Ciberseguridad en entornos industriales. La hora de despertar

En ocasiones uno tiene que hacer un esfuerzo para compatibilizar sentimientos contradictorios. Este es el caso desde que trabajo en cuestiones de ciberseguridad industrial. He pasado gran parte de mi vida profesional dedicado a trabajar en el diseño y construcción de infraestructuras públicas, especialmente en el ámbito del tratamiento de aguas. En el desempeño de mis labores como ingeniero estuve al cargo del diseño de procesos industriales y sus sistemas de control, tanto las lógicas de funcionamiento como los esquemas eléctricos de fuerza y control, las arquitecturas de las redes de control y sus componentes, etc. En definitiva, los procesos y los sistemas SCADA asociados. Me gustaría creer que hice un buen trabajo.... Leer Más

Segundo informe sobre Protección de Infraestructuras Críticas

Esta semana hacemos público el segundo informe relativo a la Protección de Infraestructuras Críticas, en este caso focalizado en los aspectos prácticos de dicha protección en España. El planteamiento es sencillo: tras la publicación, hace un tiempo, del primer informe —en el que se analizaban los aspectos normativos de la PIC, especialmente en nuestro país—, decidimos comprobar de forma aproximada cual era el estado real de seguridad de las infraestructuras críticas españolas. Para ello nos planteamos un análisis generalista —en ningún momento dirigido— mediante pruebas no hostiles (obvio) y el uso de herramientas no avanzadas; de otra forma, queríamos saber dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, sencillamente con algo de tiempo y una conexión a internet.

Para ello, identificamos una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos…— a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.

[Read more…]

Seguridad en entornos industriales: el ciclo proyecto – construcción – explotación

En anteriores entregas hemos repasado algunos aspectos específicos de la protección de los sistemas de control industrial desde el punto de vista de la ciberseguridad, incluyendo los aspectos culturales y humanos (Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos). Teniendo como premisa de que el planteamiento en este ámbito debe ser global hoy vamos a hablar de la forma en que se ejecutan gran parte de las obras públicas en España (muchas de las cuales serán, probablemente, infraestructuras críticas): se trata del proceso de construcción en tres fases, proyecto, obra y explotación.

En demasiadas ocasiones estas fases constituyen compartimentos estancos con escaso flujo de información. Durante la construcción intervienen la consultora de ingeniería redactora del proyecto, la empresa contratista y sus subcontratas y proveedores, la Administración adjudicataria a través de sus directores de contrato y obra y sus asistencias técnicas. En la gran mayoría de los casos los máximos responsables de las obras son personas con gran formación y experiencia en el ámbito de la obra civil, pero con muy poca en cuestiones industriales y de sistemas de control. Por tanto, las empresas subcontratistas y proveedores poseen en este ámbito una autonomía mucho mayor de la que sería deseable y es posible que decisiones como la arquitectura, conexión a Internet de un sistema de control, contraseñas, configuración de perfiles, etc. se tomen por personas que ni tienen la visión global necesaria ni la conciencia de la importancia de las mismas (hemos visto como se utiliza la posibilidad de conexión a Internet de un sistema de control, totalmente innecesaria por otra parte, como argumento de venta).

[Read more…]

Seguridad en entornos industriales: aspectos específicos

Hace unos días introdujimos un concepto esencial en la seguridad en entornos industriales: la importancia de los aspectos humanos, organizativos y culturales. Como vimos, se trata de un primer paso esencial para garantizar el éxito de una estrategia integral de seguridad.

Hoy vamos a continuar nuestro viaje hacia los sistemas industriales introduciendo algunas características de los mismos que imposibilitan la aplicación directa de las técnicas propias del entorno TIC y cuya comprensión es imprescindible antes de abordar su protección.

La duración del ciclo de vida del equipamiento

La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años (a lo sumo). Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación. Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas (sí, habéis leído bien). Por tanto hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

[Read more…]

Seguridad en entornos industriales: el primer paso

Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales.

Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.

Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.

Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)

[Read more…]

Ciberguerra. Lo siento pero se me ponen los pelos de punta cuando leo algo de “Flame”.

Si lo hace, o no, no tengo ni la menor idea. Si lo ha hecho, o no, tampoco. De lo que estoy absolutamente convencido es que técnicamente es perfectamente posible que Flame [Symantec, W32.Flamer] haga lo que los periodistas dicen que ya hace.... Leer Más

A por Andrómeda

“Lo que fue, eso mismo será. Y lo que se hizo, eso mismo se hará. Y no hay nada nuevo bajo el sol.” Eclesiastés, 1:9.

La posibilidad de que ataques cibernéticos afecten al normal funcionamiento de infraestructuras claves para el sostenimiento de las sociedades modernas es una causa creciente de preocupación entre todos los agentes implicados. Prueba de ello son los recientes desarrollos normativos que están teniendo lugar y que en nuestro país se sustancian en la Ley de Protección de Infraestructuras Críticas y el Reglamento que la desarrolla.

Una de las características del temor que produce esta amenaza proviene del hecho de que no sigue una de las reglas establecidas de los enfrentamientos a que la sociedad está acostumbrada: identificar al enemigo. En efecto, hasta este momento los ataques contra una sociedad se producían en el contexto de una guerra o un ataque terrorista. El enemigo, por tanto, era conocido (incluso en el caso de ataques terroristas, ya que estas acciones buscan que la parte atacada sepa quién infringe el daño). Ahora, sin embargo, se toma conciencia de que elementos claves de una sociedad pueden ser atacados inadvertidamente y por un enemigo sin rostro, del cual, además, se desconocen sus motivaciones y por tanto no podemos prever su forma de actuar. Incluso se nos puede atacar de forma remota sin necesidad de encontrase físicamente entre nosotros.

Sin embargo, por muy novedoso que nos pueda resultar esto, en una fecha tan temprana como 1961, mucho antes de los ordenadores personales y las redes de comunicación, ya se previó que una eventualidad como ésta se podría producir. Hablamos de A por Andrómeda, una serie de televisión de la BBC que posteriormente se trasladó a novela, escrita por Fred Hoyle (físico especialista en cosmología) y John Elliot (productor de televisión).

[Read more…]

Informe sobre la Protección de Infraestructuras Críticas en España

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga.

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

[Read more…]

Sobre infraestructuras críticas…otra vez

La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…... Leer Más

¿Podemos dormir tranquilos?

Planta nuclearHace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China”, podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.... Leer Más