Fundamentos de la IoT Prof. Mg.

Victor Figueroa

Clase 2
1. Resumen Clase 1.

1.4 Consideraciones de seguridad

1.5 Marco legal y normativo aplicable a las IoT e IIoT.

Fundamentos de la IoT Prof. Mg. Victor Figueroa

1. Resumen Clase anterior

► Presentación de la materia Ciberseguridad en IoT.
► Introducción a los principales conceptos vinculados al Internet de las Cosas.
► Introducción a la Ciberseguridad en IoT.
► Los Sistemas IoT en la actualidad.
► Los ecosistemas de IoT están compuestos por multitudes de elementos que lo conforman.
► Estos elementos tienen sus características propias que deben ser abordadas con un enfoque basado
en el análisis y gestión de riesgos.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Los ecosistemas IoT comienzan a tener una mayor relevancia en la vida cotidiana de las sociedades.

► Mayor grado de conectividad y dispositivos IoT distribuidos en distintos sectores de servicios.

► Los ecosistemas son cada vez más complejos y deben mantenerse heterogéneos y escalables.

► La seguridad es un factor principal, con lo cual, debe ser gestionada.

► Existen factores que afectan directamente a la seguridad de entornos los IoT.

Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

Amplio abanico Limitación de Complejidad de Fragmentación Integración de

de ataques recursos los ecosistemas de estándares Seguridad

Aspectos de Experiencia Actualizaciones Programación Responsabilidad

Seguridad de Seguridad
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Amplio abanico de ataque

• Una amenaza de IoT puede afectar a un abanico muy amplio de posibilidades.

• IoT se basa en la recopilación y el procesamiento de una gran cantidad de datos, que pueden
incluir datos de tipo confidencial y privado.
• Puede afectar a diferentes contextos como la salud, la seguridad y la privacidad.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Limitación de recursos
• Los sistemas convencionales de IoT son fabricados centrándose en la funcionalidad del
dispositivo.
• Limitan las capacidades de procesamiento, memoria y energía.
• Estas limitaciones dificultan la implementación de controles de seguridad.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Complejidad de los ecosistemas
• Ecosistema complejo y diverso en el que están involucrados factores como las personas, las
interfaces, conectividad.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Fragmentación de estándares
• Los constantes cambios y evoluciones dificultan la regularización de medidas de seguridad y
buenas prácticas.
• El amplio abanico de estándares que pueden ser aplicados en un mismo ecosistema complica su
gestión.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Integración de seguridad
• Diversidad de dispositivos que pueden requerir diferentes sistemas de autenticación.
• Diferentes puntos de vista de los stakeholders pueden ser un problema a la hora de unificar
posiciones.
• Interoperabilidad entre dispositivos y/o ecosistemas.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Aspectos de seguridad
• La existencia de Actuadores que interactúan con el mundo físico incrementa la criticidad de los
riesgos.
• Una amenaza puede provocar daños no solo de información o disponibilidad, si no daños
humanos.
• Ataques a vehículos autónomos, entornos industriales, aviación, armas perimetrales de defensa...
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Experiencia
• Escasez de personal cualificado que gestione un entorno IoT de forma segura.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Actualizaciones de seguridad
• Procesos complejos, demandan un gran despliegue de recursos.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Programación
• Tiempos de comercialización más cortos debido a la demanda y la competencia.
• Los esfuerzos de desarrollo se enfocan en la funcionalidad final y usabilidad.
• No se tiene en cuenta ciclos de desarrollo seguro de software.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.4 Consideraciones de Seguridad

► Responsabilidad
• Si un dispositivo es compartido por varias partes, no existe una clara delimitación de la
responsabilidad a la hora de gestionar la seguridad.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Fig. - Esquema de los principales elementos que se analizarán en el aparatado de Marco legal y normativo.
Fuente: elaboración propia.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► COBIT 5 Control Objetives for Information and related Technologies

• Provee un marco para poder cumplir y gestionar los objetivos principales de las TI, los riesgos de
seguridad y de control. Cobit ofrece seguridad de la información (SI). Se aplica en función de los
objetivos principales de la compañía, aplicando las prioridades respecto a ellas. En este marco se
establece la necesidad de definición del responsable de seguridad en función de sus objetivos.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC 27001 Information Security Management Systems

• Se enfoca en la mejora, implementación y gestión de la seguridad de la información a través de la

implementación de controles de seguridad que se definen 114 controles repartidos en catorce
dominios, existen herramientas que permiten gestionar esta implantación de una forma guiada
como el caso de la herramienta de eMarisma.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC 29161 Data Structure

• Esta norma se centra en la identificación única para el Internet de las Cosas, en la que se definen
las reglas principales para la identificación de los diferentes actuadores, dispositivos,
comunicaciones… y de esta forma poder validar su compatibilidad en el contexto de aplicabilidad.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC TR 22417 Internet of Things Use Cases

• Aquí se detallan diferentes escenarios de IoT agrupadas por un foco de aplicabilidad con el fin de
poder categorizar el uso de los diferentes escenarios y los requisitos identificados.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC TR 22417 Internet of Things Use Cases

Infraestructura de
Global Casa Edificios
Transporte

IoT seguridad de la Automatización de

Electrodomésticos
red. Detección y perfiles. Gestión
inteligentes.
gestión de remota de Equipo
Analítica de Seguridad para el
amenazas de IoT. en Planta. Tiempo
vehículos. hogar inteligente.
Sistemas de real de motor.
Aplicaciones para
bomba inteligente Monitoreo de
hogar.
integrados. Producción.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC TR 22417 Internet of Things Use Cases

Oficinas Agricultura Forestal Cuerpo y Salud personal

Sistema de gestión
Arrendamiento de
de energía y agua.
Maquinas. Deterioro cognitivo,
Cooperación entre
Dispositivos para Gestión remota de monitoreo del
Fábrica,
fábricas. invernadero sueño, vigilancia
Aplicaciones.
Mercancías de agrícola de salud remota,
Seguimiento de
almacén y gafas inteligentes.
productos
monitoreo.
agrícolas.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC TR 22417 Internet of Things Use Cases

Agricultura Forestal Cuerpo y Salud personal Ciudades Inteligentes

Sistema de gestión
de energía y agua.
Deterioro cognitivo,
Cooperación entre IoT Sensores o
Gestión remota de monitoreo del
Fábrica, Actuadores,
invernadero sueño, vigilancia
Aplicaciones. Sistemas de
agrícola de salud remota,
Seguimiento de Monitorización.
gafas inteligentes.
productos
agrícolas.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC TR 20924 Internet of Things Vocabulary

• Proporciona un glosario de definiciones y términos referente a IoT. En ella se detallan 53 términos
de IoT.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► ISO/IEC 30141:2018 Internet of Things Architecture Reference

• Proporciona una arquitectura de referencia de IoT estandarizada que utiliza un vocabulario común,
diseños reutilizables y las mejores prácticas de la industria.
• Establece un marco común para todos los diseñadores y desarrolladores de aplicaciones de IoT,
garantizando el desarrollo de sistemas fiables, seguros, que preserven la privacidad y que sean
capaces de afrontar interrupciones como consecuencia de catástrofes o de ciberataques.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Normativo

► Industry IoT Consortium

• Consorcio promovido por el Object Management Group (OMG).
• Produce documentos y guías estándares como el Global Industry Standards for Industrial IoT.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los casos de Marcos Legales específicos para IoT son aún muy escasos.

► Los Marcos Legales actuales pueden aplicar en algunos casos.

► Caso California, USA. Ley de regularización de IoT, 01 de enero de 2020. Establece los diferentes
requisitos de seguridad para los dispositivos que se vendan en California, definiendo cualquier
dispositivo conectado como cualquier dispositivo u objeto físico capaz de conectarse a internet directa
o indirectamente.
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los Marcos Legales actuales pueden aplicar en algunos casos:

► Ley de Protección de Datos personales Europeo, RGPD.

• La protección de las personas físicas en relación con el tratamiento de datos personales es un

derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la
Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la
Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de
carácter personal que le conciernan» (2016, artículo 1).
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los Marcos Legales actuales pueden aplicar en algunos casos:

► Ley de Protección de Datos personales Colombia, 1581/2012.

• «Derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás
derechos, libertades y garantías constitucionales» (artículo 1).
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los Marcos Legales actuales pueden aplicar en algunos casos:

► Ley Orgánica de Protección de Datos Personales Ecuador, LOPDP.

• «El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre
información y datos de este carácter, así como su correspondiente protección. La recolección,
archivo, procesamiento, distribución o difusión de estos datos personales requerirán la
autorización del titular o el mandato de ley».
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los Marcos Legales actuales pueden aplicar en algunos casos:

► Ley de Protección de Datos Personales Argentina, PDPA.

• «Ley 25.325 Artículo 5: El tratamiento de datos personales es ilícito cuando el titular no hubiere
prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por
otro medio que permita se le equipare, de acuerdo a las circunstancias.».
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Los Marcos Legales actuales pueden aplicar en algunos casos:

► Ley de Protección de Datos Personales Brasil.

► Ley de Protección de Datos Personales Chile.

► Ley de Protección de Datos Personales Uruguay.

► …
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► ¿Qué aspectos se deberían legislar?

► Frecuencias de Bandas de espectro radioeléctrico.

► Estándares de Comunicación: LoraWan, SigFox...

► Requisitos mínimos de seguridad en dispositivos.

► Datos Personales…
Fundamentos de la IoT Prof. Mg. Victor Figueroa

1.5 Marco legal y normativo aplicable a las IoT

Marco Legal

► Argentina, Consulta Pública IoT: ¿El Estado, debe legislar en materia de IoT?

URL: https://www.argentina.gob.ar/sites/default/files/consulta_publica_internet_de_las_cosas.pdf
Fundamentos de la IoT Prof. Mg. Victor Figueroa

Conclusiones
► Existen factores que afectan directamente a la seguridad de entornos los IoT.

►Los Marcos Normativos son una guía fundamental para abordar la implementación de tecnologías basadas
en IoT de forma segura.

► Los Marcos Legales a nivel global son incipientes.

► Se debe tener en claro qué aspectos de IoT deben ser legislados por los Gobiernos.

► Algunos aspectos se encuentran contemplados por las Normativas Legales vigentes.

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

Clase 3
2. Resumen Clase anterior.

2.1 Introducción y Objetivos

2.2 Activos de IoT

2.3 Amenazas de IoT

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2. Resumen Clase anterior

► Existen factores que afectan directamente a la seguridad de entornos los IoT.

►Los Marcos Normativos son una guía fundamental para abordar la implementación de tecnologías basadas
en IoT de forma segura.

► Los Marcos Legales a nivel global son incipientes.

► Se debe tener en claro qué aspectos de IoT deben ser legislados por los Gobiernos.

► Algunos aspectos se encuentran contemplados por las Normativas Legales vigentes.

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

► El objetivo de esta unidad temática es entender en detalle qué es la ciberseguridad en IoT y la
ciberseguridad en Industrial, las diferencias entre estas y cómo el buen funcionamiento de las mismas
puede afectar a la sociedad.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Fig. Esquema de conceptos que se abordarán en la Unidad temática. Fuente: Elaboración propia.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Informe Impacto Industrial y Laboral del año 2017, CC.OO, España.

► La transformación digital no solo está cambiando la economía, sino también la forma en que se
realizan los trabajos desde el punto de vista humano.

► La cuarta revolución industrial se caracteriza por la llegada de robots, la entrada de la inteligencia

artificial, la IoT y los sistemas Ciberfísicos a los entornos industriales.

► Cambio en el paradigma laboral al pasar de una mano de obra no cualificada a la necesidad de

personal que tenga elevadas capacidades cognitivas.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Pilares sobre los

que se sustenta la
Industria 4.0

Fuente: Roland Berger y CCOO_Industria (2017).

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Informe Impacto Industrial y Laboral del año 2017, CC.OO, España.

► La mitad de las organizaciones que han evolucionado hacia la industria 4.0 IoT no han realizado todavía
medidas asociadas a la ciberseguridad, asumiendo el riesgo de los ataques informáticos.

► En la industria, el grado de precaución debe ser mayor, ya que cualquier ciberataque tiene que ser
repelido para que la cadena de producción no sufra paradas.

► La conectividad que debe acompañar a la industria en sus procesos de mejora e innovación debe estar
100 % controlada desde el punto de vista de la ciberseguridad.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Informe Impacto Industrial y Laboral del año 2017, CC.OO, España.

► La mitad de las organizaciones que han evolucionado hacia la industria 4.0 IoT no han realizado todavía
medidas asociadas a la ciberseguridad, asumiendo el riesgo de los ataques informáticos.

► El gran reto al que se enfrenta la sociedad actual es tener la capacidad de desarrollar sistemas seguros
capaces de adaptarse a los nuevos requisitos de la industria.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

Artículo La Industria 4.0: El estado de la cuestión. Díaz, Francolí et al., 2017, España.

► El aumento de la conectividad que representa la industria 4.0 incrementa dramáticamente la necesidad de

proteger los sistemas industriales críticos y las líneas de producción contra las amenazas informáticas.

► De debe mejorar la protección de la propiedad intelectual, los datos personales y la privacidad.

► La tecnología con mayor implantación, con un 84 %, es precisamente la ciberseguridad, según informe de

la Cámara de Comercio de Barcelona y el Idescat.

► Falta de parámetros objetivos de medición de la ciberseguridad: ofrece una falsa sensación de seguridad.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

► Es imposible que hoy podamos entender el concepto de industria y de Internet de las cosas sin que
seamos capaces de entender antes los conceptos de ciberseguridad asociados con ellos.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

► Ciberseguridad Industrial
La ciberseguridad industrial se define como la aplicación de controles sobre los activos de valor de las
infraestructuras industriales a partir de los resultados de un análisis de riesgos, y con el objetivo de mitigar
los riesgos que ese análisis ha encontrado.

► Ciberseguridad en IoT
Entender todos los elementos que intervienen a la hora de gestionar un sistema de IoT y las estrategias
que se implementan para controlarlos a la vez que se cumplan con la normativa existente.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.1 Introducción y Objetivos

► Entender en su totalidad el concepto de ciberseguridad en IoT.
► Entender la importancia de la ciberseguridad industrial en IoT.
► Entender en su totalidad el concepto Activos y Amenazas de IoT.
► Entender los niveles de alerta que se manejan actualmente dentro de las infraestructuras críticas e
industriales.
► Entender las medidas de seguridad que se deben aplicar dependiendo de los niveles de seguridad
asociados a las mismas.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Para afrontar la ciberseguridad se debe comenzar identificando y descomponiendo los activos.
► Los activos se dividen en diferentes grupos, los cuales son detallados a un nivel medio y englobados para
no definir un grano fino.
Taxonomía de Activos

Dispositivos IoT Comunicaciones Toma de decisiones

Otros Backend y Aplicaciones y

Infraestructuras Información
Dispositivos IoT Plataformas Servicios

Fig. Taxonomía de activos – Fuente: Baseline Security Recommendations for IoT (Enisa)
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Dispositivos IoT

Hardware Software Sensores Actuadores

• Todos los dispositivos o • La parte no física del • Dispositivos que tienen • Dispositivos que trabajan
componentes físicos entorno. como objetivo la como herramienta de
exceptuando los • Sistemas operativos detección, medición o salida del entorno IoT,
sensores y actuadores. como firmware, extracción de estos ejecutan acciones
• A partir de ellos pueden aplicaciones, programas. información del entorno o decisiones basadas en
crear los entornos de en el que se encuentra la información que ha
IoT. para poder procesarlo. sido procesada.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Otros Dispositivos IoT
Dispositivos de
Dispositivos Sistemas
Administración de
Interfaz con IoT Embebidos
IoT
• Sirven para poder • Específicamente • sistemas que funcionan
interactuar con los diseñado con el fin de como una unidad de
dispositivos IoT y administrar o gestionar procesamiento que
funcionar como interfaz diferentes dispositivos pueden procesar
de IoT, como redes de información de forma
comunicación. autónoma.
• Pueden incluir
actuadores, sensores,
conexión con una red o
Internet.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Comunicaciones

Redes Protocolos
• Permiten la • Definen todo el conjunto
comunicación e de reglas para poder
intercambio entre los comunicarse entre
diferentes nodos de la diferentes dispositivos
propia red a través de un IoT.
enlace de datos. • Existen numerosos
• Los tipos de red pueden protocolos ya sean
ser de varios tipos entre inalámbricos o
ellos WLAN, WPAN, cableados, LoRaWan,
PAN, WWAN… Bluetooth, MQTT…
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Infraestructuras

Puertas de Fuentes de Activos de

Routers
Enlace Alimentación Seguridad
• Dispositivos que envían • Nodos de una red que • Dispositivos encargados • Activos destinados a la
la información de los interactúan con otras de suministrar energía a seguridad del entorno de
paquetes de datos entre redes de un entorno IoT. los dispositivos del IoT para proteger tanto
las diferentes redes en • Utilizan diferentes entorno IoT. los dispositivos físicos,
un entorno de IoT. protocolos. • Pueden internas, como redes o la propia
• Permiten traducir esos externas, cableadas, información del entorno.
protocolos, resguardar baterías integradas en • Firewalls, CASB,
de fallas del sistema, los dispositivos… IDS/IPS, A+, etc.
etc.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Backend y Plataformas
Servicios Infraestructuras
basados en Web en la nube
• Se encuentran en • Pueden proveer a los
Internet y proporcionan entornos la capacidad
una interfaz para todas de gestionar diferentes
las aplicaciones dispositivos
conectadas a ella. deslocalizados para
• Pueden ser utilizadas en ofrecerle funciones de
un entorno de IoT para almacenamiento,
comunicar H2M o M2M. aplicaciones, servicios,
etc.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Toma de Decisiones
Procesamientos de
Data mining
datos y computación
• Algoritmos y servicios • Servicios que facilitan el
encargados de procesar procesamiento de datos
y transformar los datos recopilados para poder
obtenidos por los conseguir información
sensores para poder relevante, que pueda ser
usarlos de forma utilizada para aplicar
ordenada. reglas o lógicas para la
• Se utilizan tecnologías toma de decisión y la
basadas en Big Data automatización de los
para obtener patrones procesos.
en conjuntos de datos. • Machine Learning.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Aplicaciones y servicios:
Análisis de datos y Gestión de
Uso de dispositivos
visualización dispositivos de Red
• Sistemas que permiten • Herramientas para • Aplicaciones para
ver la información una gestionar las redes y conocer el estado de los
vez que ha sido dispositivos de un dispositivos y las redes
procesada para poder entorno IoT. del entorno de IoT,
tomar nuevas decisiones • Sistemas operativos,
o mejorar los procesos. firmware, aplicaciones,
• Herramientas de etc.
monitoreo.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.2 Activos de IoT

► Información:

En reposo En tránsito En uso

• Información que se • Información que se • Información que está
encuentra en una base encuentra viajando por utilizando una
de datos ya sea en el el sistema en la aplicación, un servicio o
backend o en el propio comunicación entre los dispositivo de IoT.
dispositivo. diferentes dispositivos.
 ►
Criticidad
Ciberseguridad en IoT

10%
20%
30%
40%
50%
60%
70%
80%
90%

0%
2.2 Activos de IoT

sensores

Gestión de dispositivos y redes

Protocolos de comunicación

Puertas de enlace

Aplicaciones y servicios

Actuadores

Servidores BD

Fig. Criticidad de activos. Fuente: elaboración propia

Routers

Sistemas de toma de decisión

Dispositivos de interacción

Servicios en la nube

Smartphones/ Tablets

Software

Información sensible

LAN

Cortafuegos, IDS, IPS..

WAN

VPN
Prof. Mg. Victor Figueroa
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► La creciente evolución de los entornos IoT y los diferentes tipos de activos que han aparecido en los últimos
años han dado lugar a un incremento de ataques.
► Estos dispositivos son vulnerados o comprometidos a causa de la falta de capacidades de protección.
► Existen diferentes tipos de amenazas en función de los tipos de activos a los que afecta, así como el
impacto que tienen, para ello, se define una taxonomía de amenazas a alto nivel.

Taxonomía de Amenazas
Daño o pérdida de
Actividad maliciosa/abuso Desastres
activos TI

Escuchas /
Fallos/mal
intercepción / Cortes Ataques físicos
funcionamiento
secuestro
Fig. Taxonomía de amenazas – Fuente: Baseline Security Recommendations for IoT (Enisa)
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Actividad maliciosa/abuso:

Ataques Denegación
Malware Exploits
dirigidos de Servicios
• Programa de software • Algoritmos de código • Ataques que tienen un • Multitud de equipos
creados con el fin de creados para explotar las objetivo bien definido- ejecutan ataques
realizar acciones no vulnerabilidades de los • Se ejecutan durante un coordinados simultáneos
permitidas en un entorno dispositivos y poder período de tiempo dilatado y contra un mismo objetivo
donde no se ha dado conseguir acceso al en diferentes etapas. para sobrecargarlo o
consentimiento, para causar entorno. • Buscan conseguir datos e bloquearlo.
daños, corromper o robar información relevante o • Inunda un canal de
información. sensible. comunicación o reproduce
comunicaciones una y otra
vez.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Actividad maliciosa/abuso:
Dispositivos
Ataques a la Modificación de
maliciosos
privacidad información
falsificados
• Dispositivos falsificados que • Actúa contra la privacidad • Tiene el objetivo de
son difíciles de distinguir del usuario y expone los manipular sin dañar el
con los dispositivos dispositivos o elementos de dispositivo, con el fin de
originales. la red a individuos no conseguir generar caos u
• Esto permite tener autorizados. obtener un redito
backdoors o puertas económico.
traseras que pueden ser
utilizadas para atacar los
sistemas de un entorno de
IoT.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Escuchas / intercepción / secuestro:
Secuestro de
Intercepción de Reconocimiento de
Man in the middle protocolos de
información redes
comunicación
• Consiste en un escucha • Toma de control de una • Tipo de ataques • Obtención de información
activa en la que el intruso se sesión de comunicación fuertemente vinculado a las interna de una red de forma
coloca en medio de un existente entre dos nodos comunicaciones privadas, pasiva.
canal de comunicación de la red. ya sean llamadas • Ya sea de los dispositivos
transmitiendo los datos de • El intruso escucha la telefónicas correo conectados, protocolos
una víctima a otra, de esta información sensible, entre electrónico, mensajería. utilizados, puertos abiertos,
forma les hace creer que ellas contraseñas. servicios en uso.
hay una comunicación • Utiliza técnicas de forzado
directa. de desconexión o incluso
otro tipo de ataques de
denegación de servicios.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Escuchas / intercepción / secuestro:

Secuestro de Recopilación Reproducción

Sesión de información de mensajes
• Secuestrar de la conexión • Trata de obtener la • A través de una trasmisión
de red haciéndose pasar información de una red de datos autorizada, reenvía
por un host legítimo, con el interna de forma pasiva, mensajes repetidas veces
fin de obtener, modificar o dispositivos conectados, de forma maliciosa.
eliminar los datos que se protocolos, etc. • Los retrasa para manipular
transmitan o bloquear los dispositivos
objetivo.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Cortes:
Pérdida de
Corte de Red Fallo de Dispositivo Fallo del Sistema servicios de
soporte
• Puede ser intencionado o • Fallo o mal funcionamiento • Fallo en un sistema o una • Afecta a la disponibilidad de
accidental. de un dispositivo de tipo aplicación de software. los servicios que sirven de
• Se interrumpe el suministro hardware. apoyo para el
de red ya sea eléctrico o de funcionamiento de los
comunicación. sistemas de información de
IoT.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Daño o pérdida de activos TI:

Fuga de
datos/información
sensible
• Afecta a la confidencialidad
de los datos, ya que se ven
expuestos de forma
intencionada y a personal
no autorizado.
• El impacto de esta amenaza
depende de la sensibilidad
de los datos filtrados.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Fallos/mal funcionamiento:

Vulnerabilidades Fallo de
de software terceras partes
• La mayoría de los • Consiste en un error de un
dispositivos de IoT de un activo de la red, que se
sistema suelen ser provoca por el fallo de otro
vulnerables, ya que están activo en la misma red que
protegidas con contraseñas está conectado o
débiles o incluso las propias relacionado directamente.
contraseñas que vienen por
defecto
• Pueden tener errores de
software o incluso errores
de configuración.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Desastres:

Naturales Ambiental
• Contiene todos los • Desastres que suceden
desastres naturales como dentro del propio entorno
inundaciones, nevadas, IoT que comprometen la
desplazamientos de tierra, actividad de los dispositivos.
huracanes o cualquier tipo
de desastre natural que
pueda dañar los activos de
IoT de forma física.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Ataques físicos:

Modificación Destrucción de
de dispositivos dispositivos
• Ataques a dispositivos • Robo de dispositivos,
físicos de forma presencial. incendios provocados,
• Manipulación de un sabotajes, etc.
dispositivo que tiene una
configuración errónea de
puertos para explotar los
puertos que no están
supervisados.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios
► Los escenarios de ataques permiten comprender el impacto que puede tener un ataque en un contexto
determinado, de un Sistema IoT.
► El contexto es un factor clave para determinar el impacto de una amenaza, tanto en términos de la
probabilidad de ocurrencia como en la degradación que esta puede provocar sobre los activos y el entorno
en general.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Un ataque contra el enlace de red entre un controlador o varios y los actuadores de un entorno
de IoT.
• Se trata de una situación en la que una persona no autorizada escucha en el canal de enlace para extraer información
comprometida con el fin de actuar de forma maliciosa, realizando ataques a partir de esa información extraída de un
entorno de IoT.
• Este tipo de ataque de escucha en el enlace o de fugas de información es una de las primeras etapas que ocurre en un
ataque, para poder identificar las vulnerabilidades y posibilidades de éxito.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque contra los sensores, modificación de los valores extraídos y configuraciones.

• En este caso, un individuo manipula las configuraciones de los sensores para que estos puedan leer valores fuera de los
rangos establecidos, lo que provoca una amenaza sobre los diferentes sistemas o instalaciones.
• Este tipo de ataques depende de la complejidad del entorno, ya que si es un entorno grande con sensores replicados y
redundantes, el individuo debería modificarlos todos para que el impacto fuera relevante, ya que un sistema redundante
estabilizaría esos valores.
• Aunque este ataque puede no parecer relevante a priori, podría repercutir en daños del sistema si este permite que los
valores de entrada sean mayores al permitir, en algunos casos, picos de energía superiores a los aceptados.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque contra los actuadores mediante la modificación o el sabotaje de su configuración.

• La manipulación o sabotaje de los actuadores afecta directamente a la ejecución de estos, de tal forma que este puede
afectar a los procesos de fabricación o producción en el entorno de IoT, debido a que los actuadores son la parte que
interactúa con el entorno.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque contra los sistemas de gestión y administración de un entorno de IoT.

• El atacante intenta comprometer el sistema para conseguir un control total sobre los dispositivos o el propio sistema.
• En este tipo de ataques influye la complejidad de las contraseñas utilizadas, así como las contraseñas que no son
cambiadas de serie.
• Se divide en diferentes partes y suele ser lanzado de una forma imperceptible para no generar sospechas, de tal forma que
el proceso puede ocurrir durante toda la vida del dispositivo y no ser detectado.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque contra vulnerabilidades en los protocolos de comunicación.

• Ataque que sirve como entrada para otros ataques.

• Un exploit consigue los permisos para acceder a un sistema, incluso llega a obtener permisos de administrador en
ocasiones.
• Una vez dentro, se producen robos de información e instalación de malwares.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque de inyección de comandos en la consola de los sistemas contra los dispositivos de IoT

• Una vez dentro de un sistema, el atacante ejecuta comandos en la consola, lo que provoca diferentes efectos que pueden
afectar a los diferentes dispositivos del sistema en forma de cascada, se realizan mediante exploits, denegación de
servicios o interrupción de la red.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Trampolín

• Este tipo de ataques se realiza con el fin de preservar la identidad del individuo responsable.
• Se realizan ataques contra el objetivo, pero desde equipos previamente comprometidos, es decir, se consigue vulnerar
equipos y desde ellos se lanza el ataque contra el objetivo.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Denegación de servicios con botnets

• Estos ataques no están enfocados contra los propios dispositivos de IoT, pero sí son usados para poder atacar otros
dispositivos.
• Mediante un malware, se detectan vulnerabilidades en dispositivos IoT, que son infectados y secuestrados como botnet;
una vez secuestrados, estos se usan con el fin de crear ataques de denegación de servicio al saturar los servidores con
tráfico malicioso
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataques de manipulación de fuentes de energía y explotación de vulnerabilidades de lectura de

información.
• Consiste en la manipulación o toma de control de las fuentes de energía del entorno de IoT.
• Se trata de manipular las baterías o cableado que provee la energía necesaria a los dispositivos.
• Estos ataques pueden ser físicos o ejecutados mediante software malicioso.
• Manipula la captura del estado de energía por parte del software del dispositivo para impactar en su rendimiento o
productividad.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Ataque destinado a secuestrar información. .

• Este es uno de los ataques más conocidos en la actualidad, está fuertemente relacionado a los ransomware, con el fin de
secuestrar la información de la víctima para que esta pague un rescate por ella.
• Los atacantes buscan víctimas que no han aplicado actualizaciones sobre vulnerabilidades conocidas.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.3 Amenazas de IoT

► Criticidad de ataques sobre escenarios

Fig. Criticidad de los ataques. Fuente: elaboración propia, adaptado de Enisa

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

Conclusiones
► La ciberseguridad industrial está fuertemente ligada a la ciberseguridad en IoT debido a que se ve afectada
por las amenazas inherentes a los activos IoT que se encuentran en su entorno.
► Los activos IoT se categorizan en función de una taxonomía para evaluar sus riesgos desde un enfoque de
grano grueso.
► Las amenazas se agrupan igualmente en taxonomías en función de los activos a los cuales puede
impactar.
► Los escenarios de ataques permiten comprender el impacto que puede tener un ataque en un contexto
determinado, de un Sistema IoT.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

Clase 4
2. Resumen Clase anterior.

2.4 Niveles de Alertas

2.5 Medidas asociadas a los Niveles de Alerta

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2. Resumen Clase anterior

► La ciberseguridad industrial está fuertemente ligada a la ciberseguridad en IoT debido a que se ve afectada
por las amenazas inherentes a los activos IoT que se encuentran en su entorno.
► Los activos IoT se categorizan en función de una taxonomía para evaluar sus riesgos desde un enfoque de
grano grueso.
► Las amenazas se agrupan igualmente en taxonomías en función de los activos a los cuales puede
impactar.
► Los escenarios de ataques permiten comprender el impacto que puede tener un ataque en un contexto
determinado, de un Sistema IoT.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► En el ámbito de las infraestructuras críticas, industriales y IoT, las medidas de seguridad son
dinámicas, variarán dependiendo del riesgo de seguridad externo al que se vean sometidas en cada
momento.

► El riesgo de seguridad externo es definido por el NAIC (nivel de alerta en infraestructuras críticas),
asociado al NAA (nivel de alerta antiterrorista).
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► El nivel de alerta antiterrorista consiste en una escala compuesta por cinco niveles, cada uno de los
cuales se encuentra asociado a un grado de riesgo en función de la valoración de la amenaza
terrorista que se aprecie en cada momento.

Fig. Niveles de Alerta Antiterrorista. Fuente: Ministerio del Interior. https://www.interior.gob.es

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

Fig. Niveles de Alerta Antiterrorista. Fuente: Ministerio del Interior. https://www.interior.gob.es

Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► El nivel de alerta 4 implica una mayor presencia de las fuerzas de seguridad en las calles y un
preaviso a las Fuerzas Armadas para que intensifiquen la seguridad en sus instalaciones y estén
preparadas para reforzar a policía y guardia civil, en caso de ser requeridas.

► El nivel de alerta 5 implica la presencia de militares en las infraestructuras críticas, nudos de

comunicación y lugares de gran acumulación de personas.

► La protección abarca a objetivos como instalaciones, redes, sistemas y equipos físicos y de

tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales,
centros y organismos públicos u oficiales.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► La activación de cada uno de los niveles es competencia del ministro del Interior, una vez oídos los
informes de los expertos de los servicios de inteligencia y las fuerzas de seguridad.

► Los criterios para establecer el nivel dependen de la valoración de la amenaza «en función de la
intención, la capacidad y la probabilidad de comisión de un atentado terrorista», así como de la
vulnerabilidad de los potenciales objetivos de ataque y su posible impacto o repercusión.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► El NAIC es un indicador público y que puede consultarse directamente en la página web del CNPIC.

► Cada nivel de seguridad del NAIC tiene asociada una serie de medidas de seguridad, vigilancia y
protección tecnológica que afectan tanto a los órganos pertenecientes a Secretaría de Estado de
Seguridad, al CERT de Seguridad Incibe-Cert y a los operadores críticos nacionales.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.4 Niveles de Alerta

► En el caso español, el Plan Nacional de Protección de las Infraestructuras Criticas establece que si la
situación de alerta lo requiere se pueden establecer los denominados dispositivos extraordinarios de
ciberseguridad (DEC).

► Los DEC son coordinados por la Oficina de Coordinación Cibernética (OCC) del CNPIC.

► La OCC es el órgano responsable de efectuar la coordinación técnica entre los responsables de

seguridad de los sistemas y tecnologías de la información de los operadores críticos, las unidades
tecnológicas de las Fuerzas y Cuerpos de Seguridad del Estado y el Incibe-Cert.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.5 Medidas asociadas a los Niveles de Alerta

► Cuando un nivel del NAIC cambia, todas las infraestructuras críticas e industriales se ven afectadas
por este cambio. Esto es debido a que los niveles de alerta están asociados con medidas específicas
de seguridad.

► Cuando esta varía, obliga a que se tomen medidas de seguridad adicionales sobre los controles ya
establecidos, de forma que cuanto mayor sea el nivel del NAIC, mayores serán también los niveles de
seguridad a los que deban someterse los controles.

► Este modelo de NAIC es muy básico y está suponiendo importantes problemáticas que todavía no
han sido resueltas.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.5 Medidas asociadas a los Niveles de Alerta

► El nivel cuatro se puede llegar a mantener durante años, lo que hace inviable que las compañías
bloqueen su operativa diaria durante períodos tan largos.

► Las compañías muchas veces no cuentan con recursos suficientes para adaptarse a esos niveles de
seguridad, dado que afectan de forma global a todos los controles.

► Se debería indicar en todo momento qué controles son los más atacados y, por tanto, suponen las
principales amenazas en ese instante de tiempo.

► El sistema actual no se muestra especialmente eficiente y las compañías lo terminan percibiendo

como una molestia y no como un beneficio real.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.5 Medidas asociadas a los Niveles de Alerta

Fig. Relación entre las medidas de seguridad y los niveles NAIC. Fuente: Elaboración propia.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

2.5 Medidas asociadas a los Niveles de Alerta

► Lo que se muestra en la Tabla es solo un fragmento de medidas. Los planes reales suelen estar
formados por un conjunto de más de cien medidas, lo que los convierte en difíciles de cumplir en
compañías con departamento de seguridad limitados.

► El enfoque de alertas orientadas a controles o medidas sería mucho más eficiente que el enfoque
actual.

► Muchas compañías lo que buscan es cumplir la ley, pero no mejorar realmente sus niveles de
seguridad.

► La metodología MARISMA ha acuñado el término GSS (Global Security Shield), un escudo de

seguridad que permite compartir conocimiento sobre ataques específicos y proteger los controles que
son el objetivo, en lugar de tener que subir el nivel de todos los controles involucrados en el sistema.
Ciberseguridad en IoT Prof. Mg. Victor Figueroa

Conclusiones
► Las seguridad en las infraestructuras críticas e industriales se encuentran sometidas a un esquema
de Niveles de Alerta (NAIC).

► Cuando un Nivel de Alerta cambia, se deben adoptar las medidas de seguridad preestablecidas para
cada Nivel.

► Se trata de un esquema que representa actualmente una problemática para las infraestructuras
críticas e industriales, debido a que suponen un alto grado de esfuerzo para aplicar los cambios ante
cada cambio de contexto.

► No obstante, es el esquema que rige en la actualidad, con lo cual, es fundamental conocerlo en

profundidad.
Índice de la asignatura

► Revisión Clase anterior.

► 3.1. Introducción y objetivos.
► 3.2. SCADA vs IIoT.
► 3.3. Redes y Sistemas de Automatización IIoT.
► 3.4. Diagnóstico técnico y organizativo de sistemas IIoT.

2
Revisión Clase anterior
► La seguridad en las infraestructuras críticas e industriales se
encuentran sometidas a un esquema de Niveles de Alerta (NAIC).

► Cuando un Nivel de Alerta cambia, se deben adoptar las medidas de

seguridad preestablecidas para cada Nivel.

► Se trata de un esquema que representa actualmente una

problemática para las infraestructuras críticas e industriales, debido a
que suponen un alto grado de esfuerzo para aplicar los cambios ante
cada cambio de contexto.

► No obstante, es el esquema que rige en la actualidad, con lo cual, es

fundamental conocerlo en profundidad.

3
3.1. Introducción y objetivos.
► En este tema se describen los conceptos y fundamentos más
importantes relacionados con los sistemas de ciberseguridad industrial
a nivel de redes y sistemas de control industrial, como los SCADAS y
los entorno de IoT.

► Estos conceptos son esenciales para poder entender cómo proteger

estos sistemas.

4
3.1. Introducción y objetivos.
► Los SCADAs (Supervisory, Control and Data Acquisition) son los
sistemas de supervisión, control y adquisición de datos, base para la
automatización de procesos industriales y, por tanto, para la industria 4.0.

► Dentro la industria 4.0, estos sistemas nos permiten medir, monitorizar y

controlar todos los procesos de los sistemas industriales, en tiempo real.

► Se pueden conectar con los sistemas TIC y algoritmos de machine

learning o inteligencia artificial que modifican los valores de forma
dinámica.

► La automatización de los SCADAs se inició en los sectores eléctricos,

aunque hoy su alcance llega a todos los sectores (salud, financiero, etc.).

► Permiten visualizar las operaciones en tiempo real.

► IIoT: Internet Industrial de las Cosas, IoT aplicado a entornos industriales.

5
 3.1. Introducción y objetivos.

Recolección y
Procesamiento
• PLC • Sistemas de
Proceso de • RTU monitor
• PLC
funcionamiento de • IIoT • RTU • Presentación en
un SCADA. forma gráfica
• IIoT
Conexión Envío

Fig. Proceso de funcionamiento de un SCADA. Fuente: Elaboración propia.

6
 3.1. Introducción y objetivos.

Segmentos de Red
IT vs OT

Fig. Segmentos de Red IT vs OT. Fuente: Elaboración propia.

7
 3.1. Introducción y objetivos.

Esquema de
Red Convergente

Fig. Red convergente que integra operaciones de la red corporativa y la red de control
industrial. Fuente: Moya, S. (2017).

8
3.1. Introducción y objetivos.
► El marco normativo de referencia para abordar la seguridad en estas
redes y sistemas es ISA/IEC 62443 Security for Industrial Automation
and Control Systems.

► Es una evolución de la Guía ISA 99 introducida por la International

Society of Automation.

► Está derivado de la familia ISO/IEC 27000.

► Es igualmente importante usar como referencia el marco NIST

Cybersecurity Framework, sobre el cual se basan los patrones de
riesgo que estudiaremos más adelante.

9
3.1. Introducción y objetivos.
Policies &
General Procedures System Component
ISA-62443-1-1 ISA-62443-2-1 ISA-62443-3-1 ISA-62443-4-1
Concepts and Requirements for Security Product
Modelos an IACS Security Technology for Development
ISA-62443-1-2 Management IACS Requirement
Master Glosary of System ISA-62443-3-2 ISA-62443-4-2
Terms and ISA-62443-2-2 Security Technical Security
abbreviations Implementation Assessment and for IACS
ISA-62443-1-3 Guidance for an System Design components
System Security IACS Security ISA-62443-3-3
Conformance Management System Security
Metrics System requirements and
ISA-62443-1-4 ISA-62443-2-3 Security levels
IACS Security Patch Management
Lifecycle and use in the IACS
cases enviroments
ISA-62443-2-4
Security Program
requirements for
IACS Service
Providers

Estructura del Estándar ISA/IEC 62.443. Fuente: Elaboración propia.

10
3.1. Introducción y objetivos.

Fig. Arquitectura de seguridad en capas ISA/IEC 62.443. Fuente: Moya, S. (2017).

11
3.2. SCADA vs IIoT
► Existen similitudes entre SCADA y IIoT partiendo de algunas
premisas:

► Se utilizan para hacer seguimiento o monitoreo de los elementos que

operan dentro de un entorno.

► Permiten supervisar procesos de forma conjunta.

► Permiten realizar un control del correcto funcionamiento de las

operaciones.

► Permiten gestionar los datos obtenidos en tiempo real y almacenar

esa información para futuras decisiones.

► Parecen ser lo mismo, comparten un objetivo común, optimizar los

sistemas de control y los procesos, pero esto cambia si nos centramos
en su finalidad.

12
3.2. SCADA vs IIoT

SCADA se centra en la interacción con

el ser humano, es decir, en dar la
posibilidad de que una persona pueda
tener una interacción entre los
procesos del sistema de una forma
remota.

IIoT está orientado a la interacción

entre los distintos dispositivos o
elementos del propio entorno de IoT
de forma autónoma, aunque también
puede presentar la información a las
personas.

13
3.2. SCADA vs IIoT

SCADA obtiene información del

sistema, la analiza y la presenta para
que una persona tome las medidas
oportunas.

IIoT es configurado de tal forma que

tiene una integración mediante los
sensores, actuadores y los diferentes
activos, que interactúan entre sí para
mover la información y que el propio
sistema la analice, la procese y tome
decisiones de forma autónoma.

14
3.2. SCADA vs IIoT

SCADA IIoT

Posibilidad de Posibilita amplia

integración integración de
limitada procesos
Amplia la
Migra hacia superficie de
accesibilidad web ataque
Acceso a info
Acceso a info desde cualquier
localmente lugar

Información más Evoluciona en

exacta exactitud

Menor costo Mayor costo

frente a IIoT frente a SCADA

Centralizado Descentralizado

15
3.2. SCADA vs IIoT
► SCADA, con todas sus capacidades, es muy relevante en la industria,
pero tiene carencias con respecto al procesamiento de la información
y la conectividad del entorno.

► IoT ha revolucionado SCADA por sus características y apertura.

► IoT proporciona escalabilidad e interoperabilidad.

► Ambas plataformas permiten mejorar la productividad de forma

general:

o Aportando un soporte inteligente al entorno.

o Mejorando la eficiencia y los tiempos de los procesos.

o La vida útil de los dispositivos al reducir la generación de residuos.

16
3.3. Redes y Sistemas de Automatización IIoT
► El principal objetivo de la automatización industrial consiste en
gestionar tareas repetitivas, monitorizar procesos, maquinaria,
aparatos o diferentes tipos de dispositivos consiguiendo un
funcionamiento automático en la medida de lo posible con la mínima
intervención humana.

► El fin de la automatización se define como la mejora de calidad del

producto, el aumento de la producción y la minimización de los riesgos
de personal humano.

17
3.3. Redes y Sistemas de Automatización IIoT

Automatización Automatización Automatización

Fija Programable Flexible
• Para la • Cuando se • Tipo de
automatización de requieren bajos automatización
grandes volúmenes volúmenes y híbrida para
de producción configuraciones volúmenes de
donde los para reajustar producción
elementos hardware o software medianos donde es
generados no para producir en posible ajustar las
varían unos de función de necesidades de los
otros. características elementos al
deseadas. principio de cada
producción.

Fig. Tipos de Automatización. Fuente: Elaboración propia.

18
3.3. Redes y Sistemas de Automatización IIoT
► Los conocimientos técnicos que han aportado un rápido avance en la
posibilidad del desarrollo industrial resultan de la convergencia de
diferentes ámbitos tecnológicos.

Neumática PLC
Electrónica Eléctrica Robótica ICS
Automotriz Oleohidráulica

Fig. Ámbitos tecnológicos que aportaron a la evolución de la Automatización. Fuente: Elaboración propia.

19
3.3. Redes y Sistemas de Automatización IIoT
► La decisión de automatizar un entorno industrial debe ser establecida
por las necesidades y las posibilidades de la compañía definiendo
claramente los ámbitos de la empresa que se deben automatizar, ya
sea de forma completa o parcial.

► Esta decisión debe ser estudiada en detalle, ya que cada tipo de

compañía tiene una serie de necesidades propias que no pueden ser
replicadas como base.

► Para tomar la decisión de automatización podemos basarnos en las

principales ventajas e inconvenientes que aporta una automatización.

► Existen procesos maduros en una compañía, que se replican de forma

continuada con bajos niveles de riesgo de error. Estos procesos
pueden ser automatizados, consiguiendo una alta productividad sin la
intervención de personal.

20
3.3. Redes y Sistemas de Automatización IIoT
► La evolución de las tecnologías como la robótica, la analítica y la
inteligencia artificial han aportado a la industria, la posibilidad de
ampliar y mejorar la productividad la calidad de los procesos, con
información en tiempo real de todos los flujos de datos de la
compañía.

► La centralización y monitorización del sistema mediante los sistemas

de control industrial (ICS) agrega nuevas amenazas a la industria.

► Los sistemas centralizados pueden ser vulnerables a ataques de

códigos maliciosos repercutiendo en funciones físicas de la industria a
través de los dispositivos inteligentes.

► La necesidad de conectividad a Internet en los nuevos entornos

industriales, la rápida comunicación y el almacenaje en la nube
mediante cloud computing o el Internet industrial de las cosas colocan
a la ciberseguridad en un papel relevante en esta era tecnológica de la
industria.

21
3.3. Redes y Sistemas de Automatización IIoT
► El origen de la automatización nace de la preocupación por la
seguridad del personal.

► La nueva automatización industrial se basa en virtualizar en la medida

de lo posible toda la gestión de la compañía.

► El tema de la seguridad da un giro drástico cambiando el punto de

vista y dando paso a la ciberseguridad.

La seguridad y la
Asegurar los ciberseguridad
procesos de son conceptos
Proteger la
producción en las similares que
integridad de la
fábricas y los Proteger la atañen diferentes
información que
sistemas confidencialidad factores de la
se transmite
ciberfísicos, de los datos. industria que a su
entre dispositivos
protegiendo las vez se
de la compañía.
instalaciones y encuentran
sus operaciones. fuertemente
ligados.

22
3.3. Redes y Sistemas de Automatización IIoT

ISA/IEC 62.443
Seguridad en Automatización Industrial y
Sistemas de Control
Seguridad de la Red Seguridad del Sistema Seguridad de la Planta
• El objetivo principal es la micro • El objetivo es la protección de • El objetivo es controlar que las
segmentación de las redes los sistemas automatizables y personas que no estén
industriales y la estrategia de los componentes como los autorizadas no puedan
defensa en profundidad. firewalls, además de sistemas acceder sin permiso de forma
como los anteriormente física a las zonas y los
mencionados SCADA y HMI, componentes críticos.
contra los accesos no
autorizados.

Fig. Visión global del Estándar ISA/IEC 62.443. Fuente: Elaboración propia.

23
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Uno de los principales problemas de la seguridad en este tipo de
sistemas es la seguridad de las redes y los sistemas IIoT.

► A través de un diagnóstico técnico es posible identificar estos

problemas y dar una solución a los mismos.

Proporcionar
información
Objetivos del Conocer el actualizada y
Entender los
estado de la Identificar sus completa Realizar
Diagnóstico ciberseguridad puntos acerca de la
riesgos que propuestas
afronta la
de una débiles. arquitectura de mejora.
Técnico instalación de redes y
instalación.
sistemas de la
instalación.

24
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Documentos Previos

o Definir las reglas de enfrentamiento (ROE: Rules of Engagement).

o Establecer el escenario de los trabajos.

o Firmar acuerdos de confidencialidad.

o Firmar el documento de exención de responsabilidades.

25
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Documentos Previos

o Definir las reglas de enfrentamiento (ROE: Rules of Engagement).

Se trata de un conjunto de reglas en las que se definen las

condiciones, intensidad y forma en la que los «combatientes»
están autorizados a usar la fuerza contra los atacantes. En el
campo de la ciberseguridad esto presenta una peculiaridad, y es
que en muchos casos los atacantes lo son de forma involuntaria
(por ejemplo: redes zombis, bot-net).

26
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Documentos Previos

o Establecer el escenario de los trabajos.

Es de vital importancia determinar el alcance de la revisión, ya que

puede hacer variar mucho los resultados obtenidos.

27
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Documentos Previos

o Firmar acuerdos de confidencialidad

Estos acuerdos son una garantía para el cliente de que el auditor

mantendrá el más estricto secreto respecto a la información a la
que tenga acceso.
Este tipo de acuerdo también es vital para cumplir con las leyes de
protección de datos personales, o en el caso de Europa con la
GDPR (General Data Privacy Regulation) que entró en vigor el 25
de mayo del 2018.

28
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Documentos Previos

o Firmar el documento de exención de responsabilidades (get out of

jail card)

Este es un documento orientado a proteger al auditor frente a los

fallos que posteriormente puedan aparecer en al sistema auditado.
El auditor se compromete a seguir un código deontológico y actuar
con el cuidado debido, y siempre conforme a las reglas de
enfrentamiento que se hayan definido.

29
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Pasos para el diagnóstico

o Una vez que hemos realizado los pasos previos y firmado los
documentos, estamos en condición de iniciar el diagnóstico de la
empresa o del alcance definido dentro de ésta.

o El diagnóstico estará formado por cuatro fases:

Recopilación Verificación Consolidación Presentación

• de información • de información • de hallazgos • de resultados

30
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Pasos para el diagnóstico

o Recopilación de la información: supone mantener una entrevista con

el personal de la empresa en la que se pueda obtener la
documentación relevante.

 Identificación de los RR. HH: se deben identificar los

interlocutores válidos de la empresa.

 Documentación: entre los documentos, se deben solicitar un

organigrama de la compañía, el mapa de red, procedimientos y
políticas e información general sobre la instalación.

 Seguir el checklist de controles de la ISO 27001 puede ayudar.

31
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Pasos para el diagnóstico

o Verificación: la información se obtiene por medio de entrevistas y de

la documentación facilitada, pero esto presenta algunos
inconvenientes, ya que esa documentación puede estar obsoleta o
ser imprecisa y las entrevistas suelen estar sesgadas y contar con
un elevado nivel de subjetividad.

 Advertencia: uno de los grandes problemas de los ambientes

OT frente a los IT es que son mucho más inestables, por lo que
las pruebas se tienen que realizar de una forma mucho más
controlada.

32
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Pasos para el diagnóstico

o Consolidación: para consolidar los hallazgos debemos siempre

recoger evidencias. Para ello podemos revisar las configuraciones,
buscar activos no actualizados o redes desactualizadas, o
relacionar datos de varias partes que nos permitan obtener
conclusiones.

 Las conclusiones siempre se deben soportar sobre evidencias

demostrables, y siempre tener una finalidad constructiva.

 Para las empresas es importante poder entender las decisiones

que tienen que tomar.

33
3.4. Diagnóstico técnico y organizativo de sistemas IIoT
► Pasos para el diagnóstico

o Presentación de resultados: Una vez que se tienen todos los

resultados del sistema, es muy importante elaborar un informe
ejecutivo que refleje claramente la situación actual y un apartado
reflejando las posibilidades de mejora.

 El informe debe incluir las evidencias encontradas y un

resumen final pensado para los altos mandos, y a ser posible
debe tener información visual que sea fácilmente interpretable
(gráficas, tablas comparativas).

 La presentación debe reflejar los resultados más relevantes,

siempre buscando las causas y no los culpables, con actitud
muy constructiva y positiva, evitando los detalles técnicos si
asiste personal directivo.

 El informe siempre es recomendable que tenga un carácter

previo y no definitivo.

34
Conclusiones
► Los SCADA permiten medir, monitorizar y controlar todos los procesos
de los sistemas industriales, en tiempo real.

► Los SCADA se están viendo influenciados por la evolución de IoT,

ofreciendo un nuevo marco para nuevos modelos de negocio.

► SCADA y IIoT comparten objetivos pero tienen distintas finalidades.

► SCADA se centra en la interacción con el ser humano, mientras que

IIoT está orientado a la interacción entre distintos dispositivos o
elementos del propio entorno IIoT.

► IIoT es la culminación de SCADA en cuanto a conectividad de los

dispositivos hardware y las redes.

► SCADA y IIoT se complementan permitiendo mejorar la productividad

de forma general.

35
Conclusiones
► Las Redes en los entornos industriales han migrado hacia la
convergencia entre los entornos IT y OT, esto presenta también
nuevos desafíos en materia de seguridad.

► En materia de seguridad el estándar de referencia es el ISA/IEC

62.443 Seguridad para Automatización Industrial y Sistemas de
Control.

► El Estándar ISA/IEC 62.443 hace énfasis en 3 dominios: La Seguridad

de la Red, La Seguridad del Sistema y la Seguridad de la Planta.

► El fin de la automatización se define como la mejora de calidad del

producto, el aumento de la producción y la minimización de los riesgos
de personal humano.

► Existen distintos tipos de automatización, la automatización Fija,

Programable y la Flexible.

► Para tomar la decisión de automatización podemos basarnos en las

principales ventajas e inconvenientes que aporta una automatización.

36
Conclusiones
► La centralización y monitorización del sistema mediante los sistemas
de control industrial (ICS) agrega nuevas amenazas a la industria.

► El tema de la seguridad da un giro drástico cambiando el punto de

vista y dando paso a la ciberseguridad.

► El Diagnóstico Técnico permite identificar los riesgos en un entorno y

dar una solución a los mismos.

► El Diagnóstico Técnico requiere de unos documentos previos y se

aplica a través de un proceso de 4 fases: recopilación de información,
verificación de la información recopilada, consolidación de los
hallazgos y la presentación de los resultados.

37
Índice de la asignatura

► Revisión Clase anterior.

► 4.1. Introducción y objetivos.
► 4.2. Introducción al análisis del riesgo

2
Revisión Clase anterior
► Los SCADA permiten medir, monitorizar y controlar todos los procesos
de los sistemas industriales, en tiempo real.

► Los SCADA se están viendo influenciados por la evolución de IoT,

ofreciendo un nuevo marco para nuevos modelos de negocio.

► SCADA y IIoT comparten objetivos pero tienen distintas finalidades.

► SCADA se centra en la interacción con el ser humano, mientras que

IIoT está orientado a la interacción entre distintos dispositivos o
elementos del propio entorno IIoT.

► IIoT es la culminación de SCADA en cuanto a conectividad de los

dispositivos hardware y las redes.

► SCADA y IIoT se complementan permitiendo mejorar la productividad

de forma general.

3
Revisión Clase anterior
► Las Redes en los entornos industriales han migrado hacia la
convergencia entre los entornos IT y OT, esto presenta también
nuevos desafíos en materia de seguridad.

► En materia de seguridad el estándar de referencia es el ISA/IEC

62.443 Seguridad para Automatización Industrial y Sistemas de
Control.

► El Estándar ISA/IEC 62.443 hace énfasis en 3 dominios: La Seguridad

de la Red, La Seguridad del Sistema y la Seguridad de la Planta.

► El fin de la automatización se define como la mejora de calidad del

producto, el aumento de la producción y la minimización de los riesgos
de personal humano.

► Existen distintos tipos de automatización, la automatización Fija,

Programable y la Flexible.

► Para tomar la decisión de automatización podemos basarnos en las

principales ventajas e inconvenientes que aporta una automatización.

4
Revisión Clase anterior
► La centralización y monitorización del sistema mediante los sistemas
de control industrial (ICS) agrega nuevas amenazas a la industria.

► El tema de la seguridad da un giro drástico cambiando el punto de

vista y dando paso a la ciberseguridad.

► El Diagnóstico Técnico permite identificar los riesgos en un entorno y

dar una solución a los mismos.

► El Diagnóstico Técnico requiere de unos documentos previos y se

aplica a través de un proceso de 4 fases: recopilación de información,
verificación de la información recopilada, consolidación de los
hallazgos y la presentación de los resultados.

5
4.1. Introducción y objetivos.
► En este tema se describen los conceptos y fundamentos más
importantes relacionados con los riesgos asociados a la
ciberseguridad y su aplicación en el ámbito de IIoT.

► El tema se centra en los aspectos relacionados con la forma de

identificar y gestionar los riesgos dentro de un entorno IIoT, los
beneficios que se obtienen como consecuencia de su aplicación y
cómo realizar un seguimiento constante del riesgo.

6
4.1. El riesgo en la seguridad.
► Cada vez es más frecuente escuchar el concepto de «sistemas
ciberfísicos», «IIoT», «Internet de las cosas», «IoT industrial», etc., pero
todos estos conceptos llevan asociado un nivel de riesgo que tiene que
poder medirse y gestionarse de forma adecuada.

► Conceptos como «ciberseguridad» y «ciberdefensa» se han convertido

en palabras frecuentes en una sociedad dominada por la tecnología
digital que, a su vez, supone uno de los mayores riesgos que tiene que
asumir nuestra sociedad.

► La globalización y la cada vez mayor dependencia de la tecnología ha

cambiado completamente la forma de entender la seguridad.

► La ciberseguridad es uno de los mayores riesgos para las

infraestructuras críticas de las naciones modernas y que más puede
afectar a los pilares del estado del bienestar.

7
4.1. El riesgo en la seguridad.
► En sociedades en las que las operaciones bancarias, de gobierno,
energía, transporte, hospitales, etc., se gestionan mediante medios
digitales, el poder protegerlos y contar con mecanismos adecuados es un
aspecto crítico.

► La falta de acuerdos internacionales permite a los ciberatacantes operar

de manera rápida y con impunidad.

► El ciberespacio supone un ecosistema que no tiene fronteras y en donde

la ciberseguridad es solo tan buena como su eslabón más débil.

► Cada año se incrementa la cifra de nuevos virus, desde gusanos a

bombas lógicas, que provienen de diversas fuentes: criminales,
espionajes, políticas.

► La delincuencia cibernética es una hidra de tres cabezas. La primera es

que es rentable. La segunda, es de bajo riesgo. La tercera y más
importante es que es anónimo: la autoría es uno de los mayores
problemas del cibercrimen.

8
4.1. El riesgo en la seguridad.
► La ciberdelincuencia cuesta a la economía mundial billones de dólares
todos los años.

► La mejora de la colaboración internacional está empezando a dar

resultados en la reducción de la delincuencia cibernética, Convenio de
Budapest, con alrededor de países en 2022.

► En una época en la que la colaboración es vital en la situación actual del

mercado, es necesario contemplar el riesgo derivado de la relación de la
empresa con su entorno, sus circunstancias (variantes en cada
momento) y con otras empresas.

► Los riesgos de carácter vertical en la jerarquía de empresa, donde la

actividad de una empresa filial puede afectar a la empresa matriz, y
viceversa.

► Conocer los riesgos de los activos en las empresas industriales tiene la

limitación adicional de no tener recursos humanos y económicos
suficientes para realizar una adecuada gestión.

9
4.1. El riesgo en la seguridad.
► Uno de los aspectos críticos a tener en cuenta cuando se implantan los
sistemas de análisis y gestión del riesgo es si el proceso se realiza de
manera eficiente, facilitando el ahorro de costos.

► El análisis de riesgos es un proceso costoso.

► Las metodologías actuales no están pensadas para repetir el proceso

cada vez que se realice una modificación.

► Los modelos de análisis y gestión del riesgo son fundamentales para las
empresas, pero no existen metodologías que se adecuen actualmente, y
las existentes se muestran ineficientes.

10
4.2. Introducción al Análisis de Riesgos
► Un sistema de gestión de seguridad de la información (SGSI) puede
definirse como un sistema de gestión utilizado para establecer y
mantener un entorno seguro de la información (Eloff y Eloff, 2003).

► El objetivo principal de un SGSI es afrontar la puesta en práctica y el

mantenimiento de los procesos y procedimientos necesarios para
manejar la seguridad de las tecnologías de la información.

► Implica la identificación de las necesidades de seguridad en la

información y la puesta en práctica de estrategias para satisfacer estas
necesidades, medir los resultados y mejorar las estrategias de
protección.

► El análisis de riesgos permite determinar cómo es, cuánto vale y cuán

protegidos se encuentran los activos.

► Las actividades de gestión de riesgos permiten elaborar un plan de

seguridad que, implantado y operado, satisfaga los objetivos propuestos
con el nivel de riesgo que acepta la dirección.

12
4.2. Introducción al Análisis de Riesgos
► Las metodologías de análisis de riesgos tienen como punto de partida
identificar formalmente los elementos a proteger o aquellos que tienen un
valor para la organización, lo que se llamará activos.

► Los activos deben valorarse según unos requisitos de seguridad:

o Confidencialidad.
o Integridad.
o Disponibilidad.
o No repudio.
o Autenticidad.
o Impacto al medio ambiente.
o Impacto a la sociedad.
o Otros en función de la metodología y del Sector.

13
4.2. Introducción al Análisis de Riesgos
► Para cada activo de información debe valorarse de forma independiente:

Confidencialidad Integridad Disponibilidad Otros

• El costo que • El costo que • El costo que • Otros requisitos

tendría para la tendría para la tendría para la de seguridad que
organización una organización una organización una establezca la
pérdida total de pérdida total de pérdida total de metodología
su su integridad. su disponibilidad. utilizada.
confidencialidad.

14
4.2. Introducción al Análisis de Riesgos
► En un siguiente paso se identifica a qué amenazas están expuestos los
activos teniendo en cuenta los requisitos de seguridad.

► Una vez que se conocen las amenazas, se debe proceder a recoger las
salvaguardas que permitan proteger a los activos de dichas amenazas.

► Se pueden introducir vulnerabilidades, una debilidad del sistema que

hace que un activo pueda ser atacado por una amenaza.

Fig. Taxonomía del análisis de Riesgos. Fuente: Elaboración propia.

15
4.2. Introducción al Análisis de Riesgos
► ¿Cómo cuantificar los elementos del análisis de riesgos?

► A critical discussion of risk and threat analysis methods and

methodologies (Vidalis, 2003) ofrece tres enfoques distintos.

Enfoque Enfoque Enfoque basado

Cuantitativo Cualitativo en conocimiento

• El análisis de • No se usan • Consiste en

riesgos es una probabilidades, reutilizar el mejor
aproximación sino que se hacen método de
matemática al estimaciones sistemas
problema de potenciales de similares.
cuantificar los pérdida.
elementos. • Utiliza valores
• Basado en como *Alto*
Probabilidades. *Medio* *Bajo*

16
 4.2. Introducción al Análisis de Riesgos

Comparativa de
principales
metodologías y
estándares de
análisis de riesgos.

Fig. Tabla comparativa de metodologías de Análisis de Riesgos. Fuente: Elaboración propia.

17
4.2. Introducción al Análisis de Riesgos
► Las características presentadas en la tabla son aquellas que según las
investigaciones deberían poder soportar los principales estándares y
metodologías de análisis de riesgos existentes.

► Se considera que cada una de estas características puede ser totalmente

cumplida (Sí), o no tenida en cuenta por el modelo (No).

► Estas características deseables se han obtenido a través de la aplicación

del método de investigación-acción sobre casos reales.

18
4.2. Introducción al Análisis de Riesgos
► Orientado a PYMES: es decir, sistemas de análisis de riesgos que
requieren pocos recursos para su elaboración y mantenimiento.

► Dinámico: capacidad de cambiar según cambian los activos y las

dependencias de estos.

► Reutilización del conocimiento: capacidad de almacenar el conocimiento

adquirido en diferentes implantaciones, con el objetivo de reducir los
costes de generación y mantenimiento de nuevos análisis de riesgos, así
como el grado de incertidumbre en la generación de este.

► Asociativo: el modelo tiene en cuenta la distribución del riesgo (por

ejemplo, funciones derivadas a terceros, o realizadas por la empresa en
colaboración con otras empresas) y la interrelación de la empresa con el
entorno.

19
4.2. Introducción al Análisis de Riesgos
► Jerárquico: el modelo tiene en cuenta la relación jerárquica entre
compañías relacionadas (por ejemplo, el esquema matriz-filiales).

► Tasación de activos: el análisis de riesgos permite obtener una tasación

monetaria objetiva de los activos.

► Control de incertidumbre: el análisis de riesgos minimiza el grado de

incertidumbre en la generación, es decir, la generación por parte de dos
consultores de un análisis de riesgos sobre los mismos activos y los
mismos interlocutores genera el mismo o parecido resultado, con
desviaciones mínimas.

20
 4.2. Introducción al Análisis de Riesgos

Comparativa de
principales
metodologías y
estándares de
análisis de riesgos.

Fig. Tabla comparativa de metodologías de Análisis de Riesgos. Fuente: Elaboración propia.

21
4.2. Introducción al Análisis de Riesgos
► Debido a la versatilidad y capacidad de soportar otras metodologías, se
utilizará la metodología MARISMA y la herramienta eMARISMA que la
soporta para realizar las prácticas.

► MARISMA (Methodology for the Analysis of Risks on Information System,

using Meta-Pattern and Adaptability) es una metodología de análisis de
riesgos.

► Desarrollada por el Departamento de Investigación de Seguridad y

Auditoría de la Universidad de Castilla-La Mancha (España) en
colaboración con MARISMA Shield S. L.

► La metodología MARISMA permite solucionar gran parte de las

problemáticas que tienen las metodologías primitivas.

► Permite desarrollar patrones basados en las principales metodologías de

riesgos, presentando una serie de enfoques innovadores en este campo.

22
Conclusiones
► En sociedades en las que las operaciones bancarias, de gobierno,
energía, transporte, hospitales, etc., se gestionan mediante medios
digitales, el poder protegerlos y contar con mecanismos adecuados es un
aspecto crítico.

► La delincuencia cibernética es una hidra de tres cabezas. La primera es

que es rentable. La segunda, es de bajo riesgo. La tercera y más
importante es que es anónimo: la autoría es uno de los mayores
problemas del cibercrimen.
► El objetivo principal de un SGSI es afrontar la puesta en práctica y el
mantenimiento de los procesos y procedimientos necesarios para
manejar la seguridad de las tecnologías de la información.

► El análisis de riesgos permite determinar cómo es, cuánto vale y cuán

protegidos se encuentran los activos.

► Las actividades de gestión de riesgos permiten elaborar un plan de

seguridad que, implantado y operado, satisfaga los objetivos propuestos
con el nivel de riesgo que acepta la dirección.

23
Conclusiones
► El análisis de riesgos es un proceso costoso.

► Las metodologías actuales no están pensadas para repetir el proceso

cada vez que se realice una modificación.

► Los activos de información deben valorarse en función de requisitos de

seguridad que varían en función de la metodología, pero también del
Sector.

► Los elementos del análisis y gestión de riesgos se cuantifican en función

de un enfoque cualitativo.

► Existen diversas metodologías de análisis de riesgos, pero la mayoría

carecen de características deseables conforme al contexto actual.

► La metodología MARISMA permite solucionar gran parte de las

problemáticas que tienen las metodologías primitivas.

24
Revisión Clase anterior
► En sociedades en las que las operaciones bancarias, de gobierno,
energía, transporte, hospitales, etc., se gestionan mediante medios
digitales, el poder protegerlos y contar con mecanismos adecuados es un
aspecto crítico.

► La delincuencia cibernética es una hidra de tres cabezas. La primera es

que es rentable. La segunda, es de bajo riesgo. La tercera y más
importante es que es anónimo: la autoría es uno de los mayores
problemas del cibercrimen.
► El objetivo principal de un SGSI es afrontar la puesta en práctica y el
mantenimiento de los procesos y procedimientos necesarios para
manejar la seguridad de las tecnologías de la información.

► El análisis de riesgos permite determinar cómo es, cuánto vale y cuán

protegidos se encuentran los activos.

► Las actividades de gestión de riesgos permiten elaborar un plan de

seguridad que, implantado y operado, satisfaga los objetivos propuestos
con el nivel de riesgo que acepta la dirección.

3
Revisión Clase anterior
► El análisis de riesgos es un proceso costoso.

► Las metodologías actuales no están pensadas para repetir el proceso

cada vez que se realice una modificación.

► Los activos de información deben valorarse en función de requisitos de

seguridad que varían en función de la metodología, pero también del
Sector.

► Los elementos del análisis y gestión de riesgos se cuantifican en función

de un enfoque cualitativo.

► Existen diversas metodologías de análisis de riesgos, pero la mayoría

carecen de características deseables conforme al contexto actual.

► La metodología MARISMA permite solucionar gran parte de las

problemáticas que tienen las metodologías primitivas.

4
4.3. Riesgos tecnológicos de las IIoT
► Abordaremos los principales problemas que se plantean actualmente
para poder aplicar y determinar los riesgos tecnológicos relacionados
con el IoT industrial y cuáles son los principales retos a los que se
enfrentan las industrias para solucionarlos.

5
4.3. Riesgos tecnológicos de las IIoT
► La orientación al riesgo es una de las principales prioridades del Centro
Nacional de Protección de las Infraestructuras Críticas (CNPIC), según
su informe «Mapa de Ruta CiberSeguridad Industrial en España 2013-
2018».

► Otra prioridad es la implementación de herramientas para evaluar y

controlar los riesgos de ciberseguridad en los entornos industriales.

► A continuación, analizaremos los diferentes aspectos desde la

perspectiva directa de la medición y el análisis del riesgo.

► Para tener una visión global y completa, se deben analizar también tres
aspectos centrales:
• Cultura de la seguridad.
• Medidas de protección.
• Incidentes de seguridad.

6
4.3. Riesgos tecnológicos de las IIoT
Desafíos y Obstáculos
► Las metodologías de riesgos de seguridad de la información, específicas
para sectores industriales con capacidad de determinar y medir el riesgo
de las infraestructuras, son aún muy escasas.

7
4.3. Riesgos tecnológicos de las IIoT
Prioridades (I)
► Para entender y analizar sus riesgos, las industrias deben:
• Confeccionar catálogos de activos.
• Confeccionar catálogos de amenazas.
• Confeccionar catálogos de vulnerabilidades.

Medir
Desarrollar Las A través de
► Catálogos ► ►

generales de metodologías métricas de

aplicación a ► Catálogos de riesgos a las rendimiento los
cualquier específicos particularidades riesgos que las
entorno para diferentes de los entornos infraestructuras
industrial. sectores. industriales. industriales
asumen.
Editar Adaptar

8
4.3. Riesgos tecnológicos de las IIoT
Prioridades (II)
► Es fundamental que existan estas herramientas para seguir con el
proceso de mejora continua, ya que una vez que se han implantado
nuevos controles resulta necesario medirlos para ver el efecto que han
tenido.

9
4.3. Riesgos tecnológicos de las IIoT
Limitantes (I)
► Dentro del informe, el Centro de Ciberseguridad Industrial se remarcaron
cinco limitantes a la hora de medir y analizar el riesgo.

10
4.3. Riesgos tecnológicos de las IIoT
Limitantes (II)
► 1. El inventario de activos con implicaciones en ciberseguridad no es
adecuadamente conocido. La mayoría de las empresas no tienen
actualmente un catálogo de activos real, y ni siquiera son conscientes de
cuáles son estos activos.

11
4.3. Riesgos tecnológicos de las IIoT
Limitantes (III)
► 2. No existe conocimiento formal del riesgo, las amenazas y
vulnerabilidades a las que los sistemas de control industrial están
sujetos. La mayoría de las industrias nunca han realizado un análisis de
riesgos.

12
4.3. Riesgos tecnológicos de las IIoT
Limitantes (IV)
► 3. No existen herramientas prácticas y eficientes para la evaluación del
riesgo en sistemas de control industrial.

13
4.3. Riesgos tecnológicos de las IIoT
Limitantes (V)
► 4. Falta de métricas apropiadas que permitan medir el riesgo de una
forma dinámica.

14
4.3. Riesgos tecnológicos de las IIoT
Limitantes (VI)
► 5. Falta de integración de los riesgos de ciberseguridad dentro de las
herramientas/sistemas de gobierno corporativo, que incluyan la gestión
de otros riesgos de negocio.

15
4.3. Riesgos tecnológicos de las IIoT
Acciones (I)
► Las acciones que debían resolver las limitantes citadas anteriormente
fueron agrupadas en cuatro bloques.

16
4.3. Riesgos tecnológicos de las IIoT
Acciones (II)
► RISK-1. Desarrollo de catálogos de activos, amenazas y vulnerabilidades
para distintos sectores industriales.

Fuente: Mapa de ruta de ciberseguridad industrial en España 2013-2018 (CCI, 2013).

17
4.3. Riesgos tecnológicos de las IIoT
Acciones (III)
► RISK-2. Definición de una metodología de análisis de riesgos. Como se
ha comentado anteriormente, aunque existen muchas metodologías de
análisis de riesgos, pocas de ellas se han mostrado adecuadas para
sectores industriales por diferentes carencias.

Fuente: Mapa de ruta de ciberseguridad industrial en España 2013-2018 (CCI, 2013).

18
4.3. Riesgos tecnológicos de las IIoT
Acciones (IV)
► RISK-3. Desarrollo de métricas de rendimiento comunes. Uno de los
grandes problemas de los análisis de riesgos actuales es cómo obtener
métricas fiables y que evolucionen con el tiempo.

Fuente: Mapa de ruta de ciberseguridad industrial en España 2013-2018 (CCI, 2013).

19
4.3. Riesgos tecnológicos de las IIoT
Acciones (IV)
► RISK-4. Desarrollo de herramientas de análisis de riesgos. Uno de los
grandes problemas que planteaban las metodologías de riesgos es que
muchas de ellas carecen de herramientas que las soporten, lo cual hace
muy difícil su aplicación.

Fuente: Mapa de ruta de ciberseguridad industrial en España 2013-2018 (CCI, 2013).

20
4.3. Riesgos tecnológicos de las IIoT
MARISMA
► RISK 1. La metodología MARISMA acuñó el concepto de «meta-patrón»
como un sistema que permite soportar diferentes patrones sectoriales
con conceptos de herencia.

► RISK 2. Ha intentado solucionar todas estas carencias.

► RISK 3. Estas métricas se obtienen por el propio dinamismo del riesgo.

► RISK 4. Desarrolló una herramienta que la soporta y facilita su

aplicación, denominada eMARISMA.

21
4.3. Riesgos tecnológicos de las IIoT
Hitos
► El Centro de Ciberseguridad Industrial se planteó una serie de hitos que
debía cumplir al cerrarse el año 2018.

► Parte de los cuales todavía no ha podido cumplir total o parcialmente.

22
4.3. Riesgos tecnológicos de las IIoT
Hitos Alcanzados

► Elevar la concienciación general y proporcionar formación especializada

según el nivel o tipo de usuario.
► Aumento de la investigación en ciberseguridad industrial.
► Creación de estrategias de ciberseguridad para la industria.
► Creación de guías de buenas prácticas y estándares de referencia.
► Creación de laboratorios de prueba.
► Creación de concienciación dentro de los pilares de la seguridad
industrial tradicional.
► Difusión de productos y soluciones en materia de ciberseguridad
industrial entre todos los actores implicados.

23
4.3. Riesgos tecnológicos de las IIoT
Hitos en Desarrollo

► Mejora de las capacidades de ciberseguridad de gobiernos, entidades

públicas, organizaciones, universidades, etc.
► Generación de herramientas que faciliten la colaboración público-privada
a todos los niveles.
► Creación de esquemas de evaluación.
► Creación de SCI-CERT.
► Apoyo a la elaboración de marcos regulatorios.
► Creación de sistemas que incluyen ciberseguridad desde el diseño.
► Desarrollo de soluciones de detección de incidentes en los distintos
niveles para entornos industriales, incluyendo Smart OT.
► Consorcios y acuerdos internacionales para establecer colaboración en
materia de ciberseguridad.
24
4.3. Riesgos tecnológicos de las IIoT
Hitos en Desarrollo

► Acercamiento y educación de los responsables de sistemas de control en

los sistemas de seguridad TIC y viceversa.
► Mejora del cumplimiento legislativo.

25
4.3. Riesgos tecnológicos de las IIoT
Estado de las Acciones

Fig. Estado de las Acciones. Fuente: https://bit.ly/3AszUes

26
4.3. Riesgos tecnológicos de las IIoT
Nueva revisión del Mapa de Ruta

► El Mapa de Ruta fue actualizado en 2019, bajo el título Roadmap de la

ciberseguridad en la industria española 2019-2020.
► Se han establecido nuevos retos asociados al nuevo contexto.
► Se ha adoptado la estructura del marco básico de NIST, identificando un
conjunto de actividades de ciberseguridad, su estado actual y los
resultados esperados mediante indicadores.
► Se han identificado 40 actividades, de las cuales 15 son de la función
identificación, 10 de protección, cinco de detección, seis de respuesta y
cuatro de recuperación.

27
4.4. Diseño y preparación de programas de ciberseguridad
► En este apartado abordamos los principales elementos que conformarán
un análisis de riesgos (activos, amenazas, controles…) y su importancia
en la industria.

28
4.4. Diseño y preparación de programas de ciberseguridad
► La definición de un análisis de riesgos, con independencia del sector,
requiere de la identificación y el catalogo de una serie de elementos.

► Estos elementos son lo primero que se deben tener claro para poder
realizar un análisis de riesgos.

► Los elementos cambian dependiendo de la orientación que se pretenda

dar al análisis que se debe realizar.

Vulnerabilidades
Activos

Amenazas

Controles

29
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos (I)

► Activos: se debe ser capaz de catalogar los activos de valor, en base a

algún tipo de clasificación de activos. Un ejemplo claro puede ser el
catálogo propuesto por MAGERIT.

30
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos (I)

► Amenazas: igual que en el caso anterior, se debe conocer qué grupos de

amenazas son las que queremos afrontar en nuestro sistema, es decir,
cuáles son las que pondrán en riesgo nuestros activos.

31
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos (I)

► Vulnerabilidades: la vulnerabilidad representa una brecha en el sistema

de información.

► Una vulnerabilidad es una falta de cobertura en el nivel de

implementación de una medida de seguridad, es decir, de un control.
MARIMSA.

32
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos (I)

► Controles: los controles representan aquellas medidas de seguridad que

se adoptan para evitar que las amenazas puedan llegar a los activos e
impactar sobre uno de sus criterios de riesgo.

33
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos (I)

Fig. Taxonomía del análisis de Riesgos. Fuente: Elaboración propia.

34
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos :: Activos

► Todo análisis de riesgos tiene como objetivo la identificación y protección

de los activos de valor de la empresa.

► Estos activos se pueden catalogar según diversos estándares.

► Analizaremos una serie patrones de riesgos que soporta la metodología

MARISMA desde el punto de vista de la tipología de los activos y las
dimensiones de estos activos, que pueden ser impactados por las
amenazas.

35
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Industrias 4.0

Familias de activos industrias 4.0

Extraído del Código Nombre Dimensiones de activos

patrón DD Datos digitales industrias 4.0
Industria 4.0 AC Aplicaciones de clientes Código Nombre
de eMARISMA
A Automatización Estrategia de negocio y
ENM
mercado
C Conectividad
P Procesos
OyP Organización y personas
I Infraestructuras
PyS Productos y servicios

► Este patrón pretende analizar de forma general los riesgos hacia la

Industria 4.0 a los que puede estar sometida una empresa.
► Es una fase previa a analizar los riesgos de ciberseguridad de la misma.

36
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Industrias 4.0

Familias de activos industrias 4.0

Extraído del Código Nombre Dimensiones de activos

patrón DD Datos digitales industrias 4.0
Industria 4.0 AC Aplicaciones de clientes Código Nombre
de eMARISMA
A Automatización Estrategia de negocio y
ENM
mercado
C Conectividad
P Procesos
OyP Organización y personas
I Infraestructuras
PyS Productos y servicios

► Las dimensiones sobre las que se valora el tipo de activo C – Conectividad,

una de ellas podría ser la I – Infraestructura.
► Las familias de activos no tienen por qué tener activas todas las dimensiones.

37
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Infraestructuras Críticas

Familias de Activos.
Infraestructuras críticas
Extraído del
Código Nombre Dimensiones de activos.
patrón de [DAT] Datos, información
Infraestructuras Infraestructuras críticas
Críticas de [KEYS] Claves criptográficas
Código Nombre
eMARISMA [SER] Servicios [IP] Impacto sobre las
personas
[SW] Aplicaciones (software)
[IE] Impacto
[HW] Equipos informáticos económico
(hardware) [IM] Impacto
… … medioambiental
[IPS] Impacto público y
social

► Este patrón analiza de forma general los riesgos hacia las infraestructuras críticas.
► Está orientado a valorar los riesgos a partir de normativas como MAGERIT,
ISO27001 y normas sectoriales.

38
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Infraestructuras Críticas

Familias de Activos.
Infraestructuras críticas
Extraído del
Código Nombre Dimensiones de activos.
patrón de [DAT] Datos, información
Infraestructuras Infraestructuras críticas
Críticas de [KEYS] Claves criptográficas
Código Nombre
eMARISMA [SER] Servicios [IP] Impacto sobre las
personas
[SW] Aplicaciones (software)
[IE] Impacto
[HW] Equipos informáticos económico
(hardware) [IM] Impacto
… … medioambiental
[IPS] Impacto público y
social

► Las dimensiones sobre las tipologías de activos fueron establecidas por ley por el
Gobierno.
► En el caso de infraestructuras críticas el impacto que preocupa es el daño sobre
el medio ambiente, las personas, etc.

39
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Sistemas Ciberfísicos
Familias de Activos.
Sistemas ciberfísicos
Código Nombre
Extraído del D Devices
patrón de ED Ecosystem Devices Dimensiones de activos.
C Communications Sistemas ciberfísicos
Sistemas
I Infrastructure
Ciberfísicos de PB Platform & Backend Código Nombre
eMARISMA DM Decision making CYB Cybersecurity
AS Applications & PRI Privacy
Services SAF Safety
ID Information/Data
REL Reliability
RES Resilience

► Este patrón pretende analizar de forma general los riesgos hacia los sistemas
ciberfísicos.
► Está específicamente orientado a valorar los riesgos a partir de
normativas como NIST y la ISO27001.

40
4.4. Diseño y preparación de programas de ciberseguridad
Activos :: Patrón de Riesgos Sistemas Ciberfísicos
Familias de Activos.
Sistemas ciberfísicos
Código Nombre
Extraído del D Devices
patrón de ED Ecosystem Devices Dimensiones de activos.
C Communications Sistemas ciberfísicos
Sistemas
I Infrastructure
Ciberfísicos de PB Platform & Backend Código Nombre
eMARISMA DM Decision making CYB Cybersecurity
AS Applications & PRI Privacy
Services SAF Safety
ID Information/Data
REL Reliability
RES Resilience

► Este patrón está más enfocado a las dimensiones de un activo directamente

vinculadas a la seguridad.

41
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos :: Activos

► Se puede realizar este análisis de patrones y reconocer otros basados en

las dimensiones de MAGERIT: confidencialidad, integridad,
disponibilidad, etc.

► Importante: entender que un mismo activo puede tener diferentes

dimensiones de riesgo dependiendo del patrón que se utilice.

42
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos :: Amenazas

► Al igual que en el caso de los activos, dependiendo del patrón de riesgos,

las amenazas a las que nos enfrentaremos serán completamente
diferentes.
► Ejemplo de las amenazas de un patrón de seguridad basado en la
metodología MAGERIT:
Código Nombre Tipo amenaza

Lanzamiento de explosivo desde el exterior, impacto

A.1.1 [A.1]
de proyectil a distancia
Extraído del
A.2.2 Ataque químico [A.2]
patrón de
N.1.1 Tormenta, tormenta eléctrica, etc. [N.1]
infraestructuras
Amenaza que limite el suministro eléctrico a la
A.7.5
instalación
[A.7] críticas de
A.5.9 Suplantación de identidades de usuario e IP [A.5] eMARISMA
Utilización de los sistemas de la red corporativa con
A.5.13 [A.5]
fines ilícitos
… … …

43
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos :: Controles, Salvaguardas

► Existen listas de controles que permiten chequear el estado de la

seguridad. Estas listas de controles dependerán de cada patrón y de la
normativa que se utilice como referencia.
► Ejemplo de controles basados en la normativa ISO27001, para el
dominio «[D.7] – Seguridad Lógica: Seguridad física y del entorno»:
«[D.7.1] – Áreas seguras»:

Código Nombre
[D.7.1.1] Perímetro de seguridad física
[D.7.1.2] Controles físicos de entrada Extraído del
patrón de
[D.7.1.3] Seguridad de oficinas, despachos y recursos
infraestructuras
[D.7.1.4] Protección contra las amenazas externas y ambientales críticas de
[D.7.1.5] El trabajo en áreas seguras eMARISMA
[D.7.1.6] Áreas de carga y descarga

44
4.4. Diseño y preparación de programas de ciberseguridad
Elementos del Análisis de Riesgos :: Vulnerabilidades

► Las vulnerabilidades, desde el punto de vista de la metodología MARISMA,

se definen como la ausencia de un control. Es decir, las vulnerabilidades nos
definirán la eficiencia del control.
► Ejemplo de vulnerabilidades del patrón de Gestión de la Seguridad bajo el
estándar ISO27001, para el dominio «[A.13] – Seguridad de las
comunicaciones», el objetivo «[A.13.1] – Gestión de la seguridad de Redes»
y el Control « [A.13.1.1] – Controles de Red»:
Vulnerabilidades Código
¿La responsabilidad operativa de las redes está separada de las de
[A.13.1.1]
operaciones del computador? Extraído del
¿Están establecidos los procedimientos y responsabilidades para la patrón de
administración del equipamiento remoto, incluyendo los equipos en las [A.13.1.1] Gestión de la
áreas usuarias?
Seguridad, de
¿Existen controles que permitan salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a través de redes [A.13.1.1] eMARISMA
públicas?
… …
45
Conclusiones
► La orientación al riesgo es una de las principales prioridades del Centro
Nacional de Protección de las Infraestructuras Críticas (CNPIC), según
su informe «Mapa de Ruta CiberSeguridad Industrial en España 2013-
2018».
► Otra prioridad es la implementación de herramientas para evaluar y
controlar los riesgos de ciberseguridad en los entornos industriales.
► Para tener una visión global y completa, se deben analizar también otros
tres aspectos centrales:
o Cultura de la seguridad.
o Medidas de protección.
o Incidentes de seguridad.

► Para entender y analizar sus riesgos, las industrias deben: Confeccionar

catálogos de activos, catálogo de amenazas, catálogo de
vulnerabilidades.

46
Conclusiones
► En Mapa de Riesgo el CCI marca una serie de limitantes que afectan a la
hora de medir y analizar los riesgos, y a la vez, establece una serie de
Acciones que se llevarían a cabo para resolver estas limitantes:

- RISK-1 asociado al desarrollo de los catálogos de activos, amenazas y

vulnerabilidades para los sectores industriales.

- RISK-2 asociado a la definición de una metodología de riesgo adecuada

para el sector industrial.

- RISK-3 asociado al desarrollo de métricas de rendimiento comunes para

el sector industrial.

- RISK-4 asociado al desarrollo de herramientas que soporten a las

metodologías de análisis y gestión de riesgos.

► La metodología de riesgos MARISMA ha resuelto cada una de estas

acciones.

47
Conclusiones
► De los hitos establecidos para medir el cumplimiento de estas acciones,
parte de ellos han sido alcanzados, otra parte aún se encuentran en
desarrollo, según un informe del CCI del año 2019.

► Con respecto al Diseño y preparación de programas de ciberseguridad...

► La definición de un análisis de riesgos, con independencia del sector,

requiere de la identificación y el catalogo de activos, amenazas,
vulnerabilidades y controles de seguridad.

► El análisis de riesgos tiene como objetivo la identificación y protección de

los activos de valor de la empresa.

► Los activos se pueden catalogar según diversos estándares.

► Patrones de Riesgos de eMARISMA.

► Un mismo activo puede tener diferentes dimensiones de riesgo

dependiendo del patrón que se utilice.

48
Revisión Clase anterior (I)
► La orientación al riesgo es una de las principales prioridades del Centro
Nacional de Protección de las Infraestructuras Críticas (CNPIC), según
su informe «Mapa de Ruta CiberSeguridad Industrial en España 2013-
2018».
► Otra prioridad es la implementación de herramientas para evaluar y
controlar los riesgos de ciberseguridad en los entornos industriales.
► Para tener una visión global y completa, se deben analizar también otros
tres aspectos centrales:
o Cultura de la seguridad.
o Medidas de protección.
o Incidentes de seguridad.

► Para entender y analizar sus riesgos, las industrias deben: Confeccionar

catálogos de activos, catálogo de amenazas, catálogo de
vulnerabilidades.

3
Revisión Clase anterior (II)
► En Mapa de Riesgo el CCI marca una serie de limitantes que afectan a la
hora de medir y analizar los riesgos, y a la vez, establece una serie de
Acciones que se llevarían a cabo para resolver estas limitantes:

- RISK-1 asociado al desarrollo de los catálogos de activos, amenazas y

vulnerabilidades para los sectores industriales.

- RISK-2 asociado a la definición de una metodología de riesgo adecuada

para el sector industrial.

- RISK-3 asociado al desarrollo de métricas de rendimiento comunes para

el sector industrial.

- RISK-4 asociado al desarrollo de herramientas que soporten a las

metodologías de análisis y gestión de riesgos.

► La metodología de riesgos MARISMA ha resuelto cada una de estas

acciones.

4
Revisión Clase anterior (III)
► De los hitos establecidos para medir el cumplimiento de estas acciones,
parte de ellos han sido alcanzados, otra parte aún se encuentran en
desarrollo, según un informe del CCI del año 2019.

► Con respecto al Diseño y preparación de programas de ciberseguridad...

► La definición de un análisis de riesgos, con independencia del sector,

requiere de la identificación y el catalogo de activos, amenazas,
vulnerabilidades y controles de seguridad.

► El análisis de riesgos tiene como objetivo la identificación y protección de

los activos de valor de la empresa.

► Los activos se pueden catalogar según diversos estándares.

► Patrones de Riesgos de eMARISMA.

► Un mismo activo puede tener diferentes dimensiones de riesgo

dependiendo del patrón que se utilice.

5
4.5. Analizando los Riesgos con MARISMA
► Abordaremos los principales conceptos de la metodología de
evaluación de riesgos MARISMA, que nos servirá como base para su
aplicación posterior sobre «sistemas ciberfísicos»…

6
4.5. Analizando los Riesgos con MARISMA
MARISMA (I)
► Methodology for the Analysis of Risks of Information Security, based on
Meta-Pattern and Adaptability.

► Se trata de una metodología que permite analizar los riesgos de

compañías de forma dinámica y basado en patrones reutilizables y
adaptables.

► Nació de la colaboración entre el Grupo de Seguridad y Auditoria de la

Universidad de Castilla-La Mancha y las empresas tecnológicas Sicaman
Nuevas Tecnologías S. L. y MARISMA Shield S. L.

► Es utilizada por decenas de investigadores en todo el mundo para

avanzar en el campo del análisis de riesgos y la ciberseguridad.

7
4.5. Analizando los Riesgos con MARISMA
MARISMA (I)
► La metodología asocia el análisis y la gestión del riesgo a los controles
necesarios para poder realizar un análisis de riesgos.

Elementos que componen el sistema base y sus relaciones

Proceso 1 Proceso 2 Proceso 3

• GPRA • GARM • DRM

Generación Generación Mantenimient
de Patrones del Análisis o dinámico
para el y Gestión del Análisis
Análisis de del riesgo. de riesgos.
riesgos.

8
4.5. Analizando los Riesgos con MARISMA
Definiciones previas (I)
► Patrón: estructura formada por los principales elementos de un análisis
de riesgos y las relaciones entre ellos, que puede ser reutilizado por un
conjunto de compañías con características comunes (mismo sector y
tamaño) a partir del conocimiento adquirido con la implantación de la
metodología Marisma 3.0 y posteriores refinamientos.

► Patrón base: patrón inicial obtenido a partir del conocimiento de expertos

en la materia, que sirve como base para la elaboración de otros patrones
más específicos que puedan adecuarse a conjuntos de compañías.

► eMARISMA: herramienta desarrollada para soportar la metodología

MARISMA.

► Análisis de riesgos: proceso sistemático para estimar la magnitud de los

riesgos a que está expuesta una organización. La metodología Marisma
3.0 incluye un sencillo método para estimar el riesgo a partir de un
conjunto básico de activos.

9
4.5. Analizando los Riesgos con MARISMA
Definiciones previas (II)
► Activo: recursos del sistema de información o relacionados con este,
necesarios para que la organización funcione correctamente y alcance
los objetivos propuestos por su dirección.

► Activo de grano grueso: la metodología Marisma 3.0 funciona bajo

activos de grano grueso, que son aquellos que agrupan activos que
están sometidos a las mismas amenazas, mismos criterios de riesgo,
mismas vulnerabilidades y mismo valor estratégico. Dado que, por lo
tanto, activarían los mismos riesgos y controles, se tratan de forma
unificada dentro del análisis de riesgos.

► Activo de grano fino: son los activos de valor para la compañía al nivel
más bajo de agregación.

► Controles: mecanismos que nos permiten proteger los activos de las

amenazas que intentan aprovechar las vulnerabilidades en estos para
producir un impacto sobre algún criterio de riesgo de nuestros activos de
valor.
10
4.5. Analizando los Riesgos con MARISMA
Definiciones previas (III)
► Subcontroles: divisiones más detalladas de los controles. En ocasiones
los controles son demasiado difusos o intentan abordar demasiada
información para permitir que el usuario dé una respuesta coherente
sobre el nivel de cumplimiento (si/parcialmente/no).

► Amenaza: evento que puede desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en
sus activos.

► Vulnerabilidad: debilidad o falta de control que permitiría o facilitaría que

una amenaza actuase contra un activo del sistema que presenta la citada
debilidad.

► Criterios de riesgo: criterios que permiten estimar el grado de exposición

a que una amenaza se materialice sobre una o más dimensiones
valorables de los activos causando daños o perjuicios a la organización.

11
4.5. Analizando los Riesgos con MARISMA
Definiciones previas (IV)
► Matriz Amenazas x Tipos de activos: es una matriz que nos permite
relacionar qué amenazas afectan a las diferentes familias de activos.

► Matriz Amenazas x Controles: es una matriz que permite relacionar qué

controles permiten proteger a los activos frente a cada amenaza.
Dado que no se ha encontrado ninguna normativa que tuviera esta
matriz, se ha tenido que extraer en base a la experiencia (know-how) de
los consultores involucrados en el proceso, aplicando la metodología
científica Investigación en acción.

12
4.5. Analizando los Riesgos con MARISMA
Generación de Patrones para el Análisis de riesgos (GPRA) (I)
► El principal objetivo de este proceso es seleccionar los elementos
necesarios para poder realizar un análisis de riesgos de bajo coste sobre
los activos que componen el sistema de información de la compañía que
se adapte a los requerimientos de las compañías.

Elementos que componen el sistema base y sus relaciones

Proceso 1 Proceso 2 Proceso 3

• GPRA • GARM • DRM

Generación Generación Mantenimient
de Patrones del Análisis o dinámico
para el y Gestión del Análisis
Análisis de del riesgo. de riesgos.
riesgos.

13
4.5. Analizando los Riesgos con MARISMA
Generación de Patrones para el Análisis de riesgos (GPRA) (II)

• Selección de Tipos de Activos

Tarea 1

• Selección de Amenazas
Tarea 2

• Selección de Controles
Tarea 3

• Selección de Criterios de Riesgos

Tarea 4

• Relación [Tipos de activos] x [Amenazas] x [Criterios de riesgo]

Tarea 5

• Relación [Amenazas] x [Controles]

Tarea 6

14
4.5. Analizando los Riesgos con MARISMA
Generación de Patrones para el Análisis de riesgos (GPRA) (III)
► Demostración en Escritorio.

15
4.5. Analizando los Riesgos con MARISMA
Aplicación del Análisis de Riesgos (GARM) (I)
► El principal objetivo de este proceso es establecer una evaluación de los
riesgos a los que se encuentran sometidos los principales activos del
sistema de información de la compañía sobre la que se quiere implantar
el análisis de riesgos.

Elementos que componen el sistema base y sus relaciones

Proceso 1 Proceso 2 Proceso 3

• GPRA • GARM • DRM

Generación Generación Mantenimient
de Patrones del Análisis o dinámico
para el y Gestión del Análisis
Análisis de del riesgo. de riesgos.
riesgos.

16
4.5. Analizando los Riesgos con MARISMA
Aplicación del Análisis de Riesgos (GARM) (II)

• Identificación de Activos
Tarea 1

• Realización del check-list de los controles

Tarea 2

• Valoración del listado de amenazas

Tarea 3

• Generación [Activos] x [Amenazas] x [Criterios de riesgo]

Tarea 4

• Generación del análisis de riesgos

Tarea 5

• Generación del plan de tratamiento de riesgos

Tarea 6

17
4.5. Analizando los Riesgos con MARISMA
Aplicación del Análisis de Riesgos (GARM) (III)
► Demostración en Escritorio.

18
4.5. Analizando los Riesgos con MARISMA
Mantenimiento Dinámico del A.R. (DRM) (I)
► El principal objetivo de este proceso es establecer mecanismos que
permitan ir actualizando de forma dinámica el análisis de riesgos, con el
objetivo de maximizar el valor que este sistema puede aportar a la
compañía.

Elementos que componen el sistema base y sus relaciones

Proceso 1 Proceso 2 Proceso 3

• GPRA • GARM • DRM

Generación Generación Mantenimient
de Patrones del Análisis o dinámico
para el y Gestión del Análisis
Análisis de del riesgo. de riesgos.
riesgos.

19
4.5. Analizando los Riesgos con MARISMA
Mantenimiento Dinámico del A.R. (DRM) (II)

• Gestión de Eventos
• Eventos Tipo 1: Se producen por un incidente general.
Tarea 1 • Eventos Tipo 2: Mejora directa de un control.

• Realización de auditorías periódicas

Tarea 2

• Recálculo dinámico del análisis de riesgos

Tarea 3

• Gestión del cuadro de mandos

Tarea 4

20
4.5. Analizando los Riesgos con MARISMA
Mantenimiento Dinámico del A.R. (DRM) (III)
► Demostración en Escritorio.

21
Conclusiones
► MARISMA es una metodología que permite analizar los riesgos de
compañías de forma dinámica y basado en patrones reutilizables y
adaptables.

► La metodología asocia el análisis y la gestión del riesgo a los controles

necesarios para poder realizar un análisis de riesgos.

► Un Patrón es una estructura formada por los principales elementos de un

análisis de riesgos y las relaciones entre ellos, que puede ser reutilizado
por un conjunto de compañías con características comunes.

► Se basa en tres procesos centrales:

- [GPRA] Generación de Patrones para el Análisis de riesgos

- [GARM] Generación del Análisis y Gestión del riesgo
- [DRM] Mantenimiento dinámico del Análisis de riesgos

22
Conclusiones
► En la Generación de Patrones para el Análisis de riesgos, se seleccionan
los elementos necesarios para poder realizar un análisis de riesgos y
establece una serie de relaciones entre ellos..

► En la Generación del Análisis y Gestión del riesgo se establece una

evaluación de los riesgos a los que se encuentran sometidos los
principales activos del sistema de información.

► En el Mantenimiento dinámico del Análisis de riesgos se establecen los

mecanismos que permiten actualizar de forma dinámica el análisis de
riesgos.

► El Plan de Tratamientos es un plan de mejora recomendado por la

metodología para afrontar las mejoras del análisis de riesgos, que se
obtiene a partir del cálculo de los riesgos.

23
Índice de la asignatura

► Revisión Clase anterior.

► 5.1. Introducción y objetivos.
► 5.2. Fases y tipos del hacking ético.
► 5.3. Tipos de hackers.

2
Revisión Clase anterior
► MARISMA es una metodología que permite analizar los riesgos de
compañías de forma dinámica y basado en patrones reutilizables y
adaptables.

► La metodología asocia el análisis y la gestión del riesgo a los controles

necesarios para poder realizar un análisis de riesgos.

► Un Patrón es una estructura formada por los principales elementos de un

análisis de riesgos y las relaciones entre ellos, que puede ser reutilizado
por un conjunto de compañías con características comunes.

► Se basa en tres procesos centrales:

- [GPRA] Generación de Patrones para el Análisis de riesgos

- [GARM] Generación del Análisis y Gestión del riesgo
- [DRM] Mantenimiento dinámico del Análisis de riesgos

3
Revisión Clase anterior
► En la Generación de Patrones para el Análisis de riesgos, se seleccionan
los elementos necesarios para poder realizar un análisis de riesgos y
establece una serie de relaciones entre ellos..

► En la Generación del Análisis y Gestión del riesgo se establece una

evaluación de los riesgos a los que se encuentran sometidos los
principales activos del sistema de información.

► En el Mantenimiento dinámico del Análisis de riesgos se establecen los

mecanismos que permiten actualizar de forma dinámica el análisis de
riesgos.

► El Plan de Tratamientos es un plan de mejora recomendado por la

metodología para afrontar las mejoras del análisis de riesgos, que se
obtiene a partir del cálculo de los riesgos.

4
5.1. Introducción y objetivos.
► Describiremos y profundizaremos sobre el concepto del hacking ético,
cuándo surge este concepto, en qué se basa y su actual utilización.

► Expondremos a nivel conceptual y práctico los principios básicos

sobre el uso del hacking enfocado en su vertiente ética, apoyado en el
uso de herramientas de software libre especializadas en la intrusión
en sistemas.

5
5.1. Introducción y objetivos.
► El hacking consiste básicamente en atacar de forma masiva un lugar,
ya sea una organización, una empresa, una web, un PLC o un
conjunto de sistemas informáticos con la intención de introducirse en
el sistema, simplemente de destruirlo o dejarlo inoperativo (Velasco,
2015).

► La diferencia con un hacking ético es que, pese a que se usan los

mismos sistemas y herramientas, existe un acuerdo con el atacado
para hacerlo con la intención de descubrir sus vulnerabilidades.

► Se trata de poner al sistema atacado bajo las condiciones reales del

peor caso posible, es decir, simular para prevenir.

► En el hacking ético no siempre existe un acuerdo previo entre el

atacante y atacado; si el objetivo, como se ha dicho, es ayudar a
cerrar vulnerabilidades sin provocar daños puede considerarse
hacking ético.

6
5.1. Introducción y objetivos.
► El conjunto de pruebas para encontrar las vulnerabilidades se
denomina «pruebas de penetración».

► Las pruebas pueden ser ejecutadas por varias herramientas

complementarias sobre una variedad de lugares para encontrar
vulnerabilidades.

► Se define como auditoría al acuerdo consensuado entre el hacker

ético y la empresa para llevar a cabo el hacking ético dentro de un
marco preestablecido.

► El hacking ético será tan bueno como tan mal intencionado sea el
ataque simulado y tanta pericia tenga el hacker.

► Individuos u organizaciones descubren fallos de seguridad o accesos

no autorizados y los reportan al objetivo con el fin de ayudar a corregir
sus vulnerabilidades.

7
5.1. Introducción y objetivos.

Pirata informático; persona que accede ilegalmente a

Hacker sistemas informáticos ajenos para apropiárselos u obtener
información secreta. RAE.

Persona con grandes habilidades en el manejo de

Hacker computadoras que investiga un sistema informático
para avisar de los fallos y desarrollar técnicas
– nuevo –
de mejora. RAE.

Crácker Pirata informático. RAE.

8
5.1. Introducción y objetivos.

Persona con conocimientos profundos de informática y de

Hacker las herramientas necesarias en relación a ciberseguridad,
con propósitos ilícitos.

Persona con conocimientos profundos de informática y de

Hacker
las herramientas necesarias en relación a ciberseguridad,
ético con el propósito de ayudar y mejorar la seguridad.

9
5.1. Introducción y objetivos.
Funciones del Hacking Ético

Adelantarse Concientizar Proponer Crear

A posibles A los profesionales Mejoras para Crear e
ciberataques y empresas de la reforzar la implementar
usando las importancia de la seguridad. las mejoras
mismas seguridad necesarias.
herramientas informática, tanto
que un hacker para sus empresas
malicioso con el como para sus
objetivo de clientes y terceros.
solucionar
vulnerabilidades.

10
5.1. Introducción y objetivos.
Puestos relacionados con la Ciberseguridad

Analista de Arquitecto de
CISO CSO DPO
seguridad seguridad

Responsable de Especialista en Especialista

inteligencia incidencias forense

11
5.1. Introducción y objetivos.
Tipos de vulnerabilidades

► Uno de los principales aspectos dentro del control de riesgos de las

organizaciones es identificar y mapear las vulnerabilidades.

► El mapeo de vulnerabilidades consiste en obtener un conjunto de ellas y

dejarlas enumeradas y descubiertas.

12
5.1. Introducción y objetivos.
Tipos de vulnerabilidades

Un atacante dispone de acceso local previo para luego,

Vulnerabilidad desde ahí, ir accediendo a más privilegios hasta alcanzar
local permisos sin restricción, o justo el necesario para cumplir su
objetivo.

Partiendo sin privilegios se puede explotar una

Vulnerabilidad vulnerabilidad a través de la red accediendo al sistema,
remota saltando sobre las barreras físicas o locales sin siquiera
disponer de privilegios para hacerlo.

13
5.1. Introducción y objetivos.
Objetivos de la unidad

► Conocer en profundidad los tipos de hacking ético y las fases que los
conforman.

► Conocer qué tipos de hackers nos podemos encontrar.

► Conocer algunas de las principales certificaciones que nos pueden preparar

para el mundo del hacking ético.

► Conocer algunas de las herramientas que existen actualmente para hacking

ético.

14
5.2. Fases y tipos del hacking ético
► Analizaremos los diferentes tipos de hacking ético que nos podemos
encontrar, así como las fases que tenemos que abordar para realizar
pruebas de pen testing sobre un sistema.

15
5.2. Fases y tipos del hacking ético

Acuerdo de Acuerdo de Recogida de

Auditoría Confidencialidad Información

Análisis de Modelo de
Explotación
Vulnerabilidades Amenazas

Informe de
Valoración
Auditoría

16
5.2. Fases y tipos del hacking ético
Acuerdo de auditoría

► Se establece de forma escrita un acuerdo entre los intervinientes para

determinar los parámetros de la auditoría.

► Se reflejará el alcance, qué obligaciones tiene el auditor, hasta qué nivel le está
permitido llegar, cantidad o lugares de los ataques…, y en general, todos los
parámetros de importancia para definir la intervención.

17
5.2. Fases y tipos del hacking ético
Acuerdo de confidencialidad

► Dado que el hacker puede llegar a acceder a información sensible de la

empresa y, en definitiva, se le permite vulnerar la seguridad, es conveniente, y
a veces incluso exigible, que se disponga de un certificado para que la empresa
pueda establecer con el hacker un acuerdo partiendo de una confianza de base
tanto en su pericia como en la bondad de sus acciones.

18
5.2. Fases y tipos del hacking ético
Recogida de información (footprinting)

► En esta fase se comienza a actuar como lo haría un hacker, ya que la primera

fase consiste en conocer todo lo posible sobre el objetivo.

► Se recoge información tanto de acceso público (ejemplo: OSINT) como la que

se pueda recabar de forma física o usando herramientas especializadas
(ejemplo: NMap) para encontrar posibles puntos de entrada, o incluso utilizando
ingeniería social.

► Los datos corporativos recopilados son de muy amplia gama, pasando desde
las simples URL, DNS, lugar de hosting, directorios, lugar en el que se
almacenan los datos, quién accede a qué datos, quién se encarga de la
seguridad y cómo suele trabajar, servicios abiertos, etc.

19
5.2. Fases y tipos del hacking ético
Análisis de vulnerabilidades

► Se buscan de forma activa servicios o puertos de acceso usando herramientas

especializadas, información sobre exploits, bugs o vulnerabilidades de día cero.

► Las herramientas pueden ser automáticas o manuales.

20
5.2. Fases y tipos del hacking ético
Modelo de amenazas

► Con toda la información disponible se elabora un mapa de los puntos

vulnerables y los activos a los que se accede, así como de la forma de llegar a
ellos.

► Se evalúan los objetivos, si son accesibles y en qué medida.

► Existen herramientas que dibujan un mapa de forma automática con todos los
datos disponibles.

21
5.2. Fases y tipos del hacking ético
Explotación

► Se accede hasta los activos a través de las vulnerabilidades confirmando que

es posible que otras personas puedan acceder igualmente.

► Si es necesario, se toman evidencias o muestras de la infiltración.

22
5.2. Fases y tipos del hacking ético
Valoración

► Se valora el impacto real de la infiltración y si se puede llegar más allá

sobrepasando quizás las expectativas previas.

► Se evalúa si además de obtener la información es posible tomar otras acciones

lesivas, como crear puertas traseras o destruir activos.

23
5.2. Fases y tipos del hacking ético
Informe de auditoría

► El auditor elabora un informe detallado sobre todas las vulnerabilidades

encontradas, tanto si han podido ser explotadas como si no, las formas de
infiltración posible y qué datos o acciones pueden ejecutarse dentro del
sistema.

► Se crea un plan de mitigación de vulnerabilidades en el que se establecen los

sistemas y medidas necesarias para limitar o eliminar las vulnerabilidades, así
como un plan de seguimiento y consecuencia de las mismas.

► Es recomendable que las auditorías se realicen de forma periódica.

24
5.2. Fases y tipos del hacking ético
Tipos de Hacking Ético

Pruebas de Pruebas de
Caja Negra Caja Gris

Pruebas de
Caja Blanca

25
5.2. Fases y tipos del hacking ético
Tipos de Hacking Ético

► Pruebas de caja negra: no existe ninguna información previa sobre el objetivo.

► Suele ser el escenario habitual, como en el caso de una web de la que solo se
conoce la dirección.

26
5.2. Fases y tipos del hacking ético
Tipos de Hacking Ético

► Pruebas de caja gris: se dispone de unos permisos concretos o una

información de acceso limitada que da acceso a la red interna.

► Puede ser el caso de un empleado descontento o de un robo de identidad.

27
5.2. Fases y tipos del hacking ético
Tipos de Hacking Ético

► Pruebas de caja blanca: se dispone previamente de la información interna tal

como distribución de la red, sistemas operativos, etc.

► Este es el caso más fácil, ya que ahorra mucho tiempo en pruebas y es fácil
usar las herramientas exactas.

► Puede ser el caso para una auditoría interna.

28
5.3. Tipos de Hackers
Introducción

► Las motivaciones de los atacantes pueden ser muy variadas, pero en

términos generales se pueden definir varios perfiles de hackers.

29
5.3. Tipos de Hackers
Script Kiddies

► Son los piratas informáticos sin un conocimiento profundo de los sistemas,

aficionados o aprendices que utilizan las herramientas de los hackers
profesionales con mejor o peor éxito.

► Muchas de las herramientas actuales son de fácil acceso y están en manos de

casi cualquiera, y en muchas ocasiones son los primeros que intentan vulnerar
un sistema.

► Aunque de forma torpe, en muchas ocasiones, pueden llegar a vulnerar un

sistema pobremente defendido o no actualizado.

30
5.3. Tipos de Hackers
Black Hat hackers

► Son los auténticos hackers que conocen bien las herramientas y los sistemas.

► Tienen experiencia y motivación para realizar ataques y, en muchas ocasiones,

viven de ello.

► Las motivaciones de su intervención pueden ser variadas, pero tienen un origen

egoísta, tales como la obtención de dinero de forma directa o indirecta,
renombre, venganza o afán de poder.

31
5.3. Tipos de Hackers
Hacktivistas

► Con iguales conocimientos que los anteriores, se mueven por fines idealistas y
sus objetivos van encaminados a reivindicar causas sociales,
medioambientales o abusos, ya sean reales o imaginados.

► Sus ataques se encaminan hacia la denuncia mediante la obtención de datos,

la interrupción de servicios o la propaganda mediante la inclusión de mensajes
en páginas oficiales.

32
5.3. Tipos de Hackers
Espías

► Su principal función es introducirse en los sistemas y robar información para sí

o para otros.

► Los objetivos pueden ser desde empresas a gobiernos, y pueden estar

amparados o pagados por entidades públicas o privadas.

► Su formación y medios pueden ser de todo tipo y depende mucho de quién los
ampare, pudiendo ser desde meros mercenarios pagados al mejor postor hasta
un grupo formado y a sueldo de un Estado.

33
5.3. Tipos de Hackers
Phreaker

► Son los hackers especializados en dispositivos móviles y comunicaciones de

todo tipo (desde módems hasta satélites).

► Nacieron con las cabinas de teléfonos y no han dejado de crecer gracias al

auge de los dispositivos smart (teléfonos, televisiones, etc.).

34
5.3. Tipos de Hackers
Cibercriminales conocidos

► Kevin Mitnick: es un hacker conocido por ser el criminal informático más

buscado de la historia; fue detenido en 1995. Actualmente es conferencista
sobre ciberseguridad y dirige su propia empresa de consultoría.
► Cracka: detenido en 2016 por hackear la CIA (Agencia Central de Inteligencia)
y la Casa Blanca, exponiendo correos de los altos directivos, sus cuentas de
teléfono y revelando la identidad de miles de agentes. Era un adolescente
británico de 16 años.
► Evgeniy Mikhailovich Bogachev: aún en busca y captura con recompensa por
robar más de cien millones de dólares de diversas cuentas y crear virus para la
petición de rescates.
► Ourmine: grupo de tres hackers dedicados al robo de cuentas de redes sociales
por las que piden rescate.
► Darkside, Evil Corp, Fancy Bear, Lazarus, Anonymous, Silence APT, APT 10,
Bureau 121, Hiden Cobra, Revil, Machete (LATAM)…

35
Conclusiones
► El hacking consiste básicamente en atacar de forma masiva un lugar con
la intención de introducirse en el sistema, simplemente de destruirlo o
dejarlo inoperativo, mientras que el hacking ético consiste en simular para
prevenir.

► Se define como auditoría al acuerdo consensuado entre el hacker ético y

la empresa para llevar a cabo el hacking ético.

► Un hacker es una persona con conocimientos profundos de informática y

de las herramientas necesarias en relación a ciberseguridad, con
propósitos ilícitos, mientras que un hacker ético, utiliza las mismas
técnicas y herramientas con fines de mejorar la seguridad.

► Las funciones del hacking ético consisten en adelantarse a posibles

ataques, concientizar sobre la importancia de la seguridad, proponer
mejoras, crearlas e implementarlas.

► Existen distintos puestos relacionados a la ciberseguridad, como el CISO,

el CSO, DPO, entre otros; cada uno con un rol y una función específica.

36
Conclusiones
► El hacking ético consiste en un proceso de 8 fases que inicia con Acuerdo
de Auditoría y finaliza con un Informe de Auditoría.

► Existen tres tipos de hacking ético, la Prueba de Caja negra, la Prueba de

Caja gris y la Prueba de Caja blanca, que varían en función del grado de
información sobre el objetivo, con el que cuenta el hacker ético al
momento de iniciar la prueba.

► A partir del perfil del atacante, es posible definir las estrategias de

protección.

37
Revisión Clase anterior
► El hacking consiste básicamente en atacar de forma masiva un lugar con
la intención de introducirse en el sistema, simplemente de destruirlo o
dejarlo inoperativo, mientras que el hacking ético consiste en simular para
prevenir.

► Se define como auditoría al acuerdo consensuado entre el hacker ético y

la empresa para llevar a cabo el hacking ético.

► Un hacker es una persona con conocimientos profundos de informática y

de las herramientas necesarias en relación a ciberseguridad, con
propósitos ilícitos, mientras que un hacker ético, utiliza las mismas
técnicas y herramientas con fines de mejorar la seguridad.

► Las funciones del hacking ético consisten en adelantarse a posibles

ataques, concientizar sobre la importancia de la seguridad, proponer
mejoras, crearlas e implementarlas.

► Existen distintos puestos relacionados a la ciberseguridad, como el CISO,

el CSO, DPO, entre otros; cada uno con un rol y una función específica.

3
Revisión Clase anterior
► El hacking ético consiste en un proceso de 8 fases que inicia con Acuerdo
de Auditoría y finaliza con un Informe de Auditoría.

► Existen tres tipos de hacking ético, la Prueba de Caja negra, la Prueba de

Caja gris y la Prueba de Caja blanca, que varían en función del grado de
información sobre el objetivo, con el que cuenta el hacker ético al
momento de iniciar la prueba.

► A partir del perfil del atacante, es posible definir las estrategias de

protección.

4
5.4. Certificaciones para hacking ético.
Marco Legal

► El hacking ético se desarrolla como una profesión dentro de una necesidad

real y en auge de la sociedad actual, sin embargo, no en todos los sitios el
marco legal es el que debería.

► La publicación de vulnerabilidades, que en muchas ocasiones puede ser

beneficiosa y con fines altruistas, está igualmente penada.

► En España, el art. 197 del Código Penal dispone penas de cárcel para
actividades propias de un hacker ético.

► Los marcos jurídicos no diferencian entre las razones o efectos del ataque.

► Muchas de estas acciones se hacen desde el anonimato, restando

importancia y visibilidad a una actividad que claramente debería ser más
incentivada.

5
5.4. Certificaciones para hacking ético.
Certificaciones

► Para formarse en hacking ético, actualmente debe mezclarse entre una

formación autodidacta y una reglada.

► Existen cursos tanto físicos como a distancia, así como blogs, moocs y
canales especializados en el tema.

► Lo ideal es disponer de una amplia mezcla, siempre de carácter actual.

► El certificado de hacking ético (CEH, Certified Ethical Hacking) es una

certificación reconocida internacionalmente, emitida por ECCouncil.

► Los contenidos y especificaciones en los que se basa son los mismos en

todos los lugares, aunque la profundidad y amplitud de los conocimientos
impartidos puede variar mucho de unos lugares a otros.

► Existen entidades especializadas directamente en el sector de la seguridad

informática y especialmente expertas en hacking ético, como Comunix.

6
5.4. Certificaciones para hacking ético.
Certificaciones

GPEN GXPN OSCP

Global Information
Assurance Certification Exploit Researcher & Offensive Security
Penetration tester. Advanced Penetration Certified Professional.
Certificación esepecífica Tester. Especializado Específico para trabajar
en Pentesting. en test de intrusión. con Kali Linux.

7
5.4. Certificaciones para hacking ético.
Requisitos para Certificaciones

Amenazas
Footprinting Pentesting Hacking Sniffing
malware

Ingeniería Inyección
DoS Hijacking Firewall
social SQL

Honeypots Mobile Criptografía Herramientas Actualidad

8
5.5. Herramientas de Hacking Ético
Introducción

► Tanto la herramienta en sí como su manejo son imprescindibles para poder

acometer cualquier tarea efectiva de hacking ético.

► Para determinar cuál es la mejor herramienta de hacking ético se debe

considerar sobre qué apartado queremos enfocarnos:

 Test de penetración.
 Footprinting.

 Infiltración.

 Ingeniería Social.

 Etc.

► De qué conocimientos disponemos.

9
5.5. Herramientas de Hacking Ético
Introducción

► Para aprender a usar las herramientas se deben crear o descargar máquinas

virtuales que constituyan un entorno de pruebas y experimentación.

► Evitar, durante la etapa de aprendizaje, realizar ensayos sobre entornos

reales de Internet o producción.

Servicios de mensajería
Servicios de mail
Red interna
Dominios web

Servicios web

Sistema de telefonía
Objetos de las herramientas Direcciones IP
de hacking ético.

10
5.5. Herramientas de Hacking Ético
Kali Linux

► Kali Linux es que es una distribución de Linux que cuenta con más de 600
herramientas para pen testing (Velasco, 2018).

► Permite que cualquier usuario pueda llevar a cabo hacking ético sin la
necesidad de preparar perfiles concretos, buscar configuraciones, etc.

► Es gratuita y disponible con facilidad, se actualiza regularmente y dispone de

mucha documentación sobre las herramientas que contiene.

► Está enfocado a los usuarios con conocimientos avanzados de Linux ya

iniciados en seguridad informática.

► Pueden existir versiones no oficiales que introducen código malicioso en la

instalación, es importante obtener la versión oficial desde Offensive Security
y realizar la validación del hash.

11
5.5. Herramientas de Hacking Ético
Uso de Kali en el Sector Industrial

► En el hacking ético para la protección de las infraestructuras industriales, Kali

es una de las herramientas más utilizada.

► Existen multitud de dispositivos, sistemas y herramientas dentro del Internet

de las cosas (IIoT) que pueden ser vulnerables dentro del entorno industrial,
ya sea en un sistema clave o periférico por el cual se pueda acceder al resto
del sistema.

► Con Kali es posible realizar las comprobaciones de estas vulnerabilidades.

Sensores Actuadores SCADA Redes Servidores

12
5.5. Herramientas de Hacking Ético
Uso de Kali en el Sector Industrial

Metagoofil DNSenum Fierce Dmitry Nmp Hydra

• Captura • Info • Escaneo • Captura info • Finger • Contraseñas

documentos Dominios espacios IP, Host printing
DNS, ARIN

Metasploit Maltego Openvas Modbus-cli Autopsy Hashcat

• Exploits • Open • Pentesting • Modbus • Forensics • Password

Source scaning Cracking
Intelligence

SET Wireshark Caine …

• Social • Escaner de • Malware • 600 +

Engineering Red análisis
Tools

13
5.5. Herramientas de Hacking Ético
Uso de Kali en el Sector Industrial

Ejecución Causar Restricción

Extracción de Ataques Inyección Suplantación Violación de
remota de Fallos de
fichero DDos SQL de identidad autenticación
código críticos operaciones

14
5.5. Herramientas de Hacking Ético
Otras herramientas

► Moki Linux. Versión de Kali para entornos industriales.

► Hardsploit. Escaneo de vulnerabilidades especializado en internet de las

cosas.

► Shodan. Buscador de dispositivos conectados a Internet.

► Censys: Buscador de dispositivos conectados a internet, enfocado en IoT y

protocolos industriales.

► Parrot Security. Kit de hacking ético.

► DEFT Linux. Herramienta de análisis de malware.

► Ghidra. Una herramienta de ingeniería inversa publicada por la NSA.

► …

15
Conclusiones
► El hacking ético no se encuentra legislado en la mayoría de los países,
los marcos jurídicos no diferencian las razones de los ataques.

► Para formarse en hacking ético, debe mezclarse entre una formación

autodidacta y una reglada.

► Lo ideal es disponer de una amplia mezcla de conocimientos y

herramientas, siempre de carácter actual.

► Las certificaciones en Hacking Ético otorgan a los profesionales atributos

de confianza de cara a las organizaciones, avalando tanto su pericia
como su buena fe.

► Las certificaciones demandan un conocimiento amplio y avanzado sobre

diversos dominios de conocimiento.

► Para determinar cual es la mejor herramienta de hacking ético se debe

considerar sobre qué apartado se enfocará la tarea y de qué grado de
conocimientos se tiene sobre la herramienta.

17
Conclusiones
► Para desarrollar habilidades de manejo de herramientas de hacking ético,
existen entornos disponibles para descarga y en línea.

► Kali Linux es una herramienta ampliamente utilizada en seguridad de la

información, incluye más de 600 aplicaciones para hacking.

► Aplicado a los entornos industriales e IIoT Kali Linux es también una de

las herramientas más utilizadas.

► Existen también otras herramientas utilizadas en hacking ético que

pueden complementarse con Kali o utilizarse de manera independiente.

► Si bien el aspecto fundamental es el conocimiento de los dominios del

hacking ético, el buen manejo de las herramientas también es de suma
importancia a la hora de llevar a cabo una actividad de hacking.

18
1. La metodología MARISMA

► Methodology for the Analysis of Risks of Information Security, based on

Meta-Pattern and Adaptability.

► Se trata de una metodología que permite analizar los riesgos de

compañías de forma dinámica y basado en patrones reutilizables y
adaptables.

► Nació de la colaboración entre el Grupo de Seguridad y Auditoria de la

Universidad de Castilla-La Mancha y las empresas tecnológicas Sicaman
Nuevas Tecnologías S. L. y MARISMA Shield S. L.

► Es utilizada por decenas de investigadores en todo el mundo para

avanzar en el campo del análisis de riesgos y la ciberseguridad.

3
1. La metodología MARISMA
Definiciones importantes (I)
► Patrón: estructura formada por los principales elementos de un análisis
de riesgos y las relaciones entre ellos, que puede ser reutilizado por un
conjunto de compañías con características comunes (mismo sector y
tamaño) a partir del conocimiento adquirido con la implantación de la
metodología Marisma 3.0 y posteriores refinamientos.

► Patrón base: patrón inicial obtenido a partir del conocimiento de expertos

en la materia, que sirve como base para la elaboración de otros patrones
más específicos que puedan adecuarse a conjuntos de compañías.

► eMARISMA: herramienta desarrollada para soportar la metodología

MARISMA.

► Análisis de riesgos: proceso sistemático para estimar la magnitud de los

riesgos a que está expuesta una organización. La metodología Marisma
3.0 incluye un sencillo método para estimar el riesgo a partir de un
conjunto básico de activos.

4
1. La metodología MARISMA
Definiciones importantes (II)
► Activo: recursos del sistema de información o relacionados con este,
necesarios para que la organización funcione correctamente y alcance
los objetivos propuestos por su dirección.

► Activo de grano grueso: la metodología Marisma 3.0 funciona bajo

activos de grano grueso, que son aquellos que agrupan activos que
están sometidos a las mismas amenazas, mismos criterios de riesgo,
mismas vulnerabilidades y mismo valor estratégico. Dado que, por lo
tanto, activarían los mismos riesgos y controles, se tratan de forma
unificada dentro del análisis de riesgos.

► Activo de grano fino: son los activos de valor para la compañía al nivel
más bajo de agregación.

► Controles: mecanismos que nos permiten proteger los activos de las

amenazas que intentan aprovechar las vulnerabilidades en estos para
producir un impacto sobre algún criterio de riesgo de nuestros activos de
valor.
5
1. La metodología MARISMA
Definiciones importantes (III)
► Subcontroles: divisiones más detalladas de los controles. En ocasiones
los controles son demasiado difusos o intentan abordar demasiada
información para permitir que el usuario dé una respuesta coherente
sobre el nivel de cumplimiento (si/parcialmente/no).

► Amenaza: evento que puede desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en
sus activos.

► Vulnerabilidad: debilidad o falta de control que permitiría o facilitaría que

una amenaza actuase contra un activo del sistema que presenta la citada
debilidad.

► Criterios de riesgo: criterios que permiten estimar el grado de exposición

a que una amenaza se materialice sobre una o más dimensiones
valorables de los activos causando daños o perjuicios a la organización.

6
1. La metodología MARISMA
Definiciones importantes (III)
► Matriz Amenazas x Tipos de activos: es una matriz que nos permite
relacionar qué amenazas afectan a las diferentes familias de activos.

► Matriz Amenazas x Controles: es una matriz que permite relacionar qué

controles permiten proteger a los activos frente a cada amenaza.
Dado que no se ha encontrado ninguna normativa que tuviera esta
matriz, se ha tenido que extraer en base a la experiencia (know-how) de
los consultores involucrados en el proceso, aplicando la metodología
científica Investigación en acción.

7
1. La metodología MARISMA
El Proceso
► La metodología asocia el análisis y la gestión del riesgo a los controles
necesarios para poder realizar un análisis de riesgos.

Elementos que componen el sistema base y sus relaciones

Proceso 1 Proceso 2 Proceso 3

• GPRA • GARM • DRM

Generación Generación Mantenimient
de Patrones del Análisis o dinámico
para el y Gestión del Análisis
Análisis de del riesgo. de riesgos.
riesgos.

8
2. eMARISMA, Gestión de Patrones
https://patterns.emarisma.com
► El principal objetivo de este proceso es seleccionar los elementos
necesarios para poder realizar un análisis de riesgos de bajo coste sobre
los activos que componen el sistema de información de la compañía que
se adapte a los requerimientos de las compañías.

9
3. eMARISMA, Análisis de Riesgos
https://ar.emarisma.com
► El principal objetivo de este proceso es establecer una evaluación de los
riesgos a los que se encuentran sometidos los principales activos del
sistema de información de la compañía sobre la que se quiere implantar
el análisis de riesgos.

12
3. eMARISMA, Análisis de Riesgos
Actividad Práctica

Tarea • Crear un Proyecto

1

Tarea • Crear una Auditoría

2

Tarea • Identificación de Activos

3

Tarea • Realización del check-list de los controles

4

Tarea • Valoración del listado de amenazas

5

Tarea • Generación [Activos] x [Amenazas] x [Criterios de riesgo]

6

Tarea • Generación del análisis de riesgos

7

Tarea • Generación del plan de tratamiento de riesgos

8

13
3. eMARISMA, Mantenimiento Dinámico del AR
https://ar.emarisma.com
► El principal objetivo de este proceso es establecer mecanismos que
permitan ir actualizando de forma dinámica el análisis de riesgos, con el
objetivo de maximizar el valor que este sistema puede aportar a la
compañía.

14