Está en la página 1de 51

Tema 3

Ciberseguridad Industrial

Elementos tecnológicos
de la ciberseguridad
industrial
Índice 
Esquema  3 

Ideas clave  4 
3.1. Introducción y objetivos  4 
3.2. Redes y sistemas de automatización industrial  8 
© Universidad Internacional de La Rioja (UNIR) 

3.3. Sistemas SCADA  22 
3.4. Diagnóstico técnico y organizativo de la 
ciberseguridad industrial  39 
3.5. Referencias bibliográficas  42 

A fondo  46 

Test  49 
 
 
© Universidad Internacional de La Rioja (UNIR) 

 
 
ELEMENTOS TECNOLÓGICOS DE LA CIBERSEGURIDAD INDUSTRIAL

Redes industriales Sistemas de control (SCADAs) Diagnóstico técnico y organizativo

Ti pos de automatización Componentes software
Documentos  Pa s os para el 
Previ os Di a gnóstico
Ámbi tos tecnológicos Componentes hardware

ROE Recuperación
 

Redes en l a industria 4.0 Venta jas de los SCADAs Escenarios Verificación

Acuerdos  Consolidación
confidencialidad
Ata ques a redes SCADAs  en el mercado
Presentación
Exención 
responsabilidad
Ci berseguridad en  SCADAs

El  futuro de l os SCADAs

Tema 1. Esquema 
Ciberseguridad Industrial 
Esquema 


Ideas clave 

3.1. Introducción y objetivos 
 


n  este  tema  se  describen  los  conceptos  y  fundamentos  más  importantes 
relacionados  con  los  sistemas  de  ciberseguridad  industrial  a  nivel  de 
redes y sistemas de control industrial, como los SCADAS. Estos conceptos 
son esenciales para poder entender cómo proteger estos sistemas. 
 
Antes  de  empezar  a  tratar el  resto  de  la  unidad  es importante  hacer un  punto  de 
situación respecto a por qué es importante entender el funcionamiento de las redes 
y los sistemas SCADAs de control. 
 
Las redes y los sistemas SCADAs 
 
En  los  últimos  años  se  han  producido  cada  vez  más  ataques  contra  las  redes 
industriales,  y  en  especial  buscando  vulnerabilidades  contra  los  sistemas  SCADAs  de 
control industrial. 
 
Los  SCADAs  (Supervisory,  Control  and  Data  Acquisition)  son  los  sistemas  de 
supervisión, control y adquisición de datos, base para la automatización de procesos 
industriales y, por tanto, para la industria 4.0. 
 
Una de las grandes ventajas de los SCADAs es que permiten visualizar de forma gráfica 
los procesos de producción industriales, y en base a ello tomar mejores decisiones o 
© Universidad Internacional de La Rioja (UNIR) 

incluso poderlos conectar con  los  sistemas TIC  y algoritmos  de  machine learning  que 


van modificando los valores de forma dinámica. Dentro la industria 4.0, estos sistemas 
nos  permitirán  medir,  monitorizar  y  controlar  todos  los  procesos  de  los  sistemas 
industriales. 
 

Ciberseguridad Industrial 

Tema 3. Ideas clave 
La  automatización  de  los  SCADAs  se  inició  en  los  sectores  eléctricos,  aunque  hoy  su 
alcance llega a todos los sectores (salud, financiero, etc.). 
 
Otra  de  las  grandes  ventajas  de  los  sistemas  SCADA  es  que  permite  visualizar  las 
operaciones  en  tiempo  real,  reaccionando  ante  las  alarmas,  pudiendo  cambiar  la 
configuración  a  distancia,  o  incluso  pudiendo  ser  monitorizados  mediante  programas 
de  inteligencia  artificial  con  capacidades  predicativas  en  base  a  los  históricos  del 
mismo. 
 
El proceso de funcionamiento de un SCADA sería, de forma abreviada: 
 
 Inicia  una  comunicación  en  tiempo  real  con  los  controladores  PLC  (controlador 
lógico programable) o RPU (unidad terminal remota). 
 Reúne toda la información de estos controladores y los procesa. 
 Finalmente, envía la información al sistema de monitor para que la muestre de 
forma gráfica. 
 
Estos  sistemas  SCADA  suelen  conectarse  a  su  vez  con  las  redes  corporativas  de  las 
compañías  (figura  1),  en  las  denominadas  redes  convergentes,  que  han  ayudado  a 
mejorar  mucho  el  control  de  los  sistemas  SCADA,  pero  también  han  disparado  sus 
brechas de seguridad. 
 
© Universidad Internacional de La Rioja (UNIR) 

 
Figura 1. Red convergente que integra operaciones de la red corporativa y la red de control industrial. 

Fuente: Ciberseguridad en Redes de Control Industrial (SCADA). InTec Automatización. 

Ciberseguridad Industrial 

Tema 3. Ideas clave 
Por lo tanto, podemos ver como hoy en día los sistemas SCADA se componen de dos 
redes  convergentes,  que  integran  la  red  corporativa  y  la  red  de  control.  La  primera 
desarrolla  las  actividades  de  configuración,  mantenimiento  y  operación  (mandos  o 
actuadores, lectura de variables, monitoreo del proceso, etc.), mientras que la red de 
control interactúa con un gran número de protocolos específicos (Modbus/TCP, DNP, 
etc) y soporta sistemas diversos (wireless, microondas, seguridad de intrusión, etc.). 
 
En  el  caso  de  los  SCADAs,  la  red  de  control  suele  tener  una  unidad  terminal  remota 
(UTR) que recibe la información y la envía al interfaz máquina‐hombre (HMI). 
 
Para  controlar  estas  redes  y  sistemas  han  surgido  normativas  específicas,  como  la 
norma  ISA/IEC  62443  que  es  la  evolución  de  la  ISA‐99.  La  norma  ISA/IEC  62443  es 
actualmente el estándar más reconocido a nivel mundial para la seguridad de control 
industrial  y  está  derivado  de  la  familia  ISO/IEC  27000,  dando  un  enfoque  para  los 
sistemas  industriales.  También  es  muy  importante  en  este  aspecto  el  estándar 
propuesto  por  el  NIST  Cybersecurity  Framework  (NIST_FICIC,  2018),  en  el  que  están 
basados algunos de los patrones de riesgos que se verán posteriormente. 
 
Estas normas definen las políticas de seguridad que deben aplicarse sobre los sistemas 
SCADA, siendo las principales: 
 
 Protección de datos (acceso y almacenaje). 
 Configuración del hardware y software (virus, detección de intrusos, etc.). 
 Seguridad en las comunicaciones, recursos humanos. 
 Auditorías. 
 Seguridad física (acceso a equipamiento, destrucción de material). 
 Ejecución de operaciones de forma manual en caso de fallo. 
© Universidad Internacional de La Rioja (UNIR) 

 
En el caso de la normativa ISO/IEC 62443 podemos definir redes redundantes, de alta 
disponibilidad, con zonas desmilitarizadas, implementar controles de seguridad, etc. Un 
ejemplo de esto se pude ver en la figura 2. 

Ciberseguridad Industrial 

Tema 3. Ideas clave 
 
Figura 2. Arquitectura de seguridad ISA/IEC 62443 en capas donde se muestran las funcionalidades 
proporcionadas por cada una de las zonas. Fuente: Ciberseguridad en Redes de Control Industrial (SCADA). 
InTec Automatización. 
 
Como podemos ver, en general, la seguridad está tomando un papel muy importante 
dentro de este tipo de sistemas. 
 
En  el  resto  de  la  unidad  seguiremos  profundizando  sobre  este  tipo  de  sistemas  y  su 
interacción con la industria 4.0 y los entornos industriales. 
 
Los objetivos que se pretenden conseguir son los siguientes: 
 
 Conocer las definiciones formales asociadas con las redes industriales. 
 Conocer las definiciones formales asociadas con los sistemas SCADA. 
 Entender  cómo  estos  dos  elementos  interactúan  dentro  del  ecosistema  de  la 
industria 4.0. 
© Universidad Internacional de La Rioja (UNIR) 

   

Ciberseguridad Industrial 

Tema 3. Ideas clave 
3.2. Redes y sistemas de automatización industrial 
 


n  este  apartado  se  define  el  principal  tema  a  tratar,  donde  explicaremos 
algunos de los conceptos más importantes que se tratarán en la asignatura. 
Resulta imprescindible partir de una visión general para comprender en qué 
se basa la automatización industrial. 
 
Definición de automatización industrial  
 
El  principal  objetivo  de  la  automatización  industrial  consiste  en  gestionar  tareas 
repetitivas,  monitorizar  procesos,  maquinaria,  aparatos  o  diferentes  tipos  de 
dispositivos  consiguiendo  un  funcionamiento  automático  en  la  medida  de  lo  posible 
con la mínima intervención humana (Crespo, 2011). 
 
Se debería definir el fin de la automatización como la mejora de calidad del producto, 
el aumento de la producción y la minimización de los riesgos de personal humano. La 
automatización puede generar un rechazo general sobre el personal debido al cambio 
estructural  que  conlleva  en  una  compañía,  prescindiendo  de  una  gran  parte  del 
personal poco cualificado y la necesidad de otros puestos con mayor responsabilidad y 
conocimientos técnicos, tomando estos últimos un peso mayor (Aldakin, 2018). 
 
Tipos de automatización 
 
Los  diferentes  tipos  de  automatización  que  existen  dependen  de  los  procesos  a 
automatizar (JOM, 2016): 
 
© Universidad Internacional de La Rioja (UNIR) 

 Fija:  para  la  automatización  de  grandes  volúmenes  de  producción  donde  los 
elementos  generados  no  varían  unos  de  otros.  Esto  supone  un  bajo  coste  de 
producción con un alto rendimiento de producción. 

Ciberseguridad Industrial 

Tema 3. Ideas clave 
 Programable: cuando se requiere de configuraciones propias en volúmenes bajos 
de producción donde se debe reajustar hardware o software para la generación 
de los elementos dependiendo de las características deseadas. 
 Flexible:  para  los  volúmenes  de  producción  medianos  existe  este  tipo  de 
automatización  híbrida  donde  es  posible  ajustar  las  necesidades  de  los 
elementos al principio de cada producción. 
 
Ámbitos tecnológicos 
 
Los  conocimientos  técnicos  que  han  aportado  un  rápido  avance  en  la  posibilidad  del 
desarrollo industrial son la convergencia de diferentes ámbitos tecnológicos: 
 
 Electrónica y eléctrica: este tipo de automatización es uno de los más empleados 
en  la  actualidad,  aplicándose  sobre  herramientas  y  sistemas  de  producción 
industriales, comunicaciones y sistemas de seguridad (figura 3) (Isbleg, 2011). 
 

 
© Universidad Internacional de La Rioja (UNIR) 

Figura 3. Automatización eléctrica.  
Fuente: http://www.uss.edu.pe/uss/transparencia.aspx?nUniOrgCodigo=1030&nDetTipo=201901 
 
 Neumática:  es  una  de  las  automatizaciones  más  económicas  que  existen.  Se 
fundamenta  en  la  utilización  de aire comprimido  de  una  forma  rápida,  limpia  y 
segura (figura 4) (Electro Industria, 2018). 

Ciberseguridad Industrial 

Tema 3. Ideas clave 
 
Figura 4. Automatización neumática.  
Fuente: http://industrial‐automatica.blogspot.com/2010/08/neumatica‐basica.html 
 
 Oleohidráulica:  esta  tecnología  se  basa  en  un  carácter  similar  a  la  neumática  a 
través de los fluidos con un coste superior (figura 5) (Pardos, 2014). 
 
© Universidad Internacional de La Rioja (UNIR) 

 
Figura 5. Automatización oleohidráulica. 
Fuente: http://industrial‐automatica.blogspot.com/2011/05/elementos‐de‐un‐circuito‐hidraulico.html 
 

Ciberseguridad Industrial 
10
Tema 3. Ideas clave 
 Power line communications (PLC): el objetivo principal es poder conectar redes a 
través  de  instalaciones  eléctricas  existentes  transmitiendo  datos,  todo  ello 
independiente a una conexión a Internet (figura 6) (Rodriguez, 2013). 
 

 
Figura 6. Automatización Con PLC. 
Fuente: http://www.interempresas.net/Robotica/Articulos/108830‐Nueva‐tendencias‐en‐automatizacion‐
industrial.html 
 
 Robótica: los sistemas de robótica industrial se basan en la utilización de robots 
para poder ejecutar procesos repetitivos con el fin de aumentar la productividad 
(figura 7) (INFAIMON, 2018). 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
11
Tema 3. Ideas clave 
 
Figura 7. Automatización robótica. 
Fuente: http://www.infoplc.net/actualidad‐industrial/item/103503‐auge‐robotica‐automatizacion‐alemana 
 
La decisión de automatizar un entorno industrial debe ser establecida por las 
necesidades y las posibilidades de la compañía definiendo claramente los 
ámbitos de la empresa que se deben automatizar, ya sea de forma completa o 
parcial. 
 
Esta decisión debe ser estudiada en detalle, ya que cada tipo de compañía tiene una 
serie  de  necesidades  propias  que  no  pueden  ser  replicadas  como  base  (GrupMcr, 
2016). 
 
Para tomar la decisión de automatización podemos basarnos en las principales ventajas 
e inconvenientes que aporta una automatización. 
 
Ventajas: 
 
 Existen procesos maduros en una compañía que se replican de forma continuada 
con bajos niveles de riesgo de error. Estos procesos pueden ser automatizados, 
© Universidad Internacional de La Rioja (UNIR) 

consiguiendo una alta productividad sin la intervención de personal. 
 La  precisión  que  ofrece  una  automatización  de  ciertos  procesos  mejora 
exponencialmente los resultados obtenidos por la mano de obra, partiendo de la 
base  de  que  una  máquina  consigue  medidas,  pesajes  o  mezclas  mucho  más 
exactas, y todo ello sin tiempos de parada. 

Ciberseguridad Industrial 
12
Tema 3. Ideas clave 
 A  la  hora  de  automatizar  procesos  la  necesidad  de  mano  de  obra  disminuye,  y 
además los fallos de materiales y la eficiencia energética mejoran, reduciendo los 
costes de forma sustancial. 
 
Redes en la industria 4.0 
 
La  evolución  de  las  tecnologías  como  la  robótica,  la  analítica  y  la  inteligencia 
artificial  han  aportado  a  la  industria,  mediante  la  combinación  de  estas,  la 
posibilidad  de  ampliar  y  mejorar  la  productividad  y  la  calidad  de  los  productos, 
consiguiendo  una  información  en  tiempo  real  de  todos  los  flujos  de  datos  de  la 
compañía. Esta monitorización como parte de la cuarta revolución industrial no solo 
mejora los procesos de fabricación o calidad, sino que afecta a las expectativas del 
cliente y los procesos de negocio, ampliando el campo comercial (Deloitte, 2018). 
 
La  llegada  de  la  industria  4.0  viene  acompañada  de  un  interés  confirmado  de 
nuevas amenazas en la industria. Esto reside en la centralización y monitorización 
del  sistema  mediante  los  sistemas  de  control  industrial  (ICS).  Los  sistemas 
centralizados  pueden  ser  vulnerables  a  ataques  de  códigos  maliciosos 
repercutiendo  en  funciones  físicas  de  la  industria  a  través  de  los  dispositivos 
inteligentes. 
 
La  ciberseguridad  toma  un  papel  relevante  en  esta  nueva  era  tecnológica  de  la 
industria.  Esto  es  debido  a  la  necesidad  de  conectividad  a  Internet  en  los  nuevos 
entornos industriales, la rápida comunicación y el almacenaje en la nube mediante 
cloud computing o el Internet de las cosas. Por tanto, la protección de estos datos y 
comunicaciones comprende uno de los temas más importantes a tratar a la hora de 
implementar un sistema automatizado de estas características. 
© Universidad Internacional de La Rioja (UNIR) 

 
El  origen  de  la  automatización  nace  de  la  preocupación  por  la  seguridad  del 
personal,  poniendo como objetivo la seguridad en los  daños físicos, pero la nueva 
automatización industrial se basa en virtualizar en la medida de lo posible toda la 

Ciberseguridad Industrial 
13
Tema 3. Ideas clave 
gestión  de  la  compañía.  Por  tanto,  el  tema  de  la  seguridad  da  un  giro  drástico 
cambiando el punto de vista y dando paso a la ciberseguridad (OASYS, 2017). 
 
La ciberseguridad pone su foco en nuevos objetivos: 
 
 Asegurar  los  procesos  de  producción  en  las  fábricas  y  los  sistemas  ciberfísicos, 
protegiendo las instalaciones y sus operaciones. 
 La  integridad  de  las  comunicaciones  toma  mayor  importancia  en  esta  nueva 
generación  debido  a  la  gran  cantidad  de  información  que  se  transmite  entre 
dispositivos  de  la  compañía,  por  lo  que  estos  parámetros  deben  estar  bien 
protegidos, por ejemplo, de ataques como man‐in‐the‐middle (figura 8). 
 

 
Figura 8. Man in the middle. 
Fuente: https://seguridadpcs.files.wordpress.com/2011/10/main_the_middle.jpg 
 
 Los  datos  de  la  compañía  pueden  ver  vulnerada  su  confidencialidad.  Por  eso 
toma  un  carácter  muy  importante  la  seguridad  de  estos,  protegiendo  datos  de 
© Universidad Internacional de La Rioja (UNIR) 

gran valor. 
 
La seguridad y la ciberseguridad son conceptos similares que atañen 
diferentes factores de la industria que a su vez se encuentran fuertemente 
ligados. 

Ciberseguridad Industrial 
14
Tema 3. Ideas clave 
Estos conceptos deben ser complementarios para conseguir el mayor grado posible 
de control sobre las posibles vulnerabilidades que puedan afectar a una compañía. 
La  convergencia  de  la  seguridad  física  y  virtual  responden  una  de  la  otra,  por 
razones  obvias.  Un  fallo  de  seguridad  física  puede  afectar  gravemente  a  la 
ciberseguridad  ocasionando  daños  importantes,  al  igual  que  un  fallo  en  la 
ciberseguridad puede afectar a la seguridad física no solo en cuanto a producción se 
trata, sino ocasionando daños en la integridad del personal (GrupoGaratu, 2018). 
 
Uno de los modelos más apropiados y adquiridos por las compañías es el modelo 
de defensa en profundidad. Este modelo surge de la evolución de la norma ISA99 
(que se creó con el fin de mejorar la protección de los sistemas informáticos frente 
a  ataques  y  mejorar  la  seguridad  de  los  sistemas  de  control  industrial)  para 
convertirse  en  el  estándar  IEC  62443,  líder  en  seguridad  de  automatización 
industrial.  Este  modelo  puede  ser  dividido  en  tres  partes  que  se  complementan 
para tener un alto nivel de seguridad en la compañía: 
 
 La seguridad  de  la  red:  las  redes  de  una compañía  industrial  deben  estar  bien 
preparadas  contra  diferentes  tipos  de  accesos  no  autorizados.  De  esta  forma, 
para proteger las redes de control frente a accesos no autorizados se precisa de 
vigilancia de todas las interfaces, ya sea entre las redes de oficinas y la planta o el 
acceso  de  mantenimiento  remoto  mediante  Internet.  En  estos  sistemas  se 
aconseja realizar una segmentación para separar las redes, firewalls y DMZ. Los 
sistemas  DMZ  se  utilizan  para  poder  servir  datos  en  diferentes  redes  sin  tener 
acceso  a  la  red  que  los  contiene.  Mediante  la  segmentación  podemos  dividir 
secciones  protegidas  de  forma  individual  aumentando  en  gran  medida  la 
seguridad. 
 
© Universidad Internacional de La Rioja (UNIR) 

Además  de  la  segmentación  existen  otros  sistemas  que  son  aconsejables  para 
conseguir aumentar la seguridad mediante redes privadas virtuales (VPN). Estos 
sistemas  encriptan  la  información  evitando  problemas  de  confidencialidad  e 
integridad (figura 9). 

Ciberseguridad Industrial 
15
Tema 3. Ideas clave 
 
Figura 9. Red local de empresa con DMZ. 
Fuente: https://www.euskaditecnologia.com/la‐importancia‐de‐la‐ciberseguridad‐en‐la‐industria‐4‐0/ 
 
Las redes de planta pueden ser segmentadas en secciones individualmente 
protegidas  donde  los  diferentes  dispositivos  pueden  tener  comunicación 
entre  ellos  de  una  forma  segura.  Estas  secciones  se  conectan  a  la  red  a 
través de conexiones privadas virtuales y un firewall, mejorando la seguridad 
y  evitando  los  problemas  de  disponibilidad  e  integridad  que  puedan  tener 
los datos. 
 
En la industria las redes, sistemas y comunicaciones pueden ser securizadas 
mediante  componentes  específicos,  como  por  ejemplo  los  firewalls.  Estos 
sistemas  (bien  configurados)  elevan  los  niveles  de  protección  en  las 
comunicaciones  y  redes  industriales  y  actúan  como  un  filtro  examinando 
cada uno de los paquetes  que se transmiten en la red, comparándolos con 
ciertos  criterios.  Existen  diferentes  tipos  de  cortafuegos  que  pueden 
© Universidad Internacional de La Rioja (UNIR) 

funcionar  a  diferentes  niveles  ya  sea  direcciones  IP,  puertos,  diferentes 


protocolos, direcciones MAC, canales PLC, paquete HTTPS, etc. 
 
Los sistemas de cortafuegos pueden ser configurados de diferentes formas: 
dejando pasar todos los paquetes haciendo una comprobación posterior del 

Ciberseguridad Industrial 
16
Tema 3. Ideas clave 
tráfico  entrante  y  filtrándolo  o  no  dejar  pasar  nada  hasta  que  se 
comprueben  los  criterios  necesarios  y  después  poder  habilitar  las 
conexiones que sean de interés. Este último sistema sería el más aconsejable 
(figura 10) (Lazaro 2016). 
 

 
Figura 10. Firewall industrial.  
Fuente: http://www.netmodule.com/products/industrial‐routers/wireline‐router.html 
 
 La  integridad  del  sistema:  la  integridad  de  los  sistemas  tiene  como  propiedad 
más relevante la protección de los sistemas automatizables y los componentes 
como  los  firewalls,  además  de  sistemas  como  los  anteriormente  mencionados 
SCADA  y  HMI,  contra  los  accesos  no  autorizados.  Por  tanto,  una  de  las 
características  principales  que  debe  tomar  importancia  en  la  integridad  de  un 
sistema es la robustez de este controlando en la medida de los posible todos los 
aspectos, como los accesos de los usuarios autorizados. 
 La seguridad en la planta: el principal objetivo es controlar que las personas que 
no estén autorizadas no puedan acceder sin permiso de forma física a las zonas 
© Universidad Internacional de La Rioja (UNIR) 

y  los  componentes  críticos.  Para  este  cometido  se  utilizan  diferentes  métodos 
de prevención de riesgos, como pueden ser los comúnmente llamados sistemas 
de control de acceso, las cámaras de vigilancia u otros dispositivos que puedan 
controlas esos tipos de acceso físico (figura 11). 

Ciberseguridad Industrial 
17
Tema 3. Ideas clave 
 
Figura 11. Control de accesos.  
Fuente: https://www.prevent.es/servicios‐de‐seguridad/control‐de‐accesos 
 
Mediante  un  sistema  bien  securizado  por  parte  de  la  compañía  y  los 
diferentes  dispositivos  para  el  control  y  monitorización  en  tiempo  real 
podemos tener una visión general de la compañía y sus niveles de seguridad, 
de tal forma que se puedan tomar decisiones para mejorar posibles brechas 
de seguridad (figura 12) (CiudadesDelFuturo, 2017). 
 

 
Figura 12. Defensa en profundidad. 
Fuente: https://ciudadesdelfuturo.es/sin‐ciberseguridad‐no‐hay‐ industria‐4‐0.php 
© Universidad Internacional de La Rioja (UNIR) 

 
Las compañías deben prepararse frente a estas nuevas amenazas, ya que la nueva 
evolución  hacia  estas  tecnologías  las  convierte  en  objeto  de  ataque.  De  esta 
forma,  simples  dispositivos  como  una  impresora  o  un  frigorífico  inteligente,  así 
como sistemas de mayor complejidad como un control de accesos, se convierten en 

Ciberseguridad Industrial 
18
Tema 3. Ideas clave 
nuevos focos de interés para los ciberataques pudiendo convertirse en peligros de 
grandes dimensiones. 
 
Estos  ataques  contra  el  nuevo  concepto  del  Internet  industrial  de  las  cosas  (IIoT) 
son  objeto  de  preocupación,  destacando  los  sistemas  de  infraestructuras  críticas 
que  controlan  todos  los  procesos  en  tiempo  real  como  son  los  sistemas  SCADA 
(supervisión, control y adquisición de datos). Estos sistemas se gestionan a través de 
un  software  que  monitoriza  los  procesos  de  una  compañía  sin  la  necesidad  de 
presencia física en las instalaciones, pudiendo realizar el control a distancia (figura 
13). Estos sistemas se verán con mayor detalle en el siguiente apartado. 
 

 
Figura 13. SCADA.  
Fuente: http://www.etecvn.com/en/delta‐diaview‐scada‐system‐achieves‐highly‐efficient‐smart‐factory‐
management‐with‐flexible‐alarm‐function‐and‐hierarchical‐notification.html 
   
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
19
Tema 3. Ideas clave 
Ataques 
 
Existen diferentes tipos de ataques que pueden vulnerar los distintos tipos de sistemas 
de automatización industrial hoy en día: 
 
 ICS Insider: personal descontento de la compañía con acceso a los ICS (Internet 
conection sharing) que mediante ingeniería social consiguen contraseñas con la 
posibilidad de activar o desactivar funcionalidades de una compañía. 
 Ransomware  común:  consiste  en  un  software  malicioso  que  es  descargado  de 
forma accidental en una de las estaciones de trabajo de la compañía infectando 
las  comunicaciones  e  incluso  expandiéndose,  pudiendo  repercutir  en  daños 
graves. 
 Cero‐Day ransomware: consiste en una vulnerabilidad descubierta en un sistema 
que  aún  no  ha  implementado  un  parche  o  revisión  para  solventarlo,  y  que  es 
explotada en el espacio de tiempo entre la alerta de la brecha y la creación del 
parche.  Estos  ataques  suelen  ir  acompañados  de  troyanos,  rootkits,  virus, 
gusanos, etc., para infectar la mayor cantidad de terminales posibles. 
 
El  interés  de  mejora  en  la  seguridad  por  la  industria  4.0  de  las  compañías  ha 
aumentado  de  forma  considerable,  llegando  a  duplicar  las  inversiones  en 
ciberseguridad. Esto es debido a la digitalización de los datos que han realizado (o 
están  en  proceso)  las  compañías  y  los  métodos  de  almacenaje  de  los  mismos 
utilizando tecnologías en la nube. 
 
Compañías  como  Marisma  Shield  S.  L.,  experta  en  ciberseguridad  y  análisis  de 
riesgos, han conseguido mediante una amplia investigación generar adaptaciones 
de la ISO27000, una norma internacional emitida por la Organización Internacional 
© Universidad Internacional de La Rioja (UNIR) 

de  Normalización  (ISO)  que  describe  cómo  se  debe  gestionar  la  seguridad  de  la 
información  dentro  de  una  compañía.  Estas  adaptaciones  consisten  en  la 
ampliación  de  la  norma  a  las  necesidades  de  seguridad  de  las  infraestructuras 
críticas  y  la  industria  4.0,  generando  patrones  que  pueden  ser  modificados 

Ciberseguridad Industrial 
20
Tema 3. Ideas clave 
específicamente  para  los  distintos  sectores  industriales  y  configurando  y 
cumplimentando las amenazas propias de cada sector (figura 14). 
 

 
Figura 14. Amenazas I4.0. Fuente: Grupo de Investigación GSyA & Marisma Shield S.L. 
 
La metodología de análisis y gestión de riesgos que veremos en la siguiente unidad, 
incluye una herramienta que la soporta denominada eMarisma, la cual comprende 
diferentes entornos para la gestión de la seguridad, entre ellos el análisis de riesgos. 
 
De esta forma, eMarisma da la posibilidad de generar un análisis de riesgos 
basándose en un patrón donde se encuentran los controles, tipos de activos y 
amenazas que puede tener una compañía, de tal forma que podamos saber el 
estado de la compañía en cada momento mediante la monitorización de los 
cuadros de mando y los eventos de seguridad. 
 
Además,  permite  generar  un  plan  de  tratamiento  para  solventar  las 
vulnerabilidades más críticas (figura 15). 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
21
Tema 3. Ideas clave 
 
Figura 15. Cuadro de Mando I4.0. Fuente: Grupo de Investigación GSyA & Marisma Shield S.L. 
 
En el tema siguiente se verá con más detalle tanto la metodología MARISMA como 
eMarisma, la herramienta que la soporta. 
 
 

3.3. Sistemas SCADA 
 


l  sistema  SCADA  proviene  de  las  siglas  Supervisory  Control  And  Data 
Acquisition  (adquisición  de  datos  y  supervisión  de  control),  y  es  el  sistema 
usado  en  todo  tipo  de  industrias  para  automatizar  procesos  de  forma 
rápida y eficiente. Estos sistemas toman decisiones (generalmente preestablecidas) de 
forma  automática  en  función  de  valores  tomados  del  mundo  real  y  que  tienen, 
asimismo, una consecuencia sobre elementos reales. 
 
Estos sistemas son escalables y se adaptan especialmente bien a procesos industriales 
en  los  que  la  obtención  de  unos  valores  (temperatura,  humedad,  etc.)  dan  como 
© Universidad Internacional de La Rioja (UNIR) 

resultado  una  acción  concreta  (encender  una  bomba,  cerrar  una  válvula),  pudiendo 
llegar a niveles de complejidad muy elevados. 
 
Cada vez más, los SCADA se hacen imprescindibles en los procesos industriales tanto 
públicos  como  privados,  abarcando  prácticamente  todos  los  ámbitos  por  su 

Ciberseguridad Industrial 
22
Tema 3. Ideas clave 
contrastado  ahorro  de  tiempo  y  dinero.  Se  encuentran  no  solo  en  los  procesos  que 
requieren  una  mínima  seguridad  sino  también  en  casi  cualquiera,  ya  que  facilitan 
enormemente la monitorización de procesos, llegando incluso a usarse en aplicaciones 
de gestión personal (por ejemplo, saber cuánta energía se gasta en casa). 
 
No  hay  que  confundir  los  PLCs  con  los  SCADA.  Mientras  los  primeros  son  sistemas 
simples y robustos que dan una respuesta según unos valores de entrada, los SCADA 
además  controlan,  vigilan  y  supervisan  unidades  remotas  y  toman  acciones 
complejas, coordinando varios sistemas entre los que suelen estar los PLCs. SCADA es 
un  software  de  monitorización  remota  donde  las  entradas  y  salidas  suelen  estar 
representadas  en  imágenes  y  cada  objeto  está  representado  por  un  nombre,  de  tal 
forma que la interfaz hombre‐máquina es una parte importante del sistema. 
 
Un SCADA debe ser (Inductive Automation, 2018): 
 
 Capaz  de  crecer  y  adaptarse  conforme  a  las  necesidades  cambiantes  de  la 
empresa. 
 Comunicarse  con  facilidad  y  transparencia  con  el  usuario,  de  forma  fácil  e 
intuitiva. 
 Seguro y confiable. 
 Útil para el proceso, de tal forma que ayude a mejorarlo y hacerlo más eficiente y 
claro. 
 Capaz  de  supervisar,  medir  y  corregir  permitiendo  la  interacción  humana  en 
tiempo real. 
 Capaz de permitir un control remoto y de operación a distancia. 
 
En la figura 16, podemos ver una representación gráfica de los elementos anteriores. 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
23
Tema 3. Ideas clave 
 
Figura 16. Diagrama básico de SCADA. 
Fuente: https://inductiveautomation.com/what‐is‐scada 
 
Un sistema SCADA estaría formado por los siguientes componentes:  
 
Componentes software 
 
Supervisión 
 
Es fundamental que un operador humano supervise el estado del sistema y, además, 
hacerlo de manera sencilla accediendo a toda la información de forma rápida. Por esta 
razón se utiliza un formato gráfico representando el proceso industrial con indicadores 
de estado en las partes críticas del sistema. De esta forma se tiene, de un vistazo, una 
© Universidad Internacional de La Rioja (UNIR) 

idea general del sistema y de cómo se desarrolla el proceso en cada una de sus etapas 
(figura 17). 
 

Ciberseguridad Industrial 
24
Tema 3. Ideas clave 
 
Figura 17. Ejemplo de visualización de un SCADA. 
Fuente : https://www.sielcosistemi.com/en/systems/technology/what‐is‐scada‐software.html#WhatIsScada1 
 
Control 
 
El sistema debe ser capaz de tomar decisiones de forma autónoma para controlar el 
proceso  de  acuerdo  con  situaciones  preestablecidas.  Ha  de  tener  programadas  una 
serie de acciones para unos casos determinados teniendo en cuenta las implicaciones 
sobre  el  conjunto,  ya  sea  para  corregir  la  situación  o  simplemente  para  avisar  al 
operador humano. 
 
El sistema además debe ser lo suficientemente flexible para poder controlar no solo un 
proceso concreto, sino que debe adaptarse a los cambios productivos de la industria y 
tener  capacidad  de  respuesta  ante  ellos  sin  requerir  un  reprogramado  completo  del 
© Universidad Internacional de La Rioja (UNIR) 

sistema. 
 
Además, se debe permitir que el supervisor humano pueda controlar y actuar sobre el 
sistema aparte de las decisiones automáticas, pudiendo ser ambas complementarias 
(una acción humana puede ser restringida por la máquina por seguridad y viceversa). 

Ciberseguridad Industrial 
25
Tema 3. Ideas clave 
Como veremos más adelante, la capacidad de control es la que hace a los SCADA tan 
importantes y a la vez críticos, precisamente por la interacción humana y por el tipo de 
entornos que pueden llegar a controlar (figura 18). 
 

 
Figura 18. Ejemplo de interfaz y control de SCADA. Fuente: http://www.adasasistemas.com/ 
 
Adquisición de datos 
 
No solo se trata de obtener un input de los sensores del sistema, también debe aceptar 
las  órdenes  del  operador  humano  que  supervisa  el  proceso.  Es  fundamental  que 
existan  protocolos  de  limitación  de  errores  para  la  recepción  de  datos,  ya  que  los 
sensores pueden fluctuar sus valores bajo determinadas condiciones o la recepción de 
estos puede ser discontinua, especialmente si se manejan redes inalámbricas. 
 
Otros 
 
Los  anteriores  componentes  son  los  fundamentales  de  un  SCADA,  pero  en  general 
© Universidad Internacional de La Rioja (UNIR) 

disponen de más elementos que facilitan las tareas de programación, mantenimiento, 
registro, etc. 
 
Estos otros sistemas suelen comprender: la conexión con bases de datos que permite 
disponer  de  un  histórico  como  base  a  elaborar  previsiones  futuras,  la  generación  de 

Ciberseguridad Industrial 
26
Tema 3. Ideas clave 
informes  sobre  situaciones  o  la  exportación  a  otros  formatos  (Excel),  la  ejecución  de 
cálculos complejos que solo un ordenador puede realizar, el envío o recepción de datos 
a  la  red  (emails,  webs,  móviles…),  la  integración  con  otros  SCADAs,  la  adquisición  de 
datos por otros medios externos, etc. (figura 19). 
 

 
Figura 19. Esquema de adquisición de datos. 
Fuente : https://www.sielcosistemi.com/en/systems/technology/what‐is‐scada‐software.html#WhatIsScada1 
 
Componentes hardware 
 
Ordenador central o MTU (master terminal unit) 
 
Es  la  unidad  de  procesamiento  que  controla  todo  el  sistema,  pudiendo  ser  un  solo 
ordenador o un sistema distribuido en red. Es el encargado de recoger los datos de los 
© Universidad Internacional de La Rioja (UNIR) 

sensores  (RTU),  presentar  la  información  al  usuario  y  enviar  las  órdenes  a  los 
actuadores.  Como  vimos  anteriormente,  puede  tener  otras  muchas  funciones 
asociadas como ayudas al sistema y al operador. 
 
 

Ciberseguridad Industrial 
27
Tema 3. Ideas clave 
Unidad terminal remota o RTU (remote terminal unit) 
 
Es la unidad de procesamiento sobre cada uno de los elementos críticos del sistema, 
recogiendo  y  enviando  la  información  de  uno  o  varios  sensores  o  actuando 
directamente sobre un elemento físico, ejecutando una orden. No son ordenadores, ya 
que no requieren un alto nivel de complejidad. Tampoco son PLCs, aunque la tendencia 
es  la  de  convertirlos  en  RTUs.  Suelen  verse  como  interruptores  o  actuadores  en 
armarios de control. 
 

 
Figura 20. Imagen de RTU para montar en armario.  
Fuente: https://www.schneider‐electric.com/en/product‐range/63678‐foxboro‐scada‐
rtus?subNodeId=3984635168en_WW 
 
Instrumentos de campo 
© Universidad Internacional de La Rioja (UNIR) 

 
Se engloban aquí todos los elementos que permiten interactuar con el mundo real de 
forma  automática,  ya  sean  sensores,  actuadores  o  alarmas.  En  general,  estos 
instrumentos son de diferentes fabricantes, lo que se ha de tener en cuenta a la hora 

Ciberseguridad Industrial 
28
Tema 3. Ideas clave 
de comunicarlos con los RTUs. También hay que tener en cuenta en qué condiciones 
operan y en qué rango dejan de ser exactos o controlables. 
 
Red de comunicación 
 
La comunicación entre los diferentes elementos se realiza mediante un bus específico 
que se determina al crear el SCADA. En general se usan los estándares RS‐232, RS‐422 y 
RS‐485, y el TCP/IP para facilitar la conexión con todo tipo de redes (wifi, radio, cable, 
etc.) y permitir la comunicación WAN (Wide Area Network) para deslocalizar los RTUs o 
comunicar el terminal con el operador humano. 
 
En este apartado se hace imprescindible tener en cuenta conceptos como seguridad de 
la transmisión, errores de detección, velocidad de la comunicación y cobertura. Todo el 
conjunto SCADA es un sistema distribuido con sus ventajas e inconvenientes. 
 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
29
Tema 3. Ideas clave 
 
Figura 21. Esquema general de comunicación de un SCADA. 
Fuente: https://electrical‐engineering‐portal.com/scada‐dcs‐plc‐rtu‐smart‐instrument 
 
Ventajas de un SCADA 
 
Dejando  a  un  lado  las  ventajas  obvias  de  facilidad  de  visualización  y  manejo  de 
sistemas  industriales  complejos,  existen  otras  ventajas  a  tener  en  cuenta  (Csanyi 
2018): 
 
 El manejo de sustancias peligrosas o contaminantes se hace de forma remota y/o 
automática sin poner en riesgo a operadores humanos. 
 Gracias  a  los  dispositivos  portátiles  se  puede  conocer  el  estado  general  del 
© Universidad Internacional de La Rioja (UNIR) 

sistema  tanto  desde  un  centro  de  control  cercano,  desde  cualquier  otro  lugar 
lejano  o  desde  el  mismo  lugar  de  la  acción  para  labores  de  mantenimiento  o 
verificación. 

Ciberseguridad Industrial 
30
Tema 3. Ideas clave 
 La automatización como salvaguarda de la seguridad en sistemas complejos que 
evita  errores  humanos  impidiendo  acciones  lesivas  para  el  sistema  o  los 
trabajadores. 
 Previsión  de  futuro  y  registro  de  eventos  del  proceso  industrial  tanto  cuando 
todo es correcto como cuando no lo es tanto. 
 Alerta en previsión de un fallo o cuando este se produce de forma automática. 
 Es  un  sistema  flexible  que  se  adapta  a  cualquier  proceso  industrial,  o  incluso 
dentro  de  un  mismo  proceso  permite  alternar  entre  diferentes  líneas 
productivas. 
 Ahorro económico y de energía. 
 
SCADA en el mercado 
 
Multitud  de  empresas  se  dedican  a  crear  e  implantar  SCADA  en  todo  tipo  de 
industrias. Por lo general, disponen de un sistema propio que es adaptable al caso 
concreto. 
 
Se puede usar todo tipo de lenguaje, pero últimamente se adoptan los orientados a 
objetos  como  .net  o  Java.  También  suelen  disponer  de  paquetes  estructurados,  o 
incluso  personalizables  por  web  según  las  necesidades  (por  ejemplo,  el  sistema 
ECAVA  IGX:  https://www.integraxor.com/scada‐edition/),  e  incluso  los  hay  que 
disponen de módulos que pueden ser instalados progresivamente. 
 
A la hora de implementar un SCADA se debe tener en cuenta: 
 
 Seguridad del sistema. 
 Adaptabilidad a las necesidades presentes y futuras de la industria. 
© Universidad Internacional de La Rioja (UNIR) 

 Escalabilidad. 
 Si existe algún tipo de soporte, mantenimiento o actualización. 
 Si es posible ver previamente una demostración en vivo en una industria similar. 
 Qué elementos de la industria será necesario renovar para su instalación. 

Ciberseguridad Industrial 
31
Tema 3. Ideas clave 
 Cuánto  tarda  en  implementarse  el  sistema  y  si  es  necesario  interrumpir  el 
proceso productivo. 
 
Ciberseguridad en SCADA 
 
La mayoría de los problemas de seguridad de los SCADA están relacionados con la 
corrupción de la memoria, credenciales poco seguras, fallos de seguridad a la hora 
de  autentificarse  y  fallos  o  bugs  en  código  que  permiten  ejecutar  acciones 
indebidas o introducir valores, siendo este último el más común. 
 
En  la  mayoría  de  los  casos  podría  eliminarse  una  gran  cantidad  de  estas 
vulnerabilidades con un testeo y análisis básico, ya que la concepción de seguridad 
en SCADAs a nivel bajo y medio no suele ser una prioridad o una preocupación por 
parte de la dirección. Por otro lado, los fabricantes de estos sistemas relacionados 
se han centrado más en el hardware y en sus posibilidades que en el software en sí. 
 
Una  de  las  prioridades  para  los  futuros  fabricantes  de  software  de  SCADA,  sobre 
todo  a  nivel  HMI  (interfaz  hombre  máquina),  es  crear  estándares  de  seguridad  y 
actualizaciones periódicas mediante parches, tal y como se hace para otro tipo de 
aplicaciones. 
 
La motivación para los ciberataques puede ser muy variada: desde la mera prueba 
pasando  por  una  obtención  de  datos,  manipulación  del  proceso  para  beneficio 
propio  o  un  sabotaje  industrial  que  retrase,  detenga  o  destruya  la  producción. 
Igualmente, los agentes responsables pueden ser desde un hacker aficionado, uno 
profesional, un operador mal intencionado o torpe hasta incluso un Estado. 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
32
Tema 3. Ideas clave 
 
Figura 22. Diagrama de ataques más comunes a sistemas SCADA. 
Fuente: http://securityaffairs.co/wordpress/wp‐content/uploads/2015/04/SCADA‐Attack‐methods‐Dell‐
Report.png 
 
Recomendaciones de seguridad básicas 
 
Las recomendaciones básicas  en general no  difieren de  las que pueden emplearse 
en cualquier otro sistema informático distribuido (Tecnozero, 2018): 
 
 Control  de  acceso  físico  a  las  instalaciones  o  a  las  zonas  de  control:  se  debe 
limitar  el  acceso  no  solo  a  personas  sino  a  cualquier  elemento  que  pueda 
interferir  en  el  sistema  (por  ejemplo,  un  dron),  especialmente  si  es  una 
instalación crítica. 
 Utilizar  firewalls  específicos  y  limitar  las  reglas  de  acceso:  limitar  el  acceso  de 
cada  elemento  por  dirección  IP  y,  a  la  vez  evitar  el  acceso  de  programas 
© Universidad Internacional de La Rioja (UNIR) 

indeseados a la aplicación de la entrada. 
 Cifrar  los  datos  en  las  transmisiones:  la  comunicación  entre  los  diferentes 
elementos y el operador remoto debe ser cifrada para evitar que un tercero se 
interponga y falsee o acceda a datos sensibles. 

Ciberseguridad Industrial 
33
Tema 3. Ideas clave 
 Dividir  físicamente  la  red  de  acceso  al  HMI  y  la  de  HMI  con  los  RTU:  de  esta 
forma  se  limita  el  acceso  a  los  RTUs  únicamente  al  SCADA,  que  es  el  que  debe 
hacerlo. 
 Segmentar  el  sistema  como  elementos  aislados  con  únicamente  conexiones 
seguras  entre  ellos.  Especialmente  en  sistemas  grandes  o  distribuidos  debe 
considerarse cada parte como un elemento independiente al que solo se puede 
acceder  por  un  canal  seguro,  evitando  puertas  traseras.  De  esta  forma,  una 
intrusión en un elemento no interfiere en el resto y se puede acotar el daño. 
 Conectarse  a  SCADA  mediante  VPN:  de  esta  forma  se  limita  el  acceso  libre  de 
cualquier agente no autorizado. 
 Instalar  sistemas  específicos  de  protección  contra  malware  para  el  entorno  en 
que  se  trabaja.  Existen  empresas  que  desarrollan  este  tipo  de  software  para 
entornos industriales y lo mantienen actualizado. 
 Diseñar  un  protocolo  de  actuación  y  recuperación  en  caso  de  fallo  crítico.  Una 
vez  que  el  fallo  se  ha  producido,  ocasionando  una  posible  detención  del 
sistema,  se  debe  ser  capaz  de  levantarlo  de  forma  rápida  y  sin  riesgos  para  el 
proceso  industrial,  especialmente  en  las  partes  sensibles  que  pueden  estar  en 
ejecución y que pueden ser peligrosas para los equipos o las personas. 
 Sistema  de  backups  periódicos  en  entornos  seguros  y  alejados  del  original:  los 
datos  almacenados,  históricos  y  el  mismo  programa  deben  poder  recuperarse 
fácilmente. Para ello se deben hacer copias de forma periódica y almacenarse en 
un lugar separado transmitiéndose por canales seguros. 
 Sistema de auditorías: existen empresas especializadas capaces de detectar las 
vulnerabilidades del sistema y formar a los trabajadores en operatividad de los 
equipos y ciberseguridad. Las auditorías deben ser periódicas. 
 Sistemas  de  operado  manual  en  caso  de  fallo  del  sistema:  en  cualquier  caso, 
deben  existir  formas  manuales  de  operar  los  componentes  críticos  de  forma 
© Universidad Internacional de La Rioja (UNIR) 

sencilla, para así evitar daños catastróficos en la maquinaria, equipos y personal 
tanto ajenos como propios. 
 Seguridad  física  de  los  componentes  críticos:  disponer  de  protocolos  de 
actuación y sistemas redundantes para los casos de fallo, destrucción o avería 
de  los  componentes  críticos.  Un  ciberataque,  un  evento  fortuito  o  un  desastre 

Ciberseguridad Industrial 
34
Tema 3. Ideas clave 
natural  pueden  provocar  la  destrucción  de  elementos  físicos  no  críticos, 
afectando por proximidad a otros críticos (incendio, inundación, etc.). 
 Reportar ataques: un ataque detectado debe reportarse ya que puede ayudar a 
determinar  el  origen  o  el  sistema  empleado,  pudiendo  evitar  ataques  a  otras 
partes del sistema o incluso a otras industrias (ver figura 1). 
 
Ayuda gubernamental 
 
En  España  disponemos  del  Centro  Nacional  de  Protección  de  las  Infraestructuras 
Críticas  (CNPIC,  ver  figura  23),  que  define  y  establece  qué  infraestructuras  de 
carácter  industrial  son  de  una  importancia  crítica  para  el  país,  existiendo  un 
catálogo  de  estas  para  las  que  se  han  definido  unos  protocolos  de  seguridad  y 
acción en caso de ciberataque. 
 
Existe  un  CERT  (Computer  emergency  response  team,  equipo  de  respuesta  ante 
emergencias  informáticas)  como  un  conjunto  de  medios  y  personas  expertas  en 
ciberseguridad  de  los  sistemas  industriales  críticos  designados  como  tales  por  el 
CNPIC.  Son  los  encargados  de  investigar,  prevenir  y  dar  respuesta  a  las 
ciberamenazas  industriales  y,  por  extensión,  a  las  relacionadas  con  SCADAs.  Este 
equipo trabaja en conjunto con el operador y le advierte e informa de las posibles 
amenazas,  así  como  asiste  en  la  incorporación  de  medidas  de  seguridad, 
seguimiento de incidentes e incluso asesoramiento jurídico. 
 

 
© Universidad Internacional de La Rioja (UNIR) 

Figura 23. Logotipo del CNPIC. 
Fuente: http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/index.html 
   

Ciberseguridad Industrial 
35
Tema 3. Ideas clave 
Vulnerabilidades en SCADA 
 
El  conocimiento  de  las  vulnerabilidades  de  los  sistemas  es  crucial  en  los 
ciberataques.  En  el  caso  de  los  SCADA,  donde  el  testeo  y  las  actualizaciones  son 
escasas, suelen darse con facilidad. Por esta razón el proveedor de software y el que 
implanta  el  sistema  deben  ser  empresas  confiables  y  además  facilitar  las  medidas 
(que ya se mencionaron) para limitar intrusiones (ElectronicosOnline, 2017). 
 
La vulnerabilidad de día cero son aquellas que ya tiene un sistema desde el mismo 
momento de crearse y que pueden haber pasado desapercibidas en la creación de 
este o bien se han creado con el propósito de acceder de forma furtiva. 
 
Existe  un  mercado  para  este  tipo  de  vulnerabilidad  con  compradores 
gubernamentales  interesados  en  poder  acceder  a  SCADAs  de  infraestructuras 
críticas extranjeras (centrales nucleares, redes eléctricas, etc.) y poder proteger las 
propias.  Por  ello  diferentes  organismos  como  el  CNPIC  ayudan  en  la  seguridad  de 
SCADAs. 
 
Existen  además  páginas  y  organismos  particulares  que  ayudan  en  la  detección  de 
vulnerabilidades,  muchas  veces  de  forma  gratuita  (Por  ejemplo:  AGORA  SCADA: 
http://www.gleg.net/agora_scada.shtml). En la figura 24 se puede ver un rango de 
precios de las vulnerabilidades en el mercado negro. 
 
© Universidad Internacional de La Rioja (UNIR) 

 
Figura 24. Rango de precios de vulnerabilidades en el mercado negro en 2014. 
Fuente: https://resources.infosecinstitute.com/how‐much‐is‐a‐zero‐day‐exploit‐for‐an‐scadaics‐system/#gref 
 
 
 

Ciberseguridad Industrial 
36
Tema 3. Ideas clave 
Incidentes reales 
 
No  es  fácil  conocer  la  cantidad  real  de  ataques  a  SCADA  en  el  mundo  ya  que  en 
muchos  casos  se  camuflan  como  accidentes,  otras  veces  no  se  denuncian  y  otras 
simplemente no son detectados. Además, un problema añadido es poder identificar 
al  ejecutor  del  ataque,  que  en  el  caso  de  infraestructuras  críticas  puede  haber 
pasado años planeando y elaborando dicho ataque. De hecho, se estima que en el 
38  %  de  los  casos  no  se  puede  identificar  al  atacante.  Por  otro  lado,  los  ataques 
suelen  provenir  de  grupos  organizados  o  incluso  Estados,  disponiendo  de  unos 
recursos a veces ilimitados (Veiguela, 2013). 
 
Existen casos de ataques de forma constante pero no suelen llegar a los medios de 
comunicación y no son conocidos por el público pese a su importancia geopolítica y 
estratégica: 
 
 Organizaciones  como  ReVuln  se  encargan  de  descubrir  y  publicar 
vulnerabilidades importantes en SCADA como la detectada en el software HMI, 
de uso muy extendido (18 de abril de 2014). 
 EE. UU. e Israel lograron detener el programa nuclear iraní infiltrando un virus en 
el software  de control  de  las centrifugadoras  de  uranio llegando  hasta los  PLCs 
(2009‐2010). 
 La  CIA  (Agencia  Central  de  Inteligencia)  consiguió  infiltrar  un  software 
defectuoso  en  el  control  de  la  presión  de  gas  de  los  oleoductos  rusos, 
provocando  una  de  las  mayores  explosiones  no  nucleares  jamás  registradas 
(1982). 
 Un atacante desconocido atacó una empresa metalúrgica alemana accediendo a 
las redes de producción de tal forma que varió los parámetros para que un horno 
© Universidad Internacional de La Rioja (UNIR) 

industrial  no  pudiera  ser  apagado,  provocando  un  daño  masivo  a  la  planta. 
(2014). 
 

Ciberseguridad Industrial 
37
Tema 3. Ideas clave 
Durante  el  año  2017  se  detectaron  más  de  26  000  ciberincidentes  en  empresas 
españolas críticas tanto públicas como privadas, creciendo un 26 % respecto a años 
anteriores según el Centro Criptológico Nacional: https://www.ccn‐cert.cni.es/. 
 
El futuro del SCADA 
 
SCADA  ya es  un elemento fundamental en el plano industrial y no  se concibe un 
proceso  que  no  disponga  de  esta  automatización  y  control,  tanto  por  seguridad 
como por facilidad de manejo y estandarización (DIYMakers, 2014). 
 
El  sistema  en  su  conjunto  ha  ido  evolucionando  conforme  lo  ha  ido  haciendo  el 
sector tecnológico, desde simplemente la forma de visualización de los datos hasta 
la deslocalización de elementos y el uso de bases de datos. 
 
Cada  vez  se  extiende  más  el  uso  desde  elementos  portátiles  (como  móviles)  para 
poder controlar o recibir avisos en cualquier lugar, así como la comunicación entre 
diferentes  SCADA  para  la  coordinación  de  producciones  a  cualquier  escala  (ver 
figura  25).  Cada  vez  se  demanda  más  versatilidad  y  facilidad  de  implementación 
para los sistemas, creciendo hacia la conectividad, elementos en la nube y sistemas 
inteligentes  de  monitorización  y  control.  Se  incorporan  cada  vez  más  elementos 
multimedia  como  vídeo  o  audio,  y  se  produce  una  mejora  en  los  sistemas 
operativos y en la creación de software y ampliación de las capacidades y velocidad 
de  comunicación.  Empresas  especializadas  trabajan  en  software  IA  (inteligencia 
artificial) para el control eficiente del sistema y la gestión de la seguridad. 
 
Además, la proliferación y el abaratamiento de los componentes permite cada vez 
más  la  democratización  de  los  componentes  básicos  para  crear  un  SCADA,  y  en 
© Universidad Internacional de La Rioja (UNIR) 

muchos  casos  unos conocimientos básicos son suficientes para poder hacerlo. Por 


ejemplo,  existe  la  posibilidad  de  crearnos  nuestros  propio  SCADA  y  PLC  caseros 
mediante Arduino o Rasperry, que si bien no serían capaces de controlar un proceso 
industrial  sí  que  serían  útiles  para  cualquier  otro  proceso  casero  gracias  a  su 
variedad de sensores y componentes a bajo precio. 

Ciberseguridad Industrial 
38
Tema 3. Ideas clave 
 
Figura 25. HMI SCADA para todo tipo de dispositivos. 
Fuente: https://w5.siemens.com/spain/web/es/industry/automatizacion/hmi/pages/scada.aspx 
 
 

3.4.  Diagnóstico  técnico  y  organizativo  de  la 


ciberseguridad industrial 
 


omo  hemos  visto  en  los  apartados  anteriores,  uno  de  los  principales 
problemas de la seguridad en este tipo de sistemas es la seguridad de las 
redes  y  los  sistemas  SCADA,  pero  tenemos  que  ver  cómo  podemos 
realizar un diagnóstico técnico para poder identificar estos problemas y 
dar una solución a los mismos. 
 
Objetivos 
 
Los objetivos que se buscan conseguir con un diagnóstico de ciberseguridad son: 
 
© Universidad Internacional de La Rioja (UNIR) 

 Conocer el estado de la ciberseguridad de una instalación industrial. 
 Identificar sus puntos débiles. 
 Proporcionar  información  actualizada  y  completa  acerca  de  la  arquitectura  de 
redes y sistemas de la instalación. 
 Entender los riesgos que afronta la instalación. 

Ciberseguridad Industrial 
39
Tema 3. Ideas clave 
 Proponer recomendaciones de mejora. 
 
Estos  objetivos  se  conseguirán  mediante  la  realización  de  un  análisis  de  riesgos 
detallado,  bajo  uno  o  varios  patrones  específicos  de  seguridad.  En  la  siguiente 
unidad  se  verá  cómo  se  puede  realizar  un  análisis  de  riesgos  utilizando  la 
metodología  de  análisis  de  riesgos  MARISMA  y  se  construirán  análisis  sobre  la 
herramienta eMarisma. 
 
Los  servicios  de  análisis  de  riesgos,  y  más  cuando  hablamos  de  servicios  sobre 
infraestructuras  industriales,  son  servicios  muy  especializados  y  que  cada  vez  se 
demandan  más,  al  estar  apareciendo  nuevas  leyes  que  exigen  que  los  sistemas 
tengan siempre un análisis de riesgos adecuado y actualizado. 
 
Documentos previos 
 
Cuando  vamos  a  iniciar  un  diagnóstico  técnico  en  una  infraestructura  industrial 
tenemos que preparar una serie de documentos: 
 
 Definir las reglas de enfrentamiento (ROE: Rules of Engagement): se trata de un 
conjunto de reglas en las que se definen las condiciones, intensidad y forma en 
la  que  los  «combatientes»  están  autorizados  a  usar  la  fuerza  contra  los 
atacantes. En el campo de la ciberseguridad esto presenta una peculiaridad, y es 
que  en  muchos  casos  los  atacantes  lo  son  de  forma  involuntaria  (por  ejemplo: 
redes zombis, bot‐net). 
 Establecer  el  escenario  de  los  trabajos:  para  esto  es  de  vital  importancia 
determinar  el  alcance  de  la  revisión,  ya  que  puede  hacer  variar  mucho  los 
resultados obtenidos. 
© Universidad Internacional de La Rioja (UNIR) 

 Firmar  acuerdos  de  confidencialidad:  estos  acuerdos  son  una  garantía  para  el 
cliente  de  que  el  auditor  mantendrá  el  más  estricto  secreto  respecto  a  la 
información  a  la  que  tenga  acceso.  Este  tipo  de  acuerdo  también  es  vital  para 
cumplir con las leyes de protección de datos personales, o en el caso de Europa 

Ciberseguridad Industrial 
40
Tema 3. Ideas clave 
con la GDPR (General Data Privacy Regulation) que entró en vigor el 25 de mayo 
del 2018. 
 Firmar el documento de exención de responsabilidades (get out of jail card): este 
es  un  documento  orientado  a  proteger  al  auditor  frente  a  los  fallos  que 
posteriormente  puedan  aparecer  en  al  sistema  auditado.  El  auditor  se 
compromete a seguir un código deontológico y actuar con el cuidado debido, y 
siempre conforme a las reglas de enfrentamiento que se hayan definido. 
 

Pasos para el diagnóstico 
 
Una vez que hemos realizado los pasos previos y firmado los documentos, estamos 
en disposición de iniciar el diagnóstico de la empresa o del alcance definido dentro 
de esta. 

El diagnóstico estará formado por cuatro fases: 
 
 Recopilación de la información: supone mantener una entrevista con el personal 
de la empresa en la que se pueda obtener la documentación relevante. En esta 
fase podemos distinguir dos subfases: 
• Identificación de los RR. HH: se deben identificar los interlocutores válidos de 

la  empresa,  que  tendrán  diferentes  perfiles.  Siempre  se  debe  transmitir 
seriedad  y  profesionalidad,  intentando  tener  siempre  una  actitud  positiva  y 
constructiva. 
• Documentación: entre otros documentos se debe solicitar un organigrama de 
la  compañía,  el  mapa  de  red,  procedimientos  y  políticas  e  información 
general  sobre  la  instalación.  En  este  sentido,  seguir  el  checklist  de  controles 
de la ISO27001 puede ayudar. 
© Universidad Internacional de La Rioja (UNIR) 

 Verificación:  la  información  se  obtiene  por  medio  de  entrevistas  y  de  la 
documentación facilitada, pero esto presenta algunos inconvenientes, ya que esa 
documentación  puede  estar  obsoleta  o  ser  imprecisa  y  las  entrevistas  suelen 
estar  sesgadas  y  contar  con  un  elevado  nivel  de  subjetividad.  Por  ello,  debe 

Ciberseguridad Industrial 
41
Tema 3. Ideas clave 
poderse acceder físicamente a las instalaciones (acceso físico al sistema, visita a 
las plantas, recopilación de información nosotros mismos, etc.). 
• Advertencia: uno de los grandes problemas de los ambientes OT frente a los IT 
es  que  son  mucho  más  inestables,  por  lo  que  las  pruebas  se  tienen  que 
realizar de una forma mucho más controlada. 
 Consolidación:  para  consolidar  los  hallazgos  debemos  siempre  recoger 
evidencias.  Para  ello  podemos  revisar  las  configuraciones,  buscar  activos  no 
actualizados o redes desactualizadas, o relacionar datos de varias partes que nos 
permitan  obtener  conclusiones.  Estas  siempre  se  deben  soportar  sobre 
evidencias  demostrables,  y  siempre  tener  una  finalidad  constructiva.  Para  las 
empresas es importante poder entender las decisiones que tienen que tomar. 
 Presentación  de  resultados:  finalmente,  una  vez  que  tenemos  todos  los 
resultados  del  sistema,  es  muy  importante  elaborar  un  informe  ejecutivo  que 
refleje claramente la situación actual y un apartado reflejando las posibilidades 
de  mejora.  Este  informe  debe  incluir  las  evidencias  encontradas  y  un  resumen 
final  pensado  para  los  altos  mandos,  y  a  ser  posible  debe  tener  información 
visual que sea fácilmente interpretable (gráficas, tablas comparativas). 
• Advertencia:  en  la  presentación  se  deben  reflejar  los  resultados  más 
relevantes, siempre buscando las causas y no los culpables, con actitud muy 
constructiva  y  positiva,  evitando  los  detalles  técnicos  si  asiste  personal 
directivo.  Finalmente,  este  informe  siempre  es  recomendable  que  tenga  un 
carácter previo  y no definitivo, de forma que pueda dar lugar a  un debate e 
intercambio  de  opiniones,  permitiendo  sufrir  alguna  modificación  si  queda 
bien justificada. 
 
 

3.5. Referencias bibliográficas 
© Universidad Internacional de La Rioja (UNIR) 

 
Aldakin. (agosto de 2018). Automatización Industrial y robótica. Qué es y sus claves 
de  éxito.  aldakin.com.  Recuperado  de  http://www.aldakin.com/automatizacion‐
industrial‐robotica‐claves‐exito/ 

Ciberseguridad Industrial 
42
Tema 3. Ideas clave 
ANSI/ISA‐62443‐4‐1‐2018,  Security  for  industrial  automation  and  control  systems 
Part 4‐1: Product security development life‐cycle requirements. 
 
Barrett,  M. (2018).  Framework  for  Improving Critical  Infrastructure   Cybersecurity. 
Version 1.1. NIST (National Institute of Standards and Technology). U.S. Department 
of Commerce. 
 
Crespo,  W.  (2011).  ¿Qué  es  la  Automatización  Industrial?  [Mensaje  en  un  blog]. 
Recuperado de  
https://automatizacionindustrial.wordpress.com/2011/02/09/queeslaautomatizaci
onindustrial/ 
 
CiudadesDelFuturo.  (agosto  de  2017).  Sin  ciberseguridad  no  hay  Industria  4.0. 
[Mensaje  en  un  blog].  Recuperado  de  https://ciudadesdelfuturo.es/sin‐
ciberseguridad‐no‐hay‐industria‐4‐0.php 
 
Csanyi,  E.  (25  de  abril  de  2018).  Five  Terms  You  MUST  Be  Familiar  With:  SCADA, 
DCS,  PLC,  RTU  and  Smart  Instrument  [Mensaje  en  un  blog].  Recuperado  de 
https://electrical‐engineering‐portal.com/scada‐dcs‐plc‐rtu‐smart‐instrument 
 
Deloitte.  (agosto  de  2018).  ¿Qué  es  la  Industria  4.0?  Davos  y  la  Industria  4.0. 
deloitte.com. Recuperado de  
https://www2.deloitte.com/es/es/pages/manufacturing/articles/que‐es‐la‐
industria‐4.0.html 
 
DIYMakers. (2 de mayo de 2014). Software Tools for Makers: un Scada para Arduino 
[Mensaje  en  un  blog].  Recuperado  de  http://diymakers.es/software‐tools‐makers‐
© Universidad Internacional de La Rioja (UNIR) 

un‐scada‐para‐arduino/ 
   

Ciberseguridad Industrial 
43
Tema 3. Ideas clave 
Electro Industria. (2018). Automatización Neumática en la Industria. Un sistema de 
producción  rápido,  limpio  y  seguro.  [Mensaje  en  un  blog].  Recuperado  de 
http://www.emb.cl/electroindustria/articulo.mvc?xid=3118 
 
Electronicos  Online.com.  (3  de  julio  de  2017).  He  aquí  las  vulnerabilidades  más 
latentes  de  los  Sistemas  SCADA.  electronicosonline.com.  Recuperado  de: 
https://www.electronicosonline.com/he‐aqui‐las‐vulnerabilidades‐mas‐latentes‐de‐
los‐sistemas‐scada/ 
 
Grup  Mcr.  (29  de  julio  de  2016).  Ventajas  y  desventajas  de  la  automatización 
industrial  [Mensaje  en  un  blog].  Recuperado  de  https://www.mcr.es/ventajas‐y‐
desventajas‐de‐la‐automatizacion‐industrial/ 
 
Grupo Garatu. (2018). Ciberseguridad contra los “hackers” de la nueva Industria 4.0. 
grupogaratu.com.  Recuperado  de  https://grupogaratu.com/ciberseguridad‐y‐los‐
hackers‐de‐la‐industria‐40/ 
 
Inductive  Automation.  (2018).  What  is  SCADA?  inductiveautomation.com. 
Recuperado de https://inductiveautomation.com/what‐is‐scada 
 
INFAIMON.  (2018).  [R]evolución  artificial.  Blog  con  soluciones  de  visión  artificial  y 
nuevas tecnologías para mejorar la calidad de tus productos [Blog]. Recuperado de: 
https://blog.infaimon.com/ 
 
Isbel G. (2011). El Blog de Isbelg [Blog]. Recuperado de http://isbelg.over‐blog.com/ 
 
JOM  (2016).  Tipos  de  automatización  industrial  ¿Cuál  es  el  más  indicado? 
© Universidad Internacional de La Rioja (UNIR) 

estampacionesjom.com. 
 
Lazaro, P. (16 de mayo de 2016). La importancia de la ciberseguridad en la Indutria 
4.0. euskaditecnologia.com. Recuperado de https://www.euskaditecnologia.com/la‐
importancia‐de‐la‐ciberseguridad‐en‐la‐industria‐4‐0/ 

Ciberseguridad Industrial 
44
Tema 3. Ideas clave 
OASYS.  (20  de  abril  de  2017).  La  Importancia  de  la  Ciberseguridad  en  la  Industria 
4.0.  [Mensaje  en  un  blog]  Recuperado  de  https://oasys‐sw.com/ciberseguridad‐
industria‐40/ 
 
Pardos, J. A. (agosto de 2014). Historia de la Oleohidráulica [Mensaje en un blog]. 
Recuperado  de  https://www.seas.es/blog/energias_renovables/historia‐de‐la‐
oleohidraulica/ 
 
Rodriguez, P. (3 de abril de 2013). Redes PLC (I): Qué son y para qué sirven [Mensaje 
en un blog]. Recuperado de https://www.xatakahome.com/la‐red‐local/redes‐plc‐i‐
que‐son‐y‐para‐que‐sirven 
 
Tecnozero. (2018). Seguridad en sistemas SCADA [Mensaje en un blog]. Recuperado 
de  https://www.tecnozero.com/blog/ciberseguridad‐industrial‐la‐seguridad‐en‐
infraestructuras‐criticas/ 
 
UNE‐ISO/IEC‐27000:  2014.  Information  technology  ‐‐  Security  techniques  ‐‐ 
Information security management systems – Overview and vocabulary. 
 
Veiguela, L. G. (2013). Los ciberataques (conocidos) más importantes. esglobal.org. 
Recuperado  de  https://www.esglobal.org/la‐lista‐los‐ciberataques‐conocidos‐mas‐
importantes/ 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
45
Tema 3. Ideas clave 
A fondo 
Ciberseguridad en Sistemas de Automatización Industriales 
 

Schrecker,  S.  (2015).  Ciberseguridad  en  sistemas  de  automatización  industriales. 


schneider‐electric.es. 
 
Artículo en el que Sven Schrecker, arquitecto jefe del Grupo IoT Security Solutions 
de  Intel  Security,  plantea  las  características  básicas  de  las  necesidades  de 
ciberseguridad  en  sistemas  de  automatización  industriales,  estableciendo  también 
los  requisitos  básicos  de  este  tipo  de  sistemas  y  las  problemáticas  a  tener  en 
cuenta. 
 

Accede al documento a través del aula virtual o desde la siguiente dirección web: 
https://www.schneider‐electric.es/es/work/insights/industrial‐automation‐
systems‐cybersecurity.jsp 
 
 
Ciberseguridad en Redes de Control Industrial (SCADA) 
 

Moya, S. (2017). Ciberseguridad en redes de control industrial (SCADA) [Mensaje en un 
blog]. 
 
Artículo en el que Antonio Ortiz Islas, ingeniero en Comunicaciones y Electrónica y 
experto en seguridad informática, realiza una definición de los sistemas de control 
© Universidad Internacional de La Rioja (UNIR) 

industrial tipo SCADA y repasa las principales políticas de seguridad en las redes. 
 

Accede al documento a través del aula virtual o desde la siguiente dirección web: 
http://isamex.org/intechmx/index.php/2017/09/22/ciberseguridad‐en‐redes‐de‐
control‐industrial‐scada/ 

Ciberseguridad Industrial 
46
Tema 3. A fondo 
Ciberseguridad en TPVs y Scada 
 
Vídeo en el que se entrevista a David Sancho, investigador antivirus de Trend Micro. 
En dicha entrevista se desgranan los problemas y necesidades de seguridad de los 
sistemas SCADA y TPV, los ciberataques efectuados a sistemas TPV, las normativas 
que tratan de fomentar la ciberseguridad en sistemas industriales y los avances en 
investigación sobre ciberseguridad en sistemas SCADA. 
 

 
 

Accede al documento a través del aula virtual o desde la siguiente dirección web: 
https://www.youtube.com/watch?v=‐9BpOPE8‐eo 
 
   
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
47
Tema 3. A fondo 
Vulnerabilidades en SCADA 
 

Trend  Micro  (23  de  mayo  de  2017).  The  State  of  SCADA  HMI  Vulnerabilities. 
trendmicro.com. 
 
Artículo en el que se revisan los tipos de ataque susceptibles de sufrir por sistemas 
SCADA  a  través  de  HMI  (interfaces  hombre‐máquina),  las  principales 
vulnerabilidades  de  este  tipo  de  sistemas  y  comparativas  con  otros  tipos  de 
sistemas. 
 

Accede al documento a través del aula virtual o desde la siguiente dirección web: 
https://www.trendmicro.com/vinfo/nl/security/news/vulnerabilities‐and‐
exploits/the‐state‐of‐scada‐hmi‐vulnerabilities 
 
 
Ciber‐vulnerabilidades en infraestructuras críticas 
 

Esteve,  J.  (2015).  'Hackear'  la  red  ferroviaria  es  posible:  así  se  paraliza  todo  un  país. 
elconfidencial.com 
 
Artículo en el que, de forma amena y coloquial, se introduce la problemática de la 
seguridad en las infraestructuras críticas, el aumento de los ciberataques que obliga 
a  una  constante  monitorización  activa  de  la  seguridad  y  los  efectos  que  estos 
ataques pueden acarrear. 
 

Accede al documento a través del aula virtual o desde la siguiente dirección web: 
© Universidad Internacional de La Rioja (UNIR) 

https://www.elconfidencial.com/tecnologia/2015‐12‐30/asi‐se‐puede‐poner‐en‐
jaque‐a‐la‐red‐ferroviaria_1128591/ 
 
 
 

Ciberseguridad Industrial 
48
Tema 3. A fondo 
Test 
1. ¿Qué concepto asocia mejor con un sistema SCADA? 
 
A. Son sistemas utilizados para la automatización de procesos. 
B.  Son  sistemas  de  supervisión  y  control  utilizados  para  los  procesos 
industriales. 
C. Son sistemas de supervisión, control y adquisición de datos utilizados para 
la automatización de procesos industriales. 
D. Son sistemas de adquisición de datos que se utilizan para agilizar el proceso 
de búsqueda de datos. 
 
2. ¿De qué redes convergentes se compone un sistema SCADA? 
 
A. Red de control, red corporativa, red local y red global. 
B. Red de planificación, red de área local y red global. 
C. Red de área local, red de área amplia y red corporativa. 
D. Red de control y red corporativa. 
 
3. ¿En qué consiste la automatización industrial? 
 
A.  En  la  gestión  de  monitorizar  diferentes  dispositivos  para  que  funcionen 
automáticamente en la medida de lo posible. 
B. En la planificación de los diferentes recursos humanos de una industria para 
que trabajen de una forma más eficiente y automatizada gracias a las últimas 
tecnologías. 
C.  En  la  gestión  de  programar  diferentes  dispositivos  para  que  sigan  con  el 
© Universidad Internacional de La Rioja (UNIR) 

funcionamiento  de  las  tareas,  una  vez  que  los  recursos  humanos  de  una 
industria acaben su jornada. 
D. En la gestión de programar máquinas para que trabajen durante toda una 
cadena de producción con la mayor rapidez posible. 

Ciberseguridad Industrial 
49
Tema 3. Test 
 
4. ¿Qué tipos de automatización existen? 
A. Variable, programable y flexible. 
B. Flexible, fija y ordenada. 
C. Programable, flexible y fija. 
D. Fija, variable, flexible y ordenada. 
 
5. ¿Qué ataques pueden vulnerar los distintos sistemas de automatización 
industrial actualmente? 
A. Cero – day ransomware. 
B. Ransomware común. 
C. ICS Insider. 
D. Todas son correctas. 
 
6. Un SCADA debe ser: 
A. Capaz de crecer y adaptarse conforme a las necesidades cambiantes de la 
empresa. 
B. Seguro y confiable. 
C. Capaz de permitir un control remoto y de operación a distancia. 
D. Todas son correctas. 
 
7. ¿Qué componentes forman un sistema SCADA? 
A. Software. 
B. Hardware. 
C. Software y hardware. 
D. Redes. 
 
© Universidad Internacional de La Rioja (UNIR) 

8. ¿Qué se debe tener en cuenta a la hora de implementar un SCADA? 
A. La seguridad del sistema. 
B. La escalabilidad. 
C. La adaptabilidad a las necesidades presentes y futuras de la industria. 
D. Todas son correctas. 

Ciberseguridad Industrial 
50
Tema 3. Test 
9. ¿Qué objetivos se buscan conseguir con un diagnóstico de ciberseguridad? 
A. Conocer los virus que atacan al sistema para poder crear una defensa que 
impida ese ataque. 
B. Identificar las distintas maneras en las que se puede recibir un ataque y las 
causas que pueden afectar al sistema. 
C. Proporcionar información actualizada y completa acerca de la arquitectura 
de redes y sistemas de la instalación, identificar los puntos débiles y entender 
los riesgos que afronta la instalación. 
D. Proporcionar información de las vulnerabilidades del sistema. 
 
10. ¿De qué pasos se compone un diagnóstico de seguridad de una empresa? 
A. Recopilación de información, identificación del problema, solución 
B.  Recopilación  de  información  sobre  los  problemas,  y  el  desarrollo  de  las 
diferentes soluciones para estos. 
C.  Recopilación  de  la  información,  verificación,  consolidación  y  presentación 
de resultados. 
D. Recopilación de la información, consolidación, entrega de documentación y 
solución. 
 

 
 
© Universidad Internacional de La Rioja (UNIR) 

Ciberseguridad Industrial 
51
Tema 3. Test