Pablo Rangel

Cybersecurity Consultant

Conceptos de ciberseguridad y su impacto

en la
red inteligente
WebINER
Capacitación online en Eficiencia Energética y Energías Renovables 2015
Julio del 2015
Copyright © Proprietary
Copyright Information
© Proprietary Information 1
 Esquema

• Introducción a la ciberseguridad
• Cultura de hacking
• Enseñanza pedagógica sobre ciberseguridad
• Ciberseguridad en la Red Inteligente y Sistemas de
Control Industrial

Copyright © Proprietary Information 2

Ataques cibernéticos en América Latina

Tendencias en la ciberseguridad en América Latina y el

Caribe y respuestas de los gobiernos. Trend Micro
2012. Organizacion de los Estado Americanos

Tendencias de seguridad cibernetica en America latina y

el Caribe. Symantec. Junio 2014. Organizacion de los
Estado Americanos
Copyright © Proprietary Information 3
Ciberdelincuencia en América Latina

Copyright © Proprietary Information 4

Sistemas de Control Industrial Expuestos en la Red en el 2012

Copyright © Proprietary Information 5

Introducción a la
ciberseguridad

Copyright © Proprietary Information 6

 ¿Por qué es importante la ciberseguridad?
• Nuestro modo de vida depende de la infraestructura crítica y la
evolución de su tecnología digital que se necesita para ayudar a
operarla y administrarla.
• Infraestructura crítica es un término usado por los gobiernos para
describir activos que son esenciales para el funcionamiento de una
sociedad y economía.
• Ciberseguridad es una de las prioridades de seguridad nacional de
las economías más importantes del mundo por como afecta todos
sus aspectos importantes (infraestructura, educación, negocios, etc.).
• Como individuos, los riesgos de ciberseguridad pueden amenazar
nuestras finanzas, identidad y privacidad.
• Cada uno de nosotros tiene un papel que desempeñar — la
ciberseguridad es una responsabilidad compartida.

Copyright © Proprietary Information 7

 Aseguramiento de la información
• Asegurando la información y gestión de riesgos
– uso, procesamiento, almacenamiento y transmisión de información o
datos
– los sistemas y procesos utilizados para esos fines.
• Protección de la:
– Integridad: mantener y asegurar la exactitud y consistencia de los datos
durante todo su ciclo de vida
– Disponibilidad: la información debe estar disponible cuando sea
necesario
– Autenticidad: asegurar que los datos, transacciones, todas las partes
involucradas, comunicaciones o documentos (electrónicos o físicos) son
auténticos.
– No repudio: implica la intención de cumplir con las obligaciones de un
contrato.
– Confidencialidad: se refiere a limitar acceso a la información y la
divulgación a los usuarios autorizados, “el usuario correcto"--e impedir el
acceso o divulgación para los desautorizados--"las ususarios
incorrectos".
• Es digital, pero también forma analógica o física.
• Las protecciones se aplican para:
– datos en tránsito (físico y electrónico)
– datos en reposo en varios tipos de instalaciones de almacenamiento
físicas y electrónicas.

Copyright © Proprietary Information 8

 El adversario viene en muchas formas

"Alguien entró en tu computadora, pero parece

que es la obra de un hacker inexperto"

He entrado en la computadora
de la escuela, y reprobé a
todos los profesores

"¿Quién está siendo retenido en

cargos de piratería informática"?

Copyright © Proprietary Information 9

 Tipos de adversarios en ciberseguridad

• Novato: Un adversario sin entrenamiento,

sólo usa herramientas “open source”
gratuitas

• Intermedio: Un adversario con poco

entrenamiento, algún nivel de financiación,
utiliza herramientas ya sea comprado o
intercambiado en línea

• Experto: Un adversario con habilidades

maduras y que utiliza aplicaciones
personalizadas. Tambien utiliza herramientas
compradas y “open source”: Extranjeros
patrocinados y hacktivistas

Copyright © Proprietary Information 10

 Entendiendo a el adversario
"Si conoces al enemigo y te conoces a ti mismo, no
necesitas temer el resultado de cien batallas.
Si te conoces a ti pero no al enemigo, por cada victoria
ganada también sufrirás una derrota.
Si no conoces ni el enemigo ni a ti mismo, sucumbirás en
cada batalla.“
― Sun Tzu, El Arte de la Guerra.

Copyright © Proprietary Information 11

 ¿Por qué es el adversario tiene exito?
Adversario
• Algunos entienden correctamente
las vulnerabilidades del sistema
– Ej. Los hackers elite que entienden
completamente el sistema y sus
limitaciones
• Sentido de comunidad
– Ej. hacker de sombrero negro elite
que comparte conocimientos con
skiddies entre otros actores
maliciosos
• El tiempo no es una restricción
– Ej. buscan vulnerabilidades por
diversión o desafío en su propio
tiempo.
Copyright © Proprietary Information
Defensor
• Creador o diseñador del sistema
– Ej. tiene el conocimiento, pero los
requisitos de seguridad del sistema
son débiles. No hay seguridad
adecuada en el diseño.
• Aislamiento de Tecnología
– Ej. Tecnología patentada que no
puede compartirse.
• El tiempo es dinero
– Ej. Necesitam entregar resultados en
un plazo definido. La seguridad es
vista como no rentable.
12
12
Vulnerabilidades comunes en el mundo cibernético

Copyright © Proprietary Information 13

 Estudio de caso
Violación de datos: distrito escolar independiente de El Paso, agosto
de 2011
• Kaleb Harper Ketchens (21 años) de Meridian, Mississippi, se
declaró culpable de cargos federales en relación con un acceso no
autorizado del sistema informático.
• Dos cargos de fraude informático, un cargo de fraude y actividad
relacionada con documentos de identificación, funcionalidades de
autenticación e información.
• SQL Injection

http://www.elpasotimes.com/ci_21587313/mississippi-man-pleads-guilty-hacking-episd-computers

Copyright © Proprietary Information 14

Defensa en profundidad

http://www.nsa.gov/ia/_files/support/defenseindepth.pdf
Copyright © Proprietary Information 15
1 º pasos: siga formas prácticas de prevención
de ciberseguridad 1/2
• Contraseñas
– Complejas y únicos
– Cambios periódicos
– Al menos 8 caracteres de largo, una letra capitalizada, un
número y una palabra no sacada del diccionario.
• Programas de software
– Cada programa de software en un ordenador es
vulnerable a un ataque
– Desinstalar y eliminar los programas no utilizados
• Estafas por correo electrónico
– Nunca abra correos electrónicos de direcciones
desconocidas
– Abstenerse de proporcionar información de identificación
de fuentes desconocidas

Copyright © Proprietary Information 16

1 º pasos: siga formas prácticas de prevención
de ciberseguridad 2/2
• Dispositivos portátiles
– Proteger con una contraseña segura para
proteger los datos almacenados
• Actualizaciones de software
– Verificar las actualizaciones para el software
antivirus, navegadores y sistemas operativos
• URL
– Una ligera variación en la ortografía de una
dirección URL puede resultar en un sitio Web
malintencionado
• Firewalls
– Son tan efectivos como las reglas creadas por
su operador

Copyright © Proprietary Information 17

Cultura de hacking

Copyright © Proprietary Information 18

 Hacker
• Un hacker es alguien que busca y aprovecha las debilidades
en un sistema informático o red de computadoras.
• Los hackers pueden estar motivados por una multitud de
razones, tales como beneficios, protesta o desafío.
• Alguien con una comprensión avanzada de computadoras y
redes informáticas.
• El término hacker esta siendo reclamado por programadores
de computadoras que argumentan que alguien que se rompe
en ordenadores inapropiadamente se llama cracker.

Copyright © Proprietary Information 19

 Tipos de Hackers
0 Un hacker de sombrero negro es un hacker que viola la seguridad
informática para pocas razones más allá de la maldad o para
beneficio personal.
• Los hackers de sombrero negro forman los estereotípicos grupos de hacking
ilegales. Regularmente suelen ser retratados en la cultura popular como "la
personificación de los temores públicos de un criminal computacional".
• Entran en redes aseguras para destruir datos o inutilizar la red para aquellos que
están autorizados a usar la red.
0 Un hacker de sombrero blanco rompe seguridad por razones
inofensivos.
• El término "sombrero blanco" en Internet jerga se refiere a un hacker ético.
• Personas que realizan pruebas de penetración y evaluaciones de vulnerabilidad
dentro de un acuerdo contractual, profesionales de la ciberseguridad.
0 Un hacker de sombrero gris es una combinación de un
hacker de sombrero negro y un hacker de sombrero blanco.
• Un Hacker de sombrero gris puede navegar por Internet y entrar en un sistema
informático con el único propósito de notificar al administrador que su sistema ha
sido hackeado.
• Entonces puede ofrecer reparar su sistema por un módico precio.

Algunos hackers de sombrero blanco afirman que también merecen el

hacker del título, y que sólo sombreros negros deberían llamarse
crackers.
Copyright © Proprietary Information 20
Perfil del Hacker Ético

Copyright © Proprietary Information 21

 La Actitud de un Hacker Etico…

• El mundo está lleno de problemas fascinantes

esperando a ser resueltos.
• No hay problema que debería ser resuelto dos veces.
• El aburrimiento y trabajo rutinario no son buenos.
• La libertad es buena. (Dentro de los límites de la ley)
• La actitud es insustituible para la competencia.
• Cuestiona las reglas pero siempre cumple con la ley.

"Para seguir el buen

camino: Mira al maestro,
sigue al maestro, camina
con el maestro, ve a
través del maestro,
conviertete en el
maestro".
Copyright © Proprietary Information 22
 Jugando como un Hacker de formación
técnica

http://www.pnl.gov/coginformatics/showcase/interactive_assessments/gearheads.html

Copyright © Proprietary Information 23

 PARTE 2
Conceptos de ciberseguridad y su impacto
en la
red inteligente
WebINER
Capacitación online en Eficiencia Energética y Energías Renovables 2015
Julio del 2015

Copyright © Proprietary Information 24

 Enseñanza
pedagógica sobre
ciberseguridad

Copyright © Proprietary Information 25

 Taller de NSF para la recomendación de la
educación de ciberseguridad en los Estados
Unidos (2014)
1. Conceptos y comprensión Conceptual
2. Prácticas educativas y estrategias de instrucción
3. Conocimiento compartido y desarrollo de los
recursos
4. Evaluación
5. Industria y colocación de carrera
6. Reclutamiento y retención

Copyright © Proprietary Information 26

 Ciberseguridad & educación STEM
• Promover y expandir la educación de ciberseguridad son
fundamentales para la protección de infraestructura crítica de la
nación.
• Una nueva fuerza de trabajo tiene que ser educada y la actual fuerza
laboral necesita habilidades adicionales.
• De las escuelas primarias a las instituciones de posgrado, los
educadores necesitan entender y aprender conocimientos críticos,
destrezas y habilidades sobre ciberseguridad para formar futuros
profesionales.
• Debemos construir a una fuerza de trabajo digitalmente alfabetizada
que utilice la tecnología de forma segura.
• Enseñar ciencia, tecnología, ingeniería y matemáticas (STEM) y
otros temas críticos a todos los estudiantes y educarlos sobre el uso
seguro de las tecnologías en constante evolución.

Copyright © Proprietary Information 27

 Beneficios del marco laboral de
ciberseguridad
Cuando títulos académicos, empleos, capacitación y certificaciones están
alineados con el marco de la fuerza de trabajo:
• Universidades y proveedores de formación técnica pueden crear
programas que se alinean a los empleos,
• Estudiantes se graduarán con conocimientos y habilidades que los
empleadores necesitan,
• Empleadores reclutan de un área de selección mas amplia candidatos mas
calificados,
• Los empleados tiene carreras y oportunidades mas definidas, y
• Legisladores pueden establecer estándares para evolucionar el campo
tecnológico

Copyright © Proprietary Information 28

Ciberseguridad en la
Red Inteligente y
Sistemas de Control
Industrial

Copyright © Proprietary Information 29

 Motivación
• Red Inteligente es una nueva realidad tecnológica que
necesita ser diseñada con la ciberseguridad en mente.
• Red Inteligente se compone de un dominio IT y un dominio
de OT.
• La nueva tecnología hace más vulnerable la Red Inteligente
a ciberataques.
• Dispositivos de ciberseguridad actual son eficaces para IT
pero es difícil determinar su efectividad para la
ciberseguridad de activos de OT.

http://news.yahoo.com/report-stuxnet-cyberweapon- http://www.foxnews.com/world/2012/12/25/iran-media-report-new-cyberattack-by-
older-believed-104634378.html Copyright © Proprietary Information stuxnet-worm/ 30
IT vs. OT

Copyright © Proprietary Information 31

IT vs. OT

Copyright © Proprietary Information 32

Capas de las Utilidades (Redes de IT y OT)
Security

Data Center NERC-CIP

(PKI)
Credentials
Load Control Customer Information Grid Operations Demand Response Outage Mgmt
Systems System

PKI Comms
Security
Meter Data Mgmt
System (MDMS) SCADA Control
AMI Headend Systems
AMI Headend
Cable/Fiber
Wireless
Comms
Aggregator Aggregator Aggregator Aggregator Security

AMI Security
(Comms)
Smart Meter Smart Meter Smart Meter

Point-to-Point Mesh RF

Smart Meter Smart Meter Smart Meter Zigbee

Smart Meter Smart Meter
Security

OpenHan
IEEE
802.15.4 SCADA
Residential Commercial (HAN) Industrial Communications

Copyright © Proprietary Information 33

 SCADA (supervisory control and data
acquisition)
• ICS (Industrial control systems)
• HMI (human–machine interface)
• Supervisory (computer) system
• RTUs (remote terminal units)
• PLC (programmable logic controller )
• DCS (distributed control system)
• Communication infrastructure
• Process and analytical instrumentation

Copyright © Proprietary Information 34

Air Gap (Boquete de Aire)

Copyright © Proprietary Information 35

 Seguridad de la infraestructura de Cyber
• Debilidades del software
– Diseño de sistemas heredados
• Debilidades de la red
– Falta de encripcion y autenticación adecuadas
– Ataques Man-in-the-middle

Copyright © Proprietary Information 36

 Sistemas de Control
Industrial Expuestos en
la Red en el 2012

Copyright © Proprietary Information 37

Organización de incidentes de seguridad 2011
(Tofino / Hirschmann)
Tipos de incidentes de ciberseguridad en la
industria
• Incidentes intencionales 20%
– 47% Hacker externo
– 53% Empleado descontento
• Incidentes no intencional de un 80%
– 14% Error humano3
– 8% de infección de Malware
– 48% Fallo de software o del dispositivo
Fuentes:
Tofino website:http://www.tofinosecurity.com/professional/tv101-what-cyber-security
From 2011 Security Incidents Organization: http://www.securityincidents.net/
Copyright © Proprietary Information 38
 Soluciones
• Cyber
• CSA (ICS/CPS Firewall)
• DSA and SM
• Cyber-Physical
• Sistemas de Monitoreo Remotos (SkyWave)
• Physical
• Sistemas de Detection de Tormentas (Automated
Detection Of Dust Clouds)
• CISCO Video Surveillance Manager 7.0

Copyright © Proprietary Information 39

 Cyber Security Appliances (CSA)
• CSA es un sistema de seguridad de red consistente de
hardware y software. Controla el tráfico de red entrante y
saliente similar a la combinación de sistemas de detección de
intrusión (IDS, Intrusion Detection) y sistemas de prevención de
intrusiones (IPS). Detecta las amenazas que otros dispositvos
de seguridad no detectan. Van más allá de los conjuntos de
reglas de IT y agregan reglas de OT.

• Un CSA es tan bueno como el sus reglas programadas.

Rendimiento no está necesariamente relacionado con
tecnología y costo.

• Es importante identificar y evaluar diferentes (CSA) capaces de

enfrentar los nuevos retos en la protección de Redes
Inteligentes de ciberamenazas.
Copyright © Proprietary Information 40
 Enfoque de investigación
1. Investigacion de CSAs existentes que se utilizan para asegurar
bienes y OT.
2. Se identificaron 6 CSA específicos a activos de OT.
3. Se evaluaron cada uno de estos dispositivos basados en las
siguientes métricas:
– precisión, fiabilidad, rendimiento, capacidad y costo.
4. Se identificaron ubicaciones en los dominios de Red Inteligente
que podrían beneficiarse con el uso de CSA.

NIST Special Publication 1108R2

Copyright © Proprietary Information 41

 Definiciones
• Precisión: medición de la cercanía a un cierto valor basado en tasas
positivas falsas y claridad de la documentación técnica

• Confiabilidad: capacidad de CSA para realizar sus funciones requeridas

bajo condiciones establecidas durante un período determinado de tiempo

• Rendimiento: determinar cómo el CSA funciona realiza en términos de

capacidad de respuesta y estabilidad bajo operación normal – QoS

• Capacidad: Funcionalidades CSA satisfacen las necesidades del cliente –

habilita OT y es escalable

• Costo: valor monetario de la CSA

• Rango: peso trade-off basado en importancia

• Grado: Criterios de criticalidad o importancia del CSA (alto = 9, medio = 5,

bajo = 3)
Copyright © Proprietary Information 42
 Criterios
• Intercambio CSA por criterios (peso):
• Criterios = (grado_a x rango) / grado_b

• Puntuación total equilibrio CSA:

• Puntaje = (criterio de precisión criterios de fiabilidad + criterios de
rendimiento + criterios de capacidad + criterios de costo) / 100

• Identificar qué dominio de Red Inteligente usando el

documento de NIST Framework and Roadmap for
Interoperability Standards 2.0, página 43
• Puntos de congestión de red o rutas críticas de red
• Posible puntos de contacto de IP entre IT y OT

Copyright © Proprietary Information 43

 Investigación de la industria de CSA

FL mGuard RS2000
Bayshore SCADA

Protection (NSP)
CISCO ASA5505

Norman SCADA
Tofino Security

and RS4000
Firewall™

Appliance

HaloNS
Performance
Rank
Criteria
Accuracy 25 13.9 13.9 13.9 25.0 13.9 25.0
Reliability 25 13.9 13.9 25.0 25.0 13.9 25.0
Performance 25 25.0 25.0 13.9 25.0 8.3 25.0
Capacity 15 15.0 15.0 15.0 8.3 5.0 15.0 High 9

Cost 10 5.6 5.6 5.6 5.6 3.3 5.6 Medium 5

Score 100% 73% 73% 73% 89% 44% 96% Low 3

Copyright © Proprietary Information 44

 Seguridad de la infraestructura de energía
• Dominios funcionales
• Generación
• Regulador de voltaje automático
• Control de gobernador
• Control automático de generación
• Control de envío
• Transmisión
• Estimación de estado
• VAR Transmission
Distribution
• Control HVDC Efficient
Building
• Distribución Systems
Internet
• Manejo del lado de la demanda.
• Deslastre de cargas
Renewable
• AMI Utility s
Communications
• Operaciones de
• Gestión de datos Advanced
Metering
• Comunicaciones Operation
• IT s

• Mantenimiento Dynamic EV’s

Systems
Controls Smart End
Distributed Use
Generation Devices
Data & Storage
Managemen
t

Copyright © Proprietary Information 45

Copyright © Proprietary Information 46
Copyright © Proprietary Information 47
 Recogiendo los dominios críticos de Red
Inteligente que deben ser asegurado por CSA

Source: NIST Framework and Roadmap for Interoperability Standards 2.0, page 43
Copyright © Proprietary Information 48
Posibles aplicaciones

Copyright © Proprietary Information 49

Determinar el riesgo de ciberseguridad
Activos críticos
Componente de
infraestructura que es de
interés para las partes
interesadas debido a su valor
Amenaza
Circunstancia o evento con el
potencial de amenaza que
puede comprometer
negativamente cualquier
vulnerabilidad expuesta
Impacto Vulnerabilidad
Efecto inesperado de un Debilidad inherente,
cambio en un activo crítico explotable en un activo
crítico
Riesgo
Función de una amenaza de
ejercer una potencial
vulnerabilidad y el impacto
resultante de tal evento al
propietario de los activos críticos
Copyright © Proprietary Information 50
 Ciberincidentes en el Sector Energetico
Violación de datos: Central Hudson Gas y eléctrico
basado en Poughkeepsie, Nueva York, febrero de
2013
• Los hackers habían conseguido entrar a
aproximadamente 110.000 cuentas de clientes.
• Los empleados detectaron la intrusión al
sistema informático, pasó en un fin de semana,
como resultado de regulares de procedimientos
de control.

Informe de vulnerabilidad de la red eléctrica: Mayo

de 2013
• Organizaciones de utilidad eléctrica informan
que "diariamente", experimentaron
ciberataques "constantes", o "frecuentes".
• Ataques comunes incluyen phishing, la
ingeniería social y la infección viral.

Copyright © Proprietary Information 51

Ciberincidente en Sistema de Agua Potable
y residual
Control malévolo sistema ataque
cibernético: En los servicios de agua
Maroochy, Australia. 2000

• Un hombre emitió comandos de

radio que derramaron 800.000
litros de aguas residuales en los
parques, ríos y hasta los jardines
del hotel Hyatt Regency

Copyright © Proprietary Information 52

 Pablo Rangel
Cybersecurity Consultant
pablorangelg@gmail.com

Copyright © Proprietary Information 53