Un estudio realizado por ÓMICRON ha revelado brechas generalizadas de ciberseguridad en las redes de tecnología operativa (OT) de subestaciones, centrales eléctricas y centros de control de todo el mundo. Basándose en datos de más de 100 instalaciones, el análisis destaca los problemas técnicos, organizativos y funcionales recurrentes que hacen que la infraestructura energética crítica sea vulnerable a las ciberamenazas.

Los hallazgos se basan en varios años de implementación StationGuard, sistema de detección de intrusos (IDS) de OMICRON en sistemas de protección, automatización y control (PAC). La tecnología, que monitorea el tráfico de la red de forma pasiva, ha proporcionado una visibilidad profunda de los entornos de TO del mundo real. Los resultados subrayan la creciente superficie de ataque en los sistemas de energía y los desafíos a los que se enfrentan los operadores para proteger infraestructuras antiguas y arquitecturas de red complejas.

Conexión de un IDS en sistemas PAC (los círculos indican los puertos espejo)

Las implementaciones de StationGuard, que a menudo se llevan a cabo durante las evaluaciones de seguridad, revelaron vulnerabilidades como dispositivos sin parches, conexiones externas inseguras, segmentación débil de la red e inventarios de activos incompletos. En muchos casos, estas debilidades de seguridad se identificaron dentro de los primeros 30 minutos de conectarse a la red. Además de los riesgos de seguridad, las evaluaciones también revelaron problemas operativos, como errores de configuración de la VLAN, errores de sincronización horaria y problemas de redundancia de la red.

Además de las deficiencias técnicas, los hallazgos apuntan a factores organizativos que contribuyen a estos riesgos, incluidas las responsabilidades poco claras en cuanto a la seguridad de la OT, los recursos limitados y los silos departamentales. Estas conclusiones reflejan una tendencia creciente en el sector energético: los entornos de TI y TO convergen rápidamente, pero las medidas de seguridad a menudo no logran mantener el ritmo. ¿Cómo se están adaptando las empresas de servicios públicos a estos riesgos complejos y qué brechas siguen existiendo que podrían dejar expuestos los sistemas críticos?

Por qué las redes OT necesitan la detección de intrusos

La capacidad de detectar incidentes de seguridad es una parte integral de la mayoría de los marcos y directrices de seguridad, incluido el marco de ciberseguridad del NIST, IEC 62443 y la serie de normas ISO 27000. En las subestaciones, los sistemas de control de las centrales eléctricas y los centros de control, muchos dispositivos funcionan sin sistemas operativos estándar, lo que hace imposible instalar un software de detección de puntos finales. En estos entornos, las capacidades de detección deben implementarse a nivel de red.

Las implementaciones de StationGuard de OMICRON suelen utilizar puertos espejo de red o TAP Ethernet para monitorear pasivamente la comunicación. Además de detectar intrusiones y ciberamenazas, la tecnología IDS ofrece beneficios clave, que incluyen:

  • Visualización de la comunicación de red
  • Identificación de servicios innecesarios y conexiones de red riesgosas
  • Creación automática de inventario de activos
  • Detección de vulnerabilidades de dispositivos en función de este inventario

Evaluación de los riesgos: metodología detrás de los hallazgos

El informe se basa en años de instalaciones de IDS. La primera instalación se remonta a 2018. Desde entonces, se han llevado a cabo varios cientos de instalaciones y evaluaciones de seguridad en subestaciones, centrales eléctricas y centros de control en docenas de países. Los hallazgos se agrupan en tres categorías:

  1. Riesgos de seguridad técnica
  2. Problemas de seguridad organizacional
  3. Problemas operativos y funcionales

En la mayoría de los casos, los problemas operativos y de seguridad críticos se detectaron a los pocos minutos de conectar el IDS a la red.

Por lo general, los sensores se conectaban a puertos espejo en las redes OT, a menudo en pasarelas y otros puntos de entrada críticos de la red, para capturar los flujos de comunicación clave. En muchas subestaciones, la monitorización a nivel de bahía no era necesaria, ya que la propagación por multidifusión hacía que el tráfico fuera visible en otras partes de la red.

Dispositivos ocultos y puntos ciegos de activos

Los inventarios de activos precisos son esenciales para asegurar sistemas de energía complejos. Crear y mantener estos directorios manualmente lleva mucho tiempo y es propenso a errores. Para solucionar este problema, OMICRON utilizó métodos pasivos y activos para el descubrimiento automatizado de activos.

Identificación pasiva de activos se basa en los archivos de descripción de la configuración del sistema (SCD) existentes, estandarizados según la norma IEC 61850-6, que contienen información detallada del dispositivo. Sin embargo, la supervisión pasiva por sí sola resultó insuficiente en muchos casos, ya que los datos esenciales, como las versiones del firmware, no se transmiten en la comunicación PAC normal.

Consulta activa de la información del dispositivo , por otro lado, aprovecha el protocolo MMS para recuperar datos de la placa de identificación, como los nombres de los dispositivos, los fabricantes, los números de modelo, las versiones de firmware y, a veces, incluso los identificadores de hardware. Esta combinación de técnicas pasivas y activas proporcionó un inventario completo de activos en todas las instalaciones.

Ejemplo de información de dispositivo recuperable mediante consultas activas de SCL y MMS

¿Cuáles son los riesgos de ciberseguridad técnica más comunes?

El análisis de OMICRON identificó varios problemas técnicos recurrentes en las redes de OT de energía:

  • Dispositivos PAC vulnerables:

    Se descubrió que muchos dispositivos PAC funcionaban con firmware desactualizado que contenía vulnerabilidades conocidas. Un ejemplo notable es la vulnerabilidad CVE-2015-5374, que permite un ataque de denegación de servicio contra los relés de protección con un solo paquete UDP. Si bien los parches están disponibles desde 2015, numerosos dispositivos permanecen sin parches. Las vulnerabilidades similares en las implementaciones de GOOSE y en las pilas de protocolos MMS plantean riesgos adicionales.

  • Conexiones externas riesgosas:

    En varias instalaciones, se encontraron conexiones TCP/IP externas no documentadas, que en algunos casos superaban las 50 conexiones persistentes a direcciones IP externas en una sola subestación.

  • Servicios inseguros innecesarios:

    Los hallazgos más comunes incluyeron los servicios de intercambio de archivos de Windows (NetBIOS) no utilizados, los servicios de IPv6, los servicios de administración de licencias que se ejecutaban con privilegios elevados y las funciones de depuración de PLC no seguras.

  • Segmentación débil de la red:

    Muchas instalaciones funcionaban como una sola red plana grande, lo que permitía la comunicación sin restricciones entre cientos de dispositivos. En algunos casos, incluso se podía acceder a las redes de TI de las oficinas desde subestaciones remotas. Estas arquitecturas aumentan significativamente el radio de impacto de los ciberincidentes.

  • Dispositivos inesperados:

    Las cámaras IP, las impresoras e incluso los dispositivos de automatización que no estaban rastreados aparecían con frecuencia en las redes sin estar documentados en los inventarios de activos, lo que creaba graves puntos ciegos para los defensores.

El factor humano: debilidades organizacionales en la seguridad de OT

Más allá de las fallas técnicas, OMICRON también observó desafíos organizacionales recurrentes que exacerban el riesgo cibernético. Estos incluyen:

  • Límites departamentales entre los equipos de TI y OT
  • Falta de personal de seguridad de OT dedicado
  • Las limitaciones de recursos limitan la implementación de los controles de seguridad

En muchas organizaciones, los departamentos de TI siguen siendo responsables de la seguridad de la OT, un modelo que a menudo tiene dificultades para abordar los requisitos únicos de la infraestructura energética.

Cuando fallan las operaciones: riesgos funcionales en las subestaciones

Los despliegues del IDS también revelaron una serie de problemas operativos no relacionados con las ciberamenazas directas, pero que seguían afectando a la fiabilidad del sistema. Los más comunes fueron:

  • Problemas de VLAN fueron, con mucho, los más frecuentes y, a menudo, implicaban un etiquetado VLAN incoherente de los mensajes GOOSE en toda la red.
  • Discordancias entre RTU y SCD provocó la interrupción de la comunicación entre los dispositivos, lo que impidió las actualizaciones de SCADA en varios casos.
  • Errores de sincronización horaria van desde simples errores de configuración hasta dispositivos que funcionan con zonas horarias incorrectas o marcas de tiempo predeterminadas.
  • Problemas de redundancia de red la participación de bucles RSTP y chips de conmutación mal configurados provocó una grave degradación del rendimiento en algunas instalaciones.

Estas debilidades operativas no solo afectan a la disponibilidad, sino que también pueden amplificar las consecuencias de los ciberincidentes.

Mensajes de alerta relacionados con la supervisión funcional

¿Qué pueden aprender las empresas de servicios públicos de estos hallazgos?

El análisis de más de 100 instalaciones de energía destaca la necesidad urgente de soluciones de seguridad sólidas y especialmente diseñadas para los desafíos únicos de los entornos de tecnología operativa.

Con su profundo conocimiento del protocolo y su visibilidad de los activos, el Guardia de estación Solución proporciona a los equipos de seguridad la transparencia y el control necesarios para proteger la infraestructura crítica. Su lista de permitidos integrada detecta incluso las desviaciones más sutiles del comportamiento esperado, mientras que su detección basada en firmas identifica las amenazas conocidas en tiempo real.

La capacidad del sistema para monitorear los protocolos de TI y TO, incluidos IEC 104, MMS, GOOSE y más, permite a las empresas de servicios públicos detectar y responder a las amenazas en cada capa de su red de subestaciones. En combinación con funciones como los inventarios de activos automatizados, el control de acceso basado en funciones y la integración perfecta en los flujos de trabajo de seguridad existentes, Guardia de estación permite a las organizaciones fortalecer la resiliencia sin interrumpir las operaciones.

Para obtener más información sobre cómo Guardia de estación ayuda a las empresas de servicios públicos a cerrar estas brechas críticas de seguridad, visite nuestro sitio web .

Solución StationGuard
¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.