos alteraba los
datos enviados antes de pasrselos a la correspondiente funcin. Lo mismo ocurra con los datos
devueltos por la dll legtima. En algunos casos los datos se pasaban sin ser alterados, y para otras
funciones stos s se modificaban. Es principalmente por esta caracterstica por lo que se
considera a este gusano el primer rootkit para sistemas de control.
Stuxnet es un arma de ciberguerra, creada por EE. UU. e Israel, que sirvi de base para otros
malware posteriores como Flame. Stuxnet adems fue precedido por DuQu (aunque ste se
descubri ms tarde), gusano que fue padre de Stuxnet, y que estaba concebido para labores de
espionaje (keylogger y robo de informacin de diseo de sistemas industriales), que fue encontrado
en los sistemas de fabricantes de control y automatizacin.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

49

LECCIONES APRENDIDAS
Se ha de tener un programa de gestin de parches adecuado a la infraestructura y los sistemas de
control disponibles. Adems se ha de controlar mucho ms el uso de medios portables como
unidades USB. De hecho, esto ha demostrado que las soluciones basadas en Air Gap (la no
conexin fsica entre sistemas) no son efectivas. Es fundamental controlar qu datos y con qu
medios se van a pasar de un sistema a otro, ya sea fsicamente o digitalmente. Finalmente,
podemos inferir, que el uso de sistemas antivirus tradicionales en estos entornos tampoco es
efectivo. Para hacer frente a armas de ciberguerra como estas hay que hacer uso de sistemas de
sandboxing, y de mltiples medidas de seguridad, bien orquestadas, dentro de una estrategia de
defensa en profundidad global.

Para ms informacin, consulte:

http://arstechnica.com/security/2012/06/zero-day-exploit-links-stuxnet-flame/
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

50

5.9 ATAQUE NIGHT DRAGON


EVENTO
2011. APTs contra a diferentes compaas relacionadas con el petrleo y el gas.
IMPACTO
Robo de informacin relacionada con operaciones de carcter sensible, datos financieros, de
exploracin de recursos, etc.de compaas de electricidad, gas y petrleo.
DESCRIPCIN
Durante ms de 3 aos (se estima el inicio del ataque en 2008), ms de una docena de diferentes
empresas fueron atacadas mediante un combinacin de tcnicas de ataque que incluan ingeniera
social, uso de troyanos, uso de herramientas de control remoto, compromisos del directorio activo,
etc. al parecer el origen de dichos ataques estaba en China.
La secuencia de estos ataques fue:

Compromiso mediante inyeccin SQL de los servidores web de acceso pblico, para
posteriormente instalar malware y RATs (herramientas de acceso remoto).
Estos servidores infectados se utilizaban de trampoln para lanzar ataques contra objetivos
internos.
Ataques de phishing dirigido (spear-phishing) contra dispositivos mviles o trabajadores
conectados mediante VPN les garantizaban tambin nuevos grados de acceso interno.
Los atacantes adems utilizaron herramientas de robo contraseas para ganar acceso a
otros sistemas, instalando en todos ellos RATs y malware.
Los sistemas utilizados por los ejecutivos eran el objetivo ltimo, centrndose en el robo de
correos y ficheros

LECCIONES APRENDIDAS
Este ataque sirve para concienciar a las empresas de la necesidad de gestionar los riesgos
provenientes del uso de herramientas sociales, como Facebook, Twitter..., y de foros, dentro de la
empresa, mediante sesiones de concienciacin y una adecuada formacin de los empleados.
Adems, tambin incide en la necesidad de una adecuada estrategia de defensa en profundidad
que incluya el uso de potentes soluciones antimalware de ltima generacin, as como de un
adecuado programa de gestin de parches, entre otros.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

51

5.10 PLANTA DE TRATAMIENTO DE AGUAS (ILLINOIS, EE. UU.)


EVENTO
2011. Hackers atacan el sistema de tratamiento de aguas.
IMPACTO
Cada completa de los sistemas, dejando sin agua a una gran
extensin del estado de Illinois.

DESCRIPCIN
Una serie de atacantes consiguieron acceso a la red de la empresa de tratamiento de aguas de
Illinois, llegando a la red de control y hacindose con el control de los sistemas SCADA. Tomaron
el control de una bomba y comenzaron a cambiar el estado (de encendido a apagado)
reiteradamente, hasta que la bomba se rompi debido al uso indebido.
LECCIONES APRENDIDAS
Es necesaria una clara segmentacin de las redes para que no pueda darse este tipo de
situaciones. La red de control es una red de alto nivel de criticidad y, por tanto, tenemos que poner
medidas para evitar la intrusin desde otras redes. Adems de esto, se tiene que realizar un control
en el acceso remoto a estos dispositivos ya que, si no hay medidas de autenticacin y de control,
cualquier atacante podra utilizar estos canales para hacerse con el control de estos dispositivos sin
necesidad de moverse de su casa.

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

52

A. NDICES Y REFERENCIAS
REFERENCIAS TCNICAS
ICS-CERT Overview of Cyber Vulnerabilities
http://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities
ICS-CERT. Year in Review 2013. 2013
https://ics-cert.us-cert.gov/sites/default/files/documents/Year_In_Review_FY2013_Final.pdf
Verizon. 2013 Data Breach Investigations Report. 2013.
http://verizonenterprise.com/DBIR/2013/
Annex V of the report "Protecting Industrial Control Systems. Recommendations for Europe and
Member States" presents the key findings of the ENISA ICS Security study.
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/industrial-control-systems
NIST SP 800-82-Rev 1: Guide to Industrial Control Systems (ICS) Security. 2013.
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r1.pdf
ENISA. Protecting Industrial Control Systems. Annex I: Desktop Research Results. 2011.
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/annex-i
Abrams, M., & Weiss, J. (2008, July 23). Malicious Control System Cyber Security Attack Case Study
Maroochy Water Services, Australia. Retrieved from NIST:
http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf
- See more at: http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
Bloomberg Businessweek. (2012). Cyber Crime and Information Warfare: A 30-Year History. Retrieved
from Bloomberg Businessweek:
http://images.businessweek.com/ss/10/10/1014_cyber_attacks/8.htm http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
Slay, J., & Miller, M. (2008). Lessons Learned from the Maroochy Water Breach. Retrieved from
International Federation for Information Processing:
http://www.ifip.org/wcc2008/site/IFIPSampleChapter.pdf -:
http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
NRC (September 2009). "Fact Sheet on Improvements Resulting From DavisBesse Incident". NRC
Fact Sheet
http://www.nrc.gov/reading-rm/doc-collections/fact-sheets/fs-davis-besse-improv.html
Polish teen derails tram after hacking train network
http://www.theregister.co.uk/2008/01/11/tram_hack/

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

53

Cyber Incident Blamed for Nuclear Power Plant Shutdown By Brian Krebs
http://www.washingtonpost.com/wp-dyn/content/article/2008/06/05/AR2008060501958.html
Can we learn from SCADA security incidents? ENISA report
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/can-we-learn-from-scada-security-incidents
Hackers Crack Into Texas Road Sign, Warn of Zombies Ahead
http://www.foxnews.com/story/2009/01/29/hackers-crack-into-texas-road-sign-warn-zombies-ahead/
Stuxnet
http://es.wikipedia.org/wiki/Stuxnet
Hackers Attacked Water Treatment Systems In Illinois by Maverick on November 21, 2011
http://www.tech2date.com/hackers-attacked-water-treatment-systems-in-illinois.html
Cyber security study. Control Engineering
http://www.controleng.com/single-article/control-engineering-2014-cyber-securitystudy/992cf83959f0b11837250236e375da48.html
Verizon 2013 Data Breach Investigations Report
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report2013_en_xg.pdf

NDICE DE FIGURAS
Figura 1. Origen de las amenazas. Fuente: Security Incidents Organization. .................................. 4
Figura 2. Tipos de amenazas no intencionadas ................................................................................ 5
Figura 3. Orgenes de las amenazas intencionadas ......................................................................... 6
Figura 4. Niveles de amenazas y amenazas ms frecuentes. Fuente: Cyber Security Study. 2014.
Control Engineering .......................................................................................................................... 8
Figura 5. Grfica de incidentes por ao (2001-2013) Fuente: ScadaHacker y Open-Source
Vulnerability Database. 2014 .......................................................................................................... 13
Figura 6. Tipos de amenazas descubiertas Fuente: ScadaHacker y Open-Source Vulnerability
Database. 2014. ............................................................................................................................. 14
Figura 7. Frecuencia de anlisis de vulnerabilidades. Fuente: Cyber Security Study. 2014. Control
Engineering. ................................................................................................................................... 22
Figura 8. Factores que impiden la colaboracin entre los departamentos de TI y de control........... 25
Figura 9. Factores de riesgo, referentes a la formacin .................................................................. 26
Figura 10. Factores de riesgo referentes a los fabricantes.............................................................. 27
Figura 11. Comunicaciones ............................................................................................................ 28
Figura 12. Factores de riesgo relacionados con la larga vida del equipamiento .............................. 29
Figura 13. Equipamiento de larga vida en funcionamiento .............................................................. 29

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

54

Figura 14. Factores de riesgo relacionados con los sistemas operativos ........................................ 30
Figura 15. Equipamiento industrial. Fuente: http://commons.wikimedia.org .................................... 31
Figura 16: Objetivo de los incidentes. Fuente: Verizon 2013 Data Breach Investigations Report ... 32
Figura 17: Clasificacin de incidentes del ao 2013. Fuente: ICS-CERT year in review 2013. ...... 33
Figura 18: Porcentaje de incidentes por sector. Fuente: ICS-CERT year in review 2013 ............... 34
Figura 19: Armario de sensores y controladores ubicado en campo ............................................... 35
Figura 20: Acceso telefnico a RTU. Fuente: ICS-CERT Overview of Cyber Vulnerabilities .......... 37
Figura 21: Soporte por parte de fabricantes. Fuente: ICS-CERT Overview of Cyber Vulnerabilities
....................................................................................................................................................... 38
Figura 22: Logotipo de redes inalmbricas ..................................................................................... 40
Figura 23: Mapa de las plantas de generacin de la compaa Southern Company ....................... 45
Figura 24: Mapa de pases afectados por Stuxnet .......................................................................... 48

NDICE DE TABLAS
Tabla 1. Incidencias por tipo y por ao ScadaHacker y Open-Source Vulnerability Database. 2014.
....................................................................................................................................................... 14
Tabla 2. Vendedores y nmero de vulnerabilidades encontradas en 2013 Fuente: Vulnerability
Threat Trends: A decade in review, transition on the way. 2013. .................................................... 15
Tabla 3. Comparativa de incidentes por sector (2011-2013). Fuente: ICS-CERT year in review
2013. .............................................................................................................................................. 34

Amenazas y vulnerabilidades de seguridad especficas - Tema 5. Manual

55

Das könnte Ihnen auch gefallen