A pesar de los titulares, las advertencias y los miles de millones de dólares invertidos en ciberseguridad, sigue habiendo un problema evidente que sigue afectando al núcleo de los sistemas OT y CPS (sistemas ciberfísicos): los protocolos industriales inseguros.
La columna vertebral operativa de nuestras redes eléctricas, plantas de tratamiento de aguas, instalaciones de petróleo y gas e instalaciones industriales sigue basándose en estándares de comunicación como Modbus, DNP3, OPC DA, PROFINET, etc.
Estos protocolos se desarrollaron hace décadas, mucho antes de que las ciberamenazas formaran parte del debate, y se diseñaron pensando en el rendimiento, no en la protección. Parten de la base de que la seguridad y la disponibilidad del sistema son absolutas, no requieren autenticación, transmiten en texto sin cifrar y siguen gestionando sistemas de importancia crítica en todo el mundo.
No se trata de un riesgo hipotético. Es un riesgo sistémico.
Confianza por defecto: un fallo de diseño convertido en arma
Los protocolos industriales heredados surgieron en una época diferente, en la que la lógica del aislamiento físico (barreras físicas) constituía el modelo de seguridad predominante. La ciberseguridad no era ni un requisito ni un objetivo de diseño. En consecuencia, estos protocolos carecen de mecanismos integrados de autenticación, autorización o cifrado.
Veamos con más detalle qué significa esto en la práctica:
- Modbus TCP/RTU: Envía y recibe comandos sin autenticación. Un atacante puede suplantar la identidad de un dispositivo maestro y modificar los valores de los actuadores.
- DNP3 (en modo no seguro): Vulnerable a ataques de repetición e inyección; carece de comprobaciones de integridad sólidas.
- PROFINET, EtherNet/IP, BACnet, IEC 60870-5-104: ofrecen una seguridad mínima u opcional, con pocas o ninguna garantía de integridad o confidencialidad de los datos.
- Protocolos propios que presentan diferencias en cuanto a la implementación de la seguridad y que, a menudo, carecen de protecciones básicas.
Es posible que estas vulnerabilidades de seguridad no se pongan de manifiesto durante el funcionamiento normal. Sin embargo, bajo el escrutinio de un actor malintencionado —especialmente uno que cuente con recursos, tiempo y la intención de actuar—, se convierten en vulnerabilidades evidentes.
Repercusiones en el mundo real: vulnerabilidades de protocolos en la práctica
Los equipos de seguridad suelen prepararse para los ataques de día cero, pero en la tecnología operativa (OT), los atacantes suelen recurrir a los ataques de «esfuerzo cero», es decir, aprovechan el comportamiento de protocolos que nunca han sido seguros.
Imaginemos los siguientes casos:
Ataques de suplantación y de repetición
Sin controles de autenticación o de integridad, los atacantes pueden capturar el tráfico legítimo y reproducirlo para manipular procesos o interrumpir las operaciones.
Ataques de intermediario
Ataques de intermediario: El tráfico de la red operativa (OT) interceptado puede modificarse durante su transmisión, por ejemplo, falsificando lecturas de presión o alterando comandos de control.
Control no autorizado
Un intruso que consiga acceder a la red puede enviar comandos directamente a los PLC (controladores lógicos programables), eludiendo los protocolos de seguridad.
El gusano Stuxnet es el ejemplo más conocido y citado, pero está lejos de ser el único. En los últimos años, numerosos operadores de redes eléctricas, empresas de suministro de agua y compañías energéticas han denunciado ataques que se remontan al uso indebido del comportamiento de los protocolos nativos.
El ataque de 2021 contra una planta de tratamiento de aguas de Florida se produjo tras una vulneración del acceso remoto, pero la posibilidad de emitir comandos no autorizados se debió a un protocolo que carecía de mecanismo de verificación.
Por qué las defensas tradicionales se quedan cortas
Los cortafuegos tradicionales siguen utilizándose hoy en día para proteger entornos y protocolos heredados, pero siguen siendo vulnerables. Aunque se pudiera reforzar la seguridad de estos protocolos, la infraestructura que hace posible la vida moderna está compuesta por miles de millones de sensores, controladores y otros puntos finales que no pueden actualizarse sin sustituirlos por completo. Por ello, los operadores deben recurrir a capas adicionales de ciberdefensa para garantizar la seguridad perimetral. Si bien estas son importantes, no mitigan los riesgos fundamentales que plantean los protocolos inseguros.
- No modifican la lógica del protocolo: Modbus seguirá transmitiendo comandos sin autenticar y en texto plano, incluso tras un cortafuegos.
- Se basan en firmas conocidas: las herramientas de DPI no pueden detectar abusos de protocolo nuevos o de bajo nivel sin motores heurísticos o de comportamiento.
- Permiten el tráfico bidireccional: lo que abre la puerta a la inyección de comandos, el movimiento lateral y la preparación de nuevos ataques.
Lo más importante es que dan por sentado que la seguridad del protocolo se puede garantizar mediante la supervisión, y no que deba estar integrada en su diseño.
Hacia un aislamiento sensible a los protocolos
Lo que se necesita no es solo más supervisión. Se trata de la contención. Se trata de aplicar la segmentación de la red a un nivel fundamental, idealmente en la capa física o mediante controles lógicos estrictamente regulados.
Los mecanismos de aislamiento basados en protocolos, como las pasarelas unidireccionales (diodos de datos) y las soluciones de ruptura de protocolo, ofrecen un enfoque más seguro. Permiten a los equipos operativos mantener los flujos de datos necesarios —actualizaciones del sistema de registro, registros de sensores, alertas de eventos— sin exponer las superficies de control a redes externas o menos fiables.
Esto garantiza el cumplimiento de los requisitos normativos nacionales, regionales y específicos del sector, así como la resiliencia operativa. Cuando no es posible reescribir o sustituir los protocolos inseguros, estos deben segmentarse, filtrarse y aislarse mediante sistemas diseñados específicamente para tal fin.
Una opción práctica: MetaDefender NetWall
Para entornos en los que no es posible evitar el uso de protocolos inseguros, MetaDefender NetWall ofrece soluciones reforzadas de aislamiento y transferencia:
✓ Diodos ópticos: permiten flujos de datos unidireccionales, controlados físicamente y sin vía de retorno, ideales para zonas aisladas físicamente.
✓ Unidirectional Security Gateway: permite exportaciones de datos unidireccionales, controladas y validadas, desde la tecnología operativa (OT) a la tecnología de la información (IT), a través de una ruptura de protocolo.
✓ Bilateral Security Gateway: admite la comunicación segura para aplicaciones que requieren una respuesta de datos, como MS SQL, lo que permite un control remoto seguro o el acceso de proveedores.
Descubra cómolos diodos ópticos (de datos) y las pasarelas de seguridad MetaDefender NetWall pueden ofrecerle una ventaja decisiva a la hora de proteger sus entornos de alta seguridad.
