Tema 2

Tema nº 2
Ciberseguridad Industrial
Infraestructuras críticas y
ciberseguridad industrial
Índice
Esquema 3
Ideas clave 4
2.1. Introducción y objetivos 4
2.2. ¿Qué es la ciberseguridad industrial? 7
2.3. ¿Qué son las infraestructuras críticas? 18
2.4. Niveles de alerta 30
© Universidad Internacional de La Rioja (UNIR)
2.5. Medidas asociadas a los niveles de alerta 33

2.6. Referencias bibliográficas 37
A fondo 39
Actividades 42
Test 44
Esquema
3
Tema 2. Esquema
Ideas clave
2.1. Introducción y objetivos
l objetivo de este tema es que el alumno entienda más en detalle qué es la

ciberseguridad industrial y qué son las infraestructuras críticas, las
diferencias entre estas y cómo el buen funcionamiento de las mismas
puede afectar a la sociedad. La consolidación y entendimiento de los conceptos de
ciberseguridad industrial, infraestructura crítica, niveles de alerta y medidas de
seguridad, nos permitirán entender mejor la situación actual y el verdadero
objetivo que tiene la ciberseguridad industrial en el mundo actualmente.
Antes de empezar a tratar el resto de la unidad es importante hacer un punto de

situación que nos permita consolidar el concepto de la importancia de la
ciberseguridad industrial en el momento actual.
Ciberseguridad industrial en cifras
Como comentamos en el tema anterior, la transformación digital no solo está

cambiando la economía, sino también la forma en que se realizan los trabajos desde el
punto de vista humano. Esta cuarta revolución industrial se está caracterizando por la
llegada de robots y la entrada de la inteligencia artificial, lo que ha traído un cambio en
el paradigma laboral al pasar de una mano de obra no cualificada a la necesidad de
personal que tenga elevadas capacidades cognitivas.
En su informe sobre la digitalización y la industria 4.0 «Impacto Industrial y Laboral» del

año 2017 elaborado por el sindicato laboral CC.OO. (Comisiones Obreras), se plantean
parte de estos importantes retos a los que se tendrá que someter la sociedad y permite
visualizar parte de esos cambios (CCOO_Industria, 2017).
4
Tema 2. Ideas clave
Figura 1. Visión de la industria 4.0. Fuente: Roland Berger y (CCOO_Industria, 2017).
La figura 1, extraída de este informe, nos permite ver como los pilares sobre los que se
sustentará la industria 4.0 son los conceptos de big data, IoT (Internet de las cosas),
smart cities (ciudades inteligentes), cloud computing, inteligencia artificial, etc. Pero
todo ello soportado en un concepto que es el de ciberseguridad.
En este mismo informe se presentan algunas cifras interesantes respecto a la

ciberseguridad en ambientes relacionados con la industria 4.0. De esta forma, del
análisis realizado se desprende que la mitad de las organizaciones que han
evolucionado hacia la industria 4.0 no han realizado todavía medidas asociadas a la
ciberseguridad, asumiendo el riesgo de los ataques informáticos.
Asimismo, en la página. 83 del informe destaca el siguiente párrafo:
«En la industria, el grado de precaución debe ser mayor, ya que cualquier

ciberataque tiene que ser repelido para que la cadena de producción no

sufra paradas, altamente dañinas desde el punto de vista económico. Por
ello, la conectividad que debe acompañar a la industria en sus procesos de
mejora e innovación debe estar 100 % controlada desde el punto de vista
de la ciberseguridad».
5
Tema 2. Ideas clave
Esto hace todavía más grave el hecho de que el 50 % de las compañías no tomen
ninguna medida al respecto. Este informe finaliza haciendo hincapié en la
importancia de que desde los organismos se tomen medidas adecuadas y
armonizadas sobre temas críticos como la ciberseguridad en ambientes industriales.
Este informe no es sino un ejemplo más de la importancia que ha tomado la

ciberseguridad industrial en el mundo actual, y que está en consonancia con el impacto
que la falta de seguridad asociada a los sistemas industriales puede tener en la vida de
las personas, en primer lugar, y al impacto social y económico en segundo término.
La revolución de la industria 4.0 ha traído grandes ventajas productivas, asociadas a la

seguridad de los trabajadores, etc. Esto hace que esta revolución sea imparable, salvo
por los problemas de seguridad asociadas a la misma. Por ello, el gran reto al que se
enfrenta la sociedad actual es tener la capacidad de desarrollar sistemas seguros
capaces de adaptarse a los nuevos requisitos de la industria 4.0.
En este sentido, es fácil encontrar referencias continuas dentro de la industria 4.0 a la

importancia de la ciberseguridad. Por ejemplo, en el artículo «La Industria 4.0: El estado
de la cuestión» (Díaz, Francolí et al., 2017), los autores destacan la ciberseguridad
entre las principales tecnologías asociadas a la cuarta revolución industrial: «el
aumento de la conectividad que representa la industria 4.0 incrementa
dramáticamente la necesidad de proteger los sistemas industriales críticos y las
líneas de producción contra las amenazas informáticas. También hay que mejorar la
protección de la propiedad intelectual, los datos personales y la privacidad», siendo
la principal amenaza detectada en el análisis DAFO presentado.
En este informe resulta llamativo que la tecnología con mayor implantación, con un
84 %, es precisamente la ciberseguridad según el estudio de 2017 realizado por la

cámara de comercio de Barcelona y el Idescat, lo cual contradice el informe que
analizamos anteriormente.
6
Tema 2. Ideas clave
Esta contradicción puede ser debida precisamente a la falta de parámetros
objetivos de medición de la ciberseguridad, lo que tiende a dar una falsa sensación
de seguridad, de forma que muchas empresas responden que tienen sistemas de
ciberseguridad cuando no es así; o estos realmente no son apropiados o no están
orientados a sistemas OT, sino a sistemas IT.
Por lo tanto, es imposible que hoy podamos entender el concepto de industria 4.0
sin que seamos capaces de entender antes los conceptos de ciberseguridad
asociados con ellos.
Los objetivos que se alcanzarán con este tema son los siguientes:
 Entender en su totalidad el concepto de ciberseguridad industrial.

 Entender en su totalidad el concepto de infraestructura crítica y en qué se
diferencia de las infraestructuras industriales.
 Entender los niveles de alerta que se manejan actualmente dentro de las
infraestructuras críticas.
 Entender las medidas de seguridad que se deben aplicar dependiendo de los
niveles de seguridad asociados a las mismas.
2.2. ¿Qué es la ciberseguridad industrial?
ste apartado tiene como objetivo que el alumno sea capaz de entender el
alcance de la ciberseguridad industrial, su origen, contexto actual y el futuro
al que se enfrenta. No debemos olvidar que el concepto de ciberseguridad
industrial es un concepto relativamente nuevo, con un gran desarrollo por

delante.
Un tema importante que tenemos que entender antes de entrar más en profundidad
en el apartado es un error de concepto en la propia definición de ciberseguridad
7
Tema 2. Ideas clave
industrial, que para mucha gente comprendería solo la seguridad de los sistemas de
control industriales, principalmente los sistemas SCADA (supervisory control and data
acquisition) e ICS (industrial control system security). Pero la realidad es bien diferente.
La ciberseguridad industrial no solo incluye estos sistemas, sino también las
normativas asociadas, procesos, recursos humanos, etc.
Entonces, ¿porque no llamarlo seguridad industrial, en lugar de ciberseguridad

industrial? El problema viene porque históricamente la seguridad industrial ha estado
ligada a otra serie de conceptos relacionados con la prevención de riesgos laborales, o
el control físico de las máquinas y, por tanto, podría inducir a un error. Por ello se
decidió utilizar el concepto de ciberseguridad industrial asociado no solo a la seguridad
de sistemas SCADAS o IDCs, sino también al conjunto de prácticas, procesos,
tecnologías y recursos humanos (RRHH) vinculados al riesgo de sistemas que utilizan
el ciberespacio dentro de infraestructuras industriales, ya sea desde la perspectiva de
las personas, los procesos o las tecnologías involucradas.
Una vez entendido el concepto estamos en disposición de analizarlo en mayor

profundidad.
Poniendo las bases de la cuarta revolución industrial
Sería muy difícil establecer el punto de partida de la ciberseguridad industrial, ni

siquiera como concepto, ya que realmente es un concepto derivado de la
ciberseguridad IT.
Si analizamos desde el punto de vista histórico tendríamos que remontarnos a la

década de los 70, en como la aparición de compañías como IBM, Microsoft o Apple
supuso la primera aparición de lo que hoy podríamos considerar esta nueva revolución
industrial. Podemos considerar que estas compañías pusieron la primera piedra al crear
sistemas como MsDos de Microsoft, que permitieron que los ordenadores llegaran al
usuario doméstico, iniciando la rueda que medio siglo después llevaría la cuarta
8
Tema 2. Ideas clave
revolución industrial. Han pasado casi cincuenta años de ese momento, en que el
mundo no ha dejado de cambiar y evolucionar.
Y junto con el nacimiento de esa revolución nacieron las primeras amenazas. Ya en

1972 aparece el primer virus llamado CREEPER, orientado a atacar las máquinas de los
IBM 360. Este virus emitía un inocente mensaje en la pantalla «I'm the creeper catch
me if you can!», que era más molesto que peligroso. Estos virus inicialmente tenían un
objetivo meramente didáctico, un reto personal entre individuos que pretendían
demostrar su capacidad intelectual. Realmente Bob Thomas, el creador del Creeper, no
buscaba causar un daño, sino analizar las posibilidades de propagación de programas
entre ordenadores. Oficialmente, el término virus no se adoptó hasta el año 1984, más
de diez años después de la aparición del primero.
Las primeras amenazas trajeron consigo la necesidad de crear controles y salvaguardas

para proteger esos sistemas, y por eso ese mismo año se creó el primer sistema
antivirus denominado Reaper (cortadora/segadora).
Desde su aparición en la década de los 70, los virus se han convertido en una de las
principales amenazas para la evolución de los sistemas, de forma que actualmente
compañías expertas en antivirus como Emsisoft añaden entre 30 000 y 50 000 nuevos
virus a sus bases de datos al día.
Actualmente se estima que existen más de treinta millones de virus en las redes
agrupados en un conjunto de familias, de las que las más relevantes son:
 Caballos de Troya: pasan desapercibidos al usuario y presentan una función

aparente diferente a la que van a desarrollar en realidad. Es decir, el usuario lo
confunde con un programa totalmente legítimo, pero al ejecutarlo puede llegar a

permitir que otro usuario se haga con el control del ordenador. No es un virus en
sentido estricto ya que no se puede propagar.
 Gusanos (worms): los gusanos se reproducen de forma autónoma y van
borrando todos los datos de la memoria RAM.
9
Tema 2. Ideas clave
 Virus de macros/código fuente: son virus que se contienen en documentos de
texto de programas como Word y también en hojas de cálculo como las de Excel.
Esto se debe a que se hacen pasar por una macro de dicho documento. Una
macro es una secuencia de órdenes de teclado y ratón asociadas a una sola tecla o
combinación de teclas. Podemos programar una macro si realizamos una misma
acción repetidas veces para mejorar nuestra productividad.
 Virus de programa: atacan a archivos ejecutables, es decir, aquellos con
extensiones como exe, com, dll, ovl, drv, sys, bin y pueden transferirse a otros
programas.
 Virus de boot: atacan a servicios de inicio y boot del sector de arranque de los
discos duros.
 Virus mutantes: van modificando su código para evitar ser detectados por el
antivirus.
 Hoax: no son virus propiamente dichos, sino cadenas de mensajes distribuidas a
través del correo electrónico y redes sociales. Estos mensajes suelen apelar al
reenvío del mismo usando «amenazas» del tipo «si no reenvías este mensaje...»
o propagando información falsa sobre un nuevo virus informático o un niño
perdido. No debemos continuar estas cadenas reenviando el mensaje ya que no
son más que falsedades que pretenden conseguir un colapso.
 Bombas de tiempo: están ocultas en archivos o en la memoria del sistema, y
están programadas para actuar a una hora determinada soltando un molesto
mensaje en el equipo infectado.
Esta es solo una de los cientos de clasificaciones que se pueden encontrar actualmente,
pero no debemos olvidar que los virus son solo un tipo de amenazas, posiblemente el
más conocido, pero no son los únicos ni los que mayor impacto pueden causar en los
sistemas industriales.
Una vez que la informática se hizo doméstica, es decir, llegó a los hogares, el
crecimiento fue exponencial y en la década de los 90 ya habían conseguido entrar en
casi todas las empresas y en gran parte de los hogares. Esta rápida expansión preparó
la sociedad para el siguiente gran salto, la llega de Internet.
10
Tema 2. Ideas clave
Lo que hoy conocemos como Internet realmente es la evolución sufrida de un
experimento realizado entre tres universidades de California (EE. UU.) en el año 1969.
Ese año estas universidades decidieron crear ARPANET (Advanced Research Projects
Agency Network), la primera red de conexión de computadoras. Este proyecto fue
evolucionando paralelamente a la entrada de los ordenadores en las empresas y
hogares, hasta que en el año 1990 se creó la WWW (Word Wide Web), que era un
conjunto de protocolos para la consulta remota de archivos de hipertexto.
Para muchos, el año 1995 es el año en que ambas tecnologías convergen. Se trata de
un año dominado por la aparición de las primeras compañías de la denominada era de
los .com:
 El 1 de febrero de 1995: se funda Altavista, que fue el primer buscador de éxito

mundial y que más tarde sería eclipsado por Google cuando, en el año 1998,
reinventa el modelo de negocio de los buscadores.
 El 1 de marzo de 1995: se funda Yahoo.
 El 16 de julio de 1995: se lanza Amazon.com.
 El 3 de septiembre de 1995: se funda eBay.
Los siguientes años seguirían apareciendo nuevas compañías, hasta llegar al momento
actual en que cinco de estas compañías (Amazon, Facebook, Microsoft, Apple, Google)
controlan gran parte de la economía mundial.
Por lo tanto, durante los últimos veinte años el ser humano se ha enfrentado a
continuos cambios. Posiblemente, desde la aparición del fuego ninguna revolución ha
sido tan agresiva y dramática desde el punto de vista del cambio social como la que ha
supuesto Internet, ya que en menos de cincuenta años ha revolucionado toda la
sociedad humana, pasando de un mundo analógico a uno digital y haciendo que el

mundo esté totalmente interconectado.
11
Tema 2. Ideas clave
Todos esos cambios y evoluciones durante cincuenta años nos han permitido llegar al
momento actual en que la sociedad se enfrenta a lo que se conoce como evolución 4.0
o industria 4.0.
Poniendo las bases de ciberseguridad industrial
En los últimos veinte años, la conexión de las tecnologías software / Internet hizo que el
número de amenazas aumentara exponencialmente y con ello surgió la necesidad de
crear sistemas que los protegieran, por lo que fue tomando cada vez más fuerza el
concepto de ciberseguridad.
Toda esta revolución trajo consigo que los sistemas de información pasaran a tener
una posición crítica dentro de las compañías y, por tanto, la seguridad también tomó
una importancia crucial. Ante esta nueva coyuntura, las principales consultoras de
seguridad del mundo se enfrentaron a un problema: visitaban a sus clientes y estos les
pedían que hicieran seguro a sus sistemas de información. Surgió entonces un
interrogante: ¿qué es hacer seguro un sistema de información?
Ante esta cuestión las compañías dieron diferentes respuestas: muchas compañías no
supieron que responder, otras dijeron que la seguridad en los sistemas de información
se alcanzaba con los antivirus y los firewalls, otras dijeron que hacía falta algo más pero
no sabían el qué...
La realidad es que, aunque las compañías invertían en seguridad, sus sistemas sufrían
cada vez más ataques, por lo que surgió una corriente que definió la necesidad de crear
una capa por encima de la seguridad tal y como se conocía entonces. Esta nueva
corriente acuñó el término de gestión de la seguridad, y su principio básico era que la
seguridad no debía afrontarse tan solo con herramientas, sino que debía gestionarse,
puesto que las vulnerabilidades podían venir no solo de amenazas software, sino
también de otros aspectos como los seres humanos, los fallos legales, etc.
12
Tema 2. Ideas clave
Esta tendencia se inicia en el año 1995 con el estándar británico BS7799 (BS7799,
2002), que está considerado por muchos como el precursor de la primera norma
internacional para gestión de la seguridad, la denominada ISO17799 (ISO/IEC17799
2000) que entró en vigor en el año 2000.
La importancia de esta norma fue tal que en el año 2005 se decide constituir la familia
ISO27000 para unificar todos los estándares de seguridad informática asociados a la
gestión de la misma. De esta forma se crea la norma ISO27001 (ISO/IEC27001 2005),
que será la primera norma que permite certificar el nivel de gestión de la seguridad de
un sistema de información. La ISO17799 se reconvierte en la ISO27002 (ISO/IEC27002
2007), que es una guía de buenas prácticas de seguridad de los sistemas de
información. Desde entonces la familia de la ISO27000 no ha dejado de crecer,
apareciendo constantemente nuevas normas cada vez más sectorizadas y
especializadas, entre las que podemos destacar las siguientes:
 ISO/IEC 27000: es un vocabulario estándar para el Sistema de Gestión de la

Seguridad de la Información (SGSI). Introducción y base para el resto.
 ISO/IEC 27001: es la certificación que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantación del SGSI. Es la norma más importante
de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora
continua de los procesos. Está asociada con la certificación internacional IRCA
Leader Auditor ISO27001.
 ISO/IEC 27002: es el código de buenas prácticas para la gestión de seguridad de la
información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su
nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
 ISO/IEC 27003: directrices para la implementación de un SGSI. Es el soporte de la
norma ISO/IEC 27001.
 ISO/IEC 27004: métricas para la gestión de seguridad de la información. Es la que

proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de
seguridad de la información.
 ISO/IEC 27005: trata la gestión de riesgos en seguridad de la información. Es la que
proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación
13
Tema 2. Ideas clave
de riesgos de seguridad en la información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard
BS 7799 parte 3.
 ISO/IEC 27006: requisitos para la acreditación de las organizaciones que
proporcionan la certificación de los sistemas de gestión de la seguridad de la
información. Esta norma específica requisitos característicos para la certificación de
SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de
acreditación.
 ISO/IEC 27007: guía para auditar al SGSI.
 ISO/IEC 27008: guía para auditar los controles seleccionados para implantar un SGSI.
 ISO/IEC 27009 (06/2016): detalla los requisitos para usar la norma ISO/IEC 27001 en
cualquier otro ámbito.
 ISO/IEC 27010: guía para gestionar la seguridad de la información cuando se
comparte entre distintas organizaciones. Es aplicable a todas las formas de
intercambio y difusión de información.
 ISO/IEC 27011: guía de interpretación de la información y gestión de la seguridad de
esta en organizaciones del sector de telecomunicaciones.
 ISO/IEC 27014: guía de gobierno corporativo de la seguridad de la información.
 ISO/IEC 27015: guía de SGSI orientada a organizaciones del sector financiero y de
seguros.
 ISO/IEC 27016: norma que se concentra en un análisis financiero y económico de
equipos y procedimientos de la seguridad de la información.
 ISO/IEC 27017: guía de seguridad para cloud computing.
 ISO/IEC 27018: guía para controlar la protección de datos orientada servicios de
computación en cloud computing.
 ISO/IEC 27031: guía de apoyo para la adecuación de las tecnologías de la
información y comunicación.
 ISO/IEC 27032:2012: tecnologías de la Información. Técnicas de Seguridad. Guía de

apoyo para la ciberseguridad.
 ISO/IEC 27035:2011: seguridad de la información. Técnicas de Seguridad. Gestión de
incidentes de seguridad. Este estándar hace foco en las actividades de: detección,
reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.
14
Tema 2. Ideas clave
 ISO/IEC 27038:2014: guía de especificación para seguridad en la redacción digital.
 ISO/IEC 27039:2015: guía para la selección, despliegue y operación de sistemas de
detección y prevención de intrusión.
 ISO/IEC 27040:2015: guía para la seguridad en medios de almacenamiento.
 ISO/IEC 27041:2015: guía para garantizar la idoneidad y adecuación de los métodos
de investigación.
 ISO/IEC 27042:2015: guía con directrices para el análisis e interpretación de las
evidencias digitales.
 ISO/IEC 27043:2015: desarrolla principios de investigación para la recopilación de
evidencias digitales.
 ISO/IEC 27050:2017: desarrolla en tres partes sobre la información almacenada en
dispositivos electrónicos.
 ISO/IEC 27103:2018: norma desarrollada para proporcionar orientación sobre cómo
aprovechar las normas existentes en un marco de ciberseguridad.
 ISO/IEC 27799: guía para implementar ISO/IEC 27002 en la industria de la salud.
Como podemos ver, actualmente la familia ISO27000 ya está formada por casi treinta
normativas, aunque están planificadas más de veinte nuevas incorporaciones para
nuevos sectores y necesidades.
Si analizamos las normas anteriores existen una serie de aspectos que debemos
mencionar:
 La norma ISO27001 es la única norma certificable, de forma que con independencia

del sector siempre nos certificaremos bajo el marco normativo de la ISO27001 y el
ciclo de Deming PDCA (Plan – Do – Check – Act).
 Los controles que se certifican son los del anexo A de la norma ISO27001. Este es un
aspecto muy importante porque el resto de normas son guías, pero realmente lo
certificable es el anexo A de la ISO27001.
 Cada vez existen más guías sectoriales que buscan complementar estos controles
de seguridad, es decir, si vamos a certificar un ambiente sanitario la norma
certificable será la ISO27001 y los controles los del anexo A, pero la guía en la que
15
Tema 2. Ideas clave
deberemos basarnos para implementar estos controles será la de la ISO27799 y no
la de la ISO27002.
Merece una mención aparte, la normativa ISO27032:2012 (ISO/IEC27032 2012),

que surge orientada al nuevo concepto de ciberseguridad:
 Tiene como objetivo garantizar la seguridad en los intercambios de información en

la red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con
cooperación y coordinación.
 Desde la organización ISO han explicado que actualmente «el ciberespacio es un
entorno complejo que consta de interacciones entre personas, software y servicios
destinados a la distribución mundial de información y comunicación». Se trata de un
contexto muy grande en el que «la colaboración es esencial para garantizar un
entorno seguro».
 Para intentar cubrir lagunas de otros estándares ha nacido ISO/IEC 27032, según
explican desde ISO. Se trata de un estándar que garantiza directrices de seguridad y
que desde la organización han asegurado que «proporcionará una colaboración
general entre las múltiples partes interesadas para reducir riesgos en Internet».
ISO/IEC 27032 proporciona un marco seguro para el intercambio de información, el
manejo de incidentes y la coordinación para hacer más seguros los procesos.
 La organización espera que ISO/IEC 27032 permita luchar contra ataques de
ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
16
Tema 2. Ideas clave
Figura 2. Visión de la ciberseguridad según la ISO27032. Fuente: ISO/IEC 27032:2012.
En la figura 2 podemos ver la visión que tiene de la ciberseguridad actual según este
estándar, tomando como base la protección de las infraestructuras críticas, en las que
también estarían contenidas las industriales.
Como podemos ver, la tendencia actual es que toda la ciberseguridad se sustenta sobre
la familia ISO27001 y se cumplimenta con otras normas internacionales que
posteriormente analizaremos.
Pero, ¿por qué ha tenido tanto éxito la norma ISO27001? El éxito de esta normativa
viene precisamente de haber permitido responder a la pregunta: ¿qué es hacer seguro
un sistema de información?, al definir controles que se agrupan en objetivos de control
y dominios. De esta forma, la ISO27001 define una familia de más de cien controles que
son los que debemos analizar y proteger en nuestros sistemas.
Estos controles o puertas son los que tenemos que implementar, supervisar, corregir,
mejorar, etc., y son los que nos permitirán conocer en todo momento en qué estado se
encuentra nuestro sistema de información, o nuestro sistema industrial, y qué mejoras
tenemos que hacer para afrontar el riesgo.
17
Tema 2. Ideas clave
Esta norma supuso un enorme avance para los auditores de ciberseguridad, ya que
permitió unificar criterios y puso las base para realizar análisis de riesgos sobre la
seguridad de los sistemas, algo que está en plena evolución actualmente.
Esta normativa también ha sido la base sobre la que se ha establecido la ciberseguridad

industrial y la de las infraestructuras críticas.
A lo largo del curso aprenderemos cómo tratar este riesgo y cómo ser conscientes de
los niveles de ciberseguridad de nuestros sistemas.
2.3. ¿Qué son las infraestructuras críticas?
omo hemos ido viendo, el mundo ha sufrido un cambio radical, y la entrada

de la industria 4.0 ha propiciado que cada vez más sistemas que pueden ser
críticos para las naciones sean más vulnerables frente a amenazas externas,
en especial con amenazas que tienen su origen en fallos de seguridad TIC.
Acontecimientos como el del 11 de septiembre de 2001 con los ataques a las torres
gemelas, o los realizados contra los estados como el caso Mandiant o la Wikileaks, o los
continuos ataques de grupos como Anonymous, hicieron que muchos gobiernos
desarrollaran una agenda en la que se incluyera el desarrollo de estrategias nacionales
de ciberseguridad y medidas de protección para garantizar la seguridad de sus
Estas agendas hicieron aparecer conceptos como el de protección de infraestructuras

críticas (PIC) y la ciberseguridad industrial (CI) que en muchas ocasiones son utilizados
como sinónimos. Particularmente, en el caso de las infraestructuras críticas de la
información poseen diferencias significativas que analizaremos en este apartado.
18
Tema 2. Ideas clave
Origen de las infraestructuras críticas
Antes de realizar ese análisis, veremos un poco de historia que nos permitirá entender
mejor el origen del concepto de infraestructura crítica y la importancia que ha ido
tomando estos años.
En el año 2007 Estonia era un próspero país del Este de Europa que había iniciado una
importante senda de crecimiento económico gracias a la decisión en los años 90 de
apostar por la digitalización de su economía. En abril del año 2007, el Gobierno de
Estonia decidió reubicar de la plaza de Tallin la estatua del soldado de bronce,
representativo de los soldados rusos que habían muerto durante la Segunda Guerra
Mundial luchando contra el nacismo. Su idea era colocarla en el cementerio de la
ciudad, pero el ministro de exteriores de Rusia, Sergei Lavrov, calificó este acto de
«blasfemia contra quienes lucharon contra el nazismo» y desencadenó una serie de
acciones que perduran hoy en día y que para la mayoría de los expertos en seguridad
está considerado el primer acto de ciberguerra de la historia.
Los días posteriores a la reubicación de la estatua las fronteras digitales que el país
había definido durante treinta años empezaron a resquebrajarse. Las webs del
gobierno pasaron de entre 1000-1500 visitas diarias, a tener esa misma cantidad por
segundo, en torno a 130 000 000 visitas diarias. Inicialmente se bloquearon los
sistemas del Parlamento y la presidencia del Gobierno, después los ministerios,
partidos políticos, agencias de noticias, periódicos, bancos, empresas de
comunicaciones... Todo servicio conectado sufrió lo que se conoce como DDos (ataque
de denegación de servicio).
19
Tema 2. Ideas clave
Durante tres semanas todos los sistemas fueron colapsados, lo que fue acompañado
del desplome de los servicios y la economía del país. A continuación, exponemos una
periodicidad de los sucesos:
 El 15 de abril: el Gobierno de Estonia reubica la estatua.

 El 26 de abril: a las diez de la noche se inicia un ataque cibernético coordinado sobre
las estructuras gubernamentales. Al final de esa primera semana, todas las páginas
web gubernamentales y de los diferentes partidos políticos habían sido bloqueadas.
 El 2 de mayo: la segunda semana, todos los medios de comunicación quedaron
desconectados, haciendo imposible informar al mundo de lo que estaba pasando.
 El 9 de mayo: a medianoche ocurrió el ataque más fuerte. Los hackers
desconectaron todo el sistema bancario, bloquearon las páginas web y los cajeros
electrónicos dejaron de funcionar.
 El 15 de mayo: durante tres semanas los sitios web del gobierno, bancos, medios de
comunicación y universidades fueron sistemáticamente atacados y desconectados.
 El 19 de mayo: los ataques se detuvieron y la primera ciberguerra llegó a su fin.
Estonia inmediatamente acusó al Gobierno de Rusia, pero nada ha podido ser
demostrado.
Durante el conflicto Estonia solicitó ayuda por medio de la OTAN (Organización del
Tratado Atlántico Norte) a sus aliados de la Unión Europea (UE) y Estados Unidos (EE.
UU.), los cuales evitaron que el colapso fuera mayor.
Estos sucesos crearon un precedente mundial. Por un lado, sirvieron para que Estonia
diese el impulso definitivo hacia la madurez tecnológica, lo que le ha servido para estar
hoy a la vanguardia mundial.
Estonia es hoy el primer país del mundo que ofrece la e-Residency, que según ellos
mismo definen «es una identificación digital emitida por el gobierno disponible para
cualquier persona en el mundo. E-Residency ofrece la libertad de iniciar y gestionar
fácilmente un negocio global en un entorno de confianza de la UE». Estonia ha seguido
una senda de crecimiento orientada totalmente a la digitalización de la economía, pero
20
Tema 2. Ideas clave
algo cambió ese abril del 2007 y el gobierno se dio cuenta de las enormes ventajas que
tenía una sociedad digitalizada, pero también de los grandes riesgos que suponía si
carecían de una correcta seguridad y, por ello, consideraron que la ciberseguridad
debía ser un objetivo prioritario a partir de ese momento.
El caso de Tallin supuso un antes y un después para muchas naciones. De repente se

dieron cuenta de los riesgos que estaban asumiendo y de que no podían desarrollar un
sistema económico y social basado en las TIC si no estaba acompañado de una capa de
ciberseguridad que protegiera ese nuevo estado del bienestar. Era necesario
identificar todas aquellas instituciones que serían objetivo de ataques por terroristas,
gobiernos o mafias y que podían causar un daño en la población. Y así, bajo este
paraguas, nace el concepto de infraestructura crítica.
Infraestructura industrial vs. infraestructura crítica
Para analizar las diferencias entre el concepto de infraestructura industrial y el de

infraestructura crítica nos basaremos en el documento «La Protección de
Infraestructuras Críticas y la Ciberseguridad Industrial» (CCI 2013). De esta forma,
podemos ver en la figura 3 una primera aproximación a las diferencias entre estos dos
conceptos.
Existen, por un lado, una serie de organismos y empresas que son considerados
infraestructuras críticas por los riesgos que suponen para la sociedad, mientras que
solo una parte de las infraestructuras industriales son consideradas críticas. Esto en
ningún caso quiere decir que el resto de las infraestructuras industriales queden fuera
del concepto de ciberseguridad, más bien se puede ver como que todas las
infraestructuras industriales tienen que tener ciberseguridad, y si adicionalmente son
designadas como infraestructuras críticas deben cumplir una serie de requisitos

adicionales que vienen determinados por las legislaciones vigentes.
21
Tema 2. Ideas clave
Figura 3. Diferencia entre las infraestructuras críticas y las infraestructuras industriales
Fuente: «La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial» (CCI 2013))
De esta forma podemos definir:
 La ciberseguridad industrial aborda la prevención, monitorización y mejora de la

resistencia de los sistemas industriales y su recuperación ante acciones hostiles o
inesperadas que puedan afectar al correcto funcionamiento de los procesos
industriales.
 El CCI (CCI, 2013) la define como «el conjunto de prácticas, procesos y tecnologías
diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento,
almacenamiento y transmisión de información utilizada en las organizaciones e
infraestructuras industriales, utilizando las perspectivas de personas, procesos y
tecnologías».
 En el caso de la ciberseguridad industrial, también tendremos en cuenta otras
dimensiones de seguridad además de las clásicas (confidencialidad, integridad,
disponibilidad, legislación, etc.) y serán: seguridad medioambiental, seguridad física
y seguridad de las personas y el equipamiento, así como el patrimonio tecnológico

de las industrias (derivado de su propiedad intelectual).
 El término infraestructura crítica es empleado por los estados para definir
instalaciones y sistemas sobre los que recaen servicios esenciales, cuyo
funcionamiento no permite soluciones alternativas. Las infraestructuras críticas
22
Tema 2. Ideas clave
existentes en un estado se agrupan dentro de sectores estratégicos (los que son
esenciales para la seguridad nacional o para el conjunto de la economía de un país).
Actualmente, las infraestructuras críticas han sido agrupadas bajo doce sectores
estratégicos, que a su vez tienen subsectores:
 Sector energético: eléctrico, hidrocarburos, gas.

 Sector tecnologías información: telefonía, radio, televisión.
 Sector transportes: aeropuertos, puertos, ferrocarril y carreteras.
 Sector hídrico: depósitos, embalses, tratamiento y distribución.
 Sector salud: biológico, asistencia hospitalaria, vacunas y laboratorios.
 Sector alimentación: centros de almacenamiento y distribución.
 Sector finanzas: mercados regulados, pago y compensación.
 Sector nuclear: producción y almacenamiento radiológico.
 Sector químico: sustancias químicas, armas y explosivos.
 Sector de investigación: laboratorios y almacenamientos.
 Sector espacio: centros de control y telecomunicaciones.
 Sector administración: altas instituciones del estado, defensa, interior, partidos
políticos, servicios de emergencia.
Actualmente se considera que algunos sectores como el de la administración pública,

el sector financiero o el sector de la salud no tienen componentes industriales y, por
tanto, serían infraestructuras críticas, pero no industriales. Esto no es totalmente cierto,
ya que existen hospitales que por su nivel de automatización utilizan componentes
industriales cada vez más complejos, igual que otros sectores. Por lo tanto, a priori no
se puede excluir ningún sector dentro de las infraestructuras industriales, aunque sí es
cierto que existen sectores como el energético que siempre tendrán mayor
dependencia que otros como el financiero.
Siguiendo con las diferencias entre ambos conceptos, si nos centramos en una visión
puramente operativa, la ciberseguridad industrial sería de aplicación en todos los
entornos que contengan sistemas de control industrial. La protección de
23
Tema 2. Ideas clave
infraestructuras críticas requerirá en ocasiones el uso de métodos y tecnologías propias
de la ciberseguridad industrial, pero no todas las acciones de la ciberseguridad
industrial estarán asociadas a una Infraestructura crítica, aunque dentro de su ámbito
de actuación puedan ser igualmente importantes.
Por lo tanto, dentro del ámbito de la industria, la ciberseguridad industrial es un

concepto más amplio que la protección de infraestructuras críticas, ya que la mayoría
de las infraestructuras industriales existentes no estarán catalogadas como críticas y sin
embargo tendrán requisitos de ciberseguridad.
En el caso español, todo el desarrollo normativo está bajo el control y la

responsabilidad del CNPIC: www.cnpic.es (Centro Nacional de Protección de
Infraestructuras Críticas), dependiente del Ministerio del Interior. El desarrollo
normativo parte de la directiva EC 114/2008 , Identificación y designación de
Infraestructuras Críticas Europeas, y de la Ley 8/2011 (Ley-8/2011 2011) y el Real
Decreto 704/2011 sobre protección de infraestructuras críticas.
Mapa de ruta de ciberseguridad industrial en España 2013-2018
En el caso español, el Gobierno definió un documento especifico denominado «Mapa

de Ruta de Ciberseguridad Industrial en España 2013-2018» (CCI,2013), que
analizaremos en detalle dado que marca la ruta que se está siguiendo a la hora de
definir la ciberseguridad industrial.
En la figura 4 podemos ver los principales retos tecnológicos, sistemáticos y

organizativos de la ciberseguridad industrial, y que coinciden con los definidos por la
mayoría de países de la Unión Europea y Sudamérica. Entre ellos debemos destacar por
ser un punto recurrente la creación de una verdadera «cultura de la seguridad»,

mediante la formación continua y la concienciación general. Igualmente destacan la
creación de laboratorios de ciberseguridad, o el estudio que se está realizando sobre
esquemas de evaluación, estos dos últimos puntos son muy importantes, porque existe
24
Tema 2. Ideas clave
una gran carencia actualmente de sistemas objetivos que permitan medir los
verdaderos riesgos a los que están sometidos este tipo de infraestructuras.
Figura 4. Retos tecnológicos/sistemáticos/organizativos de la ciberseguridad industrial.
Fuente: Mapa de Ruta de Ciberseguridad Industrial en España 2013-2018 (CCI_2013 2013).
También dentro de este documento es importante destacar las normativas base que se
han tenido en cuenta para su realización, y que son las que actualmente se están
aplicando:
 NIST SP800-82: guide to industrial control system security (ICS).

 ICS-CERT US: control system security program (CSSP).
 NERC CIP-003-4.
 SA/IEC-62443.
 ENISA: protecting industrial control systems. recommendations for europe and
member states.
 INTECO (actual INCIBE): estudio sobre la seguridad de los sistemas de monitorización
y control de procesos e infraestructuras (SCADA).
 Guía de buenas prácticas para la elaboración de los contenidos mínimos de los
planes de seguridad del operador.
25
Tema 2. Ideas clave
 Guía de buenas prácticas para la elaboración de los contenidos mínimos de los
planes de protección específicos.
 CCN-STIC-480: seguridad en sistemas SCADA.
 CCN-STIC-480A SCADA: guía de buenas prácticas.
 CCN-STIC-480B SCADA: comprender el riesgo del negocio.
 CCN-STIC-480C SCADA: implementar una arquitectura segura.
 CCN-STIC-480D SCADA: establecer capacidades de respuesta.
 CCN-STIC-480E SCADA: mejorar la concienciación y las habilidades.
 CCN-STIC-480F SCADA: gestionar el riesgo de terceros.
 CCN-STIC-480G SCADA: afrontar proyectos.
 CCN-STIC-480H SCADA: establecer una dirección permanente.
 Ley 8/2011 por la que se establecen medidas para la protección de las
 R. D. 704/2011 por la que se aprueba el reglamento para la protección de las
 Acuerdo Consejo de Ministros sobre protección de infraestructuras críticas.
 Estrategia española de seguridad.
 Ley 2/1985: protección civil.
 R. D. 407/1992: norma básica de protección civil.
 R. D. 393/2007: norma básica de autoprotección de centros y establecimientos.
 R. D. 1468/2008 que modifica R.D. 393/2007.
 R. D. 399/2007: protocolo intervención unidad militar emergencia.
 Directiva 2008/114/CE del Consejo, sobre identificación y designación de las
infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su
protección.
26
Tema 2. Ideas clave
En el documento se definen una serie de objetivos:
«9 Objetivos de cultura de seguridad industrial.

4 Objetivos para el riesgo industrial – Medir y Analizar el Riesgo.
8 Acciones de protección – Reducir el riesgo y mitigar los impactos.
6 Controles de detección y gestión de incidentes.
5 Objetivos para colaboración y coordinación.
3 Objetivos de investigación.»
A continuación, analizaremos cada uno de estos bloques:
 Objetivos relacionados con la cultura de la seguridad industrial. Como comentamos

inicialmente, dentro de la ciberseguridad industrial toma una importancia crítica el
aspecto de cómo crear una cultura de la seguridad y, por ello, en el caso español se
definieron nueve acciones orientadas a conseguir ese objetivo:
• CULT-1: crear un consorcio independiente para el fomento de la
ciberseguridad.
• CULT-2: desarrollar currículo, programa formativo y certificaciones.
• CULT-3: realizar eventos periódicos de ciberseguridad.
• CULT-4: facilitar la compartición de información.
• CULT-5: fomentar la participación de la industria.
• CULT-6: desarrollar documentación sobre gestión de la ciberseguridad
industrial.
• CULT-7: mantenimiento y evolución de la documentación existente.
• CULT-8: realizar análisis sobre los beneficios de la ciberseguridad para el
negocio.
• CULT-9: evaluación y certificación de tecnologías de ciberseguridad.
 Objetivos relacionados con la medición y el análisis del riesgo. Medir y analizar el
riesgo es el primer paso para determinar cuáles son los eventos que podrían afectar
a las infraestructuras y sistemas que deseamos proteger. Mediante la identificación

de las vulnerabilidades, las amenazas y sus impactos somos capaces de conocer los
puntos débiles y los que en mayor medida podrían afectar al funcionamiento de los
procesos de negocio. Esto es fundamental para poder establecer las medidas de
seguridad necesarias y comenzar a construir los diferentes mecanismos que nos
27
Tema 2. Ideas clave
permitan garantizar, a lo largo del tiempo, la ciberseguridad de las instalaciones
industriales. Para conseguir este objetivo se definieron cuatro acciones:
• RISK-1: desarrollo de catálogos de activos, amenazas y vulnerabilidades para
distintos sectores industriales.
• RISK-2: definición de una metodología de análisis de riesgos.
• RISK-3: desarrollo de métricas de rendimiento comunes.
• RISK-4: desarrollo de herramientas de análisis de riesgos.
 Protección. Reducir el riesgo y mitigar los impactos: el conocimiento del riesgo es
fundamental para poder determinar cuáles son las medidas de protección más
adecuadas para su reducción y para la mitigación de los impactos que podrían
resultar de la explotación de vulnerabilidades. Para conseguir este objetivo se
definieron ocho acciones:
• PROT-1: desarrollar soluciones de seguridad para infraestructuras industriales.
• PROT-2: desarrollar y utilizar componentes seguros que incluyan seguridad en
el diseño.
• PROT-3: aumentar la automatización en las prácticas, procedimientos y
políticas de ciberseguridad.
• PROT-4: establecer un esquema de certificación en ciberseguridad de
componentes industriales.
• PROT-5: fomentar la I+D+i (investigación, desarrollo e innovación) en busca de
soluciones de protección adecuadas para el entorno industrial.
• PROT-6: construir entornos de prueba (testbeds) que permitan la realización
de pruebas en entornos seguros.
• PROT-7: elaboración de catálogo de entornos de prueba.
• PROT-8: desarrollar un modelo de madurez de ciberseguridad industrial.
 Detección y gestión de incidentes: la falta de adecuación de los sistemas industriales
hace necesario establecer sistemas adecuados para detectar y gestionar los
incidentes que puedan afectar a las infraestructuras industriales. Cada incidente

detectado ofrece la oportunidad de examinar las debilidades del sistema, así como
el procedimiento para manejar su respuesta. Para conseguir este objetivo se
definieron seis acciones:
28
Tema 2. Ideas clave
• INCI-1: desarrollo de soluciones de detección de incidentes en los distintos
niveles (red, sistemas y aplicación) para entornos industriales.
• INCI-2: desarrollo de un catálogo de soluciones que ayuden en la toma de
decisiones frente a ciberataques.
• INCI-3: involucrar a los CERTs en la detección y tratamiento de incidentes de
ciberseguridad industrial.
• INCI-4: desarrollo de soluciones que faciliten el análisis forense.
• INCI-5: definición de requisitos para la restauración y recuperación de
sistemas y redes industriales.
• INCI-6: desarrollo de un catálogo de lecciones aprendidas.
 Colaboración y coordinación: para poder conseguir todos los objetivos propuestos
en el mapa de ruta es necesario que exista una colaboración total entre todas las
organizaciones y empresas involucradas. Para conseguir este objetivo se definieron
cinco acciones:
• CLBR-1: acercar el conocimiento de la cibersituación a los niveles directivos de
los actores implicados.
• CLBR-2: crear un marco común para la coordinación de la gestión de la
colaboración para todos los implicados (PPP).
• CLBR-3: desarrollo de normativas apropiadas en materia de ciberseguridad
industrial.
• CLBR-4: participación en foros internacionales de ciberseguridad.
• CLBR-5: establecimiento de acuerdos internacionales para la gestión de la
ciberseguridad industrial.
 Investigación: durante el análisis de todo el documento se puede ver uno de los
principales problemas a los que se enfrenta la ciberseguridad industrial, y es la falta
de investigación asociada a la misma. Para conseguir este objetivo se definieron
tres acciones:
• INVE-1: desarrollo de un plan estratégico de desarrollo de la I+D+i en

ciberseguridad.
• INVE-2: definición de programas de trabajo a nivel nacional.
• INVE-3: promoción de redes y relaciones.
29
Tema 2. Ideas clave
2.4. Niveles de alerta
uando hablamos de infraestructuras críticas e industriales, uno de los

puntos fundamentales es que las medidas de seguridad serán dinámicas,
es decir, variarán dependiendo del riesgo de seguridad externo al que se
vean sometidas en cada momento.
Figura 5. Nivel de Alerta en Infraestructuras Críticas (NAIC).
Fuente: www.cnpic.es
Actualmente, este riesgo de seguridad externo viene definido por el NAIC (nivel de
alerta en infraestructuras críticas), que está asociado al NAA (nivel de alerta
antiterrorista). En la figura 5 se puede ver como el NAIC está formado por cinco
niveles, encontrándonos actualmente en un nivel 4 (riesgo alto). En el caso español

se mantiene el nivel 4 de forma ininterrumpida desde el 26 de junio de 2015, a raíz
de los atentados de Francia y posteriormente los de Barcelona y Cambrils. El nivel 5
30
Tema 2. Ideas clave
suele estar reservado para casos de atentados inminentes y podría llegar a implicar
presencia militar en las calles.
Como podemos observar, el nivel de alerta antiterrorista consiste en una escala

compuesta por cinco niveles, cada uno de los cuales se encuentra asociado a un
grado de riesgo en función de la valoración de la amenaza terrorista que se aprecie
en cada momento:
 El nivel 1 corresponde a riesgo bajo.

 El nivel 2 corresponde a riesgo moderado.
 El nivel 3 corresponde a riesgo medio.
 El nivel 4 corresponde a riesgo alto: supone la movilización total de los agentes de la
lucha antiterrorista, que extreman la vigilancia sobre las personas sospechosas, así
como el refuerzo y protección de infraestructuras críticas como centrales nucleares
o grandes nudos de comunicación, entre ellos aeropuertos y estaciones de tren. En
general, este nivel de alerta implica una mayor presencia de las fuerzas de seguridad
en las calles y un preaviso a las Fuerzas Armadas para que intensifiquen la seguridad
en sus instalaciones y estén preparadas para reforzar a policía y guardia civil, en caso
de ser requeridas.
 El nivel 5 corresponde a riesgo muy alto: la activación de este nivel, el máximo
previsto, está reservada a casos de atentados inminentes en territorio nacional. En la
práctica implicaría la presencia de militares en las infraestructuras críticas, nudos de
comunicación y lugares de gran acumulación de personas. Las medidas del plan
están principalmente dirigidas a la protección de los siguientes objetivos:
instalaciones, redes, sistemas y equipos físicos y de tecnología de la información
sobre las que descansa el funcionamiento de los servicios esenciales. También de
centros y organismos públicos u oficiales.
La activación de cada uno de los niveles es competencia del ministro del Interior,
una vez oídos los informes de los expertos de los servicios de inteligencia y las
fuerzas de seguridad. Los criterios para activar uno u otro nivel dependen, según
Interior, de la valoración de la amenaza «en función de la intención, la capacidad y
31
Tema 2. Ideas clave
la probabilidad de comisión de un atentado terrorista», así como de la
vulnerabilidad de los potenciales objetivos de ataque y su posible impacto o
repercusión.
Inicialmente se tenía una escala de tres niveles, pero en el año 2009 fue revisada al
considerarla insuficiente y se cambió por una de cuatro niveles, que finalmente fue
modificada en el año 2015 a la actual.
Aun así, el cambio ha sido muy criticado, y en la realidad se puede considerar poco
práctico, dado que realmente se puede considerar que sigue existiendo un sistema
de tan solo tres niveles (1-2-3, 4, 5).
El NAIC es un indicador público y que puede consultarse directamente en la

página web del CNPIC. Cada nivel de seguridad del NAIC tiene asociada una serie de
medidas de seguridad, vigilancia y protección tecnológicas que afectan tanto a los
órganos pertenecientes a Secretaría de Estado de Seguridad, al CERT de Seguridad e
Industria (CERTSI) y a los operadores críticos nacionales.
En el caso español, la Administración decretó dentro del PNPIC (Plan Nacional de

Protección de las Infraestructuras Criticas) que si la situación de alerta así lo
requiere se pueden establecer los denominados DEC (dispositivos extraordinarios
de ciberseguridad), que serán coordinados mediante la OCC (oficina de
coordinación cibernética) del CNPIC. La OCC será el órgano responsable de efectuar
la coordinación técnica entre los responsables de seguridad de los sistemas y
tecnologías de la información de los operadores críticos, las unidades tecnológicas
de las Fuerzas y Cuerpos de Seguridad del Estado y el CERTSI (equipo de respuesta a
ciberincidentes cogestionado por el Ministerio de Industria, Energía y Turismo y el
Ministerio del Interior), que es el CERT de referencia de los operadores de

infraestructuras críticas nacionales.
32
Tema 2. Ideas clave
2.5. Medidas asociadas a los niveles de alerta
uando un nivel del NAIC cambia, todas las infraestructuras críticas e

industriales se ven afectadas por este cambio. Esto es debido a que los
niveles de alerta están asociados con medidas específicas de seguridad.
¿Qué implicaciones tiene esto en la práctica? En la gestión de la seguridad clásica,

cuando definimos controles o salvaguardas lo hacemos pensando en el nivel de
cobertura de ese control, es decir, existen una o varias amenazas y requerimos de
un control que nos sirva para proteger los activos de valor frente a esas amenazas,
entendiendo que ese control tendrá un nivel de cumplimiento o nivel de cobertura.
Por ejemplo, para la amenaza virus tenemos el control antivirus, pero este control
tendrá un nivel de cumplimiento mayor dependiendo de si está actualizado o no, o
de otros factores.
Cuando se mide el riesgo en la gestión de la seguridad, entendemos que el nivel de

cobertura de un control puede estar al 100 % y, por tanto, ya no se puede mejorar
nada en él. Pero en la realidad esto no es cierto, ya que existen medidas de
seguridad que muchas veces no aplicamos porque pueden limitar la libertad a la
hora de trabajar o hacer que el trabajo sea mucho más lento e improductivo.
Por ello, y aunque muchas veces lo hacemos de forma inconsciente, tendemos a

limitar el nivel de seguridad de los controles, y hacemos un balanceo respecto al
nivel de cobertura de los mismos frente al nivel de productividad o comodidad a la
hora de trabajar. Por ejemplo, en el caso de una torre eléctrica podemos tener
conectividad vía móvil con los sistemas OT, y esto puede ser un potencial riesgo de
seguridad en algunos sistemas.
Por ello, en el caso de las infraestructuras críticas e industriales no es suficiente

con tener en cuenta solo el riesgo asociado al nivel de cobertura del control y que
podríamos decir que es un riesgo fijo e interno, sino que entra en juego otra
33
Tema 2. Ideas clave
variable que es el NAIC. Cuando esta varía, obliga a que se tomen medidas de
seguridad adicionales sobre los controles ya establecidos, de forma que cuanto
mayor sea el nivel del NAIC, mayores serán también los niveles de seguridad a los
que deban someterse los controles.
Este modelo de NAIC es muy básico y está suponiendo importantes problemáticas

que todavía no han sido resueltas. Entre los principales problemas que plantean
son:
 Se establecen niveles de control normales para los niveles 1, 2 y 3. A partir del nivel
4 se establecen medidas de seguridad adicionales y costosas en muchos casos. Pero
en la realidad se ha demostrado que el nivel 4 se puede llegar a mantener durante
años, lo que hace inviable que las compañías bloqueen su operativa diaria durante
periodos tan largos. Esto ha obligado a flexibilizar las medidas asociadas al nivel 4,
con lo cual se ha perdido parte del objetivo que se buscaba conseguir.
 Las compañías muchas veces no cuentan con recursos suficientes para adaptarse a
esos niveles de seguridad, dado que afectan de forma global a todos los controles.
Desde el punto de vista de muchos grupos de investigación este es un gran error, ya
que los niveles de seguridad deberían tener una orientación hacia controles y no
global. Es decir, se debería indicar en todo momento qué controles son los más
atacados y, por tanto, suponen las principales amenazas en ese instante de tiempo.
 Para solucionar esto, la metodología MARISMA (metodología para análisis de riesgo
sistemático), que se estudiará a lo largo del curso, ha acuñado el término GSS
(Global Security Shield), un escudo de seguridad global que permite a las compañías
compartir conocimiento sobre ataques específicos y proteger los controles que son
el objetivo, en lugar de tener que subir el nivel de todos los controles involucrados
en el sistema.
Como podemos ver, el sistema actual no se muestra especialmente eficiente y las

compañías lo terminan percibiendo como una molestia y no como un beneficio real,
buscando la forma de evitar tener que poner las medidas de seguridad adecuadas.
34
Tema 2. Ideas clave
De cualquier forma, es necesario entender cómo funciona el sistema actualmente y
qué medidas deben implementarse para el mismo.
En la figura 6 podemos ver un extracto de un informe con medidas propuestas

para infraestructuras críticas e industriales, en el que se muestra:
 Nombre breve de la medida.

 Descripción detallada de la medida.
 Niveles de alerta en que debe estar activa la medida de seguridad.
 Responsable de implementación de la medida.
 Estado de la misma, o fecha prevista para su implantación.
Figura 6. Relación entre las medidas de seguridad y los niveles NAIC
Fuente: www.emarisma.com
35
Tema 2. Ideas clave
Si analizamos la figura 6 podemos ver:
 Si nos centramos en las medidas asociadas a la cultura de la seguridad, vemos

como realmente no sufren modificaciones con los niveles de alerta de seguridad, el
nivel del control es una constante.
 En cambio, si nos fijamos en la medida «establecer un protocolo de respuesta
inmediata ante incidentes» vemos como se ha definido solo para los niveles 4 y 5 de
alerta. Por lo tanto, esta medida estará inactiva para niveles inferiores.
 La medida «restringir el acceso a la red» que tiene por objetivo «bloquear las
comunicaciones o cualquier acción informática que pueda tener acceso a la red y
que no fuera totalmente imprescindible para la realización de las funciones de
servicio de la empresa», podemos ver que se activa a partir del nivel 5. Inicialmente
se definió su activación en el nivel 4, pero debido a la larga permanencia del mismo
se debió subir al nivel 5. Este es un claro ejemplo de la problemática antes
mencionada, porque en la realidad nunca se ha llegado al nivel 5, con lo que una
medida que tiene sentido en cierto momento de riesgo se ha tenido que llevar a un
nivel de alerta donde realmente no se activará nunca.
 Finalmente, en la revisión de vulnerabilidades podemos ver como existen
variaciones en la periodicidad de la medida, pasando de una revisión anual a una
trimestral. Aunque, igual que el caso anterior, se tuvo que cambiar de un nivel 4 a un
nivel 5.
Lo que se muestra en la figura 6 es solo un fragmento de medidas. Los planes reales

suelen estar formados por un conjunto de más de cien medidas, lo que los convierte
en difíciles de cumplir en compañías con departamento de seguridad limitados.
De esta forma, el enfoque de alertas orientadas a controles o medidas sería mucho

más eficiente que el enfoque actual, en el marco del cual muchas compañías lo que
buscan es cumplir la ley, pero no mejorar realmente sus niveles de seguridad.
En las próximas unidades iremos profundizando más sobre los conceptos de niveles
de seguridad y medidas específicas, y veremos cómo estas quedan integradas
36
Tema 2. Ideas clave
dentro de los PPE (Plan de Protección Específico) y PPO (Plan de Protección del
Operador).
2.6. Referencias bibliográficas
Blanco, R., Francolí, Fontodrona, J. y Poveda, C. (2017). La industria 4.0: El estado de

la cuestión. Economía industrial (406), 151-164.
BS7799 (2002). BS 7799: Information security management systems, British

Standards Institute (BSI).
CCI (2013). La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial.

Centro de Ciberseguridad Industrial (CCI), Madrid, España.
CCI (2013). Mapa de Ruta de Ciberseguridad Industrial en España 2013-2018. Centro

de Ciberseguridad Industrial (CCI), Madrid, España.
CCOO Industria (2017). La Digitalización y la Industria 4.0. Impacto industrial y

laboral. Recuperado de
https://industria.ccoo.es/4290fc51a3697f785ba14fce86528e10000060.pdf
EC114/2008 (2008). On the identification and designation of European critical

infrastructures and the assessment of the need to improve their protection. C. D.
2008/114/EC. 8 december 2008.
ISO/IEC17799:2005. Information Technology - Security techniques - Code of practice

for information security management. International Organization for
Standardization (ISO), junio de 2005.
37
Tema 2. Ideas clave
ISO/IEC27001:2013. Information technology - Security Techniques Information
security management systemys – Requirements. Organization for Standardization
(ISO), octubre de 2013.
ISO/IEC 27002:2005. Information Technology – Security techniques - Code of

Practice for Information Security Management. Organization for Standardization
(ISO), junio de 2005.
ISO/IEC27032:2012. Information technology -- Security techniques -- Guidelines for

cybersecurity. Organization for Standardization (ISO), julio de 2012.
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de

las infraestructuras críticas. Boletín Oficial del Estado, 29 de abril de 2011, núm.
102, pp. 43370 a 43380.
Real Decreto 704/2011, de 20 de mayo, por la que se aprueba el Reglamento para la

Protección de las Infraestructuras Críticas. Boletín Oficial del Estado Español, 21 de
mayo de 2011, núm. 121.
38
Tema 2. Ideas clave
A fondo
¿Qué es la Cuarta Revolución Industrial?
Salesforce Latinoamérica (abril de 2018). ¿Qué es la Cuarta Revolución Industrial?

[Mensaje en un blog]. Salesforcebog.
Artículo en el que se introducen las principales pautas que han llevado a la

denominada cuarta revolución industrial y se destacan las principales tecnologías
que impulsan esta transformación, así como sus impactos en los negocios y las
expectativas de los consumidores.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.salesforce.com/mx/blog/2018/4/Que-es-la-Cuarta-Revolucion-
Industrial.html
La Cuarta Revolución Industrial
Vídeo desarrollado en el ámbito del World Economic Forum de 2016 explicando las
principales claves, efectos, agentes y consecuencias de la llamada Cuarta Revolución
Industrial.
39
Tema 2. A fondo
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=-OiaE6l8ysg
Tipos de virus
Panda Security (2011). Tipos de virus. pandasecurity.com.
Artículo desarrollado por Panda Security en el que se ofrece una posible y completa
clasificación (y descripción) de los tipos de virus más significativos y sus efectos.
https://www.pandasecurity.com/spain/homeusers/security-info/about-
malware/technical-data/date-3.htm
Auditando tu Ciberseguridad con ISO 27032
Presentación de la interesante conferencia maestra que la experta en

ciberseguridad de BSIGroup (British Standard Institute) ofreció en agosto de 2018
en colaboración con ISACA en el marco del Congreso Cybersecurity Day Chile 2018 y
donde se ofrece una visión general sobre las características de la ISO27032 para
auditar la ciberseguridad.
40
Tema 2. A fondo
https://www.youtube.com/watch?v=GzsEFCVwhz0
Guía de reporte de incidentes para operadores críticos
Pedrera Macías, R. (septiembre de 2016). Guía de reporte de incidentes para

operadores críticos. Seguritecnia.
Artículo de Rafael Pedrera Macías, jefe de Operaciones de la oficina de coordinación

cibernética (OCC) del Centro Nacional para la Protección de las Infraestructuras
Críticas (CNPIC), presentando la relación entre las acciones y guías desarrolladas por
los principales órganos de seguridad del Estado y los niveles de alerta NAIC.
http://www.seguritecnia.es/content/download/19077/226801/file/Art%C3%ADcul
o%20Rafael%20Pedrera.pdf
41
Tema 2. A fondo
Actividades
Caso práctico: Medidas
▸ Objetivo de la actividad: Analizar y reflexionar sobre las necesidades de

seguridad en función de los diferentes Niveles de alerta (NAIC) definidos.
▸ Descripción de la actividad:
 Indicar diferentes ejemplos de medidas de seguridad se podrían
implementar para cada uno de los Niveles, en el ámbito de las
Infraestructuras Críticas. Indicar 20 posibles medidas repartidas entre los 5
posibles niveles de alerta.
 Las medidas tendrán que ir alineadas con la ISO27001 o la ISO62443.
 Los niveles de alerta antiterrorista deben ser coherentes.
 Se debe indicar el responsable de la medida.
 Se debe indicar la fecha de implantación de la medida.
42
Tema 2. Actividades
▸ Rúbrica
Título de la
actividad Puntuación máxima Peso
Descripción
(valor real: 4 (puntos) %
puntos)
Justificación de las respuestas 7
Criterio 1 70%
Coherencia en los niveles 1
Criterio 2 10%
Rellenar todos los campos solicitados en la
Criterio 3 2 20%
descripción
10 100 %
▸ Extensión máxima de la actividad: 15 páginas sin incluir portada, índice ni

conclusión.
43
Tema 2. Actividades
Test
1. ¿Qué tipos de virus son los más peligrosos?
A. Caballos de Troya.
B. Gusanos.
C. Virus de programa.
D. Todos los anteriores.
2. ¿En qué ámbito se originó Internet?

A. Industrial.
B. Universitario.
C. Militar.
D. Financiero.
3. ¿Cuál fue el primer buscador de contenidos en Internet?

A. Altavista.
B. Google.
C. Yahoo.
D. Bing.
4. ¿Qué activos cubre un seguro de un sistema de información?

A. Hardware.
B. Software.
C. Datos.
D. Todos son correctos.
44
Tema 2. Test
5. ¿Cuándo surgió el concepto de infraestructura crítica?
A. En la primera década del siglo XXI, siendo un concepto relativamente joven.
B. Durante la Segunda Guerra Mundial.
C. En la década final del siglo XX.
D. En los años 80, con la consolidación de las TI y el crecimiento de Internet.
6. La norma que permite certificar el nivel de gestión de la seguridad de un sistema

de información es:
A. ISO27032.
B. ISO27001.
C. ISO27002.
D. Todas son correctas.
7. Las infraestructuras críticas en España se circunscriben actualmente al siguiente

sector:
A. Energético.
B. Nuclear.
C. Administración pública.
8. En el documento «Mapa de Ruta de Ciberseguridad Industrial en España 2013-

2018» se incluyen los siguientes objetivos:
A. Objetivos empresariales.
B. Objetivos de productividad.
C. Objetivos de gestión de incidentes.
45
Tema 2. Test
9. ¿Qué niveles define la escala NAIC?
A. Riesgo nulo, riesgo bajo, riesgo medio, riesgo alto, riesgo muy alto.
B. Riesgo bajo, riesgo medio, riesgo moderado, riesgo alto, riesgo muy alto.
C. Riesgo nulo, riesgo bajo, riesgo medio, riesgo alto, riesgo crítico.
D. Riesgo Bajo, riesgo medio, riesgo moderado, riesgo alto, riesgo crítico.
10. ¿Qué implicación supone el cambio de nivel de NAIC?:
A. Cuanto mayor sea el nivel del NAIC, mayores serán también los niveles de
seguridad a los que deban someterse los controles.
B. La dificultad de mantener en el tiempo determinados controles supone un
problema a la hora de su aplicación práctica.
C. Se debe revisar la adaptación al nuevo nivel de una forma global.
D. Todas son correctas.
46
Tema 2. Test

Tema 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 2

Cargado por

Copyright:

Formatos disponibles

Tema nº 2

2.5. Medidas asociadas a los niveles de alerta 33

2.1. Introducción y objetivos

l objetivo de este tema es que el alumno entienda más en detalle qué es la

Antes de empezar a tratar el resto de la unidad es importante hacer un punto de

Ciberseguridad industrial en cifras

Como comentamos en el tema anterior, la transformación digital no solo está

En su informe sobre la digitalización y la industria 4.0 «Impacto Industrial y Laboral» del

En este mismo informe se presentan algunas cifras interesantes respecto a la

Asimismo, en la página. 83 del informe destaca el siguiente párrafo:

«En la industria, el grado de precaución debe ser mayor, ya que cualquier

ciberataque tiene que ser repelido para que la cadena de producción no

Este informe no es sino un ejemplo más de la importancia que ha tomado la

La revolución de la industria 4.0 ha traído grandes ventajas productivas, asociadas a la

En este sentido, es fácil encontrar referencias continuas dentro de la industria 4.0 a la

84 %, es precisamente la ciberseguridad según el estudio de 2017 realizado por la

 Entender en su totalidad el concepto de ciberseguridad industrial.

2.2. ¿Qué es la ciberseguridad industrial?

industrial es un concepto relativamente nuevo, con un gran desarrollo por

Entonces, ¿porque no llamarlo seguridad industrial, en lugar de ciberseguridad

Una vez entendido el concepto estamos en disposición de analizarlo en mayor

Poniendo las bases de la cuarta revolución industrial

Sería muy difícil establecer el punto de partida de la ciberseguridad industrial, ni

Si analizamos desde el punto de vista histórico tendríamos que remontarnos a la

Y junto con el nacimiento de esa revolución nacieron las primeras amenazas. Ya en

Las primeras amenazas trajeron consigo la necesidad de crear controles y salvaguardas

 Caballos de Troya: pasan desapercibidos al usuario y presentan una función

confunde con un programa totalmente legítimo, pero al ejecutarlo puede llegar a

 El 1 de febrero de 1995: se funda Altavista, que fue el primer buscador de éxito

sociedad humana, pasando de un mundo analógico a uno digital y haciendo que el

Poniendo las bases de ciberseguridad industrial

 ISO/IEC 27000: es un vocabulario estándar para el Sistema de Gestión de la

 ISO/IEC 27004: métricas para la gestión de seguridad de la información. Es la que

 ISO/IEC 27032:2012: tecnologías de la Información. Técnicas de Seguridad. Guía de

 La norma ISO27001 es la única norma certificable, de forma que con independencia

Merece una mención aparte, la normativa ISO27032:2012 (ISO/IEC27032 2012),

 Tiene como objetivo garantizar la seguridad en los intercambios de información en

Esta normativa también ha sido la base sobre la que se ha establecido la ciberseguridad

2.3. ¿Qué son las infraestructuras críticas?

omo hemos ido viendo, el mundo ha sufrido un cambio radical, y la entrada

Estas agendas hicieron aparecer conceptos como el de protección de infraestructuras

 El 15 de abril: el Gobierno de Estonia reubica la estatua.

El caso de Tallin supuso un antes y un después para muchas naciones. De repente se

Infraestructura industrial vs. infraestructura crítica

Para analizar las diferencias entre el concepto de infraestructura industrial y el de

designadas como infraestructuras críticas deben cumplir una serie de requisitos

Fuente: «La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial» (CCI 2013))

De esta forma podemos definir:

 La ciberseguridad industrial aborda la prevención, monitorización y mejora de la

y seguridad de las personas y el equipamiento, así como el patrimonio tecnológico

 Sector energético: eléctrico, hidrocarburos, gas.

Actualmente se considera que algunos sectores como el de la administración pública,

dependencia que otros como el financiero.

Por lo tanto, dentro del ámbito de la industria, la ciberseguridad industrial es un

En el caso español, todo el desarrollo normativo está bajo el control y la

Mapa de ruta de ciberseguridad industrial en España 2013-2018

En el caso español, el Gobierno definió un documento especifico denominado «Mapa

En la figura 4 podemos ver los principales retos tecnológicos, sistemáticos y

ser un punto recurrente la creación de una verdadera «cultura de la seguridad»,

Figura 4. Retos tecnológicos/sistemáticos/organizativos de la ciberseguridad industrial.

Fuente: Mapa de Ruta de Ciberseguridad Industrial en España 2013-2018 (CCI_2013 2013).

 NIST SP800-82: guide to industrial control system security (ICS).

«9 Objetivos de cultura de seguridad industrial.