CIBERSEGURIDAD EN REDES

DE CONTROL INDUSTRIAL
(SCADA)
Ing. Antonio Ortiz Islas
NSI Networks, Gerente de Operaciones Regin Centro, Mxico,
antonio.ortiz@nsi-networks.com

RESUMEN:
n este documento se definen los sistemas de
control industrial tipo SCADA, se mencionan
las principales polticas de seguridad en las redes y
se exponen las categoras ms comunes de vulne-
rabilidad en las interfaces hombre mquina.

PALABRAS CLAVES:
Ciberseguridad, polticas SCADA, Vulnerabilidad,
IDMZ, Firewall.

27 Septiembre - Noviembre 2017

 Artculo ISA
INTRODUCCIN
El incremento de los ataques cibernticos en las redes
de control industrial amenaza el proceso productivo de tal
manera que es necesario disear e implementar esque-
mas de seguridad robustos en infraestructura crtica [1],
como la arquitectura de defensa de profundidad de acuer-
do a la norma ISA/IEC 62443 [2], para mantener la opera-
cin y evitar prdidas econmicas asociadas.
El cambio del protocolo de comunicacin propietario al
protocolo abierto TCP/IP, la evolucin de las arquitecturas
a redes convergentes [3] (Ver figura 1), el error humano y
no aplicar normativas de ciberseguridad son las principales
causas para un acceso malicioso a las redes de control
industrial, ya sea de forma directa o indirecta.
Figura 1. Red convergente que integra operaciones de la red corporati-
va y la red de control industrial.
SISTEMA SCADA
El sistema SCADA (Sistema de Supervisin, Control y
Adquisicin de Datos) es una red de control industrial, im-
portante, crtica, constituida por infraestructuras inherente-
mente atractivas para diferentes entes amenazadores que
tienen la finalidad de una infiltracin al sistema para reco-
pilar informacin como el diseo de una instalacin, um-
brales crticos o ajustes de dispositivos para utilizarlos en
ataques cibernticos, las acciones de sabotaje que inclu-
yen: la interrupcin de los servicios, el desencadenamiento
de situaciones peligrosas e incluso letales que representa
una situacin en extremo indeseable.
El Sistema SCADA es una red convergente integrada
bsicamente por dos tipos de redes: la red corporativa y la
red de control. La red corporativa desarrolla operaciones
de supervisin general del sistema y de usuarios, esta red
requiere de procedimientos de autenticacin y autorizacin
rigurosos para acceder a la informacin de las bases de
datos (histricos, alarmas, etc.) y de servidores crticos.
La red de control desarrolla las actividades configura-
cin, mantenimiento y operacin; como los mandos a ac-
tuadores, lectura de variables, monitoreo del proceso, etc.
La comunicacin entre los dispositivos de la red de con-
trol utiliza protocolos especficos, tales como, Modbus/TCP
Septiembre - Noviembre 2017
(Modbus basado en el Protocolo de Control de Transmi-
sin), DNP (Protocolo de Red Distribuida). En caso de re-
querirse deben soportar tecnologas como: lneas telefni-
cas, satlite, microondas, fibra ptica, wireless, seguridad
de intrusin etc.
En la red de control interacta una multitud de protoco-
los propios de automatizacin industrial basados en TCP/
IP para el control remoto o todos aquellos pertenecientes a
la familia del Protocolo Industrial Comn CIP, mantenido
por la organizacin Open DeviceNet Vendors Association
(ODVA), como Ethernet/IP, DeviceNet, CompoNet y Con-
trolNet. No obstante, la mayora de ellos presentan altas
vulnerabilidades al carecer de mecanismos de proteccin.
La red de control tipo SCADA tiene una unidad terminal
remota (UTR) que recibe la informacin de los elementos
de campo y enva los datos a una interface humano mqui-
na (HMI). Algunas HMI pueden soportar aplicaciones Web
para presentar interfaces grficas de estado a los respon-
sables del control del sistema.
POLTICAS DE SEGURIDAD EN SISTEMAS SCADA
Las polticas de seguridad trasladan los requerimientos
de seguridad y fiabilidad de cada sistema SCADA particu-
lar a una serie de procedimientos auditables, los cuales
permiten salvaguardar la seguridad en su diseo, imple-
mentacin y posterior funcionamiento.
Las polticas de seguridad definen las acciones de los
diversos elementos fsicos, las reglas y los procedimientos
durante las ventanas de mantenimiento, la gestin de inci-
dencias y definen las responsabilidades de cada uno de
los miembros de la organizacin con respecto a la seguri-
dad del sistema en su conjunto.
Las principales polticas de seguridad para los sistemas
SCADAS son:
Proteccin de datos (acceso y almacenaje).
Configuracin del hardware y software (virus, detec-
cin de intrusos, control de acceso, cifrado).
Seguridad en las comunicaciones (acceso inalmbri-
co, local, remoto), recursos humanos (uso del siste-
ma, preparacin y reciclaje).
Auditoras.
Seguridad fsica (acceso a equipamiento, destruc-
cin de material).
Ejecucin de operaciones de forma manual en caso
de fallo.
La norma ISA/IEC 62443, define redes de comunicacin
redundantes y con alta disponibilidad que permiten esta-
blecer las fronteras de seguridad del sistema y tambin
permiten la implementacin de controles especficos y apli-
car mltiples capas de defensa, muestrado en la figura 2.
28

Figura 2 Arquitectura de seguridad ISA/IEC 62443 en capas donde se muestran las funcionalidades proporcionadas por cada una de las zonas.
MEDIDAS PREVENTIVAS
CONTROL DE ACCESO INTEGRAL
A medida que se incrementan el nmero y tipos de
dispositivos que se conectan a una red de control indus-
trial, las tcnicas para administrar la seguridad y reducir
riesgos se enfrentan al reto de mantenerse actualizadas
para responder eficientemente a los distintos incidentes
que se presentan en la operacin diaria.
Los actuales sistemas de control de acceso proveen a
los administradores de redes industriales con herramien-
tas de administracin simplificadas para las redes de IT y
OT. Estas herramientas establecen privilegios de acceso
en base a perfiles y roles de usuario dentro de la red
almbrica o inalmbrica, adems de monitorear constan-
temente la red para asegurarse que usuarios estn acce-
diendo a la infraestructura de red autorizada. Los usuarios
solo obtienen acceso a los segmentos de la red industrial
que las polticas de seguridad establecidas le permiten.
ZONAS INDUSTRIALES DESMILITARIZADAS DE
DEFENSA (IDMZ)
Los acciones de proteccin requeridos por una red
industrial demandan una estrategia de defensa a fondo
que utiliza capas mltiples de defensa para enfrentar cual-
quier tipo de amenaza. Actualmente muchas instalaciones
utilizan una estrategia de defensa que combina sistemas
Artculo ISA
de control de identidad avanzados con polticas de seguri-
dad perimetrales, estrategia conocida como IDMZ (Zona
industrial desmilitarizada), que refuerza las polticas de
seguridad de datos entre una red industrial y la red em-
presarial.
Las zonas IDMZ consisten de una diversidad de dispo-
sitivos y sistemas que incluyen: firewalls, redes VPN o
sistemas de control de acceso, adicionales a los dispositi-
vos tradicionales en la infraestructura de red como son los
enrutadores, conmutadores y servidores.
SISTEMAS DE BLOQUEO DE PUERTOS TCP/UDP
La organizacin Centro para la Proteccin de la Infra-
estructura Nacional (CPNI) present una gua para la con-
figuracin y gestin de firewalls para sistemas de control.
Dicha gua describe una posible arquitectura de red segu-
ra y escalable basada en una divisin de tres zonas prin-
cipales, con el objetivo de delimitar cada una de las enti-
dades del sistema, siendo la primera lnea de defensa el
firewall, los sistemas detectores de intrusos IDS y la zona
desmilitarizada DMZ.
El firewall deber filtrar, por un lado, direcciones de red
de forma que cada componente SCADA tendr asignada
una direccin IP y uno (o varios) puertos TCP/UDP; y por
otro lado, filtrar tambin a nivel de aplicacin, centrando
su uso en aquellos servicios de mayor riesgo en una red
SCADA, incluyendo adems algunos propios del sistema.
29 Septiembre - Noviembre 2017
 Artculo ISA
Actualmente, existen varios firewalls exclusivos para bilidades identificadas. Las debilidades de esta categora
entornos industriales y la integracin de empresas espe- representan problemas clsicos de seguridad de cdigo,
cialistas en los campos de las comunicaciones y de con- como los desbordamientos de pila y vulnerabilidades de
trol industrial ha facilitado la implementacin de estas
soluciones.
SISTEMAS DETECTORES Y PREVENTORES DE
INTRUSOS (IDS/IPS)
Los administradores de una red industrial utilizan sis-
temas detectores de intrusos (IDS), para monitorear y
generar alarmas para cualquier trfico fuera de los estn-
dares normales. Un sistema IDS se basa en la supervi-
sin pasiva del trfico de red. Se pueden escribir reglas
sencillas para supervisar actividad de direcciones IP, pro-
tocolos, longitudes de paquetes, etc. Adems, los pro-
veedores de los sistemas podran proporcionar firmas de
trfico especficas para las redes industriales a analizar.
Existen dispositivos con mayores funcionalidades co-
mo los sistemas preventores de intrusos (IPS), que ac-
tan en coordinacin con firewalls, conmutadores o enru-
tadores, que bloquean trfico que no cumple con las re-
glas definidas. Los sistemas IDS/IPS son una parte vital
de la estrategia de Defensa en profundidad y proporcio-
nan acciones automticas para responder a eventos ex-
traos e inesperados.
CATEGORAS DE VULNERABILIDAD DE HMI
Los atacantes se infiltran en los sistemas SCADA a
travs de diversos medios, uno de los cuales es a travs
de la explotacin de vulnerabilidades de software que
prevalecen en la interfaz hombre-mquina (HMI). Como
tal, la interfaz hombre-mquina debe ser considerada
como un objetivo primario de ataque dentro de un siste-
ma SCADA, el cual slo debe instalarse en una red aisla-
da o confiable pero la experiencia demuestra que no
siempre es as.
La empresa TrendMicro, dedicada a desarrollar soft-
ware de seguridad para eliminar virus, malware, etc,
realiz un estudio acerca de todas las vulnerabilidades
presentadas los sistemas SCADA que se han fijado a
partir de 2015 y 2016 [4]. De este estudio, se estableci
que las vulnerabilidades ms frecuentes se encuentran
en las reas de corrupcin de memoria, administracin
de credenciales deficiente, ausencia de autenticacin/
autorizacin, valores predeterminados inseguros y erro-
res de inyeccin de cdigo; todas ellas prevenibles por
medio de prcticas seguras de desarrollo de software. A
continuacin se muestran, en la figura 3, estas vulnerabi-
lidades y su porcentaje presencial identificadas en las
interfaces Hombre-Mquina.
Corrupcin de memoria: Los problemas de co-
rrupcin de memoria representan el 20% de las vulnera-
Septiembre - Noviembre 2017 30
Figura 3. Presencia de ataques a interfaces hombre-mquina en
SCADAs, registrados por TrendMicro.
lectura/escritura fuera de los lmites permitidos.
Administracin de credenciales: El rea de admi-
nistracin de credenciales representa el 19% de las vul-
nerabilidades identificadas. Las vulnerabilidades en esta
categora se relacionan con el almacenamiento de con-
traseas en un formato recuperable (por ejemplo, texto
sin cifrar), y la insuficiente proteccin de las credenciales.
Ausencia de autenticacin/autorizacin y defaults
inseguros: Esta categora representa el 12% de las
vulnerabilidades en sistemas SCADA. En este apartado
se Incluyen valores predeterminados inseguros, transmi-
sin en texto claro de informacin confidencial, cifrado
dbil de informacin y controles ActiveX inseguros.
Incidentes por inyeccin de cdigo: Estos proble-
mas representan el 9% de las vulnerabilidades identifica-
das. Aunque los incidentes por inyeccin de cdigo se
mantienen para los sistemas tradicionales (SQL, cdigo,
comandos, sistemas operativos, etc), hay inyecciones de
cdigo especficas que representan un riesgo para los
sistemas SCADA.
CONCLUSIONES
Los procesos dependen de los sistemas de control y
monitoreo SCADA. Con la popularidad que han ganado
las redes industriales y su integracin a las redes empre-
sariales tradicionales, se hace necesario mantener segu-
ros los sistemas y canales de comunicacin de esta in-
fraestructura crtica. Una interrupcin en alguno de los
componentes del sistema debido a un ataque, podra
derivar en una falla global y por consiguiente la perdida
de mandos y acciones de control afectando al proceso
productivo.
 Artculo ISA
Es por esta razn que en la actualidad es necesario Algunas vulnerabilidades ms severas permiten que los
implementar infraestructuras criticas seguras alineadas a atacantes ejecuten cdigo arbitrario, denominadas vulnera-
normas al respecto como la propuesta en la norma ISA/ bilidades de seguridad, en un sistema comprometido.
IEC 62443, con objeto de asegurar la infraestructura y ha-
cerla proactiva y autodefendible, implementando dispositi- REFERENCIAS:
vos de seguridad y definiendo polticas rigurosas para el [1] Homeland Security. (2017) Critical Infrastructure Securi-
control de procesos. Para proteger la operacin y buen ty. Sitio web: https://goo.gl/4uy463
funcionamiento de los sistemas SCADA, es esencial definir [2] ISA IEC. (2013). IEC 62443-3-3:2013 Industrial commu-
una serie de polticas de seguridad. Es necesario mantener nication networks - Network and system security - Part 3
siempre una visin actualizada de los nuevos problemas -3: System security requirements and security levels.
de seguridad y estar al tanto de nuevas recomendaciones Switzerland: IEC.
tcnicas al respecto. [3] The Industrial Control Systems Cyber Emergency Re-
sponse Team (ICS-CERT). Sitio web: https://ics-cert.us-
GLOSARIO cert.gov
Ciberseguridad - La seguridad informtica, tambin [4] The State of SCADA HMI Vulnerabilities. Sitio web:
conocida como Ciberseguridad o seguridad de tecnologas https://goo.gl/3PYkaz
de la informacin, es el rea relacionada con la informtica
y la telemtica que se enfoca en la proteccin de la infraes- ACERCA DEL AUTOR
tructura computacional y todo lo relacionado con esta y, El Ing. Antonio Ortiz Islas, Ingeniero en Co-
especialmente, a la informacin contenida en una compu- municaciones y Electrnica, egresado de la
tadora o circulante a travs de redes de computadoras. ESIME-IPN, cuenta con ms de 25 aos de
Firewall - Un firewall es un dispositivo de seguridad de experiencia en el diseo, implementacin y
la red que monitorea el trfico entrante/saliente de red y administracin de redes de voz y datos.
decide si permite o bloquea trfico especfico en funcin de En el rea del control industrial, colaboro
un conjunto definido de reglas de seguridad. como auditor y gestor de avances para el
IDS - El trmino IDS (Sistema de deteccin de intrusio- Proyecto de Conversin Informtica Ao 2000 en los siste-
nes) hace referencia a un mecanismo que, sigilosamente, mas de control de CFE, PEMEX, LyFC y otras empresas
escucha el trfico en la red para detectar actividades anor- del Gobierno Federal.
males o sospechosas, y de este modo, reducir el riesgo de Actualmente se encuentra colaborando en diversos pro-
intrusin. yectos nacionales e internacionales de redes de voz/datos,
IPS - Un IPS (sistema de prevencin de intrusiones) es Fibra, FTTX, Seguridad y Anlisis Forense para la empre-
un sistema de prevencin/proteccin para defenderse de sa NSI Networks (Network Solutions & Infrastructure).
las intrusiones y no slo para reconocerlas e informar acer- En el mbito acadmico, Ing. Ortiz desarrolla e imparte
ca de ellas, como hacen la mayora de los IDS. Cursos y Diplomados en materia de redes de voz/datos,
Zona DMZ - En seguridad informtica, una zona desmi- Seguridad Informtica y Sistemas de Anlisis de Trafico y
litarizada (conocida tambin como DMZ, sigla en ingls de Forense para el Instituto Politcnico Nacional y el Tecnol-
demilitarized zone) o red perimetral es una zona segura gico de Estudios Superiores de Ecatepec.
que se ubica entre la red interna de una organizacin y una
red externa, generalmente en Internet. El objetivo de una
DMZ es que las conexiones desde la red interna y la exter-
na a la DMZ estn permitidas, mientras que en general las
conexiones desde la DMZ solo se permitan a la red exter-
na.
Poltica de seguridad - Una poltica de seguridad es
un plan de accin para afrontar riesgos de seguridad, o un
conjunto de reglas para el mantenimiento de cierto nivel de
seguridad. De manera general, las polticas se configuran
en dispositivos de seguridad permitiendo/negando accio-
nes de acuerdo al perfil del usuario.
Vulnerabilidad - Las vulnerabilidades son puntos dbiles
del software que permiten que un atacante comprometa la
integridad, disponibilidad o confidencialidad de un sistema.

31 Septiembre - Noviembre 2017