Construcción de un modelo de control

para infraestructuras críticas industriales

Erik de Pablo Martínez

 Presentación
ENTIDAD A LA QUE REPRESENTA:
• ISACA es una asociación de auditores de sistemas y ciberseguridad que agrupa a mas de
145.000 miembros en todo el mundo, a través de más de 220 capítulos regionales en más
de 90 países.
• Ofrece certificaciones relacionadas, entre otras, con la auditoría de sistemas y su
gobernanza, la ciberseguridad, el control de riesgos cibernéticos y la privacidad.

¿QUIÉN SOY?:
• Erik de Pablo Martínez, físico por la Univ. Autónoma de Madrid y PDD por el IESE.
• Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la
industria del petróleo, en España y en Sudamérica. Está orientado a la auditoría de sistemas en
entornos industriales y de negocio y focalizado en los nuevos riesgos tecnológicos: ciberseguridad,
infraestructuras críticas, detección y prevención del fraude, IoT, IA, Big Data, Blockchain etc…
• Recientemente y durante 6 años ha sido Director de Investigación en ISACA-Madrid y es socio Director
de la empresa de auditoría de sistemas RUTILUS
• Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems
Control).

• Contacto: [email protected]
 Índice

• Introducción: La Ciberseguridad en entornos industriales

• Antes que nada: Legislación

• Vínculos entre Mapas de riesgo y Modelos de madurez

• Construcción de un Modelo de control

• Y para empeorarlo todo: Internet de las Cosas (IoT)

3
 INTRODUCCIÓN:
La ciberseguridad en entornos industriales

4
 Ámbito estándar de los Sistemas de Información
La “informática corporativa”

• Empezaremos hablando de la “Informática Corporativa”. Se trata de un sector maduro, con prácticas,

normas, marcos de control y sistemas de revisión bien establecidos
• Centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión.
 Con algunas aplicaciones técnicas de nicho
 Con herramientas de colaboración (correo, mensajería, voz, video, etc…)
 Con unas redes de comunicaciones internas, “externas” y de acceso a internet.
 Con unos protocolos de comunicaciones unificados (sobre TCP/IP)
 Con un esquema de protección de la información y las infraestructuras (seguridad lógica) que tiene mas de 20
años en mejora continua.

• Hasta ahora basado en un “Modelo de Fortaleza” (seguridad perimetral) que ha permitido a las
organizaciones ofrecer servicios internos centralizados, con transparencia, integridad, disponibilidad,
confidencialidad y eficiencia.

5
 Nuevos entornos de las Tecnologías de la Información
Informática industrial -1

• En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que no estaban
incluidos en el modelo tradicional.
• Entre estos nuevos entornos, uno de los más importantes es el entorno industrial, en el cual sistemas técnicos de
diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre, desde sus inicios,
aislados de los sistemas corporativos.
 Ejemplo son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System), PLCs (Programmable Logic Controller), etc…
• El equipamiento ha sido siempre específico del proveedor, tanto procesadores como en redes de control
 Redes LCN, Modbus, Fieldbus, RS422, RS485, etc…
• Son sistemas que pueden llegar a manejar y supervisar varios miles de sensores y actuadores.
 Siguen modelos de control muy sofisticados, por ejemplo los PID (Proporcional, integrativo y derivativo), FCS (Fuzzy Control System), ECS (Expert
Control & Supervision), Control avanzado multivariable etc...
 Almacenan información histórica del comportamiento de la planta y supervisan y manejan todos los posibles estados de la planta e incluso
optimizan su eficiencia.
• Estos entornos de control industrial han sido considerados hasta hace poco tiempo como “cajas negras”
 Han estado aislados de la red corporativa y centrados exclusivamente en su objetivo de proceso industrial, ofreciendo en ocasiones resultados o
resúmenes en modo off-line

6
 Nuevos entornos de las Tecnologías de la Información
Informática industrial -2

• A principios de este siglo se inició un proceso de conexión de estos entornos industriales con los entornos corporativos,
con objeto de que estos sistemas ofrecieran algunos datos de forma más interactiva o en “tiempo real”.
 Por ejemplo, con datos de producción que en ocasiones proporcionan datos de existencias.
 En sentido contrario, hacia los sistemas industriales, enviando programas de producción o datos logísticos.

• Este proceso de conexión se ha estado reforzando con la paulatina conversión del equipamiento de control a las
plataformas convencionales, con procesadores estándar y sistemas operativos de tipo Linux o Windows.

• Como consecuencia de todo ello se ha introducido el protocolo TCP/IP en las redes de control.

• En ese momento, las redes de control pasan a ser, de facto, una pieza mas de los sistemas corporativos, debido a la
continuidad que permite el protocolo de comunicaciones.
 Los diferentes objetivos de ambos sistemas resultan una anécdota intrascendente ante el impacto que provoca compartir el
protocolo de red, la continuidad y uniformidad de la infraestructura y por ende la aparición de la vulnerabilidad.

7
 Nuevos retos
Ciberseguridad y crecimiento de Internet

• La evolución de los sistemas de control industrial, impulsada por los costes, la realidad tecnológica y las
necesidades de información de las compañías, ha provocado la aparición de vulnerabilidades que hasta hace poco
tiempo eran desconocidas en este entorno industrial.
• Esto ha generado una sensibilización progresiva ante los riesgos que están surgiendo y especialmente con la
aparición de los primeros virus diseñados específicamente para atacar instalaciones industriales
• Se acuña el concepto de “ciberseguridad”

8
Nuevos retos
Ciberseguridad y crecimiento de Internet

9
 Nuevos retos
Estadísticas de ciberseguridad según NIST

1.Una encuesta reciente muestra que el 10% de las pequeñas empresas atacadas cerraron en 2019 ( National Cybersecurity Alliance ).
2.El 77% de las empresas industriales consideran la ciberseguridad como una de sus principales prioridades. ( Kaspersky Labs )
3.El 32% de los proveedores de servicios administrados (MSP) informan que la construcción y la fabricación son las más afectadas por el ransomware. ( datto )
4.Según una encuesta reciente de la SBA, el 88% de los propietarios de pequeñas empresas sintió su negocio era vulnerable a un ataque cibernético. ( SBA )
5.El ransomware es la amenaza número uno para las pymes, y 1 de cada 5 informa que ha sido víctima de un ataque de ransomware. ( Datto )
6.Desde el segundo trimestre de 2019 hasta el tercer trimestre de 2019, el pago promedio de ransomware aumentó un 13% hasta $ 41.200. ( Cobertura )
7.La ciberdelincuencia le costará al mundo 6.000 millones de dólares anuales para 2021 ( Cybersecurity Ventures ).
8.Se predice que para 2021 una empresa será víctima de un ataque de ciberseguridad cada 11 segundos. ( Empresas de ciberseguridad )
9.Las predicciones indican que el gasto mundial en productos y servicios de ciberseguridad superará los mil millones de $ acumulados durante el período de cinco años de 2017 a
2021 ( Cybersecurity Ventures ).
10.El costo promedio de una violación de datos es de $ 3,9 millones a partir de 2019. ( Inteligencia de seguridad )
11.Aproximadamente el 20% de los dominios maliciosos son muy nuevos y se utilizan aproximadamente una semana después de su registro. ( Cisco )
12.Aproximadamente el 60% de los dominios maliciosos están asociados con campañas de spam. ( Cisco )
13.Los formatos de Microsoft Office como Word, PowerPoint y Excel constituyen el grupo más frecuente de extensiones de archivos maliciosos con un 38% del total. ( Cisco )
14.Se estima que el 74% de las empresas tienen más de 1.000 archivos confidenciales obsoletos. ( Varonis )
15.Se estima que el 41% de las empresas tienen más de 1.000 archivos confidenciales, incluidos números de tarjetas de crédito y registros médicos, que no están
protegidos. ( Varonis )
16.Se estima que el 21% de todos los archivos no están protegidos de ninguna manera. ( Varonis )
17.Las violaciones de datos expusieron 4.100 millones de registros en el primer semestre de 2019 ( basado en riesgos ).
18.Entre las organizaciones que reciben alertas de seguridad diarias, un promedio del 44% de esas alertas no se investigan. ( Cisco )
19.El 63% de los proveedores de servicios administrados (MSP) predicen que el ransomware se dirigirá a las cuentas de las redes sociales. ( datto )
20.Se ha comprobado que el uso extensivo del cifrado reduce en promedio el costo total de una violación de datos en $ 360.000. ( Inteligencia de seguridad )

10
Nuevos retos
Ciberseguridad – ataques relevantes no industriales en 2020

Entity records lost YEAR story SECTOR METHOD

AIS 8.000.000.000 2020 May 2020. Data relating to internet use was available online. No personal info was exposed. telecoms poor security
Microsoft 250.000.000 2020 Jan 2020. Customer support records spanning 14 years were left online without password protection. web poor security

Apr 2020. Personal details stolen from Jazz and other mobile networks were put up for sale for $2.1m in
Pakistani mobile operators 115.000.000 2020 bitcoin. telecoms hacked
May 2020. Aggregated data from multiple websites was discovered in an open database. It included
db8151dd 22.000.000 2020 addresses, job titles, phone numbers and social media profiles. The breach was dubbed 'db8151dd'. web hacked
MGM Hotels 10.600.000 2020 Feb 2020. Data stolen during an 2019 hack of an MGM server was published on a hacking forum. retail hacked
May 2020. The airline became aware of a hack in January, but didn't notify customers until April. Email
EasyJet 9.000.000 2020 addresses, travel details and credit card details were stolen. transport hacked
Mar 2020. Two hard drives with data from 6.9m registered organ donors went missing. They contained
Dutch Government 6.900.000 2020 contact details, ID numbers & signatures. government lost device
Feb 2020. Names, addresses, and ID card numbers of every Israeli voter were found on an insecure website
Israeli government 6.500.000 2020 belonging to Elector, a political communications app. government poor security
Mar 2020. Guest records were accessed using the logins of two employees between mid-Jan and end of
Marriott Hotels 5.200.000 2020 Feb. retail inside job
Jan 2020. Correspondence, invoices and contracts containing personal details were left exposed on an
Buchbinder Car Rentals 5.000.000 2020 unsecured company server. transport poor security
Mar 2020. A poorly-configured database left names, email addresses and phone numbers exposed for 10
Virgin Media 900.000 2020 months. retail poor security
Tesco Clubcard 600.000 2020 Mar 2020. Details of accrued loyalty points were accessed, but financial details weren't exposed. retail hacked
Apr 2020. Email addresses, passwords and personal meeting URLs were sold on the dark web. It led to a
Zoom 500.000 2020 host of zoom-bombing pranks. app hacked
May 2020. Prisoners had sensitive personal data stolen in December 2019. They were notified five months
US Marshals Service 387.000 2020 later. government hacked
Apr 2020. Unauthorised access to thousands of Nintendo Switch accounts. Hackers were able to use saved
Nintendo 300.000 2020 payment details to make purchases. gaming hacked
Mar 2020. Hackers accessed Advantage Card records, but no financial data was stolen. Payment using
Boots Advantage Card 150.000 2020 points was suspended. retail hacked

• Fuente: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

11
 Vulnerabilidades reales

• Algunos ejemplos de España

• Escaneado con Shodan

12
Ciberataques -1

13
Ciberataques -2

14
 Ciberataques -3

Los países del sur de Europa, incluidos Italia, España, Grecia y

Portugal, se encuentran entre los 15 países TOP por porcentaje de
equipos ICS en los que se bloquearon archivos adjuntos de correo
electrónico malicioso.
El mapa muestra el porcentaje de equipos ICS en los que se bloquearon
objetos maliciosos, en relación con la cantidad de sistemas ICS en cada país.

Fuente: Kaspersy - Panorama de amenazas para los sistemas de automatización

industrial. Estadísticas del primer semestre de 2021
https://ics-cert.kaspersky.com/reports/2021/09/09/threat-landscape-for-industrial-automation-systems-
statistics-for-h1-2021/#_Toc80888463
15
 Ciberataques -4
Ransomware

• En mayo de 2017, el ataque de “ransomware” conocido como Wanacry afectó en tan solo un día a más de 300.000 computadores en 150
países, con daños estimados en el rango de centenares a miles de millones de euros.
En diciembre de 2017, USA, UK y Australia confirmaron el origen norcoreano del ataque.

• En estos dos últimos años se han multiplicado estos ataques, algunos de ellos muy sofisticados, con
el uso de varias herramientas que buscan instalar el “ransomware” a pesar de las protecciones que
pueda haber. Según la investigación de Fortinet, a fines de 2020 en todo el mundo más de 17.000
dispositivos informaban cada día que estaban siendo objeto de ataques de ransomware.

• En particular, desde 2020 el troyano Emotet ha estado muy activo, instalándose en multitud de
redes de organizaciones, con la particularidad de que, recientemente, facilita la instalación posterior
de diversos paquetes de “ransomware”, que son los que secuestran los equipos.

• Entre las organizaciones que han sufrido estos ataques se pueden citar Mapfre, ADESLAS, Clínicas
Quirón, Enel, Adif etc…
El malware mas extendido (2020) Las principales redes de bots (2020)

Las campañas actuales de Emotet

Fuente: Informe CheckPoint – Primer semestre 2020. (EMEA= Europa, Oriente medio y África) Fuente: Informe ESET-Research

16
 Ciberataques -5
Ransomware

• Al menos 130 familias de ransomware estuvieron activas en 2020 y en la primera mitad de 2021,
según un análisis de datos reciente del servicio de escaneo VirusTotal de Google.

• El análisis de más de 80 millones de muestras potenciales relacionadas con ransomware enviadas

desde 140 países de todo el mundo revela que GandCrab ha sido la familia de ransomware más
activa en los sistemas Windows desde principios de 2020.

• GandCrab sigue siendo líder incluso cuando se trata de la cantidad de muestras diferentes enviadas
a VirusTotal, que representan el 78,5% de ellas. Babuk, que surgió a principios de 2021 y se utilizó
en el ataque al Departamento de Policía Metropolitana de Washington DC , ocupó el segundo lugar
con el 7,61 por ciento de las muestras enviadas.

• Windows representa el 95% de los objetivos de ransomware

Fuente: Informe Virus Total

https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf

17
 Ciberataques -6
Ransomware

• En enero, las autoridades policiales de varios países, incluidos EE. UU., Países Bajos, Reino Unido y
Alemania, eliminaron la infraestructura de la botnet Emotet en una operación coordinada diseñada
para interrumpir posiblemente una de las operaciones de malware más prolíficas de la historia
reciente.

• La operación implicó la toma casi simultánea de varios cientos de servidores en todo el

mundo que se estaban utilizando como servidores de comando y control y la redirección del
tráfico de los sistemas infectados a la infraestructura controlada por las fuerzas del orden.

• La botnet Emotet se utilizó ampliamente para distribuir una variedad de malware, incluidos Fuente: Informe Virus Total
ladrones de información, troyanos y ransomware. Los grupos que utilizaron la botnet incluían a los https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf

operadores de las prolíficas familias de ransomware Ryuk y Qakbot y el troyano bancario Trickbot.
Por lo tanto, su eliminación representó un gran golpe para los delincuentes que utilizan la botnet
para distribuir su malware.

• Operaciones similares de eliminación independientes y colaborativas en diferentes países dieron

como resultado la interrupción de otras grandes empresas delictivas en la primera mitad de 2021,
especialmente las operaciones de ransomware Egregor, NetWalker y Cl0p.

• Los datos de Fortinet, por ejemplo, mostraron una desaceleración, pero no una erradicación de la
actividad de amenazas después de la eliminación de Emotet

Fuente: Fortinet agosto-2021 - Global Threat Landscape Report

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-threat-
landscape-2021.pdf

18
 Ejemplo: Análisis de un incidente real

1. Un intruso externo envío una serie de correos de phising a los administradores del sistema industrial (obtuvo esa información de
personas relacionadas a través de redes sociales). Dos administradores accedieron al correo enviado y dejaron comprometidas sus
claves de acceso a la red corporativa
2. El intruso se conectó de forma remota vía VPN utilizando como autentificación el user/pass obtenido. Logó así ingresar en la red
corporativa en forma remota.
3. Posteriormente, el intruso, con los mismos user/pass ingresó en forma remota (vía RDP) a los equipos de estos administradores,
desde donde aprendió, investigó, consiguió mas usuarios y claves, estudió manuales etc…
4. Instaló un keylogger sobre las dos estaciones de trabajo que tenían privilegios de administrador
5. Se conectó al sistema intermedio que accede a la red industrial
6. Desde ese sistema intermedio, accedió vía web a la consola del sistema de control para la gestión del sistema industrial
(electricidad/gas/agua). Se autenticó con una pareja user/pass que obtuvo con el keylogger instalado previamente
7. El intruso aprendió a utilizar el sistema
8. En el momento del ataque, el intruso accedió a la consola, bloqueó subestaciones, cerró bombas, modificó la presión del gas,
generando graves alteraciones del proceso.
9. Después el intruso accedió a los servidores del sistema de control a nivel del sistema operativo, borró las configuraciones del
sistema principal y del secundario.
10. Finalizó apagando los sistemas
19
Evolución de los incidentes
Reportes CERT 2020 (España)

Definición del Nivel de Alerta

NIVEL MUY ALTO:

Una amenaza importante afecta a las instituciones por lo que se
requiere una acción inmediata. La probabilidad de afectar y
dañar a los sistemas de información es alta.

Fuente: CERTSI https://www.ccn-cert.cni.es

En 2019, el CCN-CERT gestionó 42.997 ciberincidentes (más de un 11 % con respecto al año anterior),
de los cuales casi un 7,5 % fueron de peligrosidad muy alta o crítica

20
 Incidentes en infraestructuras críticas
Reportes CERT (España)

CERT de Seguridad e Industria - España

Fuente: CERTSI https://www.ccn-cert.cni.es

21
¿Qué nivel de riesgo existe en 2021?
Informe de riesgos del WEF

Fuente: World Economic Forum -

Global Risk Report 2021

22
 Agentes de la amenaza

1. Estados mediante actividades de ciberespionaje (económico y/o político y estratégico) y cibersabotaje.

2. Crimen organizado u otro tipo de agentes que utilizan Internet como medio para obtener un beneficio económico. Se apoya
en servicios de hackers profesionales y en lo que se ha denominado el cibercrimen como un servicio (Cybercrime as-a-
service). Este modelo se repite en otros agentes.
3. Ciberactivismo o grupos que justifican sus acciones con motivos ideológicos y su propósito es visibilizar o reivindicar una
causa (un ejemplo es Anonymous)
4. Grupos terroristas que usan Internet para financiarse, radicalizar a su comunidad, realizar propaganda o coordinar la
actuación de sus grupos de ataque. Las actividades de ataque contra servicios esenciales usando el ciberespacio por ahora
es escasa.
5. Estados que utilizan los ciberataques en el marco de conflictos y/o guerras con otros países para desestabilizarlos.
6. Investigadores y particulares que actúan como un reto o una diversión a la hora de descubrir vulnerabilidades.
7. Actores internos que suelen ser empleados o ex-empleados descontentos que, por razones económicas, políticas o
personales, manipulan deliberadamente los sistemas.
8. Organizaciones privadas que pueden tener como objetivo dejar fuera de juego a los sistemas de la competencia.

Fuente: CERTSI https://www.ccn-cert.cni.es

23
 ¿Qué podemos esperar en 2021?
ICS

1. Más ataques a la cadena de suministro {FireEye (2020), SolarWinds (2019-2020), SonicWall (2021)}
2. Más malware de alta gama en móviles (Earth Kitsune, Operation Poisoned News - lightSpy)
3. Más ataques sofisticados de acceso a perfiles web.
4. Más subversión de criptografía (NSA)
5. La identidad en el comercio electrónico entrará en crisis
6. Más ataques a módems WiFi, routers y firewalls (Zyxel, “Wifi Hack 2021 All In One”, firewalls SonicWall )
7. Un medio para el caos social y la desinformación (Q-Anon)
8. Nuevos ataques para cryptojacking y minería de bitcoins y similares
9. Uso de APIs
10. Utilización de tokens de autentificación comprometidos (Earth Kitsune)
11. Uso de parches comprometidos de actualización de aplicaciones (SolarWinds)
En 2021 se espera ver actores de amenazas avanzadas que desplieguen sus nuevas capacidades y que perfeccionen sus nuevas herramientas. Los ataques de
cryptojacking han experimentado un drástico crecimiento del 8500 %
Los temas y tendencias de cada año en ciberseguridad no deben observarse de manera aislada; se construyen unos sobre otros para crear un panorama de la
amenaza y de la inseguridad creciente que enfrentan todos, desde individuos hasta negocios y gobierno. La próxima generación de ataques será aún más
inteligente y comenzará a utilizar herramientas de Inteligencia Artificial (IA).
Dónde terminará, no se sabe; pero el conocimiento y la comprensión serán recursos poderosos. Fuente: CERTSI https://www.ccn-cert.cni.es
 ¿Qué podemos esperar en 2021?
ICS

• Los ataques sobre las instalaciones industriales están creciendo y aumentando su persistencia, como puede verse en el informe de Fortinet de este año:

Fuente: Fortinet agosto-2021 - Global Threat Landscape Report

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-threat-
landscape-2021.pdf

25
 El incidente Solar Winds -1

• El pasado 8 de diciembre de 2020, la empresa de ciberseguridad norteamericana FireEye, del grupo Mandiant, informó de un acceso
no autorizado a su set de herramientas Red Team:
“Un adversario altamente sofisticado patrocinado por algún estado robó las herramientas de FireEye ‘Red Team’. Debido a que creemos que un
adversario posee estas herramientas, y no sabemos si el atacante tiene la intención de usar las herramientas robadas por sí mismo o revelarlas
públicamente, FireEye está lanzando cientos de contramedidas”
• Como resultado de este aviso (que demuestra lo altamente positiva que es la transparencia en Ciberseguridad) Fire Eye descubrió
cinco días después, el 13 de diciembre, que la empresa SolarWinds había estado distribuyendo durante muchos meses de 2020 una
actualización de su software Orion, incluyendo un malware que se ha denominado SUNBURST:
“FireEye descubrió un ataque a la cadena de suministro que comprometió las actualizaciones del software empresarial de SolarWinds Orion para
distribuir el malware que llamamos SUNBURST. La actividad posterior del atacante aprovecha múltiples técnicas para evadir la detección y ocultar su
actividad, pero estos esfuerzos también ofrecen algunas oportunidades de detección. La campaña está muy extendida y afecta a organizaciones
públicas y privadas de todo el mundo.”
• De hecho, a medida que se va desarrollando la investigación del ataque, al parecer respaldado por Rusia, la lista de entidades,
organizaciones y empresas afectadas va creciendo.
• Entre ellas, según Bleeping Computer, está la propia Microsoft, que ha confirmado el acceso a su red interna, a la que llegaron después
de acceder al software ofrecido por SolarWinds. Al parecer, en un primer momento los hackers utilizaron las actualizaciones de
SolarWinds como troyano, para después emplear las herramientas software de Microsoft para amplificar los ataques contra otras
organizaciones.
Fuente: CERTSI https://www.ccn-cert.cni.es
 El incidente Solar Winds -2

• Medios estadounidenses informaron que el incidente de SolarWinds ha resultado en brechas en múltiples agencias federales de los
Estados Unidos.
• La empresa SolarWinds, que provee la red SolarWinds Orion a 300.000 clientes en todo el mundo, incluyendo el Ejército de EE.UU., el
Pentágono, el Departamento de Estado, de Comercio, el de Tesoro y la Oficina presidencial estadounidense, entre otras entidades,
reconoció que había sufrido un ataque virtual. Posteriormente informó al parecer éste comenzó en 2019.
• A Microsoft hay que añadir Cisco, Nvidia, Belkin, Vmware, Intel, Ford, Mastercard, Nestlé, la Universidad de Harvard y un largo
etcétera
• El software afectado se utiliza ampliamente en los sectores de la electricidad, el petróleo y el gas y en la industria manufacturera. El
proceso de evaluación de la exposición de algunas organizaciones al incidente no ha hecho más que empezar.
• Reuters informó que el hecho de que los atacantes lograran monitorear los correos electrónicos internos del Departamento del
Tesoro de EE.UU. puede ser solo la ‘punta del iceberg’.
• El Departamento de Energía de EE.UU. confirmó el viernes 18 de diciembre que también había sido atacado. La agencia es
responsable de administrar las armas nucleares de EE.UU., pero dijo que la seguridad del arsenal no se había visto comprometida.
• Ante la alerta, el Departamento de Seguridad Nacional de EE.UU. ordenó a todas las agencias federales que desconectaran y
apagaran cualquier dispositivo conectado a los productos SolarWinds hasta nuevo aviso.
Fuente: CERTSI https://www.ccn-cert.cni.es
 El incidente Solar Winds -3
• Microsoft ha identificado más de 40 de sus clientes afectados por las versiones con troyano de la plataforma Orion de SolarWinds,
intrusiones que descubrieron utilizando datos recopilados por el antivirus Windows Defender.
• Según el Presidente de Windows, Brad Smith, la compañía está en estos momentos notificando a las organizaciones afectadas. De
ellas, el 80% están en Estados Unidos, y el resto están desperdigados por varios países, entre los que está España. También están en
Canadá, México, Bélgica, Reino Unido, Israel y Emiratos Árabes Unidos.
• A FireEye, que es una compañía de ciberseguridad muy reputada y que fue la primera en dar la voz de alarma, le robaron
herramientas ‘Red Team’, que se utilizan para realizar test de seguridad. Para encontrar el fallo, FireEye necesitó de más de 100
empleados y una revisión de 50.000 líneas de código después de que uno de los trabajadores encontrara un extraño inicio de
sesión de un usuario. Hay que recordar que se cree que la 'puerta trasera' se creó en marzo de 2020 y no fue detectada hasta
diciembre.
• Evidentemente este ataque, al parecer impulsado por Rusia, supone un cambio sustancial en las características de las amenazas
existentes, subiendo varios peldaños en la sofisticación y en el nivel tecnológico del equipo que lo diseñó e implementó.
• Muchos medios norteamericanos defienden la idea de que es una maniobra más de espionaje que de destrucción. Es decir, que lo
que se buscaba por parte de los atacantes era un lugar desde el que registrar y conocer todo, no destruir un sistema. Al menos
hasta el momento en el que el ataque fue descubierto.

Fuente: CERTSI https://www.ccn-cert.cni.es

 El incidente Colonial Pipeline -1

• Jueves, 6 de mayo de 2021 piratas informáticos lanzan un ciberataque a Colonial

Pipeline y consiguieron que cerrara el gasoducto más grande de EE. UU. Comenzaron
su bombardeo contra la compañía el 6 de mayo de 2021, robando 100 gigabytes de
datos antes de bloquear las computadoras con ransomware y exigiendo pago. (Fuente :
Bloomberg , 9 de mayo de 2021)
• Comunicación de la empresa: “El 7 de mayo, la Compañía Colonial Pipeline Company
reconoce que ha sido víctima de un ataque de ciberseguridad y ha determinado que el
incidente involucró ransomware. Poco después de enterarse del ataque, Colonial
desconectó proactivamente ciertos sistemas para contener la amenaza. Estas acciones
detuvieron temporalmente todas las operaciones del oleoducto y afectaron algunos
de los sistemas de TI”
• El oleoducto es una parte fundamental de la infraestructura petrolera de los Estados
Unidos, ya que transporta alrededor de 2,5 millones de barriles por día de gasolina,
combustible diésel, combustible para calefacción y combustible para aviones. Se
extiende por casi 9.000 km y transporta casi la mitad del suministro de combustible
de la costa este. Mas de 1000 estaciones de servicio de la zona se quedaron sin
combustible durante mas de una semana, provocando un desabastecimiento general y
obligando al gobierno a intervenir con equipos del ejército.

Fuente: CERTSI https://www.ccn-cert.cni.es

 El incidente Colonial Pipeline -2

• El 10 de mayo, el presidente Biden sugirió que Rusia podría tener responsabilidad en el ataque, ya que
los piratas informáticos y / o su software supuestamente se encuentran dentro de las fronteras de
Rusia. El FBI confirmó que el ransomware DarkSide era responsable del compromiso de las redes
Colonial Pipeline.
• Según Bloomberg, Colonial Pipeline pagó casi $ 5 millones a piratas informáticos de Europa del Este el
7 de mayo de 2021.
• La compañía inició la recuperación del servicio a partir del 12 de mayo, aunque tardó casi 2 semanas
más en alcanzar un servicio normal.
• Según informó posteriormente el gobierno de EEUU, el Departamento del Tesoro recuperó gran parte
del rescate pagado
• DarkSide, el grupo detrás del ataque contra Colonial Pipeline, supuestamente recaudó $ 90 millones en
pagos de rescate en Bitcoins antes de cerrar la “empresa” a finales de mayo de 2021.
• A fines de junio de 2021 se presentó una demanda colectiva de 10.000 estaciones de servicio afectadas por el aumento temporal de precios y carencia de
producto, debido a que los directivos de Colonial Pipeline: “ fallaron en implementar y mantener procedimientos y prácticas de seguridad razonables y
apropiados para operar el Oleoducto”. Esto se plantea en el contexto de un supuesto "deber de adoptar medidas razonables para garantizar el
funcionamiento continuo e ininterrumpido del Oleoducto", ya que el "Oleoducto es una infraestructura esencial y una arteria vital para la distribución de
combustible a la mayor parte del este de los Estados Unidos . "

30
Respuesta UE y USA ante las ciberamenazas

31
Se desarrollan Metodologías

32
 ANTES QUE NADA:
La Legislación

Ley española de Protección de Infraestructuras críticas

33
 Antecedentes

• Directiva 2008/114 CE
Identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección

• Directiva 2016/1148 CE
Medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva NIS (Network and
Information Security)

• Estrategia de ciberseguridad nacional 2013

Para lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección y
respuesta a los ciberataques

• Ley española 8/2011 de 28 de abril 2011:

Establecimiento de medidas para la protección de las Infraestructuras Críticas

• Real Decreto español 704/ 2011 de 20 de mayo 2011

Reglamento de Protección de las Infraestructuras Críticas

• Resolución de la Secretaría de Estado de Seguridad 15/11/2011

Guías de contenidos mínimos. Plan de Seguridad del Operador (PSO) y Plan de Protección Específico (PPE)

• Apoyo y orientación a los operadores críticos CNPIC 16/05/2012

Guías de buenas prácticas. Plan de Seguridad del Operador (PSO) y Plan de Protección Específico (PPE)

• El Instituto Nacional de Tecnologías de la Comunicación (INCIBE) se convierte en el Centro de Respuesta a Incidentes para las Tecnologías de la
Información (CERT) de las Infraestructuras Criticas en España.

34
 Directiva de ciberseguridad de la Unión Europea (NIS)

• El 19 de julio de 2016 se publicó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las
medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en
la Unión, conocida como Directiva NIS (Network and Information Security).

• En su Artículo 1, la Directiva fija su objeto y ámbito de aplicación en los siguientes puntos:

a) establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y
sistemas de información
b) crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre
los Estados miembros y desarrollar la confianza y seguridad entre ellos
c) crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus
siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y
seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz
d) establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los
proveedores de servicios digitales
e) establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de
contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.

35
 Estrategia de Ciberseguridad nacional

• La Estrategia de Ciberseguridad Nacional, aprobada en 2013 se adopta al amparo y alineada con la Estrategia de
Seguridad Nacional de 2013, que contempla la ciberseguridad dentro de sus doce ámbitos de actuación.

• OBJETIVO GLOBAL DE LA ESTRATEGIA DE CIBERSEGURIDAD NACIONAL

• Lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo
las capacidades de prevención, defensa, detección y respuesta a los ciberataques.

36
 Objetivos de la Ley PIC

• Establecer una terminología y un marco de referencia común para la protección de los activos contra ataques
deliberados, que puedan ser utilizados por la administración y el sector privado.
• Crear una estructura organizativa a nivel nacional (el Sistema de PIC), en la que se distribuyan las funciones y
responsabilidades públicas y privadas.
 Define como pieza central del mismo el CNPIC, como órgano director y coordinador
 Se trata de afianzar el concepto de asociación público-privada y una base de confianza mutua.
• Diseñar un sistema de planificación que se integre en una estrategia de seguridad que permita la interacción y el
reparto de responsabilidades. Los instrumentos son son el conjunto de planes:
 Plan Nacional de Protección de las Infraestructuras Criticas (PNPIC)
 Planes Estratégicos Sectoriales (PES)
 Planes de Seguridad del Operador (PSO)
 Planes de Protección Específicos (PPE)
 Planes de Apoyo Operativo (PAO)
• Marcar hitos para la implantación de planes integrales de seguridad que contemplen las amenazas, de carácter
físico y cibernético, contra los activos a proteger.
• Establecer una red de comunicaciones segura en la que se garantice la confidencialidad y protección de los datos
existentes sobre las diferentes instalaciones sensibles y estén representados todos los agentes del Sistema de
Protección de Infraestructuras Críticas, bajo la coordinación del CNPIC
37
 Definiciones en Infraestructuras Críticas

• Infraestructura estratégica
Las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el
funcionamiento de los servicios esenciales.

• Servicio esencial
Servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y
económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas

• Infraestructura crítica
Infraestructura estratégica cuyo funcionamiento es indispensable y no permite soluciones alternativas, por
lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales

38
Definiciones

IMPACTO ECONOMICO Y/O

DAÑOS A LAS PERSONAS INCIDENCIA SOBRE EL SERVICIO
CLASIFICACION DE LA MEDIO-AMBIENTAL
CATEGORÍA
INFRAESTRUCTURA
Pérdida o interrupción de los servicios
Pérdida vidas humanas y/o heridos Daños sobre la economía
básicos a la población
≥500.000 personas ≥ 72 h..
MUY GRAVE: ≥50% población equivalente ≥12 h.
MUY GRAVE:
5 > 200 víctimas mortales y/o
> 1200 M€
≥50% pobl. total ex. penin.≥ 48h.
> 1000 de heridos ≥3 Infr.estrat. muy grave/ grave, ≥24h
≥5 Infr.estrat. m. g./g./ imp. 24h
CRITICA
≥250.000 personas ≥ 72 horas.
GRAVE: ≥25% población equivalente ≥12h.
GRAVE:
4 < 200 víctimas mortales y/o
Entre 700 y 1200 M€
≥25% población total ex. penin ≥48h.
< 1000 de heridos 2 Infra.estrat. muy grave/ grave, ≥24h
4 Infra.estrat. m. g./g./ imp. ≥24h
≥100.000 personas ≥ 72 horas.
MUY IMPORTANTE: ≥10% población equivalente ≥ 12h.
MUY IMPORTANTE:
3 < 100 víctimas mortales y/o
Entre 350 y 700 M€
≥10% población total ex. penin ≥ 48h
< 500 de heridos 1 Infr.estrat. muy grave/ grave, ≥24h
3 Infra.estrat. m. g./g./ imp. ≥24h
ESENCIAL
≥50.000 persponas >= 72 horas.
IMPORTANTE:
IMPORTANTE: ≥5% población equivalente≥12h.
2 < 50 víctimas mortales y/o
Entre 100 y 350 M€ ≥5% población total ex. penin≥48h
< 100 de heridos
2 Infra.estrat.imp.≥24h

≥25.000 personas ≥72 horas.

MODERADA:
MODERADA: ≥2% población equivalente ≥ 72 h.
1 < 10 víctimas mortales y/o
Entre 10 y 100 M€ ≥1% población total ex. Penin.≥ 48h
< 50 de heridos
1 Infra.estrat. imp.≥24h
COMPLEMENTARIA
<25.000 >=72 horas
NULA <2% población equivalente ≥ 12h.
0 NULA
Menos de 10 M€ <1% población total ex. penin ≥ 48h
No afección a infra.estratégicas.

39
 Planes Estratégicos Sectoriales (Sectores)

• Energético: Eléctrico, hidrocarburos, gas.

• Financiero: Mercados regulados, pago y compensación.
• Nuclear: Producción y almacenamiento radiológico.
• Transportes: Aeropuertos, puertos, ferrocarril y carreteras.
• Agua: Depósitos, embalses, tratamiento, y distribución.
• Tecnologías Información: Telefonía, radio, televisión.
• Químico: Sustancias químicas, armas y explosivos.
• Salud: Biológico, asistencia hospitalaria, vacunas y laboratorios.
• Alimentación: Centros de almacenamiento y distribución.
• Investigación: Laboratorios y almacenamientos.
• Espacio: Centros de control y telecomunicaciones.
• Administración: Altas Instituciones del Estado, Defensa, Interior, Partidos Políticos, Servicios de
Emergencia.

40
Vínculos entre Mapas de riesgo y
Modelos de madurez

41
 Modelos de madurez y Mapas de riesgos -1

• En el mundo de la gestión empresarial y de la administración, el método tradicional para enfrentar una amenaza es efectuar un
análisis de los riesgos derivados de tal amenaza y procurar un conjunto de medidas tendentes a mitigar tales riesgos.
• Este esquema, cuya aplicación está muy extendida entre los gestores, puede adolecer de algunos problemas que mostraremos a
continuación.
• En un proceso, podemos considerar dos dimensiones de respuesta ante una exigencia externa:
1. La reactiva específica, basada en identificar la exigencia en cuestión y actuar en concreto sobre ella, siempre que en nuestra biblioteca o
memoria exista alguna respuesta establecida
2. La respuesta adaptativa, que intenta flexibilizar nuestra reacción al conjunto del problema, asimilándolo y planteando un enfoque más
holístico.

• La primera tiene que ver con el modelo de Riesgos, considerando que están definidos, listados, ordenados y con una conjunto de
actuaciones de mitigación establecidos.
 Se efectúa un emparejamiento entre las amenazas y los riesgos, por lo tanto a cada amenaza le corresponden sus mitigadores.
 Tiene un carácter táctico, porque los riesgos cambian.

• La segunda apunta a una respuesta más completa y flexible. Está considerando un conocimiento aplicado suficiente como para
entender el problema, para adelantarse al mismo si fuera posible y a todas las posibles consecuencias, variantes y efectos
laterales. Este concepto se conoce como Madurez
 Tiene un carácter estratégico, porque la madurez o bien permanece o se incrementa (salvo en cambios profundos en el proceso).

42
 Modelos de madurez y Mapas de riesgos -2

• Un procedimiento estándar para evaluar la madurez de un proceso es utilizar la norma ISO 15504. Esta evaluación
conduce a considerar si existe y se ha implantado un modelo de control. Aunque la descripción y la literatura sea
diferente, los conceptos que se utilizan son los mismos: 5
optimización
 Definición del proceso, definición de procedimientos y normas, aplicación de los mismos, revisión y evaluación periódica, puesta
en marcha de herramientas automatizadas de medición, esquema de mejora continua, etc…. 4
predecible
• Al verificar procesos en los que se ha implantado un modelo de control observamos que siempre producen un nivel de
madurez igual o superior al 3. Este nivel supone una zona de transición, pues a partir de este nivel se observa que los 3
análisis de riesgos empiezan a tener su verdadera utilidad, porque la madurez del proceso permite responder con establecido
flexibilidad a las amenazas conocidas y a las desconocidas.
2
 Aparece la propiedad emergente conocida como RESILIENCIA. gestionado

• En los niveles inferiores al 3, puede darse la contradicción de que un análisis de riesgos pudiera llegar a ser 1
contraproducente, porque genere un falsa sensación de confort a la gerencia. En entornos dinámicos donde las realizado
amenazas evolucionan con rapidez, disponer de una respuesta concreta ante un riesgo no permite deducir una buena
reacción ante nuevas amenazas. 0
incompleto
• Este es el caso de los sistemas de control industriales. En ellos y desde la perspectiva informática, el nivel de madurez
suele ser muy básico, por lo que establecer una lista de amenazas en ciberseguridad puede apantallar la realidad: el
proceso no será capaz de asimilar los nuevos riesgos derivados de las amenazas que se presenten en un futuro.

43
Modelos de madurez y Mapas de riesgos -3

Nivel objetivo para la excelencia

Muy útil – prioridades

Mejora continua de los procesos 5 lecciones aprendidas

Modelos de control
optimización

Muy útil – prioridades

4

Utilidad del Mapa de Riesgos

Gestión cualitativa
predecible
Útil – foco, prioridades
Procesos adaptados - estándares 3
establecido

Falso confort ~ utilidad

Gestión de procesos y los productos 2
gestionado

Falso confort - reactivo

Se alcanzan los objetivos de los procesos 1
realizado

Falso confort - inútil

No hay implementación de procesos 0
incompleto

Modelo Mapas
de madurez de procesos de riesgos
44
 Modelos de madurez y Mapas de riesgos -4

• La conclusión principal es que, para los sistemas de control industrial, es preciso acometer una mejora notable en la madurez del
proceso, como medio para asegurar un nivel de respuesta aceptable ante las ciberamenazas.

• En nuestra opinión, mejorar la madurez de un proceso es definir e implantar un Modelo de control:

 Es preciso definir los principios conceptuales de un modelo de control
 Consensuarlo con las partes implicadas
 Diseñar su implantación, en plazos y responsabilidades
 Acometer la redacción de los procedimientos y las normas
 Resolver aspectos técnicos de equipamiento
 Preparar los aspectos organizativos
 Establecer un programa de revisiones y auditorías

• Una vez implantado este Modelo de control, los análisis de riesgos adquieren una mayor utilidad, permiten enfocar la actividad
hacia los riesgos principales y establecer prioridades. Todo ello sin descuidar el resto de aspectos que definen el Modelo de control.

• La retroalimentación del mapa de riesgos y las lecciones aprendidas en su mitigación permiten incrementar aún mas la madurez del
proceso.

45
 Modelos de madurez y Mapas de riesgos -5

• Una de las conclusiones paradójicas que se extrae del desarrollo clásico de un mapa de riesgos de ciberseguridad en entornos
industriales es que el riesgo total no es excesivamente importante, por lo tanto no es preciso colocar este asunto entre los más
importantes a tratar.

• La causa de este análisis tan extendido es la forma de hacer el mapa de riesgos.

 En general se tiende a utilizar una metodología muy similar a la utilizada en los mapas de riesgos de seguridad industrial, en los que la
probabilidad de un incidente es normalmente muy estable.

 Si se conoce la probabilidad de ocurrencia de un evento en un año, por cualquiera que sea el método de evaluación, la probabilidad a cinco
años es alrededor de cinco veces la citada.

 Esto es así porque la evolución tecnológica y de las amenazas en este contexto es muy lenta y esta aproximación suele ser suficiente.

• Pero en el caso de la ciberseguridad industrial no es así, el orden de magnitud de los cambios en la agresividad y sofisticación
de las amenazas es incluso inferior al horizonte temporal de los análisis. Evoluciona muy rápidamente.

• Por ello hay que utilizar un razonamiento diferente.

46
 Los modelos de riesgos en ciberseguridad industrial son especiales

• En primer lugar, en esta evaluación no es posible introducir como real y seguro lo que haremos en unos años para responder a las
amenazas futuras que existan. Esta respuesta no existe aún y será consecuencia de nuestro análisis de riesgos y de las medidas que
por ello se tomen. Hacer lo contrario sería recursivo. Dicho de otra manera, no podemos dar por seguro que tendremos una
capacidad de respuesta superior a la actual si esto, con sus presupuestos, organización y habilidades, depende de la consideración
que le conceda la Dirección a nuestro mapa de riesgos.

• Entonces, el enfoque debería ser:

 Con la capacidad de respuesta actual y nuestro nivel de madurez, manteniendo la actualización que nuestro presupuesto nos permite ¿qué
podría sucedernos con las amenazas que existan dentro de 4 ó 5 años?
 Obviamente la curva de pérdida esperada se dispara exponencialmente. Lo que ya concuerda más con el consenso que existe entre los analistas
sobre la gravedad del problema.

• Se atribuye (??) a Albert Einstein la frase: “El mayor problema de la Humanidad es que no entiende la Función Exponencial.”

47
 Una forma de calcular modelos de riesgos para ciberseguridad industrial

• Una forma de calcular con este enfoque es la siguiente:

 En primer lugar, hay que identificar al menos cuatro eventos concretos para cada escenario de riesgo

 En este caso, el suceso con la etiqueta de impacto 30 sería el más habitual, el que las personas al cargo del proceso tienen en mente si se les
pregunta sobre este escenario. Cuando responden con un evento y su severidad, colapsan toda la distribución en ese punto.

 Pero existen otros, de probabilidad mucho más baja, que en una evaluación cuidadosa, con el enfoque de riesgos incremental, emergen de la
línea base (aquí serían el caso 125 y sobre todo el 300)

0,6

 Necesitamos por lo tanto una aproximación estadística que 0,5

contemple los efectos “residuales” de los extremos de la 30
distribución 0,4

0,3

0,2
10
125
0,1

300
0
0 50 100 150 200 250 300 350

48
 Una forma de calcular modelos de riesgos para ciberseguridad industrial -2

 Esta distribución es clásica en teoría de riesgos y se suele asociar a la distribución de Weibull

 Es una distribución asimétrica
 También se utilizan las distribuciones Lognormal y Gamma, que son similares
 Esto permite construir una curva razonable con solo 4 ó 5 puntos y calcular una estimación de la “pérdida esperada al 90%”.
 El resultado obtenido representa mucho mejor el riesgo de este escenario, mejor que a partir de solo un punto y los valores de
pérdida esperada son mucho más elevados, como ya se suponía previamente.

49
Construcción de un Modelo de control

50
Un esquema de respuesta

Nivel objetivo para la excelencia

GAP

GAP
ciberataques

ciberataques

ciberataques

ciberataques

ciberataques

51
 Diseñando un modelo de control -1

• Denominamos Modelo de Control a un conjunto amplio de controles, que pretende ser completo, que se diseña con
el objetivo de mitigar los riesgos detectados en el Mapa de Riesgos.
 Debe existir una fuerte relación entre los riesgos definidos en el Mapa de Riesgos y las iniciativas establecidas para mitigarlos, que
se denominan controles.
 No debería haber por tanto riesgos sin, al menos, un control asociado.
• Lo habitual es que este modelo no haya existido en la Instalación de manera que la práctica diaria ha ido
consolidando unas formas de trabajo que suelen dificultar bastante la implantación de un modelo de control
estándar. Por todo ello se suele diseñar un modelo “ad-hoc” que se inspira en algún estándar, procurando adaptar la
forma en la que se alcanzan los objetivos de control del estándar elegido.
• Se puede decir que la práctica y la producción industrial imponen severas limitaciones a los controles de diseño
clásico, razón por la cual deben ser sustituidos por otros diferentes, pero con similar efecto mitigatorio de los riesgos.
• Para ello se puede utilizar alguno de los modelos actualmente publicados, entre los que destacan:
 El marco norteamericano NIST (“Framework for Improving Critical Infrastructure Cybersecurity”, versión 1.1)
 El estándar ISA99/IEC62443(“Security for industrial automation and control system“).

52
 Diseñando un modelo de control -2
Arquitectura

• Una de las piezas fundamentales de este diseño es el establecimiento de una arquitectura adecuada para la
organización de los equipos y las redes de comunicaciones en la instalación industrial. Esta arquitectura actúa por si
sola como un macro-control, puesto que conlleva una reducción significativa de gran parte de los riesgos
identificados.
• Existen muchas arquitecturas para entornos industriales, normalmente auspiciadas por los grandes fabricantes que
siempre han propuesto arquitecturas para sus productos.
• Por ejemplo, siguiendo el citado el estándar ISA99/IEC62443, se establecen unos criterios que se denominan “zonas y
conductos” y que se representan en la figura

• Pueden encontrarse esquemas de arquitectura similares

en todos los grandes fabricantes de sistemas industriales
(Honeywell, Dupont, Rockwell, Siemens, etc…).
• En todos los casos existe al menos una capa intermedia
entre la zona de control industrial y la red corporativa.

53
 Diseñando un modelo de control -3
Arquitectura
Arquitectura PURDUE, adaptada al
esquema NIST 800-82

• Lo que se pretende con estas arquitecturas,, es que el software

malicioso no pueda propagarse libremente de una zona a otra,
puesto que los accesos no son directos y se utilizan equipos
especiales para proteger el tráfico.
• También se limita el alcance de aquellos accesos dirigidos
manualmente y que pretenden explorar la red industrial con objeto
de localizar vulnerabilidades y preparar ulteriores ataques.
• Ambos casos, “automáticos” y “dirigidos por humanos”, se ven muy
dificultados por estas arquitecturas
• Aunque con estas arquitecturas no se elimina el riesgo de ataques
externos a la red industrial, se limitan notablemente, por lo que es
una pieza clave en el diseño de un Modelo de control

54
 Diseñando un modelo de control -4
Estándares

• El siguiente paso en el diseño de un modelo de control es la elaboración de los controles, en base a los riesgos.
• Dado que los riesgos son muy comunes en los sistemas industriales, los estándares proponen unos controles de
propósito general, que deben ser adaptados a cada instalación Nº Descripción
1 Inventario de Dispositivos Autorizados y No Autorizados
BLOQUE CONTROLES
2 Inventario de Software Autorizado y No Autorizado
Gestión de activos
Nº Abrv. Descripción Entorno de negocio 3 Configuraciones seguras para hardware y software
Controles de Identificación y Gobernanza
1 IAC ID Identificar 4 Evaluación continua de la vulnerabilidad y remediación
Autenticación Evaluación de riesgos
Gestión de riesgos 5 Uso controlado de privilegios administrativos.
2 UC Control de Uso
Gestión de riesgos de la cadena de suministro 6 Mantenimiento. vigilancia y análisis de los registros de auditoría
3 SI Integridad del Sistema Gestión de identidades y control de acceso
Confidencialidad de los Datos 7 Protección del correo electrónico y del navegador web
4 DC Concienciación y formación
Seguridad del dato
8 Defensa contra el malware
5 RDF Flujo de Datos Restringido PR Proteger
Protección de la información y procedimientos 9 Limitación y control de puertos de red.
6 TRE Tiempo de Respuesta a Eventos Mantenimiento 10 Capacidad de recuperación de datos
7 DR Disponibilidad de Recursos Tecnologías de protección
Anomalías y eventos 11 Configuraciones seguras para dispositivos de red
Siete bloques de Controles ISA/IEC62443 DE Detectar Monitorización continua de la seguridad 12 Protección perimetral
Procesos de detección
13 Protección del dato
Planificación de la respuesta
Comunicaciones 14 Acceso controlado basado en la necesidad de saber
RS Responder Análisis 15 Control del acceso inalámbrico
Mitigación
Mejoras 16 Seguimiento y control de cuentas.
Planificación de la recuperación 17 Evaluación de habilidades de seguridad y capacitación apropiada
RC Recuperar Mejoras
Comunicaciones 18 Seguridad del software de aplicación

NIST Framework – agrupación de controles 19 Respuesta y gestión de incidentes

20 Pruebas de penetración y ejercicios RED TEAM
en 5 dominios
CIS, “Center for Internet Security”, propone
20 controles principales
55
 Diseñando un modelo de control -5
Diseñando controles

• Los controles organizativos tales como políticas, directrices, procedimientos, documentación, o formación son los que menos
impacto van a tener sobre los procesos productivos, y por ello se pueden aplicar inmediatamente en el inicio del despliegue.
• Entre ellos cabe destacar el inventariado de activos (equipamiento hardware y software) ya que permite visibilizar el alcance del
sistema global y definir el plan de seguridad.
 Controles como la defensa contra el malware, o la configuración segura de los dispositivos de red y la aplicación de actualizaciones software, que se
aplican directamente sobre los sistemas de control
 Requieren de un proceso de pruebas y de un procedimiento de gestión del cambio para garantizar la disponibilidad y que el sistema no se vea afectado negativamente.

 Existen otros controles con un nivel de riesgo mayor en los sistemas y redes OT, tales como las herramientas automatizadas que escanean las
vulnerabilidades de software o que realizan inventariados de cuentas, servicios y puertos abiertos.
 En estos casos hay que elevar las precauciones, configurando las herramientas de forma que sean lo menos intrusivas posible (modo pasivo), y aplicarlas en momentos no
críticos para el proceso.

• Controles a desarrollar:
 Controles de back-office (normas y estándares)
 Controles de configuración de equipos
 Controles de procedimientos
 Controles de actividad
 Controles Históricos
 Controles externalizados

56
 Diseñando un modelo de control -6
Implantación de Controles

• Una vez establecido el modelo de control, es importante analizar el riesgo y el impacto que pueden llegar a tener en las operaciones
de la organización la implantación de dichos controles.
• Es crítico que la forma en que el modelo de control se incluya en los procesos productivos no les afecte en su desempeño, ni
implique riesgos añadidos. Es por ello recomendable hacerlo de forma planificada y ordenada.
• La creación de un plan de despliegue de controles es de vital importancia para que el objetivo de los mismos se consiga. El plan
debería incluir entre otros aspectos el alcance (sistemas cubiertos), el presupuesto, las responsabilidades, los recursos, los riesgos,
las dependencias, y un calendario.
• Fases de un despliegue:
 Comunicación del modelo de controles y el plan de despliegue a la dirección, para su validación y aprobación.
 Identificación de responsabilidades dentro del proyecto.
 Concienciación en ciberseguridad y formación del modelo de control a las partes interesadas.
 Introducción progresiva de los controles del modelo mediante una hoja de ruta.
 Establecimiento de métricas e indicadores de seguridad y de producción para valorar la seguridad, así como el efecto de los controles.
 Monitorización de los indicadores con el objeto de detectar sus desviaciones y ajustarlos en consecuencia.

57
 Y para empeorarlo todo:

IoT – “Internet de las cosas”

58
 Internet of Things

• Según la firma consultora Gartner Group, hacia fines de este año habrá unos 30.000 millones de dispositivos conectados a Internet.
• La IoT es una red gigantesca de “cosas” conectadas, lo cual incluye también a personas.
 Habrá conexiones digitales entre personas, entre cosas y entre personas y cosas.
• Elementos electrónicos tan ubicuos, sencillos y baratos como los Arduino, Raspberry Pi etc…., facilitan ya la construcción de
dispositivos de todo tipo, interactivos con el mundo físico, donde la conexión a internet es algo trivial.

 Una tarjeta de red para Arduino puede costar alrededor de 10€ y las
librerías para poder utilizarla están disponibles en Internet, con miles
de ejemplos.

 Raspberry, de origen ya incluye la conexión de red.

 El uso de estos dispositivos tiene ya un tremendo impacto en la
industria, desplazando en algunos casos a los sistemas de control
tradicionales.

59
 Internet of Things -2

• Una definición práctica y muy útil es la de “Red de nodos interconectados con un protocolo básico, el TCP/IP”.
• La utilización de este protocolo es el elemento que define la IoT, dejando fuera de esta definición todas aquellas redes o
conjuntos de dispositivos periféricos, que se conectan a su vez a elementos de IoT con otros protocolos (por ejemplo Bluetooth,
RS232, RS422, RS485, Fieldbus, etc…)
• Siguiendo esta definición, todos los dispositivos de IoT serían posible origen o destino de una vulnerabilidad de ciberseguridad.
• Se precisan varias organizaciones para gestionar las necesidades de conectividad, inteoperabilidad, seguridad, privacidad y
exigencias de cumplimiento regulatorio para implementar con éxito una iniciativa IoT

60
 Internet of Things -3

• No existen esquemas de seguridad que se hayan desplegado, aunque sí está habiendo iniciativas para desarrollarlos, casi todas en
embrión y algunas en claro conflicto con otras:
 IEEE Standards Association (IEEE SA) versus European Telecommunications Standards Institute (ETSI) y versus ITU Global Standards Initiative on
Internet of Things (IoT-GSI)

 Entre los riesgos típicos de un sistema basado en IoT pueden citarse:

 Acceso inadecuado a información confidencial
 Manipulación remota de dispositivos
 Inyección de malware
 Creación de redes de “bots” para ataques de DDOS
 Uso de bots para criptografía encubierta (minado de bitcoins)
 Bloqueo de equipamiento y de plantas industriales
 Ataques físicos utilizando como vector dispositivos IoT
 Etc…

• Por ello, en ISACA hemos elaborado un modelo de control específico para IoT, con el fin de intentar ayudar a los auditores de sistemas a identificar la
posible existencia y evaluar los riesgos derivados de dispositivos IoT

http://www.isaca.org/chapters7/Madrid/members/Pages/Publicaciones.aspx

61
Internet of Things

Fuente: Informe Deloitte “Riesgo cibernético en un mundo de

Internet de las cosas”

62
Internet of Things
Riesgos

Fuente: https://www.forescout.com/wp-content/uploads/2016/10/ForeScout-IoT-Enterprise-Risk-Report.pdf

63
 Internet of Things -4
Monitorización

Ataques de honeypot de IoT en 2020

Fuente: Informe anual de Symantec - 2021

Origen del ataque de IoT

Fuente: Informe anual de Symantec - 2021

Principales contraseñas utilizadas en ataques de IoT

Fuente: Informe anual de Symantec – 2021
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/threat-landscape-q1-2020

64
 Internet of Things -5
Carencias en Normativa

• Si en 2020 se sigue el patrón de años anteriores, que vieron un mayor número de ataques de IoT en la segunda mitad del año que en el primero, el
total de ataques de este año podría terminar superando los totales de 2018 y 2019 juntos.

• Según algunas fuentes, 31 mil millones de dispositivos IoT estarán conectados a la web este año, y aproximadamente el 93% de empresas y el 80%
de las empresas industriales adoptarán la tecnología IoT.

• Esta adopción generalizada, combinada con estándares de fabricación laxos y la dificultad que tradicionalmente ha tenido TI para poder ver, y mucho
menos controlar y proteger, algunos de estos dispositivos, los convierte en un objetivo atractivo para los delincuentes.

• Aunque ha habido casos en los que los dispositivos de IoT se han visto comprometidos por sí mismos, la motivación principal es utilizar estos
dispositivos como una puerta trasera a la red, lo que les permite implementar formas graves de compromiso con menores posibilidades de
detección.

65
 Internet of Things -5
Carencias en Normativa

• Como se entiende a partir de lo expuesto hasta aquí, es urgente que se completen las propuestas de normas y estándares
para que IoT pueda moverse hacia una zona de razonable seguridad.
• Debido a la naturaleza tan dispar de los dispositivos y a la poca sensibilidad de la industria hacia el balance coste/seguridad,
hasta el momento no se ha conseguido una regulación mayoritariamente aceptada.
• A finales de junio de 2020, el European Telecommunications Standards Institute, la organización responsable de la
estandarización de las tecnologías de la información y las comunicaciones, lanzó un nuevo estándar de ciberseguridad para
dispositivos IoT.
 Desarrollado en colaboración con gobiernos, instituciones académicas e industrias, ETSI EN 303 645 está destinado a frenar la epidemia
de ataques de delincuentes que obtienen el control de estos dispositivos.

 Estos estándares se aplicarán a los juguetes y monitores para bebés; cerraduras de puertas; cámaras y televisores inteligentes;
rastreadores de salud; electrodomésticos inteligentes y asistentes domésticos; y dispositivos para la industria. La etiqueta ya se ha
otorgado a varios productos que merecen estos estándares.

66
 Futuro inmediato de la Ciberseguridad

1. La Ciberseguridad se está configurando como una de las actividades profesionales con mayor impacto en el funcionamiento
de nuestras sociedades, por lo que su relevancia deberá ir acompañada de una valoración profesional y económica acorde

2. Se trata de una de las pocas actividades que probablemente resista el próximo periodo de fuerte digitalización, que será
masivo y con destrucción de puestos de trabajo, debido a su asunción por robots y máquinas con IA.

3. Su complejidad y dificultad irá en aumento y requerirá de conocimientos profundos en muchos campos de la tecnología.

4. Gran parte del trabajo simple actual en ciberseguridad será asumido por máquinas.

5. Se necesitará de la ayuda de potentes computadores con IA para hacer frente a las nuevas amenazas, que probablemente
incluirán a su vez IA.

6. Aumentará la complejidad al unir diferentes vectores de ataque en las llamadas amenazas combinadas y amenazas híbridas

7. Todas las actividades de la sociedad estarán expuestas a las amenazas de ciberseguridad.

67
 GRACIAS
Contacto:
• Erik de Pablo Martínez
• [email protected]