Infraestructuras Críticas: Situación actual, vulnerabilidades y amenazas

Las Infraestructuras Críticas, ya sean eléctricas, de transporte, etc., se controlan y monitorean en tiempo real por los Sistemas de Control Industrial. Dichos sistemas han pasado por una transformación significativa en los últimos años, evolucionando de sistemas aislados a arquitecturas y tecnologías estándar altamente interconectadas con otras redes corporativas, e incluso, hoy en día, con Internet.

Esto supuso una revolución, ya que facilitaba el control remoto y monitoreo de y desde diversos lugares para poder desempeñar de forma más cómoda las tareas de mantenimiento de los sistemas y redes, especialmente los que se encontraban en lugares inhóspitos o alejados. Sin embargo, la mejora de estas operaciones y servicios no salía “gratis”: Suponía exponer estos sistemas a nuevos desafíos, en particular en el campo de la seguridad de las redes de comunicación y los sistemas de información.

¿Cuál es el problema?

“Todo lo que está conectado a Internet está en Internet”, por lo que es susceptible de sufrir fugas de información sensible, o ataques intencionados, ya que las Infraestructuras Críticas de un país suponen un objetivo muy atractivo para ciberterroristas y ciberactivistas.

Debemos ser conscientes de que una incorrecta configuración de las interconexiones de estos dispositivos a intranets y redes de comunicación puede constituir un importante vector de ataque para dichas infraestructuras, por lo que resulta necesario tomar medidas apropiadas que contribuyan a la mejora de su securización. Si la interconexión no está diseñada atendiendo a los criterios de seguridad adecuados, tanto los sistemas como los datos que almacenan, procesan y/o transmiten se pueden ver comprometidos. Del mismo modo, si uno de estos sistemas es vulnerado, la interconexión puede ser utilizada por el atacante como vía de infección, pudiendo llegar a comprometer la red completa.

Hoy en día, esto se hace más peligroso ya que disponemos de cantidad de dispositivos electrónicos que poder conectar a la red desde cualquier lugar. Los smartphones y las tablets presentan cada vez más funcionalidades similares a las que se pueden encontrar en un ordenador, por lo que los usuarios tienden a vincular sus cuentas con dichos terminales para poder trabajar, consultar y/o compartir datos desde cualquier lugar y en cualquier momento.

El hecho de tener en nuestros bolsillos toda la información que deseemos en el momento que queramos es altamente valioso, pero también muy peligroso

La no securización de estos terminales o, en la mayoría de los casos, el desconocimiento funcional por parte de sus usuarios, pueden suponer riesgos asociados a la fuga y/o robo de información, así como infecciones de malware o troyanos que, en caso de usar el dispositivo dentro de una red corporativa podría llegar a comprometer la seguridad de la misma.

Por ello, es importante que los responsables de las Infraestructuras Críticas (más conocidas como IC), se conciencien de necesidad de realizar auditorías de seguridad periódicas, tanto de los sistemas como de las redes presentes en cada una de las áreas que componen su IC.

Actualmente existen diferentes metodologías reconocidas para auditoría de seguridad en función del tipo de escenario a analizar, pudiendo distinguir entre las que aplican a aplicaciones software en ejecución (entornos web y aplicaciones genéricas, entre otras), test de intrusión, código de aplicaciones software, y redes inalámbricas (wireless).

Sin embargo, un análisis en profundidad de los distintos métodos existentes y la identificación de puntos débiles que, a día de hoy, impiden su aplicabilidad en diferentes áreas de una IC nos llevan a pensar en la necesidad de desarrollar nuevas líneas de actuación y/o recomendaciones de mejora de los métodos de auditoría existentes para cada una de las regiones que forman una IC, sobre todo para las áreas de Control de Procesos y Control de Sistemas.

Dichas áreas son las más críticas para una infraestructura ya que en ellas se encuentran los sistemas y equipos encargados del funcionamiento de la planta, red, etc., y es por ello que los operadores críticos y/o propietarios de la infraestructura son reacios a que se realicen pruebas sobre ellos o se actualicen/parcheen salvo en ocasiones muy puntuales, lo que los convierte en redes y sistemas vulnerables.

Se invita a reflexionar sobre la necesidad auditar de forma periódica también estas redes y los sistemas que las conforman a fin de detectar posibles fallos de seguridad o amenazas, prevenirlos y remediarlos lo antes posible, de forma que la ventana de exposición a la vulnerabilidad sea lo más reducida posible

El uso cada vez más extendido de servicios web para interaccionar con el usuario permitiendo así el control y configuración de los equipos y sistemas ya no sólo se limita a las áreas corporativas y/o de control de planta, sino que está llegando al ámbito de los PLCs/RTUs y HMIs, cuyas interfaces de control se están volviendo más “amigables” gracias a estos servicios. No obstante, esto tiene un precio: la vulnerabilidad. Vulnerabilidad a ataques de Cross Site Scripting (más conocido como XSS) para robo de contraseñas; vulnerabilidad a ataques de denegación de servicio (DoS) provocadas por inundación de peticiones, etc.

La metodología OSSTMM permite auditar sistemas en función de unos criterios básicos de seguridad (humano, físico, inalámbrico, telecomunicaciones y redes) y que deben particularizarse para cada caso concreto. No obstante, la problemática de la aplicabilidad de las auditorías de aplicaciones genéricas en el área de Control de Sistemas reside en que los fabricantes de los equipos que en ella se encuentran no suelen facilitar las características de funcionamiento de los mismos, por lo que se hace complicado descubrir tanto su configuración como sus procedimientos de comunicación. De esta forma, las actividades correspondientes a la elaboración del plan de pruebas a seguir durante la auditoría se realizarían “a ciegas” o en base a las características genéricas conocidas, lo que implica una menor profundización y la posibilidad de “pasar por alto” alguna vulnerabilidad concreta del software y/o hardware específico de ese sistema.

En cuanto a los test de intrusión, dado que las áreas de Control de Procesos y Control de Sistemas se consideran áreas críticas para la infraestructura, los propietarios de las mismas son reacios a realizar este tipo de auditorías en ellas por miedo a que alguna de las pruebas deje inoperativo algún equipo o sistema crítico.

Este tipo de pruebas son muy beneficiosas para la empresa ya que permiten identificar deficiencias de seguridad no solo en cuanto al bastionado de los equipos y sistemas, sino también frente al tratamiento de datos e incidencias por parte de los empleados

Por otra parte, las auditorías de código ven limitada su aplicabilidad a las áreas de Control de Procesos y Control de Sistemas por dos aspectos: las distribuciones de software propietario de las que cuales se desconocen sus especificaciones, y la necesidad de que los sistemas propensos a ser auditados no vean interrumpidos sus servicios durante la fase de pruebas.

De igual modo, para conseguir la aplicabilidad de auditorías de redes inalámbricas a las áreas de Control de Planta, Control de Procesos y Control de Sistemas de una IC, nos encontramos con la necesidad de adaptar la metodología OWISAM, ya que tanto la comunicación entre estas zonas como entre los dispositivos y sistemas que en ellas se encuentran se realizan mediante distintos protocolos, dependiendo del tipo de emisor/receptor instalado en ellos.

Por tanto, para salvar los obstáculos que impiden la realización de auditorías de seguridad en todas las áreas que conforman una Infraestructura Crítica, así como fomentar su protección, se recomienda potenciar la colaboración y el intercambio de información entre los fabricantes de software/hardware y los actores participantes en la PIC a diferentes niveles, así como promover la creación de entornos virtualizados o de simulación que supongan una réplica de la red real de las áreas de Control de Procesos y de Control de Sistemas donde poder realizar auditorías sin riesgo de inhabilitar sistemas o servicios críticos. Todo ello, sin descuidar la securización de los sistemas de control industrial desde el punto de vista de la configuración segura (autenticación, autorización y cifrado de las comunicaciones).


Almudena Abolafia Cabrera
– Profesional de
everis Aeroespacial y Defensa. Contacta con Almudena vía LinkedIn.

Tu comentario

Nos encantaría conocer tu opinión. Por favor, procura que tus comentarios estén relacionados con esta entrada. Intenta también respetar a los demás lectores de este blog. Los comentarios off-topic, promocionales, ofensivos o ilegales serán editados y borrados.

Puedes usar algo de HTML <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> . Los párrafos y los retornos de línea también se incluyen automáticamente.