🧿 ICS y SCADA · Ciberseguridad para Infraestructuras Críticas

 · Sistemas de Control Industrial (ICS) y SCADA

1️⃣ ALEGORÍA REALISTA + VISUALIZACIÓN MENTAL

✨ ALEGORÍA PROFESIONAL

Imagina una central hidroeléctrica. Las compuertas del embalse, las turbinas que generan electricidad y los sensores que miden la presión del agua no se operan manualmente, sino mediante una red de cerebros electrónicos conectados: ICS y SCADA.

Ahora imagina que el sistema que regula esas compuertas es atacado: una apertura repentina libera millones de litros de agua sin control.

Un SISTEMA ICS es como el cuerpo nervioso de una planta industrial.
Un SCADA es como el cerebro que coordina múltiples instalaciones a distancia.
Y tú, como analista Purple, eres el sistema inmunológico cibernético que debe proteger estos órganos vitales del sabotaje.

2️⃣ CONCEPTOS CLAVE

🔹 ¿Qué es un ICS?

▫️ ICS (Industrial Control System) = Sistemas que automatizan procesos industriales críticos.
▫️ Utilizan PLC (Controladores Lógicos Programables) que conectan sensores y actuadores (válvulas, motores, interruptores).

🔸 PLC recibe datos → procesa reglas → ejecuta acciones.
🔸 Conectado a HMI (Human Machine Interface) que permite al operador visualizar o controlar el sistema.
🔸 Toda la operación queda registrada en un Historial de datos (Historiador).

🔹 ¿Qué es SCADA?

▫️ SCADA (Supervisory Control And Data Acquisition) = Control y monitoreo remoto de instalaciones múltiples.
▫️ Sustituye al servidor de control en plantas grandes y distribuidas.

🔸 Usa WANs (satélite, red celular) para conectarse con dispositivos de campo.
🔸 Software SCADA se ejecuta en estaciones base y se comunica con los PLC remotos.
🔸 Centraliza la supervisión y permite actuar sobre equipos en tiempo real desde ubicaciones lejanas.

3️⃣ EJEMPLOS DE USO

🔸 Energía: Centrales eléctricas, redes de distribución, presas, parques eólicos.
🔸 Agua: Plantas de tratamiento, presurización de redes, alcantarillado.
🔸 Manufactura: Automóviles, acero, alimentos, farmacéutica, robótica.
🔸 Minería: Molinos, bombas, cintas transportadoras.
🔸 Logística: Cintas de equipaje, almacenes automatizados, grúas, sensores de inventario.
🔸 HVAC y edificios: Control de clima, iluminación, seguridad física.

4️⃣ DIFERENCIA ENTRE ICS Y SCADA

Sistema Característica principal Ámbito
ICS / DCS Control local de procesos industriales Planta específica
SCADA Supervisión remota y centralizada Múltiples ubicaciones

5️⃣ PRIORIDADES DE SEGURIDAD

🔹 En ciberseguridad clásica → Confidencialidad > Integridad > Disponibilidad (CIA)
🔹 En ICS/SCADA → Disponibilidad > Integridad > Confidencialidad (AIC)

¿Por qué?
▫️ Un sistema ICS debe seguir operando, aunque esté bajo ataque.
▫️ La prioridad es evitar la interrupción de servicios esenciales.

6️⃣ RIESGOS Y ATAQUES REALES

🧨 Caso real: Stuxnet

▫️ Malware diseñado para sabotear centrifugadoras nucleares en Irán.
▫️ Atacó software SCADA de Siemens, alterando el funcionamiento sin alertar al operador.
▫️ Utilizó 4 vulnerabilidades 0-day y certificados digitales robados.

🎯 Lección: ICS no es un entorno cerrado ni seguro por diseño. Puede ser objetivo directo de guerra cibernética.

7️⃣ AMENAZAS COMUNES

🔸 Acceso remoto no autorizado (RDP, VNC sin protección)
🔸 Dispositivos de campo expuestos (PLC sin autenticación)
🔸 Malware / Ransomware que paraliza operaciones
🔸 Ataques MITM entre SCADA y dispositivos
🔸 Exfiltración de configuraciones (ingeniería inversa)
🔸 Manipulación de sensores (ataques a la integridad)

8️⃣ RESPUESTA POR EQUIPOS

🔴 Red Team

▫️ Escaneo de redes industriales (modbus, dnp3, s7comm)
▫️ Falsificación de señales a sensores (spoofing)
▫️ Reprogramación de PLC si no están firmados
▫️ Ataques de persistencia en SCADA remotos
▫️ Pivoting desde red IT hacia red OT
▫️ Simulación de fallas para cubrir acciones maliciosas

🔵 Blue Team

▫️ Segmentación de red IT/OT (DMZ industrial)
▫️ Desactivación de servicios innecesarios en HMI y PLC
▫️ Monitoreo con IDS industriales (ej: Snort + ICS ruleset)
▫️ Registro y análisis de logs de historiadores
▫️ Cifrado y autenticación en protocolos industriales (cuando sea posible)
▫️ Auditorías frecuentes de firmware de PLC
▫️ Aplicación de NIST 800-82 para guías prácticas

🟣 Purple Team

▫️ Testeo de la resiliencia de SCADA frente a inyecciones maliciosas
▫️ Simulación de caídas en comunicaciones WAN
▫️ Evaluación de configuraciones inseguras en HMI y paneles web
▫️ Ensayos de respuesta ante cortes en planta (fallos simulados)
▫️ Detección de anomalías en datos del historiador
▫️ Coordinación entre OT y SOC para correlación de eventos físicos/digitales

9️⃣ ESTÁNDARES Y RECOMENDACIONES

🔸 NIST SP 800-82 Rev.2: Seguridad en ICS
🔸 ISA/IEC 62443: Ciberseguridad en sistemas industriales
🔸 MITRE ATT&CK for ICS: Framework de amenazas específico para entornos industriales
🔸 CIS Controls v8 – ICS Edition: Buenas prácticas para seguridad OT

🔟 CONCLUSIÓN ESTRATÉGICA

✅ Los sistemas ICS y SCADA gobiernan el corazón funcional de una nación: energía, salud, agua, alimentos.
✅ No protegerlos es dejar la puerta abierta al caos real: físico, económico y humano.
✅ La ciberseguridad debe adaptarse al mundo OT: no solo proteger datos, sino proteger vidas.
✅ Como analista Purple, debes hablar ambos lenguajes: el de la red y el del sistema físico.

ICS/SCADA: Ciberseguridad para los nervios industriales del planeta

🧠 1. ¿Qué es un Sistema de Control Industrial (ICS)?

Un ICS (Industrial Control System) es el sistema nervioso central de cualquier infraestructura crítica o fábrica automatizada. Está formado por una red de dispositivos físicos, software y controladores que monitorean y controlan procesos industriales.

🔹 Ejemplos reales de uso:

  • Proveedores de energía eléctrica.

  • Plantas de tratamiento de agua potable y residual.

  • Hospitales y centrales médicas.

  • Sistemas de telecomunicaciones y trenes.

  • Fábricas automotrices o de semiconductores.

📌 Alegoría realista:
Imagina que una ciudad es un cuerpo humano:

  • PLC son los reflejos nerviosos que mueven músculos (válvulas, motores).

  • HMI son los ojos y dedos que interactúan con esos reflejos.

  • SCADA es el cerebro que observa todo desde una sala de control y toma decisiones.

  • Todo funciona en tiempo real, sin margen para errores. Si algo se tuerce, el cuerpo puede morir.

⚙️ 2. Componentes clave en un ICS

▪️ PLC (Controlador Lógico Programable):
Miniordenadores que controlan maquinaria, sensores y actuadores.

▪️ HMI (Interfaz Hombre-Máquina):
Panel de control que permite ver y modificar el comportamiento del sistema.

▪️ SCADA (Supervisory Control and Data Acquisition):
Sistema informático que centraliza todo lo que hacen los PLCs y sensores. Ideal para plantas distribuidas en varias ubicaciones.

▪️ RTU (Remote Terminal Units):
Dispositivos que actúan como extensiones remotas de los PLCs, especialmente en grandes distancias (plantas de petróleo, minas).

▪️ Historiador:
Base de datos que guarda los eventos y lecturas del sistema para auditorías o análisis.

🏭 3. Sectores donde se utilizan

▪️ Energía:
Gestión de subestaciones, turbinas, transformadores.

▪️ Agua y saneamiento:
Control de presión, cloración, caudal.

▪️ Industria pesada:
Hornos, prensas, centrifugadoras en minería y metalurgia.

▪️ Manufactura:
Líneas de montaje, impresión 3D industrial, robots.

▪️ Logística y transporte:
Cintas, grúas, trenes, ascensores automatizados.

▪️ Instalaciones civiles:
HVAC, sistemas contra incendios, iluminación.

🔓 4. Ciberseguridad en ICS/SCADA

⚠️ Retos únicos de seguridad:

  • Muchos fueron diseñados sin considerar la ciberseguridad.

  • Prioridad de seguridad: AIC > CIA (Disponibilidad > Integridad > Confidencialidad).

  • Equipos antiguos, sin soporte ni parches.

  • Mezcla de sistemas IT (informáticos) y OT (tecnología operativa).

📌 Ejemplo crítico:
El gusano Stuxnet atacó SCADA de centrales nucleares iraníes, dañando físicamente centrifugadoras sin ser detectado de inmediato.

🛡️ 5. Estrategias de defensa como arquitecta de seguridad

🔹 Blue Team

▫️ Aplicar la segmentación OT-IT: redes industriales aisladas y controladas.
▫️ Implementar firewalls industriales, DMZs y proxies unidireccionales (data diode).
▫️ Supervisión continua con IDS/IPS específicos para OT (ej. Nozomi, Dragos, Claroty).
▫️ Auditorías de firmware y autenticación multifactor en HMI y SCADA.

🔸 Red Team

▫️ Simular ataques de ingeniería social para acceder a salas de control.
▫️ Explorar vulnerabilidades en protocolos industriales como Modbus, DNP3, OPC.
▫️ Analizar posibles pivotajes desde sistemas IT hacia OT.
▫️ Realizar fuzzing en interfaces HMI y controladores SCADA.

🟣 Purple Team

▫️ Coordinación con ingenieros OT para establecer playbooks de respuesta.
▫️ Simulación de escenarios tipo Stuxnet para ver cómo reacciona la defensa.
▫️ Evaluación de tolerancia al fallo de disponibilidad y propuesta de redundancias.
▫️ Evaluación conjunta de la superficie de ataque física y digital.

🔍 6. Protocolos industriales comunes (que hay que conocer y proteger)

Protocolo Usos comunes Riesgos de seguridad
Modbus Comunicación PLC–SCADA No cifrado, sin autenticación
DNP3 Subestaciones eléctricas Vulnerable sin VPN o cifrado externo
OPC UA Integración IT-OT Seguro si se configura correctamente
BACnet Control HVAC en edificios Accesible y explotable si no se segmenta
PROFINET Automatización industrial (Siemens) Dependiente de configuración segura

🔒 7. Buenas prácticas recomendadas (basadas en NIST SP 800-82r2)

▪️ Limitar conexiones remotas y acceso físico a los equipos.
▪️ Monitorizar continuamente eventos en red OT.
▪️ Cifrado de comunicaciones entre PLC y SCADA cuando sea posible.
▪️ Uso de listas blancas de aplicaciones en hosts industriales.
▪️ Actualizaciones controladas: planificadas, testeadas, nunca en caliente.
▪️ Backups regulares de configuraciones de PLC y SCADA.
▪️ Formación al personal OT para detectar amenazas y anomalías.

🧠 8. Conclusión

Como arquitecta de seguridad:

🔹 Entiendo que los ICS/SCADA son el corazón palpitante de nuestra civilización moderna.
🔸 No puedo aplicar soluciones IT tradicionales sin comprender el contexto OT.
🟣 Debo trabajar con ingenieros, operarios y desarrolladores para proteger sin interrumpir.

📌 La ciberseguridad no solo protege datos. En entornos ICS, protege vidas humanas y estabilidad nacional. 

🧪 ICS y SCADA · Infraestructura Crítica Bajo Fuego

Red Team ataca · Blue Team defiende · Purple Team gestiona
Ámbitos: Energía, Agua, Industria, Transporte

🔹 1. NIVEL AVANZADO – "Control de planta de agua comprometido"

🗡 Red Team:

  • Escanea la red industrial y detecta un PLC vulnerable que expone puerto 502/tcp (Modbus).

  • Inyecta comandos Modbus para cerrar válvulas de entrada y detener el bombeo.

  • Borra logs del historiador local para cubrir rastros.

🛡 Blue Team:

  • Aplica segmentación IT/OT con DMZ industrial.

  • Implementa un IDS con reglas específicas para Modbus.

  • Configura autenticación y control de acceso en el panel HMI.

🔮 Purple Team:

  • Ejecuta un test de inyección Modbus desde un entorno controlado.

  • Verifica si los eventos llegan al SOC.

  • Realiza un tabletop drill con los operadores para validar la reacción ante pérdida de presión.


🔹 2. NIVEL EXPERTO – "Manipulación en planta eólica remota vía SCADA"

🗡 Red Team:

  • Intercepta una comunicación WAN entre la estación SCADA y el PLC usando MITM.

  • Modifica el setpoint de velocidad de turbina, provocando daño mecánico.

  • Consigue persistencia en el panel web SCADA para futuros accesos.

🛡 Blue Team:

  • Cifra todas las conexiones SCADA-PLC con VPN/IPSec o TLS industrial.

  • Usa autenticación basada en certificados digitales en dispositivos de campo.

  • Audita las cuentas y sesiones activas en el SCADA remoto.

🔮 Purple Team:

  • Simula la alteración de velocidad desde una VM con Scapy + protocolo s7comm.

  • Mide los tiempos de detección y respuesta del sistema y del operador.

  • Analiza eventos con correlación OT-SOC y valida que la alerta se escale como incidente.


🔹 3. NIVEL MAESTRO – "Sabotaje encubierto en planta farmacéutica"

🗡 Red Team:

  • Atraviesa de IT a OT pivotando desde un servidor Windows expuesto.

  • Reprograma un PLC Siemens con payloads que modifican la dosis de ingredientes activos sin romper el proceso.

  • Utiliza 0-day SCADA para mantener backdoor persistente en el historiador.

🛡 Blue Team:

  • Aplica segmentación de red basada en ISA/IEC 62443 con zonas y conduits.

  • Implementa monitorización activa de integridad del firmware en PLCs.

  • Integra MITRE ATT&CK ICS con SIEM para rastrear técnicas de intrusión avanzada.

🔮 Purple Team:

  • Simula una variación no detectada en la receta de producción y mide el impacto.

  • Compara logs de proceso físico con el historiador para detectar desincronización.

  • Coordina un incidente cruzado con el equipo OT, el SOC y el laboratorio de calidad para validar la cadena de respuesta y trazabilidad.


🧠 RESULTADOS ESPERADOS

Nivel - Resultado Estratégico Purple Team
Avanzado Identifico vulnerabilidades abiertas en dispositivos OT y valido la visibilidad de los sensores.
Experto Integro defensa OT/IT y valido respuesta ante manipulación remota con impacto físico real.
Maestro Alineo ingeniería, calidad y ciberseguridad para proteger productos críticos y vidas humanas. 

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.