Tema 03 Ciberseguridad Industrial

Tema 3
Ciberseguridad Industrial
Tema 3. Elementos
tecnológicos de la
ciberseguridad industrial y
en IoT
Índice
Esquema
Ideas clave
3.1. Introducción y objetivos
3.2. SCADA vs IIoT
3.3. Redes y sistemas de automatización industrial
3.4. Diagnóstico técnico y organizativo de la

ciberseguridad industrial
3.5. Referencias bibliográficas
A fondo
Industrial Internet Security Framework Technical Report
Demostración de vulnerabilidad de hackeo de una

cámara de IoT
Ciberseguridad del IoT: un análisis en países de la Unión

Europea
¿Cuán peligrosos son los dispositivos de IoT?
Ciberseguridad
Test
Esquema
Ciberseguridad Industrial 3
Tema 3. Esquema
© Universidad Internacional de La Rioja (UNIR)
Ideas clave
3.1. Introducción y objetivos
En este tema se describen los conceptos y fundamentos más importantes
relacionados con los sistemas de ciberseguridad industrial a nivel de redes y
sistemas de control industrial, como los SCADAS y los entorno de IoT. Estos
conceptos son esenciales para poder entender cómo proteger estos sistemas.
Es importante hacer un punto de situación respecto a por qué es importante entender
el funcionamiento de las redes y los sistemas SCADAs de control.
Las redes y los sistemas SCADAs
En los últimos años se han producido cada vez más ataques contra las redes
industriales, en especial buscando vulnerabilidades contra los sistemas SCADAs de
control industrial.
Los SCADAs (Supervisory, Control and Data Acquisition) son los sistemas de
supervisión, control y adquisición de datos, base para la automatización de
procesos industriales y, por tanto, para la industria 4.0.
Una de las grandes ventajas de los SCADAs es que permiten visualizar de forma
gráfica los procesos de producción industriales y en base a ello tomar mejores
decisiones o incluso poderlos conectar con los sistemas TIC y algoritmos de machine
learning que modifican los valores de forma dinámica. Dentro la industria 4.0, estos
sistemas nos permitirán medir, monitorizar y controlar todos los procesos de los
sistemas industriales.
La automatización de los SCADAs se inició en los sectores eléctricos, aunque hoy
su alcance llega a todos los sectores (salud, financiero, etc.).
Otra de las grandes ventajas de los sistemas SCADA es que permite visualizar las
operaciones en tiempo real, reaccionar ante las alarmas, cambiar la configuración
Tema 3. Ideas clave
Ideas clave
a distancia o incluso ser monitorizados mediante programas de inteligencia artificial
con capacidades predicativas en base a los históricos del mismo.
El proceso de funcionamiento de un SCADA sería, de forma abreviada:
▸ Inicia una comunicación en tiempo real con los controladores PLC (controlador lógico
programable) o RPU (unidad terminal remota).
▸ Reúne toda la información de estos controladores y los procesa.
▸ Finalmente, envía la información al sistema de monitor para que la muestre de forma
gráfica.
Estos sistemas SCADA suelen conectarse a su vez con las redes corporativas
de las compañías (Figura 1), en las denominadas redes convergentes, que han
ayudado a mejorar mucho el control de los sistemas SCADA, pero también han
disparado sus brechas de seguridad.
Figura 1. Red convergente que integra operaciones de la red corporativa y la red de control industrial.
Fuente: Moya, S. (2017).
Tema 3. Ideas clave
Ideas clave
Por lo tanto, podemos ver como hoy en día los sistemas SCADA se componen de
dos redes convergentes, que integran la red corporativa y la red de control. La
primera desarrolla las actividades de configuración, mantenimiento y operación
(mandos o actuadores, lectura de variables, monitoreo del proceso, etc.), mientras
que la red de control interactúa con un gran número de protocolos específicos
(Modbus/TCP, DNP, etc.) y soporta sistemas diversos ( wireless, microondas,
seguridad de intrusión, etc.).
En el caso de los SCADAs, la red de control suele tener una unidad terminal remota
(UTR) que recibe la información y la envía al interfaz máquina-hombre (HMI).
Para controlar estas redes y sistemas han surgido normativas específicas, como la
norma ISA/IEC 62443 (ISA/IEC_62443, 2017) (ISA/IEC_62443 2017)
(ISA/IEC_62443 2017) (ISA/IEC_62443 2017) (ISA/IEC_62443 2017) que es la
evolución de la ISA-99. La norma ISA/IEC 62443 es actualmente el estándar más
reconocido a nivel mundial para la seguridad de control industrial y está derivado de
la familia ISO/IEC 27000, da un enfoque para los sistemas industriales. También es
muy importante en este aspecto el estándar propuesto por el NIST Cybersecurity
Framework, en el que están basados algunos de los patrones de riesgos que se
verán posteriormente.
Estas normas definen las políticas de seguridad que deben aplicarse sobre los
sistemas SCADA, las principales son:
▸ Protección de datos (acceso y almacenaje).
▸ Configuración del hardware y software (virus, detección de intrusos, etc.).
▸ Seguridad en las comunicaciones, recursos humanos.
▸ Auditorías.
▸ Seguridad física (acceso a equipamiento, destrucción de material).
Tema 3. Ideas clave
Ideas clave
▸ Ejecución de operaciones de forma manual en caso de fallo.
En el caso de la normativa ISO/IEC 62443 podemos definir redes redundantes,
de alta disponibilidad, con zonas desmilitarizadas, implementar controles de
seguridad, etc. Un ejemplo de esto se pude ver en la Figura 2.
Figura 2. Arquitectura de seguridad ISA/IEC 62443 en capas donde se muestran las funcionalidades
proporcionadas por cada una de las zonas. Fuente: Moya, S. (2017).
Como podemos ver, en general, la seguridad está tomando un papel muy
importante dentro de este tipo de sistemas.
Tema 3. Ideas clave
Ideas clave
3.2. SCADA vs IIoT
A priori, se podría considerar que un SCADA es exactamente lo mismo que IoT, ya
que si partimos de la premisa de que se utilizan para hacer un seguimiento o
monitoreo de los elementos que operan dentro de un entorno y se supervisan sus
procesos de forma conjunta o de que se realice un control del correcto
funcionamiento de las operaciones o incluso que se gestionen los datos obtenidos en
tiempo real y se almacene esa información para futuras decisiones. Pero existen
diferencias sustanciales que nos hacen diferenciar uno de otro.
Diferencias
Como hemos podido comprobar, parecen ser lo mismo, comparten un objetivo
común, optimizar los sistemas de control y los procesos, pero esto cambia si nos
centramos en su finalidad, ya que un SCADA se centra en la interacción con el ser
humano, es decir, en dar la posibilidad de que una persona pueda tener una
interacción entre los procesos del sistema de una forma remota. En cuanto a los IoT,
estos sistemas están orientados a la interacción entre los distintos dispositivos o
elementos del propio entorno de IoT de forma autónoma, aunque también puede
presentar la información a las personas.
Un SCADA no permite un control total de los sistemas, sino que es una herramienta
para poder obtener información y analizarla en tiempo real, para poder monitorear los
sistemas de una industria. En resumen, obtiene información del sistema, la analiza y
la presenta para que una persona tome las medidas oportunas.
Un IoT tiene una integración más amplia con un entorno industrial respecto a los
SCADA, los IoT son configurados de tal forma que tienen una integración mediante
los sensores, actuadores y los diferentes activos, que interactúan entre sí para mover
la información y que el propio sistema la analice, la procese y tome decisiones de
forma autónoma. Este tipo de sistemas permiten una integración más amplia de
Tema 3. Ideas clave
Ideas clave
forma física con el entorno.
Existen otras diferencias relevantes entre ambos sistemas:
▸ La idea de descentralización vinculada a los entornos del Internet de las cosas choca
con los sistemas centralizados normalmente propuestos por un sistema SCADA.
▸ Un sistema SCADA puede ser menos costoso, ya que este está normalizado y
existen diferentes estándares para poder llevar a cabo sus desarrollos de forma
homogénea, mientras que los entornos de IoT no tienen una normalización global y,
por tanto, los desarrollos de estos implican desarrollos propios e individualizados que
afectan al costo.
▸ En términos generales, un sistema SCADA tiene a ser más exacto en la información
que transmite, aunque la rápida evolución de los sistemas de IoT empieza a rivalizar
con ellos.
▸ El acceso a la información desde cualquier parte es una de las características
principales de los entornos de IoT, ya que se encuentran conectados a Internet; por

otro lado, los SCADA normalmente están centrados y limitados a actuar en un
entorno totalmente definido dentro de una fábrica. Al igual que los IoT, que empiezan
a rivalizar en cuando a la veracidad de la información transmitida por los SCADA,
estos últimos empiezan a tener presencia en la web mediante nuevos sistemas
montados sobre máquinas virtuales conectadas a Internet.
▸ Los sistemas de IoT pueden ser integrados en un área de TI, esto permite obtener
toda la información y datos de la compañía para poder alimentar software de tipo

ERP, CRM…y por tanto conseguir una mayor unificación de los procesos de la
industria.
▸ La productividad es un factor clave con respecto a los IoT, uno de sus objetivos
principales consiste en conseguir una vida útil lo más extensa posible, de esta forma
se reducen los costes de producción.
Tema 3. Ideas clave
Ideas clave
▸ En cuanto a la seguridad en los dispositivos de IoT, al constar de tantos puntos de
acceso a Internet, supone un amplio abanico de posibilidades para ser atacado, así
como el disponer de los datos recogidos en la nube supone un esfuerzo extra a la
hora de aumentar la seguridad sobre la integridad de los datos y, por último, la
necesidad de gestión de los dispositivos, sistemas, etc. son puntos para tener en
cuenta que demuestran las inseguridades de un sistema de IoT.
▸ En IoT existe la posibilidad de combinar diferentes tecnologías y herramientas, hacer
uso de sistemas de aprendizaje y predicción como machine learning y sistemas de

realidad aumentada para realizar controles a distancia del entorno.
Como hemos comprobado, una de las principales ventajas de IoT es el bajo coste,
esto junto con una mayor calidad de datos, mejora en el control y monitoreo remoto
de los dispositivos y su fácil instalación representan una mejora en el entorno de la
industria, aunque se debe tener en cuenta que al tratarse de una tecnología
relativamente nueva en el mercado con respecto a los PLCs y los SCADAs.
Por tanto, podemos decir que los SCADA, con todas sus capacidades, son muy
relevantes en la industria, pero tiene carencias con respecto al procesamiento de la
información y la conectividad del entorno. IoT ha revolucionado SCADA por sus
características y apertura. IoT proporciona escalabilidad e interoperabilidad, ambas
plataformas permiten mejorar la productividad de forma generar al aportar un soporte
inteligente al entorno, mejorando la eficiencia, los tiempos y la vida útil de los
dispositivos al reducir la generación de residuos.
Tema 3. Ideas clave
Ideas clave
Figura 3. SCADA e IoT. Fuente: Altizon (s.f.).
En esencia, IoT es la culminación de SCADA en cuanto a conectividad

de los dispositivos hardware y las redes. El hecho de que SCADA no
presenta innovaciones particulares es por lo que consideramos IoT
como una ventaja. Los SCADA se están viendo influenciados por la
evolución de IoT, ofreciendo un nuevo marco para nuevos modelos de
negocio.
La integración de ambas tecnologías es un hecho, si ya se dispone de un sistema
SCADA se puede integrar una solución de IoT para que se recopile la información y
aprovechar la potencia y escalabilidad de un entorno IoT. Con esa información
recogida, se pueden generar numerosos informes que nos proporcionen datos sobre
la producción, eficiencia energética. Además, IoT nos proporciona la posibilidad de
que esa información se comparta con las personas y los dispositivos, no solo con las
personas, de esta forma todo el sistema está al tanto.
Tema 3. Ideas clave
Ideas clave
3.3. Redes y sistemas de automatización industrial
Aquí se define el principal tema a tratar, donde explicaremos algunos de los
conceptos más importantes que se tratarán. Resulta imprescindible partir de una
visión general para comprender en qué se basa la automatización industrial.
Definición de automatización industrial
El principal objetivo de la automatización industrial consiste en gestionar tareas
repetitivas, monitorizar procesos, maquinaria, aparatos o diferentes tipos de
dispositivos consiguiendo un funcionamiento automático en la medida de lo posible
con la mínima intervención humana.
Se debería definir el fin de la automatización como la mejora de calidad del
producto, el aumento de la producción y la minimización de los riesgos de
personal humano. La automatización puede generar un rechazo general sobre el
personal debido al cambio estructural que conlleva en una compañía, prescinde de

una gran parte del personal poco cualificado y la necesidad de otros puestos con
mayor responsabilidad y conocimientos técnicos, tomando estos últimos un peso
mayor.
Tipos de automatización
Los diferentes tipos de automatización que existen dependen de los procesos para
automatizar:
▸ Fija: para la automatización de grandes volúmenes de producción donde los
elementos generados no varían unos de otros. Esto supone un bajo coste de
producción con un alto rendimiento.
▸ Programable: cuando se requiere de configuraciones propias en volúmenes bajos de
producción donde se debe reajustar hardware o software para la generación de

los elementos dependiendo de las características deseadas.
Tema 3. Ideas clave
Ideas clave
▸ Flexible: para los volúmenes de producción medianos existe este tipo de
automatización híbrida, donde es posible ajustar las necesidades de los

elementos al principio de cada producción.
Ámbitos tecnológicos
Los conocimientos técnicos que han aportado un rápido avance en la posibilidad del
desarrollo industrial son la convergencia de diferentes ámbitos tecnológicos:
▸ Electrónica y eléctrica: este tipo de automatización es uno de los más empleados
en la actualidad, se aplica sobre herramientas y sistemas de producción industriales,
comunicaciones y sistemas de seguridad (Figura 4).
Figura 4. Automatización eléctrica. Fuente: Proliance Automation and Training (s.f.)
▸ Neumática: es una de las automatizaciones más económicas que existen. Se
fundamenta en la utilización de aire comprimido de una forma rápida, limpia y segura

(Figura 4).
Tema 3. Ideas clave
Ideas clave
Figura 5. Automatización neumática. Fuente: Neumática, Hidráulica, MicroControladores y Autómatas
(2010).
▸ Oleohidráulica: esta tecnología se basa en un carácter similar a la neumática, a
través de fluidos con un coste superior (Figura 6).
Figura 6. Automatización oleohidráulica. Fuente: Neumática, Hidráulica, MicroControladores y Autómatas
(2011).
Tema 3. Ideas clave
Ideas clave
▸ Power line communications (PLC): el objetivo principal es poder conectar redes a
través de instalaciones eléctricas existentes para transmitir datos, todo ello

independiente a una conexión a Internet (Figura 7).
Figura 7. Automatización Con PLC. Fuente: Collet. (2013).
▸ Robótica: los sistemas de robótica industrial se basan en la utilización de robots
para poder ejecutar procesos repetitivos con el fin de aumentar la productividad
(Figura 8).
Tema 3. Ideas clave
Ideas clave
Figura 8. Automatización robótica. Fuente: InfoPLC (2016).
La decisión de automatizar un entorno industrial debe ser establecida
por las necesidades y las posibilidades de la compañía, definiendo
claramente los ámbitos de la empresa que se deben automatizar, ya
sea de forma completa o parcial.
Esta decisión debe ser estudiada en detalle, ya que cada tipo de compañía tiene una
serie de necesidades propias que no pueden ser replicadas como base. Para tomar
la decisión de automatización podemos basarnos en las principales ventajas e
inconvenientes que aporta una automatización.
Ventajas
▸ Existen procesos maduros en una compañía que se replican de forma continuada
con bajos niveles de riesgo de error. Estos procesos pueden ser automatizados para
conseguir una alta productividad sin la intervención de personal.
Tema 3. Ideas clave
Ideas clave
▸ La precisión que ofrece una automatización de ciertos procesos mejora
exponencialmente los resultados obtenidos por la mano de obra, partiendo de la

base de que una máquina consigue medidas, pesajes o mezclas mucho más
exactas y todo ello sin tiempos de parada.
▸ A la hora de automatizar procesos, la necesidad de mano de obra disminuye,
además los fallos de materiales y la eficiencia energética mejoran, reduciendo los
costes de forma sustancial.
Tema 3. Ideas clave
Ideas clave
Redes en la industria IoT
La evolución de las tecnologías como la robótica, la analítica y la inteligencia
artificial han aportado a la industria, mediante la combinación de estas, la
posibilidad de ampliar y mejorar la productividad y la calidad de los productos,
consiguiendo información en tiempo real de todos los flujos de datos de la compañía.
Esta monitorización como parte de la cuarta revolución industrial no solo mejora los
procesos de fabricación o calidad, sino que afecta a las expectativas del cliente y los
procesos de negocio, ampliando el campo comercial.
La llegada de la IIoT viene acompañada de un interés confirmado de nuevas
amenazas en la industria. Esto reside en la centralización y monitorización del
sistema mediante los sistemas de control industrial (ICS). Los sistemas centralizados
pueden ser vulnerables a ataques de códigos maliciosos, lo que repercute en
funciones físicas de la industria a través de los dispositivos inteligentes.
La ciberseguridad toma un papel relevante en esta nueva era tecnológica de la
industria. Esto es debido a la necesidad de conectividad a Internet en los nuevos
entornos industriales, la rápida comunicación y el almacenaje en la nube mediante
cloud computing o el Internet de las cosas. Por tanto, la protección de estos datos y
comunicaciones comprende uno de los temas más importantes a tratar a la hora de
implementar un sistema automatizado de estas características.
El origen de la automatización nace de la preocupación por la seguridad del
personal, poniendo como objetivo la seguridad en los daños físicos, pero la nueva
automatización industrial se basa en virtualizar en la medida de lo posible toda la
gestión de la compañía. Por tanto, el tema de la seguridad da un giro drástico al
cambiar el punto de vista y dar paso a la ciberseguridad.
La ciberseguridad pone su foco en nuevos objetivos:
▸ Asegurar los procesos de producción en las fábricas y los sistemas ciberfísicos,
Tema 3. Ideas clave
Ideas clave
protegiendo las instalaciones y sus operaciones.
▸ La integridad de las comunicaciones toma mayor importancia en esta nueva
generación debido a la gran cantidad de información que se transmite entre

dispositivos de la compañía, por lo que estos parámetros deben estar bien
protegidos, por ejemplo, de ataques como Man-in-the-Middle (Figura 9).
Figura 9. Man-in-the-Middle. Fuente: WordPress (s.f.).
▸ Los datos de la compañía pueden ver vulnerada su confidencialidad. Por eso, toma
un carácter muy importante la seguridad de estos, proteger datos de gran valor.
La seguridad y la ciberseguridad son conceptos similares que atañen
diferentes factores de la industria, que a su vez se encuentran
fuertemente ligados.
Estos conceptos deben ser complementarios para conseguir el mayor grado posible
de control sobre las posibles vulnerabilidades que puedan afectar a una compañía.
Tema 3. Ideas clave
Ideas clave
La convergencia de la seguridad física y virtual responden una de la otra, por
razones obvias. Un fallo de seguridad física puede afectar gravemente a la

ciberseguridad, ocasionar daños importantes, al igual que un fallo en la
ciberseguridad puede afectar a la seguridad física no solo en cuanto a producción se
trata, sino ocasionar daños a la integridad del personal.
Uno de los modelos más apropiados y adquiridos por las compañías es el
modelo de defensa en profundidad. Este modelo surge de la evolución de la
norma ISA99 (que se creó con el fin de mejorar la protección de los sistemas
informáticos frente a ataques y mejorar la seguridad de los sistemas de control
industrial) para convertirse en el estándar IEC 62443, líder en seguridad de
automatización industrial. Este modelo puede ser dividido en tres partes que se
complementan para tener un alto nivel de seguridad en la compañía:
▸ La seguridad de la red: las redes de una compañía industrial deben estar bien
preparadas contra diferentes tipos de accesos no autorizados. De esta forma,

para proteger las redes de control frente a accesos no autorizados, se precisa de
vigilancia de todas las interfaces, ya sea entre las redes de oficinas y la planta o el
acceso de mantenimiento remoto mediante Internet.
En estos sistemas se aconseja realizar una segmentación para separar las redes,
firewalls y DMZ. Los sistemas DMZ se utilizan para poder servir datos en diferentes
redes sin tener acceso a la red que los contiene. Mediante la segmentación podemos
dividir secciones protegidas de forma individual, lo que aumenta en gran medida la
seguridad.
Además de la segmentación existen otros sistemas que son aconsejables para
conseguir aumentar la seguridad mediante redes privadas virtuales (VPN). Estos
sistemas encriptan la información, evitando problemas de confidencialidad e
integridad (Figura 10).
Tema 3. Ideas clave
Ideas clave
Figura 10. Red local de empresa con DMZ. Fuente: Lazaro (2016).
L a s redes de planta pueden ser segmentadas en secciones individualmente
protegidas donde los diferentes dispositivos pueden tener comunicación entre ellos
de una forma segura. Estas secciones se conectan a la red a través de conexiones
privadas virtuales y un firewall, mejorando la seguridad y evitando los problemas de
disponibilidad e integridad que puedan tener los datos.
En la industria las redes, sistemas y comunicaciones pueden ser segurizadas
mediante componentes específicos, como por ejemplo los firewalls. Estos sistemas
(bien configurados) elevan los niveles de protección en las comunicaciones y redes
industriales y actúan como un filtro, examinando cada uno de los paquetes que se
transmiten en la red, comparándolos con ciertos criterios. Existen diferentes tipos de
cortafuegos que pueden funcionar a diferentes niveles ya sea direcciones IP,

puertos, diferentes protocolos, direcciones MAC, canales PLC, paquete HTTPS, etc.
Los sistemas de cortafuegos pueden ser configurados de diferentes formas: dejar
pasar todos los paquetes y hacer una comprobación posterior del tráfico entrante y
Tema 3. Ideas clave
Ideas clave
filtrarlo o no dejar pasar nada hasta que se comprueben los criterios necesarios y
después poder habilitar las conexiones que sean de interés. Este último sistema
sería el más aconsejable (Figura 11).
Figura 10. Firewall industrial. Fuente: Net Module (s.f.).
▸ La integridad del sistema: la integridad de los sistemas tiene como propiedad más
relevante la protección de los sistemas automatizables y los componentes

como los firewalls, además de sistemas como los anteriormente mencionados
SCADA y HMI, contra los accesos no autorizados. Por tanto, una de las
características principales que debe tomar importancia en la integridad de un sistema

es la robustez de este, al controlar, en la medida de los posible, todos los aspectos,
como los accesos de los usuarios autorizados.
▸ La seguridad en la planta: el principal objetivo es controlar que las personas que
no estén autorizadas no puedan acceder sin permiso de forma física a las

zonas y los componentes críticos. Para este cometido se utilizan diferentes
métodos de prevención de riesgos, como pueden ser los comúnmente llamados
sistemas de control de acceso, las cámaras de vigilancia u otros dispositivos que

puedan controlar esos tipos de acceso físico (Figura 12).
Tema 3. Ideas clave
Ideas clave
Figura 12. Control de accesos. Fuente: Prevent Security Systems (s.f.).
Mediante un sistema bien segurizado por parte de la compañía y los diferentes
dispositivos para el control y monitorización en tiempo real, podemos tener una visión
general de la compañía y sus niveles de seguridad, de tal forma que se puedan
tomar decisiones para mejorar posibles brechas de seguridad (Figura 13).
Figura 13. Defensa en profundidad. Fuente: CiudadesDelFuturo. (7 de febrero de 2019).
Tema 3. Ideas clave
Ideas clave
Las compañías deben prepararse frente a estas nuevas amenazas, ya
que la nueva evolución hacia estas tecnologías las convierte en objeto
de ataque.
De esta forma, simples dispositivos como una impresora o un frigorífico inteligente,
así como sistemas de mayor complejidad como un control de accesos, se convierten
en nuevos focos de interés para los ciberataques y pueden convertirse en peligros de
grandes dimensiones.
Estos ataques contra el nuevo concepto del Internet industrial de las cosas (IIoT)
son objeto de preocupación, destacan los sistemas de infraestructuras críticas,
que controlan todos los procesos en tiempo real, como son los sistemas SCADA
(supervisión, control y adquisición de datos). Estos sistemas se gestionan a través de
u n software que monitoriza los procesos de una compañía sin la necesidad de
presencia física en las instalaciones, pudiendo realizar el control a distancia (Figura
14).
Figura 14. SCADA. Fuente: Etec (2020).
Tema 3. Ideas clave
Ideas clave
E l interés de mejora en la seguridad por la Industria 4.0 de las compañías ha
aumentado de forma considerable, ha llegado a duplicar las inversiones en
ciberseguridad. Esto es debido a la digitalización de los datos que han realizado (o
están en proceso) las compañías y los métodos de almacenaje de estos con
tecnologías en la nube.
Compañías como Marisma Shield S. L., experta en ciberseguridad y análisis de
r i e s g o s , han conseguido, mediante una amplia investigación, generar

adaptaciones de la ISO27000, una norma internacional emitida por la Organización
Internacional de Normalización (ISO) que describe cómo se debe gestionar la
seguridad de la información dentro de una compañía. Estas adaptaciones
consisten en la ampliación de la norma a las necesidades de seguridad de las
infraestructuras críticas y la Industria 4.0, generando patrones que pueden ser
modificados específicamente para los distintos sectores industriales y configurando y
cumplimentando las amenazas propias de cada sector.
La metodología de análisis y gestión de riesgos incluye una herramienta que la
soporta denominada eMarisma, la cual comprende diferentes entornos para la
gestión de la seguridad, entre ellos el análisis de riesgos.
De esta forma, eMarisma da la posibilidad de generar un análisis de
riesgos basándose en un patrón donde se encuentran los controles,
tipos de activos y amenazas que puede tener una compañía, de tal
forma que podamos saber el estado de la compañía en cada momento
mediante la monitorización de los cuadros de mando y los eventos de
seguridad.
Además, permite generar un plan de tratamiento para solventar las vulnerabilidades
más críticas (Figura 15).
Tema 3. Ideas clave
Ideas clave
Figura 15. Cuadro de mando I4.0. Fuente: elaboración propia a partir de eMarisma.
Tema 3. Ideas clave
Ideas clave
3.4. Diagnóstico técnico y organizativo de la

ciberseguridad industrial
Uno de los principales problemas de la seguridad en este tipo de sistemas es la
seguridad de las redes y los sistemas IoT, pero tenemos que ver cómo podemos
realizar un diagnóstico técnico para poder identificar estos problemas y dar una
solución a los mismos.
Objetivos
Los objetivos que se buscan conseguir con un diagnóstico de ciberseguridad
son:
▸ Conocer el estado de la ciberseguridad de una instalación.
▸ Identificar sus puntos débiles.
▸ Proporcionar información actualizada y completa acerca de la arquitectura de redes
y sistemas de la instalación.
▸ Entender los riesgos que afronta la instalación.
▸ Proponer recomendaciones de mejora.
Estos objetivos se conseguirán mediante la realización de un análisis de riesgos
detallado, bajo uno o varios patrones específicos de seguridad. Los servicios
de análisis de riesgos, y más cuando hablamos de servicios sobre infraestructuras
industriales, son servicios muy especializados y que cada vez se demandan más,
al aparecer nuevas leyes que exigen que los sistemas tengan siempre un análisis de
riesgos adecuado y actualizado.
Tema 3. Ideas clave
Ideas clave
Documentos previos
Cuando vamos a iniciar un diagnóstico técnico en la industria tenemos que
preparar una serie de documentos:
▸ Definir las reglas de enfrentamiento (ROE: Rules of Engagement): se trata de un
conjunto de reglas en las que se definen las condiciones, intensidad y forma

en la que los «combatientes» están autorizados a usar la fuerza contra los
atacantes. En el campo de la ciberseguridad esto presenta una peculiaridad, en
muchos casos los atacantes lo son de forma involuntaria (por ejemplo: redes zombis,
bot-net).
▸ Establecer el escenario de los trabajos: para esto es de vital importancia determinar
el alcance de la revisión, ya que puede hacer variar mucho los resultados

obtenidos.
▸ Firmar acuerdos de confidencialidad: estos acuerdos son una garantía para el
cliente de que el auditor mantendrá el más estricto secreto respecto a la

información a la que tenga acceso. Este tipo de acuerdo también es vital para
cumplir con las leyes de protección de datos personales o, en el caso de Europa,

con la GDPR (General Data Privacy Regulation) que entró en vigor el 25 de mayo
del 2018.
▸ Firmar el documento de exención de responsabilidades (get out of jail card) : este es
un documento orientado a proteger al auditor frente a los fallos que

posteriormente puedan aparecer en al sistema auditado. El auditor se
compromete a seguir un código deontológico y actuar con el cuidado debido,
siempre conforme a las reglas de enfrentamiento que se hayan definido.
Tema 3. Ideas clave
Ideas clave
Pasos para el diagnóstico
Una vez que hemos realizado los pasos previos y firmado los documentos, estamos
en disposición de iniciar el diagnóstico de la empresa o del alcance definido dentro
de esta.
El diagnóstico estará formado por cuatro fases:
▸ Recopilación de la información: supone mantener una entrevista con el personal
de la empresa en la que se pueda obtener la documentación relevante. En esta fase

podemos distinguir dos subfases:
• Identificación de los RR. HH: se deben identificar los interlocutores válidos de la

empresa, que tendrán diferentes perfiles. Siempre se debe transmitir seriedad y
profesionalidad, intentando tener siempre una actitud positiva y constructiva.
• Documentación: entre otros documentos se debe solicitar un organigrama de la
compañía, el mapa de red, procedimientos y políticas e información general

sobre la instalación. En este sentido, seguir el checklist de controles de la ISO27001
puede ayudar.
▸ Verificación: la información se obtiene por medio de entrevistas y de la
documentación facilitada, pero esto presenta algunos inconvenientes, ya que esa

documentación puede estar obsoleta o ser imprecisa y las entrevistas suelen estar
sesgadas y contar con un elevado nivel de subjetividad. Por ello, se debe poder
acceder físicamente a las instalaciones (acceso físico al sistema, visita a las

plantas, recopilación de información nosotros mismos, etc.).
• Advertencia: uno de los grandes problemas de los ambientes OT frente a los IT es

que son mucho más inestables, por lo que las pruebas se tienen que realizar de
una forma mucho más controlada.
▸ Consolidación: para consolidar los hallazgos debemos siempre recoger evidencia.
Para ello, podemos revisar las configuraciones, buscar activos no actualizados o
Tema 3. Ideas clave
Ideas clave
redes desactualizadas o relacionar datos de varias partes que nos permitan obtener
conclusiones. Estas siempre se deben soportar sobre evidencias demostrables y

tener una finalidad constructiva. Para las empresas es importante poder entender las
decisiones que tienen que tomar.
▸ Presentación de resultados: finalmente, una vez que tenemos todos los resultados
del sistema, es muy importante elaborar un informe ejecutivo que refleje

claramente la situación actual y un apartado reflejando las posibilidades de
mejora. Este informe debe incluir las evidencias encontradas y un resumen final
pensado para los altos mandos, de ser posible debe tener información visual que sea
fácilmente interpretable (gráficas, tablas comparativas).
• Advertencia: en la presentación se deben reflejar los resultados más relevantes,
siempre buscando las causas y no los culpables, con actitud muy constructiva y
positiva, evitando los detalles técnicos si asiste personal directivo. Finalmente, este
informe siempre es recomendable que tenga un carácter previo y no definitivo, de
forma que pueda dar lugar a un debate e intercambio de opiniones, permitiendo sufrir
alguna modificación si queda bien justificada.
Tema 3. Ideas clave
Ideas clave
3.5. Referencias bibliográficas
Aldakin. (6 de agosto de 2018). Automatización Industrial y robótica. Qué es y sus
claves de éxito. http://www.aldakin.com/automatizacion-industrial-robotica-claves-
exito/
Altizon (s.f.). IoT and SCADA: Complementary Technologies for Industry 4.0 .
https://altizon.com/iot-scada-complementary-technologies/
Ande, R., et al. (marzo de 2020). Internet of Things: Evolution and technologies from
a security perspective. Sustainable Cities and Society 54, p. 101728.
Banafa, A. (9 de octubre de 2020). 7 IoT and Blockchain: Challenges and Risks.
Technology Trends by Prof. Ahmed Banafa . https://www.profbanafa.com/2017/10/iot-

and-blockchain-challenges-and-risks.html
Blog_SEAS. (10 de julio de 2014). Historia de la Oleohidráulica.
https://www.seas.es/blog/energias_renovables/historia-de-la-oleohidraulica/
Boeckl, K., et al. (junio de 2019). Considerations for managing Internet of Things (IoT)
cybersecurity and privacy risks. US Department of Commerce, National Institute of
Standards and Technology.
Butun, I. (2020). Industrial IoT. Springer.
Carr, M. and Lesniewska, F.J.I.R. (septiembre de 2020). Internet of Things,
cybersecurity and governing wicked problems: learning from climate change
governance. International Relations 34(3), p. 391-412.
Chesney, S., Roy, K. y. Khorsandroo, S. (2020). Machine learning algorithms for
preventing IoT cybersecurity attacks. in Proceedings of SAI Intelligent Systems
Conference. En Arai, K.; Kapoor, S. y Bhatia R., Intelligent Systems and Applications.
Tema 3. Ideas clave
Ideas clave
Proceedings of the 2020 Intelligent Systems Conference (IntelliSys) Volume 3.
Springer.
CiudadesDelFuturo. (7 de febrero de 2019). Sin ciberseguridad no hay Industria 4.0.

https://ciudadesdelfuturo.es/sin-ciberseguridad-no-hay-industria-4-0.php.
Collet, G. (2 de mayo de 2013). Nuevas tendencias en automatización industrial.
Automatización en la Industria 4.0.

http://www.interempresas.net/Robotica/Articulos/108830-Nueva-tendencias-en-
automatizacion-industrial.html
Crespo, W. (9 de febrero de 2011). ¿Qué es la Automatización Industrial?
Automatizaciónindustrial.
https://automatizacionindustrial.wordpress.com/2011/02/09/queeslaautomatizacionind
ustrial/
Deloitte. (s.f.). ¿Qué es la Industria 4.0? Davos y la Industria 4.0.

https://www2.deloitte.com/es/es/pages/manufacturing/articles/que-es-la-industria-
4.0.html
El Blog de Isbelg. http://isbelg.over-blog.com/
ElectroIndustria (s.f.). Automatización Neumática en la Industria. Un sistema de
producción rápido, limpio y seguro. http://www.emb.cl/electroindustria/articulo.mvc?
xid=3118
Etec (1 de abril de 2020). El sistema DIAView SCADA de Delta logra una alta
eficiencia en la gestión inteligente de fábricas con alarmas flexibles y notificaciones
jerárquicas. https://etecvn.com/post/detail/he-thong-diaview-scada-cua-delta-dat-
duoc-hieu-qua-cao-trong-viec-quan-ly-nha-may-thong-minh-voi-chuc-nang-bao-dong-
linh-hoat-va-thong-bao-theo-cap-bac-304/
Tema 3. Ideas clave
Ideas clave
GrupMcr (29 de julio de 2016). Ventajas y desventajas de la automatización
industrial. https://mcr.es/ventajas-y-desventajas-de-la-automatizacion-industrial/
GrupoGaratu. (28 de febrero de 2017). Ciberseguridad contra los “hackers” de la
nueva Industria 4.0. https://grupogaratu.com/ciberseguridad-y-los-hackers-de-la-
industria-40/
INFAIMON. [R]evolución artificial. Blog con soluciones de visión artificial y nuevas
tecnologías para mejorar la calidad de tus productos. https://blog.infaimon.com/
InfoPLC (1 de julio de 2016). Auge de la robótica y automatización alemana.

https://www.infoplc.net/actualidad-industrial/item/103503-auge-robotica-
automatizacion-alemana
ISA/IEC_62443 (2017). Security for industrial automation and control systems.
International Society of Automation.
JOM Metal Stamping Services (20 de septiembre de 2016). Tipos de automatización
industrial ¿Cuál es el más indicado? https://www.jom.es/tipos-automatizacion-

industrial-mas-indicado/
Lazaro, P. (16 de mayo de 2016). La importancia de la ciberseguridad en la Industria

4.0. Euskadi Tecnología. https://www.euskaditecnologia.com/la-importancia-de-la-
ciberseguridad-en-la-industria-4-0/
Lazaro, P. (16 de mayo de 2016). La importancia de la ciberseguridad en la Industria
4.0. Euskadi tecnología. https://www.euskaditecnologia.com/la-importancia-de-la-
ciberseguridad-en-la-industria-4-0/
Moya, S. (22 de septiembre de 2017). Ciberseguridad en Redes de Control Industrial
( S C A D A ) . InTech Automatización .
https://www.isamex.org/intechmx/index.php/2017/09/22/ciberseguridad-en-redes-de-
control-industrial-scada/
Tema 3. Ideas clave
Ideas clave
Net Module (s.f.). NB1601-LSc Industrial Router with LTE + 4x ETH + RS-232/485 +
DIO. https://www.netmodule.com/en/products/router/nb1601-lsc
Neumática, Hidráulica, MicroControladores y Autómatas (30 de agosto de 2010).
Neumática Básica. http://industrial-automatica.blogspot.com/2010/08/neumatica-

basica.html
Neumática, Hidráulica, MicroControladores y Autómatas (8 de mayo de 2011).

Elementos de un circuito hidráulico. https://industrial-
automatica.blogspot.com/2011/05/elementos-de-un-circuito-hidraulico.html
NIST_FICIC (2018). Framework for Improving Critical Infraestructure Cybersecurity.
National Institute of Standards and Technology.
Oasys. (20 de abril de 2017). La Importancia de la Ciberseguridad en la Industria 4.0.

https://oasys-sw.com/ciberseguridad-industria-40/
Página de eMarisma. https://www.emarisma.com/
Prevent Security Systems (s.f.). Control de Accesos para garajes y puertas
peatonales. https://www.prevent.es/servicios-de-seguridad/control-de-accesos
Proliance Automation and Training (s.f.). Electrical Panel Designing.
https://www.prolianceautomation.com/content/electrical-control-panel-designing
Tema 3. Ideas clave
Ideas clave
Rodriguez, P. (3 de abril de 2013). Redes PLC (I): Qué son y para qué sirven . Xataka
Smart home. https://www.xatakahome.com/la-red-local/redes-plc-i-que-son-y-para-

que-sirven
WordPress (s.f.). Seguridad PCs.

https://seguridadpcs.files.wordpress.com/2011/10/main_the_middle.jpg
Tema 3. Ideas clave
A fondo
Industrial Internet Security Framework Technical

Report
A. Martin, R.; Schrecker, Hamed Soroush, S. y Molina, J. (2016) Industrial Internet
Security Framework Technical Report.

https://www.researchgate.net/publication/311948248_Industrial_Internet_Security_Fr
amework_Technical_Report
Documento en que se define la primera versión de «Internet Industrial de las cosas,
Volumen G4: Marco de seguridad» (IISF). En el que se inicia un proceso para crear
un consenso en la industria para proteger los sistemas de Internet industrial de las
cosas (IIoT) por participantes de diferentes sectores como energía, salud, transporte,
público y manufactura.
Tema 3. A fondo
A fondo
Demostración de vulnerabilidad de hackeo de una

cámara de IoT
JSON SEC (4 de mayo de 2020). How To Hack IoT Cameras - Vulnerability
Demonstration [Vídeo]. YouTube. https://www.youtube.com/watch?v=jiYv-bQ2UX8
Vídeo en el que Jason Ford demuestra las vulnerabilidades de los dispositivos IoT y
cómo necesitan la misma protección que cualquier otro dispositivo que expongamos
a Internet.
Tema 3. A fondo
A fondo
Ciberseguridad del IoT: un análisis en países de la

Unión Europea
Jiménez, C. y Riviera, R. (Enero de 2021). Ciberseguridad del IoT: Un Análisis en
Países de la Unión Europea. RISTI - Revista Iberica de Sistemas e Tecnologias de
Informacao, 39, 461-476. https://www.researchgate.net/profile/Richard-Rivera-

6/publication/348692397_Ciberseguridad_del_IoT_Un_Analisis_en_Paises_de_la_U
nion_Europea/links/601d7bfca6fdcc37a8061b04/Ciberseguridad-del-IoT-Un-Analisis-
en-Paises-de-la-Union-Europea.pdf
Cada día el Internet de las cosas (IoT) incrementa la cantidad de dispositivos
interconectados. Se estima que este acelerado despliegue del IoT en diversas
industrias congregue a cincuenta mil millones de dispositivos para el final de 2020.
Esto, sumado a la heterogeneidad de sus componentes, presenta múltiples desafíos,
debido a que los sistemas IoT no siempre son desplegados considerando aspectos
de ciberseguridad
Tema 3. A fondo
A fondo
¿Cuán peligrosos son los dispositivos de IoT?
TEDx Talks (9 de marzo de 2018). How dangerous are IOT devices? | Yuval Elovici |
TEDxBGU [Vídeo]. YouTube. https://www.youtube.com/watch?v=vgoX_m6Mkko
El profesor Elovici es director del Centro de Investigación de Seguridad Cibernética
de la Universidad Ben Gurion. Piense en su día típico: se despierta, hace su rutina
matutina, abre el refrigerador, quizás enciende la calefacción, ¿caldera para la
ducha? Sube al coche y conduce al trabajo. Escuchamos que el término Internet de
las cosas se usa mucho y parece que, como sociedad, estamos desarrollando algún
tipo de fobia a los dispositivos «inteligentes».
En el escenario TEDxBGU, el Prof. Elovici nos llevará a través de un día típico dentro
de unos años y nos hará darnos cuenta del poder de la conectividad, para bien o
para mal. Esta charla se dio en un evento TEDx utilizando el formato de conferencia
TED, pero organizado de forma independiente por una comunidad local.
Tema 3. A fondo
A fondo
Ciberseguridad
Isaza, J.F. (1 de julio de 2021). Ciberseguridad. El Espectador.

https://www.elespectador.com/opinion/columnistas/jose-fernando-
isaza/ciberseguridad/
Artículo en el que se habla sobre sobre diferentes ataques a nivel mundial sobre
dispositivos de IoT desde una red de transporte de combustible hasta el sistema de
salud de Irlanda.
Tema 3. A fondo
Test
1. ¿Qué concepto se asocia mejor con un sistema SCADA?
A. Son sistemas utilizados para la automatización de procesos.
B. Son sistemas de supervisión y control utilizados para los procesos
industriales.
C. Son sistemas de supervisión, control y adquisición de datos utilizados para
la automatización de procesos industriales.
D. Son sistemas de adquisición de datos que se utilizan para agilizar el
proceso de búsqueda de datos.
2. ¿De qué redes convergentes se compone un sistema SCADA?
A. Red de control, red corporativa, red local y red global.
B. Red de planificación, red de área local y red global.
C. Red de área local, red de área amplia y red corporativa.
D. Red de control y red corporativa.
3. ¿Cuál de las siguientes son afirmaciones correctas entre IoT y SCADA?
A. Un SCADA permite el control total de los sistemas.
B. Los IoT permiten una integración física más amplia con el entorno.
C. Los SCADA tienden a extraer información menos exacta que un IoT.
D. Los sistemas IoT se centran en la interacción con el ser humano mientras
que los SCADA entre máquinas.
Tema 3. Test
Test
4. Con respecto a la integración de SCADA e IoT:
A. No es posible
B. IoT representa una mejora con respecto SCADA en la conectividad y el
procesamiento de datos.
C. SCADA representa una mejora con respecto IoT en la conectividad y el
procesamiento de datos.
D. La información de SCADA no puede actuar como entrada del entorno de
IoT.
5. ¿En qué consiste la automatización industrial?
A. En la gestión de monitorizar diferentes dispositivos para que funcionen
automáticamente en la medida de lo posible.
B. En la planificación de los diferentes recursos humanos de una industria
para que trabajen de una forma más eficiente y automatizada gracias a las
últimas tecnologías.
C. En la gestión de programar diferentes dispositivos para que sigan con el
funcionamiento de las tareas, una vez que los recursos humanos de una
industria acaben su jornada.
D. En la gestión de programar máquinas para que trabajen durante toda una
cadena de producción con la mayor rapidez posible.
6. ¿Qué tipos de automatización existen?
A. Variable, programable y flexible.

B. Flexible, fija y ordenada.
C. Programable, flexible y fija.
D. Fija, variable, flexible y ordenada.
Tema 3. Test
Test
7. ¿Cuál de las siguientes afirmaciones respecto a la centralización y monitorización
de los sistemas de control industrial es incorrecta?
A. Vulnerabilidades de código malicioso.
B. Mayor control de los sistemas y fácil acceso a la información.
C. Mejoras de seguridad.
D. Todas son falsas.
8. La ciberseguridad pone su foco en nuevos objetivos como son:
A. Asegurar los procesos de producción en las fábricas y sistemas
ciberfísicos.
B. La integridad de las comunicaciones.
C. Confidencialidad de la información.
D. Todas son correctas.
9. ¿Qué objetivos se buscan conseguir con un diagnóstico de ciberseguridad?
A. Conocer los virus que atacan al sistema para poder crear una defensa que
impida ese ataque.
B. Identificar las distintas maneras en las que se puede recibir un ataque y las
causas que pueden afectar al sistema.
C. Proporcionar información actualizada y completa acerca de la arquitectura
de redes y sistemas de la instalación, identificar los puntos débiles y entender
los riesgos que afronta la instalación.
D. Proporcionar información de las vulnerabilidades del sistema.
Tema 3. Test
Test
10. ¿De qué pasos se compone un diagnóstico de seguridad de una empresa?
A. Recopilación de información, identificación del problema, solución
B. Recopilación de información sobre los problemas, y el desarrollo de las
diferentes soluciones para estos.
C. Recopilación de la información, verificación, consolidación y presentación
de resultados.
D. Recopilación de la información, consolidación, entrega de documentación y

solución.
Tema 3. Test

Tema 03 Ciberseguridad Industrial

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 03 Ciberseguridad Industrial

Cargado por

Copyright:

Formatos disponibles

Tema 3

3.1. Introducción y objetivos

3.2. SCADA vs IIoT

3.3. Redes y sistemas de automatización industrial

3.4. Diagnóstico técnico y organizativo de la

3.5. Referencias bibliográficas

Industrial Internet Security Framework Technical Report

Demostración de vulnerabilidad de hackeo de una

Ciberseguridad del IoT: un análisis en países de la Unión

¿Cuán peligrosos son los dispositivos de IoT?

3.1. Introducción y objetivos

En este tema se describen los conceptos y fundamentos más importantes

relacionados con los sistemas de ciberseguridad industrial a nivel de redes y

Es importante hacer un punto de situación respecto a por qué es importante entender

el funcionamiento de las redes y los sistemas SCADAs de control.

Las redes y los sistemas SCADAs

industriales, en especial buscando vulnerabilidades contra los sistemas SCADAs de

procesos industriales y, por tanto, para la industria 4.0.

gráﬁca los procesos de producción industriales y en base a ello tomar mejores

La automatización de los SCADAs se inició en los sectores eléctricos, aunque hoy

su alcance llega a todos los sectores (salud, financiero, etc.).

operaciones en tiempo real, reaccionar ante las alarmas, cambiar la conﬁguración

a distancia o incluso ser monitorizados mediante programas de inteligencia artiﬁcial

con capacidades predicativas en base a los históricos del mismo.

El proceso de funcionamiento de un SCADA sería, de forma abreviada:

programable) o RPU (unidad terminal remota).

▸ Reúne toda la información de estos controladores y los procesa.

▸ Finalmente, envía la información al sistema de monitor para que la muestre de forma

disparado sus brechas de seguridad.

Fuente: Moya, S. (2017).

dos redes convergentes, que integran la red corporativa y la red de control. La

primera desarrolla las actividades de conﬁguración, mantenimiento y operación

(mandos o actuadores, lectura de variables, monitoreo del proceso, etc.), mientras

que la red de control interactúa con un gran número de protocolos especíﬁcos

(Modbus/TCP, DNP, etc.) y soporta sistemas diversos ( wireless, microondas,

seguridad de intrusión, etc.).

(UTR) que recibe la información y la envía al interfaz máquina-hombre (HMI).

norma ISA/IEC 62443 (ISA/IEC_62443, 2017) (ISA/IEC_62443 2017)

(ISA/IEC_62443 2017) (ISA/IEC_62443 2017) (ISA/IEC_62443 2017) que es la

evolución de la ISA-99. La norma ISA/IEC 62443 es actualmente el estándar más

reconocido a nivel mundial para la seguridad de control industrial y está derivado de

la familia ISO/IEC 27000, da un enfoque para los sistemas industriales. También es

muy importante en este aspecto el estándar propuesto por el NIST Cybersecurity

Framework, en el que están basados algunos de los patrones de riesgos que se

sistemas SCADA, las principales son:

▸ Protección de datos (acceso y almacenaje).

▸ Configuración del hardware y software (virus, detección de intrusos, etc.).

▸ Seguridad en las comunicaciones, recursos humanos.

▸ Seguridad física (acceso a equipamiento, destrucción de material).

▸ Ejecución de operaciones de forma manual en caso de fallo.

En el caso de la normativa ISO/IEC 62443 podemos deﬁnir redes redundantes,

de alta disponibilidad, con zonas desmilitarizadas, implementar controles de

seguridad, etc. Un ejemplo de esto se pude ver en la Figura 2.

proporcionadas por cada una de las zonas. Fuente: Moya, S. (2017).

Como podemos ver, en general, la seguridad está tomando un papel muy

importante dentro de este tipo de sistemas.

3.2. SCADA vs IIoT

A priori, se podría considerar que un SCADA es exactamente lo mismo que IoT, ya

que si partimos de la premisa de que se utilizan para hacer un seguimiento o

monitoreo de los elementos que operan dentro de un entorno y se supervisan sus

procesos de forma conjunta o de que se realice un control del correcto

funcionamiento de las operaciones o incluso que se gestionen los datos obtenidos en

diferencias sustanciales que nos hacen diferenciar uno de otro.

Como hemos podido comprobar, parecen ser lo mismo, comparten un objetivo