Un estudio de OMICRON ha revelado brechas generalizadas de ciberseguridad en las redes de tecnología operativa (OT) de subestaciones, centrales eléctricas y centros de control en todo el mundo. Basándose en datos de más de 100 instalaciones, el análisis destaca problemas técnicos, organizativos y funcionales recurrentes que dejan la infraestructura energética crítica vulnerable a las amenazas cibernéticas.
Los hallazgos se basan en varios años de implementación del sistema de detección de intrusiones (IDS) StationGuard de OMICRON en sistemas de protección, automatización y control (PAC). La tecnología, que monitorea el tráfico de la red de forma pasiva, ha proporcionado una visibilidad profunda de los entornos OT del mundo real. Los resultados subrayan la creciente superficie de ataque en los sistemas energéticos y los desafíos que enfrentan los operadores para proteger la infraestructura obsoleta y las arquitecturas de red complejas.
 |
| Conexión de un IDS en sistemas PAC (los círculos indican puertos espejo) |
Las implementaciones de StationGuard, a menudo realizadas durante evaluaciones de seguridad, revelaron vulnerabilidades como dispositivos sin parches, conexiones externas inseguras, segmentación de red débil e inventarios de activos incompletos. En muchos casos, estas debilidades de seguridad se identificaron dentro de los primeros 30 minutos de conectarse a la red. Más allá de los riesgos de seguridad, las evaluaciones también descubrieron problemas operativos como configuraciones erróneas de VLAN, errores de sincronización horaria y problemas de redundancia de red.
Además de las deficiencias técnicas, los hallazgos apuntan a factores organizacionales que contribuyen a estos riesgos, incluidas responsabilidades poco claras para la seguridad de OT, recursos limitados y silos departamentales. Estos hallazgos reflejan una tendencia creciente en todo el sector energético: los entornos de TI y OT están convergiendo rápidamente, pero las medidas de seguridad a menudo no logran seguir el ritmo. ¿Cómo se están adaptando las empresas de servicios públicos a estos riesgos complejos y qué brechas persisten que podrían dejar expuestos los sistemas críticos?
Por qué las redes OT necesitan detección de intrusiones
La capacidad de detectar incidentes de seguridad es una parte integral de la mayoría de los marcos y directrices de seguridad, incluido el Marco de ciberseguridad del NIST, IEC 62443 y la serie de estándares ISO 27000. En subestaciones, sistemas de control de centrales eléctricas y centros de control, muchos dispositivos funcionan sin sistemas operativos estándar, lo que hace imposible instalar software de detección de terminales. En tales entornos, las capacidades de detección deben implementarse a nivel de red.
Las implementaciones StationGuard de OMICRON suelen utilizar puertos espejo de red o TAP Ethernet para monitorear pasivamente la comunicación. Además de detectar intrusiones y amenazas cibernéticas, la tecnología IDS proporciona beneficios clave, que incluyen:
- Visualización de la comunicación en red.
- Identificación de servicios innecesarios y conexiones de red riesgosas.
- Creación automática de inventario de activos
- Detección de vulnerabilidades de dispositivos en base a este inventario
Evaluación de riesgos: metodología detrás de los hallazgos
El informe se basa en años de instalaciones de IDS. La primera instalación se remonta a 2018. Desde entonces, se han realizado varios cientos de instalaciones y evaluaciones de seguridad en subestaciones, centrales eléctricas y centros de control en decenas de países. Los hallazgos se agrupan en tres categorías:
- Riesgos técnicos de seguridad
- Problemas de seguridad organizacional
- Problemas operativos y funcionales.
En la mayoría de los casos, los problemas operativos y de seguridad críticos se detectaron a los pocos minutos de conectar el IDS a la red.
Por lo general, los sensores se conectaban a puertos espejo en redes OT, a menudo en puertas de enlace y otros puntos de entrada críticos a la red, para capturar flujos de comunicación clave. En muchas subestaciones, no era necesario el monitoreo a nivel de bahía, ya que la propagación de multidifusión hacía que el tráfico fuera visible en otras partes de la red.
Dispositivos ocultos y puntos ciegos de activos
Los inventarios de activos precisos son esenciales para proteger sistemas energéticos complejos. Crear y mantener dichos directorios manualmente requiere mucho tiempo y es propenso a errores. Para solucionar este problema, OMICRON utilizó métodos tanto pasivos como activos para el descubrimiento automatizado de activos.
Identificación pasiva de activos Se basa en archivos de descripción de configuración del sistema (SCD) existentes, estandarizados según IEC 61850-6, que contienen información detallada del dispositivo. Sin embargo, en muchos casos la monitorización pasiva por sí sola resultó insuficiente, ya que en la comunicación PAC normal no se transmiten datos esenciales como, por ejemplo, las versiones de firmware.
Consulta activa de información del dispositivo.por otro lado, aprovecha el protocolo MMS para recuperar datos de la placa de identificación, como nombres de dispositivos, fabricantes, números de modelo, versiones de firmware y, a veces, incluso identificadores de hardware. Esta combinación de técnicas pasivas y activas proporcionó un inventario completo de activos en todas las instalaciones.
 |
| Ejemplo de información del dispositivo recuperable mediante consultas activas SCL y MMS |
¿Qué riesgos técnicos de ciberseguridad son los más comunes?
El análisis de OMICRON identificó varios problemas técnicos recurrentes en las redes OT de energía:
- Dispositivos PAC vulnerables:
Se descubrió que muchos dispositivos PAC funcionaban con firmware obsoleto que contenía vulnerabilidades conocidas. Un ejemplo notable es la vulnerabilidad CVE-2015-5374, que permite un ataque de denegación de servicio en relés de protección con un único paquete UDP. Aunque los parches han estado disponibles desde 2015, numerosos dispositivos siguen sin parches. Vulnerabilidades similares en implementaciones GOOSE y pilas de protocolos MMS plantean riesgos adicionales.
- Conexiones externas riesgosas:
En varias instalaciones se encontraron conexiones TCP/IP externas no documentadas, superando en algunos casos las 50 conexiones persistentes a direcciones IP externas en una sola subestación.
- Servicios inseguros innecesarios:
Los hallazgos comunes incluyeron servicios de intercambio de archivos de Windows (NetBIOS) no utilizados, servicios IPv6, servicios de administración de licencias que se ejecutan con privilegios elevados y funciones de depuración de PLC no seguras.
- Segmentación de red débil:
Muchas instalaciones funcionaban como una única gran red plana, lo que permitía una comunicación sin restricciones entre cientos de dispositivos. En algunos casos, incluso las redes informáticas de las oficinas eran accesibles desde subestaciones remotas. Estas arquitecturas aumentan significativamente el radio de impacto de los incidentes cibernéticos.
- Dispositivos inesperados:
Cámaras IP, impresoras e incluso dispositivos de automatización sin seguimiento aparecían con frecuencia en las redes sin estar documentados en los inventarios de activos, lo que creaba graves puntos ciegos para los defensores.
El factor humano: debilidades organizativas en la seguridad de OT
Más allá de las fallas técnicas, OMICRON también observó desafíos organizacionales recurrentes que exacerban el riesgo cibernético. Estos incluyen:
- Límites departamentales entre los equipos de TI y OT
- Falta de personal de seguridad OT dedicado
- Las limitaciones de recursos están limitando la implementación de controles de seguridad.
En muchas organizaciones, los departamentos de TI siguen siendo responsables de la seguridad de OT, un modelo que a menudo tiene dificultades para abordar los requisitos únicos de la infraestructura energética.
Cuando fallan las operaciones: riesgos funcionales en las subestaciones
Las implementaciones de IDS también revelaron una variedad de problemas operativos no relacionados con amenazas cibernéticas directas pero que aún afectan la confiabilidad del sistema. Los más comunes fueron:
- Problemas de VLAN fueron, con diferencia, los más frecuentes y, a menudo, implicaron un etiquetado VLAN inconsistente de los mensajes GOOSE en toda la red.
- Desajustes entre RTU y SCD provocó una comunicación rota entre dispositivos, impidiendo las actualizaciones de SCADA en varios casos.
- Errores de sincronización horaria Los problemas iban desde simples configuraciones erróneas hasta dispositivos que funcionan con zonas horarias incorrectas o marcas de tiempo predeterminadas.
- Problemas de redundancia de red La participación de bucles RSTP y chips de conmutador mal configurados provocó una grave degradación del rendimiento en algunas instalaciones.
Estas debilidades operativas no solo afectan la disponibilidad sino que también pueden amplificar las consecuencias de los incidentes cibernéticos.
 |
| Mensajes de alerta relacionados con la supervisión funcional |
¿Qué pueden aprender las empresas de servicios públicos de estos hallazgos?
El análisis de más de 100 instalaciones energéticas resalta la necesidad urgente de soluciones de seguridad sólidas y diseñadas específicamente para los desafíos únicos de los entornos tecnológicos operativos.
Con su profundo conocimiento del protocolo y visibilidad de los activos, el EstaciónGuardia Solución proporciona a los equipos de seguridad la transparencia y el control necesarios para proteger la infraestructura crítica. Su lista de permitidos incorporada detecta incluso desviaciones sutiles del comportamiento esperado, mientras que su detección basada en firmas identifica amenazas conocidas en tiempo real.
La capacidad del sistema para monitorear protocolos de TI y OT (incluidos IEC 104, MMS, GOOSE y más) permite a las empresas de servicios públicos detectar y responder a amenazas en cada capa de su red de subestaciones. Combinado con características como inventarios de activos automatizados, control de acceso basado en roles e integración perfecta en los flujos de trabajo de seguridad existentes, EstaciónGuardia permite a las organizaciones fortalecer la resiliencia sin interrumpir las operaciones.
Para aprender más sobre cómo EstaciónGuardia apoya a las empresas de servicios públicos para cerrar estas brechas de seguridad críticas, visite nuestro sitio web.
 |
| Solución StationGuard |