SUPERVISION Y CONTROL DE INSTRUMENTACION.

HECTOR SALVADOR GRANADOS HERNANDEZ. GH121713

SUPERVISION Y CONTROL DE INSTRUMENTACION.

ING. SAMUEL MURCIA.

CASOS DE ESTUDIO.

CASO #1. BLASTER Y EL APAGON.

Se debe de iniciar a estudiar este caso por una de las partes importantes de él, en este caso la fuente del apagón es
el sistema eléctrico cuyo flujo es proporcionado por la compañía Niagara Mohawk, que provee de energía a casi un
millón y medio de beneficiados en todo el estado de Nueva York y otras zonas del noreste de Estados Unidos y
partes de Canadá.

Hay que dejar claro que llamamos a este blaster o gusano un virus de carácter informático de redes, porque
hacemos esta referencia, porque se menciona en la descripción que es posible que la causa del apagón venga a
partir del día que se inició o empezó a generar este gusano o blaster, mencionando fechas como el 10 y11 de
agosto, sin embargo, muchos expertos igual hacen la mención de que no está relacionado una situación con la
otra. Y actualmente existen tres versiones del gusano, y las tres están preparadas para iniciar este ataque. La
diferencia horaria, provocará que el mismo se produzca en forma escalonada. De modo que no se puede dar una
causa fija de cuál fue su punto de partida.

Se han visto infectados cientos de miles de equipos. Todas las computadoras infectadas actuarían en conjunto,
enviando millones de datos al sitio de Microsoft, en ráfagas de pocos milisegundos, que provocará, en el mejor de
los casos, la imposibilidad de acceder a las actualizaciones de Windows. Entre ellas está la propia "cura" que
debería impedir que este gusano se propague. Pero a qué viene que solo son los dispositivos con sistemas SCADA
que se ven también afectados a esto y por eso el párrafo anterior hace referencia a Windows, debido a que como
se menciona muchas de las plataformas principales de trabajo para SCADA son los sistemas de Windows 2000 o
Windows xp profesional.

El propósito de la seguridad en todos sus ámbitos de aplicación es reducir riesgos hasta un nivel que sea aceptable
para los interesados en mitigar amenazas latentes. En un sentido amplio, por seguridad también se entienden
todas aquellas actividades encaminadas a proteger de algún tipo de peligro.

Sin embargo, la información puede encontrarse de diferentes maneras, por ejemplo, en formato digital (a través
de archivos en medios electrónicos u ópticos), en forma física (ya sea escrita o impresa en papel), así como de
manera no representada -como pueden ser las ideas o el conocimiento de las personas. En este sentido, los activos
de información pueden encontrarse en distintas formas. Además, la información puede ser almacenada, procesada
o transmitida de diferentes maneras: en formato electrónico, de manera verbal o a través de mensajes escritos o
impresos, por lo que también es posible encontrarla en diferentes estados.

Con esto debemos debemos de contar también que no es la primera situación de gusano registrada o al menos
que causa esta clase de daños o inclusiones a una red o sistema, otro gusano, slamer afecto en tiempo real varias
operaciones a tiempo real de varias compañías norteamericanas en el mes de enero, con esto tenemos un historial
de varios intentos de infección o trato de invasión a sistemas de operación importantes en las compañías ya sea
para ser manipulados de manera remota o para que estos únicamente se vean afectados por un momento y
genere pérdidas o descontentos a las empresas o a los afectados por esto. Al final podemos ver que la invasión o
inclusión fue por un ordenador remoto por VPN al sistema SCADA, y también a través de SQL server hubo una
debilidad de parte de Microsoft, con esto podemos decir que han existido varias formas de saqueo o hackeo de
programa o de red.

pág. 1
SUPERVISION Y CONTROL DE INSTRUMENTACION.

Soluciones.

 Evaluar y reforzar la seguridad de las conexiones restantes a la red del SCADA.

Para esta situación en particular, es importante mantener un control de las conexiones que podemos llamar
“extras” al sistema SCADA o a la Red del sistema, debido a que, tenemos que tener su origen o su fuente de
ingreso, y también saber para qué o porque motivo se ha decidido conectar o agregar a la red, una vez esta tipo de
interrogantes han sido respondidas o corregidas, establecer una seguridad, o límite de adquisición o conexión, es
decir mantener al margen a que datos o ventanas se tendrá acceso a partir de esta conexión.

Los servidores de control del SCADA integrados en los sistemas operativos comerciales o de código abierto puede
estar expuestos a los ataques a través de servicios de red por defecto. En la mayor medida posible, quite o
deshabilite los servicios no utilizados y los demonios de red para reducir el riesgo de un ataque directo. Esto es
particularmente importante cuando las redes SCADA están interconectados con otras redes.

 Establecer un fuerte control sobre cualquier medio que se utilice como una puerta trasera en la red del
SCADA.

El éxito de los ataques de marcación por red conmutada o por ataque a los drivers, podría permitir a un atacante
eludir todos los otros controles y tener acceso directo a la red del SCADA o a los recursos. Esto se da debido a que
se dejan puntos ciegos de acceso para otros que, si ven la capacidad o posibilidad de conexión a la red por este
hueco, se debe de tener en cuenta o pensar como un intruso o invasor para evitar tener o dejar estos espacios de
puertas traseras o huecos en la red. La propagación es algo muy importante aquí, si uno de estos virus logra hacer
el ingreso por uno de estos puntos de accesos remotos o puertas traseras, la propagación que tendrá en toda la
red o en todo el sistema será rápida y en cuestión de minutos tendremos la infección completa.

 Definir claramente los roles en la seguridad cibernética, las responsabilidades y autoridades para los
gerentes, administradores de sistemas y usuario.

No solo para este caso, sino para cualquier tipo de problema presentado o acceso a la red o sistemas SCADAS,
deben haber usuarios o niveles de seguridad o prioridad para quien ingrese al sistema, ya que si se le da un
accesos de máxima categoría a un usuario que solo tiene un concepto o conocimiento básico, puede que el sin
saber o con su poco conocimiento haga la modificación de un proceso, y esta el otro caso, que alguien con todas
las capacidad y conocimientos técnicos de red y de programación, ingrese a uno de estos servicios de alta prioridad
o de alto nivel en el sistema y cree un caos, y no específicamente entrando desde uno de los accesos permitidos
por el sistema, sino puede ser remoto sino se toman a consideración los dos puntos anteriores.

pág. 2
SUPERVISION Y CONTROL DE INSTRUMENTACION.

CASO #2. STUXNET.

Stuxnet, es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por
VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y
reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo
afectar a infraestructuras críticas como centrales nucleares.

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es
el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.

Este virus ataca principalmente equipos con Windows empleando cuatro vulnerabilidades de día cero de este
sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son
sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y
contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las
contraseñas por defecto para obtener el control. En una entrevista dada para CNN, el fabricante Siemens, aconseja
no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".
Debido a esto es que Siemens la mayoría de sus programas sino es que todos deben de adquirirse una licencia de
uso para evitar este tipo de inclusiones o de cambios en sus software, al parecer esta acción fue tomada a partir de
este problema con Stuxnet, otros casos dados con respecto a los cambios de contraseñas es que softwares o
sistemas específicos ellos realizan un cambio automático de contraseñas cada 24 horas, para que solo usuarios de
alto nivel y con este acceso puedan ingresar o efectuar los cambios necesarios al sistema.
El número de vulnerabilidades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo
de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a
sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente.
Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.
A partir de ahí es donde la coalición de estados, posiblemente liderada por Israel y Estados Unidos, pasó un año
diseñando el Stuxnet para una misión de alto riesgo: retrasar al máximo el programa nuclear iraní. Su fracaso,
seguramente, hubiera obligado a la fuerza aérea israelí a bombardear la central de Bushehr, una operación muy
complicada y arriesgada.
Para este particular caso tenemos dos espacios que abarca o ha sido utilizado o se ha visto llamado el Stuxnet, para
control y o descontrol militar, es decir, poseer el control o cambiar ciertos protocolos militares así como se ve en
las películas que desde accesos muy remotos quieren hacer expulsar los misiles o iniciar una guerra mediante
lanzamientos fantasmas etc, claro cabe mencionar que de igual manera la red o el software que fue invadido es
uno de los desarrollados por Microsoft y el otro por siemens. El otro caso abordado con este Stuxnet es el área
industrial, igual siempre haciendo énfasis a un ejemplo de Hollywood, el malo quiere alterar la producción o el
sistema de una fábrica para poder robar o hacer fracasar la fábrica con el fin de alcanzar una recompensa
montería, el mismo es el caso, solo que puesto en la vida real, pero en este caso en particular para plataformas de
y trabajo de siemens, siempre con la finalidad de alterar un proceso o tratamiento de plantas importantes de
tratamientos nucleares o edificios con ciertos equipos militares etc.

Cabe mencionar que Un portavoz de Siemens declaró que el gusano Stuxnet fue encontrado en 15 sistemas, cinco
de los cuales eran plantas de fabricación en Alemania. Según Siemens, no se han encontrado infecciones activas y
tampoco existen informes de daños causados por el gusano. Symantec afirma que la mayor parte de los equipos
infectados están en Irán, lo que ha dado pie a especulaciones de que el objetivo del ataque eran infraestructuras
"de alto valor" en ese país, incluyendo la Central Nuclear de Bushehr o el Complejo Nuclear de Natanz.

Symantec Corporation es una corporación multinacional estadounidense que desarrolla y

comercializa software para computadoras, particularmente en el dominio de la seguridad informática. Con la sede
central en Mountain View, California. La empresa es conocida por los problemas de seguridad que presentan sus
sistemas antivirus.

pág. 3
SUPERVISION Y CONTROL DE INSTRUMENTACION.

Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens
recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que
eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB
ajenas o no controladas.
DESCRIPCIOIN DE LA INFILTRACION EN CENTRAL IRANI.
El gusano aprovechó cuatro debilidades previamente desconocidas en el sistema operativo Windows de Microsoft.
Una ayudó a Stuxnet a llegar a la red a través de una memoria USB y otra usó impresoras compartidas para
penetrar más profundamente. Los dos restantes le permitieron a Stuxnet controlar otras partes menos seguras de
la red. El gusano fue programado específicamente para apuntar y destruir las centrifugadoras.

Una vez dentro del sistema de Natanz, Stuxnet escaneó todas las computadoras con sistema operativo Windows
que estaban conectadas a la red, en busca de un determinado tipo de circuito llamado Programmable Logic
Controller (Controlador Lógico Programable) o PLC, que controla las máquinas. En este caso, el PLC que fue blanco
del ataque controlaba la velocidad específica de las centrifugadoras. A diferencia de la mayoría de los gusanos
informáticos, Stuxnet no hizo nada en las computadoras que no cumplían con requisitos específicos. Pero una vez
que encontró lo que estaba buscando, se insertó en los PLC, listo para tomar el control de las centrifugadoras.

De haber poseído un verificador de integridad con alertas o incluso acciones de mitigación automática, las víctimas
de esta amenaza, no hubieran sido tales, y solo se hubieran enterado de forma temprana de posibles brechas de
seguridad en sus sistemas. Además, la seguridad de un sistema no solo se basa en poseer una solución de antivirus
proactiva, o el sistema operativo actualizado, sino también en la implementación de protocolos y controles de
seguridad que verifiquen la integridad del mismo.

Stuxnet fue una amenaza de gran renombre por afectar sistemas críticos, pero la noticia no debería ser el
funcionamiento de esta, sino la falta de controles de seguridad por parte d sistemas afectados.

pág. 4
SUPERVISION Y CONTROL DE INSTRUMENTACION.

CINE FORO. DURO DE MATAR 4.0.

1. ¿Cuál es el principal punto débil en la ciberseguridad en la trama de la película?

Con relación a la auditoria de sistemas, en la película se evidenciaron grandes fallas en cuanto a la seguridad
física y lógica de los sistemas. En cuanto a la seguridad física, es decir, la seguridad de infraestructuras
materiales, como asegurar las habitaciones, las áreas comunes de la compañía, las estaciones de trabajo de los
empleados, era demasiado fácil violar la seguridad que tenían las puertas de las salas donde estaban ubicados
los servidores y no se podía evitar que el intruso estuviese personalmente frente a ellos para así acceder a toda
la información que necesitará sin restricción alguna.
Y la seguridad lógica, es decir, la seguridad a nivel de los datos de la institución, se evidencia la no elección de
buenos password, ya que estos eran fáciles de vulnerar, además se falló en la no utilización de dispositivos de
identificación biométrica como las huellas dactilares, reconocimiento de voz o escaneo de retina, esto hizo que
todo fuera más fácil, y la información estuviera en bandeja de plata para los intrusos.

2. Mencione qué puntos débiles se presentan en la seguridad cuando los villanos atacan la
central eléctrica de Middleton.
Pienso que podría ser la integridad de los datos con esto no se garantiza que la información sea la que se supone
que es, porque en distintas ocasiones fueron engañados por los hackers, con información falsa que había sido
alterada. Segundo la confidencialidad, no se aseguró que solo el personal autorizado tuviera acceso a la
información o datos, es claro que, si no hay niveles de seguridad para ingresos a los sistemas, cualquiera que
sepa del tema o que sepa como hackear sistemas de seguridad se le hará sencillo ingresar y tener acceso a lo
que sea y necesite.
De hecho, en las últimas presentaciones de seguridad en redes e informática se habla de niveles de protocolo
de ingreso, para ello se efectúa una base de datos con los usuarios y contraseñas que tienen acceso a diferentes
puntos de la red, sistema o programa, eso pasa en todo tipo de organización que necesite ser controlada o que
lleve un programa de control automatizado como la planta eléctrica a la que atacaron, y a esto se vienen las
alteraciones en semáforos, luces, calles etc. Claro nunca se queda Hollywood atrás y hay ciertas exageraciones
en el tiempo de control programación e inclusión al sistema y como hacen los cambios en la planta.

3. Mencione qué puntos débiles se presentan en la seguridad cuando los villanos atacan la
administración del Seguro Social.
Farrell se lleva a McClane a su compañero hacker Frederick el "Hechicero". Al ejecutar varios generadores para
mantener sus sistemas informáticos en línea, es ahí donde el Hechicero identifica el fragmento de código que
Farrell escribió como medio para acceder a los datos en un edificio principal de Administración del Seguro
Social en Maryland y se dan cuenta de que el edificio es en realidad una instalación de la NSA destinada a
respaldar todos los registros personales y financieros del país en el caso de un ciberataque, diseñado por el
propio Gabriel a peticion de la NSA.

Falla 1. ¿Dónde está la seguridad de protocolos? Causa un poco de gracia porque es ilógico que sea un edificio
de seguro social y en el esconden o bueno tratan de esconder información nacional importante, su acceso es
fácil de predecir y los puntos muertos o puertas traseras son extensas.

Falla2. Ya había un código iniciado, si se conocía o se tenía una previa amenaza porque no eliminar o
restructurar la cache y base de datos del sistema para evitar tener una nueva inclusión, además que el
Hechicero era un hacker bastante profesional, era como dejarle el dulce solo para comer. Además, los
servidores estaban prácticamente sin seguridad física o virtual alguna, expuestos en un Show-room. Aunque
hay que darle crédito a Hollywood y su creatividad para exagerar puntos que quizá en la realidad, si haya una
seguridad exhaustiva.

pág. 5