TraduccinnooficialdeENISA/UE

TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Podemosaprenderdeincidentesdeseguridad
ensistemasSCADA?
1

Introduccin

LosexpertosenseguridaddetodoelmundocontinanalertandosobrelaseguridaddelosSistemas
de Control Industrial (SCI).1Los Sistemas de Control Industrial se asemejan cada vez ms a los
ordenadores personales (PCs). Se utilizan en todos lados y tienen una cantidad considerable de
softwarequeconfrecuenciaestdesactualizadoyemparchado.
Incidentesrecientes deseguridadocurridosenelcontextode los sistemasde SCADAy deControl
Industrial han demostrado claramente la
importancia de contar con un buen
Antecedentestcnicos:SCIySCADA
monitoreoycontroldelasinfraestructuras
2
deSCADA. Enparticular,escrucialtenerla Los sistemas industriales y las infraestructuras crticas con
capacidad para responder ante incidentes frecuenciasonmonitoreadosycontroladosporcomputadoras
simples llamadas (Sistemas de Control Industrial (SCI).Los SCI
graves y poder analizar y aprender sobre estn basados en plataformas de sistemas integrados
loocurrido.
estndar y con frecuencia usan software comerciales. Los SCI
La UE ha reconocido la urgencia de este
problema y recientemente propuso una
estrategia de seguridad ciberntica para la
UE que focaliza en el mejoramiento de la
reddeseguridadysistemasdeinformacin
utilizadosparalasinfraestructurascrticas3.
La estrategia exhorta a los estados
miembros de la UEy a la Agencia Europea
de Seguridad de las Redes y de la
Informacin(ENISA,porsussiglaseningls)
a aumentar el nivel de los sistemas
nacionales de informacin (SIN) de los
sectores crticos y a apoyar el intercambio
demejoresprcticas.
ENISA respondi a este llamado lanzando
variasactividadessobreseguridaddeSICy
SCADA4.

son utilizados para controlar los procesos industriales, tales

como la fabricacin, el manejo de los productos y su
distribucin. Entre los sistemas bien conocidos de SIC se
encuentran los sistemas de control y de adquisicin de datos
(SCADA), sistemas de control distribuido (DCS), y los
controladoreslgicosprogramables(PLC).
Los sistemas SCADA se distinguen de otros SIC desde hace
muchotiempoporqueeselsubgrupodeSCImsgrandeyque
atiende procesos de gran escala que pueden incluir lugares
mltiples y grandes distancias. Un Sistema de Control y de
Adquisicin de Datos (SCADA) puede ser visto generalmente
como un conjunto de equipos interconectados que se utilizan
para monitorear y controlar equipos fsicos en entornos
industriales. Son utilizados generalmente para procesos
automatizados distribuidos geogrficamente, tales como de
generacin, trasmisin y distribucin de energa elctrica,
gestinderefineras,oleoductosygasoductos,procesamiento
y produccin de productos qumicos y sistemas de transporte
ferroviarioydeotrotipo.

El nivelde monitoreoderedes incluye tecnologas comprobadas que han sido utilizadas conxito
durantemuchosaosparaanalizarincidentesdeseguridadenentornosderedestradicionales.La
instalacindesensoresparaladeteccindeintrusosyelcontroldetrficosehaconvertidoenuna
prcticamsaceptable,especialmenteporqueunacantidaddesistemasmodernospermiteneluso

1
2
3

http://threatpost.com/hackersaggressivelyscanningicsscadadefaultcredentialsvulnerabilities
http://www.wired.com/threatlevel/2012/01/10000controlsystemsonline/

http://ec.europa.eu/digitalagenda/en/news/eucybersecurityplanprotectopeninternetandonlinefreedomandopportunitycyber
security
4
http://www.enisa.europa.eu/publications/programmesreports/workprogramme2013

www.enisa.europa.eu

Page1

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

dePI. Cadavezes ms frecuente que entidadesde asesoramiento publiquen directrices ynormas

quesonaplicablesalcampodelaseguridadenestetipodeentorno.
Este documento explora los problemas antes mencionados y ofrece recomendaciones para la
implementacin de un enfoque proactivo que facilitar una respuesta gil e integrada a los
incidentesyqueservirparasuposterioranlisis.
ENISAidentificvariasactividadesclavequepuedencontribuirparaalcanzarestameta:
Facilitarlaintegracindeprocesosderespuestacibernticosyfsicosconunmayor
conocimientodedondesepuedeencontrarlaevidenciadigitalysobrecualesseranlas
accionesapropiadasparapreservarla;
Disearyconfigurarsistemasdeformaquesepuedaretenerlaevidenciadigital,
Complementarlabaseactualdecapacidadesconconocimientosyexperienciasobrelos
solapamientosentrelosequiposderespuestacibernticayfsicaanteelincidentecrtico,
Incrementarlosesfuerzosdecolaboracininterinstitucionalentrepblicosyprivadosyentre
losdiferentespases.

Audienciafocalizada

El propsito de este documento es informar a los operadores de la comunidad relacionada con

SCADAyalosingenierosdelcampodelaseguridadyofrecerotraconexinentrelosencargadosde
adoptar polticas y los especialistas de tecnologa en el delicado campo de la proteccin de la
infraestructuracrtica.
Enparticular,ENISAapuntaa:
Informaralosequiposdeoperacionesacercadelascapacidadesdeconexinydeanlisis
posteriordelincidentequedeberanconsiderarcuandodiseaneimplementansistemasde
SCIconbaseenlosnivelesactualesdelasamenazasqueexistenensucontextooperativo,
Informaralosingenierosenseguridadsobrelaoportunidadesydesafosquesepueden
presentarenestecampo,
Proponerunconjuntoderecomendacionesparadesarrollarunentornoproactivodeunnivel
apropiadodepreparacinconrespectoalanlisisposterioralincidenteyalacapacidadde
aprendizaje,
Facilitarypromoverladiscusinentrelosdosprimerosgruposdeinteresadosyencargados
deadoptarpolticasensuluchaporfacilitareldesarrolloymantenimientodeinfraestructuras
crticassegurasyresilientes.

Anlisisposterioralincidente

Elobjetivoprincipaldeunanlisisposterioraunincidenteesobtenerinformacinvaliosasobrela
seguridad a fin de adquirir un conocimiento profundo de lo ocurrido. Al examinar los diferentes
aspectosdeunsistemasepuedenobtenerconocimientoseinformacinvaliosa.Sinembargo,noes
importantesoloparaconocerlascircunstanciasbajolascualeshubounproblemadeseguridadsino
queestopermiteademstenerlacapacidadpara:

www.enisa.europa.eu

Page2

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Crearunconjuntodeevidenciasslidaspararesponderalcarctercambiantedelasamenazas
internasyexternasyminimizarlasfallasdelossistemasSICSCADA5,
Asegurarsuficienteaprendizajeparainstalarsistemasresilientes.
Recopilar pruebas relacionadas con los incidentes puede revelar acciones que se llevaron a cabo
duranteelincidentejuntoconlosincentivosyquizslaidentidaddelatacante.
En un sistema de redes puede haber muchos lugares donde se pueden recuperar evidencias. El
trficoderedesylosregistrosdelossistemasoperativosofrecenlasfuentesmssignificativasde
evidencias; sin embargo, el carcter diverso de los sistemas de control industrial impide el uso de
unametodologanicaycoherente.
Elanlisisposterioralincidenteesunapartefundamentaldelagestindeseguridad.Sibienesla
primera etapa de un proceso forense digital, se deben distinguir estos dos trminos porque el
anlisisforensedigitalincluyelapreparacinderesultadosdemaneradepermitirquelosresultados
sean presentados como evidencias ante un tribunal y es obligatoria la participacin de las
autoridades del poder judicial, en tanto que un anlisis posterior al incidente procura
fundamentalmente:
Identificarelobjetivodelataque,
Inferirelpropsitorealdelatacante,sifuereposible,
Identificarlasvulnerabilidadesdelsistemaenelcualsebaselataque,
Descubrirelposiblerobodedatosyrastrosquesepuedenutilizarparadescubrirelorigendel
ataque.

3.1 Elproceso
Losprimerospasospararealizarelanlisisdeunincidenteenelcampodelossistemasdecontrol
industrialincluyeelexamendelsistemaylaidentificacindeloscomponentesafectados.Luego,se
recopilan y analizan todos los registros del SO y las transacciones relacionadas con estos
componentesconbaseendirectricesampliamenteconocidasqueestnfcilmentedisponibles67.
EnlaFigura1acontinuacin,sepresentanloscincopasosbsicospararealizarelanlisisposterior
delincidentedecualquierdispositivo89.

Alinvestigarunincidentedeseguridad,sepuedenobtenerconocimientosvaliososquesepuedenusarparafortalecerelsistemacontra
ataquesfuturosymitigarlosefectosdeestosincidentesalincorporarmecanismosapropiadosdedefensaproactiva.

S.Wilkinson,GoodPracticeGuideforComputerBasedElectronicEvidence,Assoc.ChiefPoliceOff.,2010.
M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
8
R.RadvanovskyandJ.Brodsky,Eds.,HandbookofSCADA/ControlSystemsSecurity.CRCPress,2013.
9
T.SpyridopoulosandV.Katos,RequirementsforaForensicallyReadyCloudStorageService,Int.J.Digit.CrimeForensicsIjdcf,vol.3,
no.3,pp.1936,2011.
7

www.enisa.europa.eu

Page3

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Fig1.

ProcesodelanlisisposterioraunincidentedesistemasSCADA.

Lospasosaseguirsonlossiguientes:
1. Examen: En la etapa del examen el investigador deber conocer todas las fuentes
potencialesdeevidenciasdeunsistemaSCADA.Adems,tambinsedebetomarencuenta
enlainvestigacincualquierotrosistemarelacionadoconelsistemaSCADA.Estoincluyeel
accesoalasterminales,servidoresyrouters.

2. Identificacin deevidencias:Elpuntoinicialdeestaetapaesidentificareltipodesistema
que se investiga10. Una vez que se lo conoce, la prxima etapa es identificar el sistema
operativoqueseutiliza,lostiposyelfabricantedelosPLC,yeldiseoylaimplementacin
de la red. Hacia esta direccin la informacin recopilada de los Puntos de Contacto del
sistema pueden ofrecer datos valiosos. En el proceso de identificacin pueden asistir, la
documentacin del fabricante, las especificaciones de diseo, los diagramas de la red y la
InterfazHumanoMquina.
3. Recopilacindeevidencias:Laetapaderecopilacinincluyelaobtencindedatosdetodos
los sistemas con los componentes de memoria que han sido identificados en la etapa 2.
Tambindebensercapturadoseltrficodelaredentreloscomponentesidentificadosdel
sistema,talescomoeltrficoentrelareddecontrolylaadministracindelaredyentreel
sistemaSCADAeInternet.
4. Anlisis de las evidencias:Enlaetapadeanlisisseidentificanlasevidenciasenlosdatos
recopilados. Eventualmente, se crea un cronograma de actividades con base en los datos

10

EltipodesistemapuedeserRTU,PLC,HMI,etc.yelmbitofinalesencontrarlasherramientasapropiadasquepuedenserutilizadas
conbaseenlasespecificacionesdeequipoysoftware.

www.enisa.europa.eu

Page4

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

que fueron recopilados. Las principales categoras del anlisis posterior al incidente se
puedendefinirmedianteelusodelanocindelascapasdeabstraccin11.

Anlisisdelosmediosfsicos:Elanlisisdelosmediosfsicostraduceelcontenidode
undiseodealmacenamientoaunainterfazestndar(IDEoSCSIs).Entrelosejemplos
seincluyen,undiscoduro,compactflash,ychipsdememoria.

Anlisisdelagestindemedios:Enelanlisisdelagestindemediosseorganizan
lasfuentesdeevidenciasconbaseenciertoscriteriosvinculadosalasestructurasde
losdatos.Entrelosejemplosdeestaactividadseincluyenladivisindeundiscoduro
enparticiones,laorganizacindediscosmltiplesenunvolumenylaintegracinde
chipsdememoriamltiplesenunespaciodememoria.

Anlisisdelsistemadearchivos:Elanlisisdelacapadeabstraccindelarchivo,que
traduce los bites y sectores de la particin en directorios y archivos, incluye ver
observar los directorios y el contenido de los archivos lo cual conduce a la
recuperacindelosarchivoseliminados.

Anlisis de la aplicacin: El anlisis en esta capa incluye examinar los archivos de

acceso, los archivos de configuracin, las imgenes, los documentos y la ingeniera
inversaejecutable.Losdatosalmacenadosgeneralmenteseencuentranenelsistema
dearchivoaunquealgunasaplicaciones,talescomolasbasesdedatospuedenleerlos
directamentedeldiscoduro.

Anlisisdelared:Elanlisisenestaetapaincluyelospaquetesdelagestindelared
ylosalertas.Elanlisisdelosregistrosgeneradosporlosserviciosdelared,tambin
seincluyendentrodelanlisisdelared,uncortafuegosounservidordelaweb.

Anlisisdelamemoria:Elanlisisenestareaincluyeidentificarelcdigodequeun
procesoestabaenmarchayextraerdatossensiblesqueestabanalmacenadoseneste
cdigo.

5. Documentacindelprocesoyresultados:Encadaprocesodelanlisisposterioralincidente
es esencial mantener la documentacin integral. Se deben mantener notas detalladas,
registrandolahora,lafechayelnombredelapersonaresponsableademsdeotrosdatose
informacin esenciales. De esta manera se facilita a que las evidencias no puedan ser
adulteradasporalguiendeadentroduranteelanlisisposterioralincidenteyenelcasode
futuros incidentes la documentacin podr servir como referencia para el manejo de la
situacin.

3.2 Estructurasyprocedimientosorgnicos
Para que las capacidades antes mencionadas puedan funcionar dentro de una organizacin debe
contarseconlaestructurayprocedimientosapropiadosconrespectoalarespuestaanteincidentes

11

B.Carrier,Definingdigitalforensicexaminationandanalysistoolsusingabstractionlayers,Int.J.Digit.Evid.,vol.1,no.4,pp.112,
2003.

www.enisa.europa.eu

Page5

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

y al anlisis posterior al incidente y su investigacin. Tradicionalmente, un programa de anlisis

posterioraunincidenteseriniciadodespusdelafinalizacindelamitigacindelincidenteydela
restauracindelossistemasmediantelacapacidadderespuestaexistente.Establecerlacapacidad
de respuesta a un incidente no es algo trivial, aunque existen muchos recursos que describen las
funcionesesencialesypapelorgnicoconsusresponsabilidades.12
Las operaciones de respuesta a los incidentes son importantes porque si no estn bien diseadas
tienenelpotencialdeimpedircualquierempeodeinvestigacinposterioralincidenteporquelas
evidencias esenciales pueden haber sido eliminadas o afectadas durante las actividades de
mitigacin, recuperacin y restauracin. Sinembargo,si se planeacorrectamente, la integracin y
capacidad de anlisis posterior al incidente dentro de los procedimientos de respuesta pueden
funcionar,siendolafuncindeinvestigacinunaspectocontenidodelacapacidadderespuestaal
incidente,incluidalapresentacindedatosparafinesdeenjuiciamiento.
Los componentes bsicos de una respuesta a un incidente ciberntico con un componente de
investigacinintegradoseranmodificadosdelasiguientemanera:
1. Deteccin
2. Iniciodelarespuesta
3. Accinderespuestaalincidente/Recopilacindeevidencias
4. Recuperacindelincidente/Anlisisdelasevidencias
5. Finalizacindelincidente/Procesodeinformacin
Debidoalasingularidaddelosdatosyalasrelacionesentrelosrecursosdeinformacinyelcampo
delossistemasdecontrol,unequipocompuestodepersonasquetienenunconocimientoavanzado
delsistemadebercompletarunanlisisdelasevidenciasrecopiladas.
Por lo tanto, adems de quienes responden tradicionalmente a los incidentes, los miembros del
equiponecesitaranincluiralgunospapelesyresponsabilidades,asaber13:
Director del Sistema de Comando de Incidentes (DSCI) una persona que supervise las
operacionesderespuestaenelcampodelossistemasdecontrol.Ejercerlasupervisinde
las actividades para asegurar las interrelaciones entre las operaciones y el personal de
tecnologasdelainformacin(TI)yasegurarquelosrequisitosdeamboscampospuedenser
comunicadosenunaformacomprensibleparatodaslaspartesinteresadas.
EspecialistadelSistemadeComandodeIncidentes(ESCI)encargadodeasegurarculesson
los aspectos crticos que pueden ser impactados. Esta persona trabajar tambin
estrechamentetantoconlosingenieroscomoconlosadministradoresdecasosdeincidentes
apoyando tanto la investigacin como las actividades de contencin y tendr actividades
tcticasespecficasapoyandolarestauracin,informacinyanlisisdelasituacin.
Apoyo de Ingeniera para el Sistema de Control (AISC) Tener a alguien de apoyo de
ingeniera para el sistema de control contribuira a las funciones bsicas tales como las de
contencin,planificacinparalarecuperacinyrestauracin(ascomodemejoramientodel
sistema),locualofrecerunvalorsignificativoalanlisisposterioralincidente.

12
13

CPNIGoodPracticeGuide,PROCESSCONTROLANDSCADASECURITYGUIDE3.ESTABLISHRESPONSECAPABILITIES.
M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.

www.enisa.europa.eu

Page6

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Cuadro 1. Matriz de funciones para la respuesta a incidentes y el anlisis de los sistemas de

control14.

Actividadde
respuestaa
incidentes

Equipode
Seguridad Director
Especialista
Coordinador
Director
Apoyo (Coordinador
manejode
Bsica Respuesta
Seguridad
RI(conSC)
IncidenteSC
IngenieraSC
SC)
incidentes
(POC)
Incidentes
SC
Deteccin

Deteccin

Informacin
inicial
y
documentacin

Iniciodelarespuesta
Incidente
Clasificacin

Aumento

Accin
emergencia

de

Respuestaalincidente/Obtencindeevidencias
Movilizacin

Investigacin

Contencin

Recuperacindelincidente/Anlisisdeevidencias
Recuperacin
Planificacin

S/P

Restauracin

Mejoramiento del
sistema

Finalizacindelincidente/Procesodeinformacin
Resumen de la
informacin

Mitigaciones/Info
rmacin

Mejoramiento del
sistema

EnestecuadroseindicanlasactividadesprimariascomoPylasfuncionessecundariascomoS.

3.3 Laspruebasysudimensinintegral
Para asegurar que el analista tiene un marco conciso y efectivo para ejecutar un anlisis post
mortem del entorno de un sistema de control, se debern examinar los siguientes elementos
tradicionales15:

14
15

M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
M.FabroyE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.

www.enisa.europa.eu

Page7

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Referencia de la hora 16 : Muchos sistemas SCADA, debido al carcter de sus procesos

requierenactividadesytransaccionesqueseanlogradosenmilsimasdesegundos.Tomando
tambinencuentalavolatilidaddelaspruebasenunsistemadecontrol,elanalistanecesita
unsistemadereferenciadeltiempodealtoprecisinafindellevaracaboelanlisisposterior
alincidente.Elregistrodeltiempoydelasactividadesdurantelainvestigacinrequierenun
relojdereferenciadealtaprecisin.
Registrosdeactividadesyregistrosdetransacciones:Dependiendodeltipodeunsistemade
SCADAduranteunanlisisposterioraunincidentesepuedenextraerdiferentesdatosdelos
diversoscomponentes.

Cuadro 1. Tipos de datos que se pueden extraer de un sistema SCADA, con base en la
tecnologa de control y las herramientas de adquisicin utilizadas

Centrodecontrol

Dispositivosdecampo
Registrosdered.
Registrosdelcentrodecontrolrelacionados
conlosdispositivosdecampo.

Tecnologas
de Capturadetrficoenlared.
Administradordelsistemadecontrolen
sistemas de control
casodeunSOmodificadosobreHMIs.

Modernas/Comunes

Dispositivoapagado:Examendel
dispositivoporposibleevidencia.
Dispositivoprendido:
Fecha y hora, procesos actualmente
activosyprocesosenmarcha.

Tecnologas
de
sistemas de control
Modernas/Propietary

Pueden ser aplicables herramientas

modernas de anlisis posterior al
incidente.
Capturadetrficoenlared.
Es obligatoria la interaccin entre el
investigadoryelproveedor.

Tecnologas
de
sistemas de control
Legacy/Propietary

No se pueden aplicar mtodos de

anlisistradicionalespostmortem.
Nohayfuncionalidadderegistro.
Yanohayapoyodelproveedor.
Interaccin con el propietario del
equipo
puede
ofrecer
alguna
informacin.
Basado en comunicaciones en serie,
trficoderedesnopuedesercapturado.

Registrosderedes.
Registros del centro de control sobre
dispositivosdecampo.
Es obligatoria la interaccin entre el
investigadoryelproveedor.
Puede incluir mecanismos de seguridad
especficosintegradosdelproveedor.
Basado en comunicaciones en serie, trfico
deredesnopuedesercapturado.
Rpida frecuencia del muestreo y anulacin
dedatos
Rpida frecuencia del muestreo y anulacin
dedatos.
Esesenciallainteraccinconelproveedor.
Debe estar a disposicin un ingeniero con
experienciaparaapoyarlainvestigacin

Otrasfuentesdedatos:Entreotrasfuentesdedatosquedeberanserconsideradasenun
anlisisposterioraunincidenteseincluyenlosdiversosdispositivosdealmacenamientoque
se pueden encontrar en el centro de control de un sistema SCADA. Estos dispositivos
incluyenmediosmvilestalescomodisquetes,CDs/DVDs,USBuotrasformasdemediosde

16

Cuandoserealizaunanlisisposterioralincidenteesdevitalimportanciaestablecerlareferenciadeltiempoparaelprogresonormal
delainvestigacin.Enlossistemasdecontrollasincronizacindeltiempodesempeaunpapelimportantenosoloparalainvestigacin
delincidentesinoquetambinparalaoperacinregulardelsistema.

www.enisa.europa.eu

Page8

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

dispositivos de almacenamiento de datos mviles que se pueden encontrar en las

instalacionesdeloscentrosdecontrol.
Fallasgeneralesdelsistema
Monitoreoentiemporeal
Monitoreodelaintegridaddeldispositivo

ElprocesodedocumentacinincluyetambinlaproduccindeunInformeResumidodetalladoque
describetodoelprocedimiento.Esteinformetambinincluye elestadoylacondicin del sistema
capturado a travs del proceso de recopilacin de informacin. Ms adelante se concentra la
atencinenlosprimerostresaspectos,comolosltimostressontemasquetradicionalmenteson
biencomprendidosdentrodelcontextodelasoperacionesdelossistemasSCADA,debidoalnfasis
enlasfallasdeadministracin,seguridadyconfiabilidaddelainformacin.

Desafos

La alta volatilidad de sus datos, los limitados mecanismos de acceso que se pueden usar y otras
caractersticasdelossistemasSCADApresentanmuchosdesafosenelprocesoparalarecopilacin
yanlisisdedatos,tantodesdeelpuntodevistatcnicocomooperativo.Estaseccindescribelos
desafosquepuedensurgirduranteunanlisisdeunincidentepostmortemdesistemasSCADA:

A. Desafosparalarecopilacindedatos:

Mecanismosderegistroinadecuados:LosmecanismosderegistrodelossistemasdeSCADA
estn orientados hacia los procesos de distorsin en vez de los casos de violacin de la
seguridady porlotantoofrecen unacontribucinlimitada enelcampoderespuesta ante
incidentes,
Investigacinposterioralincidente:Cuandolosdatosno
Altavolatilidaddedatos:Elcarcter
voltiles, tales como los datos almacenados en un disco
delossistemasdecontrolimponela
duro son recopilados en un sistema que est apagado,
supresin, eliminacin o reemplazo
de datos en algunos componentes este procedimiento corresponde a la categora de una
del sistema, tales como grabadores investigacinposterioralincidente.
de datos de alta velocidad a tal Investigacin actual:Cuando se necesitarecopilar datos,
velocidad que es prcticamente tales como volcados de memoria o actividad de la red,
improbable o imposible coleccionar este procedimiento corresponde a la categora de las
los datos. El costo de los
investigacionesactuales.
mecanismos de registro en estos

dispositivos es tan elevado que

resultanprohibitivos,
Ncleos del sistema operativo hechos a la medida: Un sistema SCADA puede utilizar
ncleoshechosamedidaensuscomponentesafindemejorarelrendimientodelsistema,a
pesardequeactualizardichosncleosesdifcil.Estopuedehacerquelasherramientasde
obtencindedatostradicionalescomodiscosdurosovolcadosdememorianoseejecuten
debidoaproblemasdeincompatibilidadoalafaltademdulosdelncleo.

www.enisa.europa.eu

Page9

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

Grancantidaddedatos menores:Recopilarinformacinsobrelosnivelesmenoresdeuna
red SCADA, como por ejemplo los datos producidos por los sensores, resultara en gran
cantidaddeinformacinquerequiereunenormeespaciodealmacenamiento.

Bajopodercomputacional:LossistemasLegacytienenmuypocopodercomputacionalpara
elregistroyanlisisdedatosproducidosenconjuntoconlosdatosdecontrol.Porlotanto,a
estenivelnosepuedenimplementarmsoperacionesconrespectoaotrosprocesoscomo
elanlisisdeincidentes.

B. Desafosdelanlisisdedatos:
Herramientas para el anlisis posterior al incidente: Las herramientas modernas para

realizar el anlisis posterior al incidente recurren a guiones y programas compilados

anteriormentequeautomatizanelprocesoderecopilacindeevidenciasmedianteelusode
ciertastcnicas,talescomoprocesosdecopiadebitsygeneradoresdeverificacindesuma,
que no pueden ser aplicados en plataformas y elementos de software de un sistema de
control en su forma original de manera que pueden realizarse despus del anlisis. Las
modificacionesdelsoftwaredebenserimplementadasenlasherramientastradicionalesde
anlisisafindecumplirconlasespecificacionesdeunsistemadecontrol.

Anlisis de datos y correlacin: La recopilacin de datos de los repositorios clave (tales

como Datos Histricos y HMIs) y los datos voltiles no persistentes obtenidos de los
diferentesdispositivos(talescomodispositivosPLCseI/O)debensercorrelacionadosafin
de crear una representacin informativa del incidente que pueda ser considerada como
evidencia.
C. Desafosoperativos:

Laaparentebrechaculturalentrelosespecialistasdetecnologadelainformacin(TI)yel
personaldeoperaciones:Aprimeravista,estadivisinparecesercreadaporlasdiferencias
de objetivos operativos entre la comunidad de control industrial (disponibilidad,
confiabilidad,seguridad)ylafocalizacinenseguridadtradicionaldelasTI(confidencialidad,
integridad,disponibilidad).

La ausencia de estudios cientficos dedicados: Hay una falta de estudios cientficos

dedicados al rendimiento de los equipos de operaciones e instrumentos de control que
operan en un entorno de configuraciones de seguridad que exigen un control de acceso
estricto, una slida codificacin criptogrfica y un registro integral de eventos. El usuario
final de la comunidad resulta ser un poco conservador para adoptar arquitecturas de
seguridadqueestnbasadasenestaspremisas.

Lagestindelaobsolescenciayladisponibilidaddehabilidadesparamanejarlossistemas
Legacy: Actualmente la comunidad de usuarios identifica una significativa falta de

www.enisa.europa.eu

Page10

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

capacidadesenestareaenlaquepersonasclaveseestnretirandoylanuevageneracin
deingenierosnoposeenlashabilidadesparatrabajarensistemasmsviejos.

Los ciclos de vida fundamentalmente diferentes delasinfraestructuras:Loscomponentes

de una infraestructura tradicional de TI tendran un ciclo de vida limitado en comparacin
con los instrumentos y equipos de control de un sistema SCADA (generalmente 57 aos
versusunaspocasdcadas).

Recomendaciones

ENISA ha identificado las siguientes reas clave en las que se puede tomar medidas a fin de
desarrollarcapacidadesdeinvestigacinquelogrenelniveldelriesgopercibido:

A. Facilitarlaintegracinconlasestructurasactualesparalaelaboracindeinformesyanlisis:
a. Percibir donde se pueden encontrar las evidencias: Como parte del proceso tradicional de
evaluacinderiesgos,podraserbeneficiosoconsiderarjuntoconlosescenariosdeviolacin
delaseguridaddondelaevidenciaescrucialeidentificardondeseencuentranlaspruebas.
b. Comprenderelimpactodelaretencindedatos:Esrecomendablequeserealicealgntipo
de evaluacin de impacto de las polticas de retencin de datos en una infraestructura de
prueba que se asemeje al entorno operativo. Es esencial conocer si se van a introducir
algunos costos (y a cuanto ascienden), cuando se agreguen dispositivos de registro ms
avanzados por encima y ms all del registro de fallas y paradigma tradicional de
operacionesdeseguimientodelrendimientotradicional.
c. Gestionar la obsolescencia y la interfaz de TI/Operaciones: Aunque no est directamente
relacionadoconelanlisisposterioralincidente,unplanestructuradoparalagestindela
obsolescencia, cuando fuere aplicable, asegurar contar con el conocimiento adecuado de
lossistemasLegacyyesposibleelaccesoalasinstalacionesapropiadasparasugestin.

B. Sistemasyconfiguracionesdeproteccin:
a. Instalar controles adecuados de seguridad que al mismo tiempo realicen operaciones de
registro tales como cortafuegos (firewalls) y sistemas de deteccin de intrusos: El punto
crticodeunagestindeseguridadefectivaeslaimplementacindecontrolesapropiadosy
bien probados capaces de equilibrar el riesgo y ofrecer mecanismos para enfrentar los
incidentesyhacersuseguimiento.
b. Disear sistemas teniendo presente la proteccin de las evidencias: Una proteccin
adecuadadelosdatoshistricosesesencialparalaretencindelasevidenciasdecarcter
forense. Los sistemas modernos pueden registrar una gran diversidad de eventos pero el
acceso a los registros puede ser comprometido por un atacante que podra eliminar
fcilmentesushuellas.
c. Facilitarelregistrodeeventoscomunesentodoelsistema,comomnimo:Lamayoradelos
sistemas y equipos de control modernos son capaces de producir y retener una gran
cantidaddeinformacinrelacionadaconsusituacinoperativaytambinconelcontextode
loseventos.Sinembargo,queventospuedenserregistradosyculeslaformaexactade
losdatospuedevariartremendamenteentreunequipoyotro.
www.enisa.europa.eu

Page11

TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/

C. Revisindelospapelesclaveyresponsabilidades:
a. Identificar lasbrechas en materia de capacidad para la investigacin digital: Es importante
conocer cul es el nivel disponible (o falta del mismo) de capacidades y conocimientos en
materiadeinvestigacin,entreelpersonalactual.
b. Identificar interfacesy solapamientos derespuestafsicayciberntica: Unarevisindelos
papelesdeorganizacinyderesponsabilidadesrelacionadosconlarespuestaaincidentes
incluidoslosincidentesoperativos,fsicosycibernticospuedefacilitarlaintegracindela
capacidadderespuestatantodesdelaperspectivafsicacomociberntica.

D. Procurarunaestrategiaorgnicapblicayprivadaydecooperacinentodoelpas:
a. Un enfoque coordinado a nivel nacional (por ejemplo, paneuropeo): Esta podra ser otra
dimensinquepodrapromoverunmayordesarrollocomunitario.
b. Laexperienciadecompartirlacolaboracinmltipleanivelprivadoypblicopuedemejorar
las posibilidades de lograr una solucin que sea integral y que se aplique en forma ms
general: Fomentar la colaboracin entre los Estados es percibido como algo de importancia
crtica en vista de que los ataques pueden estar dirigidos a travs de diferentes lugares y
desdediversasjurisdiccionesextranjeras.

www.enisa.europa.eu

Page12