Soluciones

SEGURIDAD

Automtica e Instrumentacin

Febrero 2016 / n. 481

Seguridad de la informacin en Industria 4.0

El cortafuegos como elemento

estratgico clave de redes
industriales

os recursos para
lidad el diseo de una
hacer ms segura
instalacin gobernada
una red industrial
por controladores lgicos
estn al alcance de la
programables supone
mano. El empleo de un
una tarea enormemente
cortafuegos puede hacer
compleja. Los programucho por elevar el nimas que regulan autovel de seguridad de las
matismos industriales
zonas de campo en las
o el funcionamiento de
que funcionan los PLC,
infraestructuras crticas
histricos, puestos de
no solo deben estar diseprogramacin e interfaados, escritos y comproces scada, aunque, pabados minuciosamente.
n CPU de un PLC Siemens Simatic S7 con mdulos E/S SM323/
radjicamente, es uno
Adems, debe aseguSM322.
de los elementos menos
rarse una ejecucin imconocidos en el mbito
pecable en tiempo real,
de las redes.
recoge las seales enviadas por
puesto que la menor perturbacin
El Controlador Lgico Progralos sensores y las agrupa en una
puede producir alteraciones immable (PLC, Programmable Lotabla de entradas. A continuacin,
previsibles en el proceso o, en el
gic Controller) se ha convertido
la CPU del dispositivo aplica somejor de los casos, la detencin
en un elemento estratgico para
bre esta tabla de entradas una
automtica del PLC.
la industria moderna. Gobierna
secuencia de operaciones lgicas
procesos productivos en todos los
especificadas por las instrucciones
Factores de vulnerabilidad
mbitos y sectores: cadenas de
del programa. Estas instrucciones,
Hasta hace unos pocos aos, los
montaje, plantas qumicas, deadems de tareas consecutivas,
sistemas electrnicos que contropuradoras de agua, centros de
tambin incluyen la posibilidad
laban la maquinaria industrial
logstica, almacenes automticos,
de efectuar saltos y bifurcaciones
funcionaban aisladamente y sin
bloques de oficinas y, por supuesto,
dentro del programa mediante
conexin al mundo exterior. En
tambin en subestaciones elcsentencias condicionales del tipo
algunos casos existan lneas tetricas y otras dependencias de
IF-ELSE o JUMP. Finalmente
lefnicas o RDSI con el fabricante
eso que llaman la Red Elctrica
dispone el resultado en una tabla
para mantenimiento remoto, pero
Inteligente y que resulta de vital
de salidas que, una vez completado
se trataba de circuitos habilitados
importancia para el suministro
el proceso, sern enviadas a los
explcitamente para tareas espeenergtico del futuro.
actuadores respectivos para que
cficas. Los sistemas de conexin
Un PLC (figura superior) es un
estos ejecuten las tareas que se
eran propietarios e incompatibles
ordenador especializado en operadesea llevar a cabo.
con los estndares tradicionales
ciones de control industrial. Su miUna vez terminado este proceso,
utilizados para redes locales o
sin consiste en procesar entradas
el programa vuelve a ejecutarse
pblicas. En tales circunstancias,
binarias o analgicas procedentes
desde el principio. Y as en un ciclo
la posibilidad de ser atacados por
de una variedad de dispositivos
constante que solo se ve interrumciberdelincuentes era virtualmeny sensores, generando a partir
pido por la parada intencionada de
te nula.
de ellas seales que se emplean
la mquina o por alguna condicin
Este estado de cosas termin con
para controlar mquinas y equiespecial (avera, error de prograla explosin de Internet y la conepos (motores, bombas, hornos,
macin, seales de emergencia)
xin generalizada de particulares
robots, seccionadores de corriente
que obligue a la CPU a pasar del
y empresas a una red mundial
en subestaciones elctricas, etc.).
modo de funcionamiento RUN al
de ordenadores organizada sobre
El funcionamiento de un PLC
modo STOP o de parada.
estndares comunes. En las planes simple: en una primera etapa
Parece sencillo, pero en reatas productivas, la sustitucin de

SEGURIDAD
Febrero 2016 / n. 481

sistemas propietarios por buses

industriales basados en protocolos
de uso general Profibus, Ethernet
Industrial, SERCOS hizo posible
la compatibilidad tecnolgica entre
las redes locales de las empresas y
las redes internas de las plantas de
fabricacin (a las que en lo sucesivo llamaremos de campo). Entonces a alguien se le ocurri que sera
una buena idea poner conectores
Ethernet en los PLC, las mquinas
de control numrico, los contadores de electricidad y otros dispositivos inteligentes. De este modo,
se podran establecer canales de
comunicacin con determinados
puestos de trabajo mquinas
programadoras, interfaces HMI
(Interfaz Humano-Mquina, en
ingls: Human-Machine Interface,
ordenador en el que se ejecuta un
software de supervisin y control,
generalmente scada), histricos
de datos sin necesidad de acercar
un porttil al armario elctrico y
establecer un lento y engorroso
enlace a travs del prehistrico
interface RS-232.
En ese momento se abri la
caja de Pandora. Desde entonces
las instalaciones industriales gobernadas por PLC han sido vulnerables a ataques procedentes
del exterior, como en el caso del
famoso gusano Stuxnet. El panorama de la seguridad informtica
industrial se complica por culpa de
diversas tendencias que marcan el
ritmo de los tiempos tecnolgicos
en los que vivimos:
Estandarizacin de buses industriales, componentes y software.
Conexin masiva de empresas
y particulares a Internet.
Intranets mal configuradas.
Posibilidad de implementar
PLCs y mquinas de control numrico en tarjetas de hardware
insertables en PCs de tipo convencional o incluso virtualmente por
software en el mismo ordenador.
Puntos de acceso WiFi vulnerables.
Firewalls inadecuados o mal
configurados.
Escaso conocimiento de la problemtica por parte del personal.

Soluciones

Automtica e Instrumentacin

n Industria 4.0 obligar a conectarlo todo.

Polticas de uso de medios e

Internet permisivas dentro de las
empresas.
Industria 4.0 como desafo
a la seguridad informtica
industrial
Si se quiere tener seguridad total
en una red de campo, la solucin es
simple: no permitir ninguna conexin con el mundo exterior. Interfaces scada, histricos y estaciones
de trabajo de los programadores
debern quedar confinados dentro
de la red de campo sin compartir
datos ni siquiera con la red local
de la empresa. Aun as, tampoco
existen garantas de seguridad absoluta. Recurdese que en el caso
de Stuxnet, los ordenadores de las
plantas de produccin tambin estaban aislados de la red local y de
Internet, y pese a ello los atacantes
consiguieron penetrar las defensas
mediante llaves USB infectadas
con el malware, que haban sido
abandonadas convenientemente
en parkings, cantinas, vestuarios
y otras dependencias sociales de
las plantas de produccin, y que
los mismos operarios iranes se
ocuparon de conectar en sus puestos de trabajo de la red de campo
separada de Internet.
Pero esto supone volver a los comienzos de la automatizacin, en
la que no existan amenazas externas ni la necesidad de preocuparse
por los ciberdelincuentes. Esta

solucin resulta ilusoria, porque

no es posible dar marcha atrs a
la rueda del progreso. Si los medios
tcnicos para hacer algo existen,
tarde o temprano sern utilizados.
Alguien, por los motivos que sea,
tendr la necesidad de establecer
una conexin entre la red de la empresa y la red de campo. Aparte de
la necesidad de disponer de datos
de produccin o de la comodidad de
los ingenieros, que prefieren tener
su estacin de trabajo con software
scada en entornos de oficina antes
que junto a una maloliente y ruidosa batera de hornos, existen otras
prioridades que hacen inevitable el
establecimiento de enlaces de datos entre la red local de la empresa
y las redes de campo en el interior
de una planta de produccin.
Sin tales conexiones no ser posible hacer realidad los nuevos y
ambiciosos conceptos tecnolgicos
de eso que llaman Industria 4.0
(figura superior). El ncleo de este
proceso de modernizacin del tejido productivo, que algunos expertos califican de Cuarta Revolucin
Industrial, consiste precisamente
en la interconexin global, ms
all de restricciones especficas
de cada sistema, de personas, instalaciones y productos dentro de
un entramado inteligente caracterizado por una organizacin y
un control descentralizados de los
centros productivos. A travs de
una fusin progresiva de entor-

Soluciones

SEGURIDAD

Automtica e Instrumentacin

Febrero 2016 / n. 481

El Firewall S7 de Trger

n router industrial equipado con un cortafuegos debe estar diseado para resistir el trajn inevitable de todo entorno fabril: vibraciones, humo, altas temperaturas, corrosin qumica, etc. Adems,
es conveniente que pueda alimentarse con el mismo voltaje que los
buses industriales y los dispositivos de planta por lo general 24V.
Finalmente, ha de ser fcil de configurar por el usuario. Aunque existen diferentes marcas y modelos para elegir, el Firewall S7 de Trger
(figura superior), basado en tecnologas estndar y adaptado al funcionamiento de los PLC Simatic S7 de Siemens, cumple los requerimientos anteriormente expuestos. El dispositivo es similar a un router
n S7 Firewall de Trger. (Fuente:
www.traeger.de).
como el que utilizamos en el hogar para la conexin a Internet, con
una salida WAN para conectar con la red de empresa, las estaciones
HMI/programadoras o Internet, y cuatro puertos LAN que funcionan como un switch, y a los que pueden
conectarse los PLC por medio de un bus Ethernet industrial. Entre sus caractersticas cabe mencionar la
actualizacin para IPV6, servidor DHCP, un cliente NTP y, por supuesto, el firewall integrado.
La configuracin del Firewall S7 se lleva a cabo a travs de un navegador web. El cortafuegos es del tipo
deny all, con un sistema muy simple para definir las reglas. El usuario, mediante formularios HTML, no
tiene ms que hacer una lista de las estaciones de trabajo desde las que es necesario acceder puestos
scada o de programadores. En una segunda lista se incluirn los PLC de la lnea a los que se permite el
acceso. Finalmente, se establecen los emparejamientos HMI/programador-PLC que definen cada una de
las conexiones autorizadas. Un sencillo lenguaje de scripts permite especificar las zonas de memoria del
PLC a las que se puede acceder para operaciones de lectura y/o escritura de datos. Todo el trfico restante
ser bloqueado por el firewall. Los intentos de acceso no autorizados son incluidos en un archivo de registro
o log. Esto puede ser til para fines forenses o en caso de que el administrador de la red tenga que llevar
a cabo una investigacin sobre usos inadecuados o tentativas de intrusin (figura inferior).

n LOG de accesos no autorizados en el cortafuegos Trger.

nos reales y virtuales, se aspira a

conseguir que los recursos de las
plantas de produccin sean capaces de funcionar coordinadamente
adaptndose en tiempo real a los
cambios en los requisitos y las
caractersticas individuales de los
productos fabricados.
Industria 4.0 persigue el objetivo
de restablecer la competitividad
econmica de los pases desarrollados poniendo a su entramado
productivo en condiciones de producir artculos en condiciones de
rentabilidad independientemente
de la escala. El objetivo final, a
diferencia de lo que sucede en
economas emergentes como China
o Brasil, consiste en lograr que el
coste unitario de fabricar un milln de unidades sea el mismo que

el de fabricar una sola. Y todo esto

con unos niveles de calidad, ahorro
de materiales y compatibilidad
medioambiental muy superiores
a los actuales.
Obviamente nada de esto se va
a conseguir si no se comparten
datos. Por lo tanto, la conexin
entre la red local, la LAN de la
empresa y el resto del mundo
proveedores, clientes, administraciones pblicas, bases de datos
externas, consultores, buscadores
de Internet, recursos humanos
disponibles en LinkedIn, etc.
es necesaria. Y con ello, sern
tambin inevitables los mismos
tipos de riesgos que las redes
corporativas de bancos, gobiernos y grandes empresas sufren
desde hace dcadas por culpa de

ciberdelincuentes, espas industriales, etc.

EL PLC como objetivo
principal
Industria 4.0 va ms all de la
automatizacin de procesos. En
realidad, la Cuarta Revolucin
Industrial incluye otros tipos de
dispositivos: ordenadores de sobremesa y porttiles, mquinasherramienta con control CNC,
robots, contadores elctricos inteligentes, smartphones y tablets, artefactos conectados al Internet de
las Cosas o incluso artculos de supermercado provistos de etiquetas
RFID. La preferencia por el controlador lgico programable como
protagonista principal de nuestra
exposicin obedece a diversas razo-

SEGURIDAD
Febrero 2016 / n. 481

nes. El PLC constituye la columna

vertebral de la industria moderna.
Sin l nada funciona. En segundo
lugar, los casos ms conocidos de
ataque exitoso contra una red de
campo (Stuxnet, Night Dragon) se
produjeron a travs de gusanos
informticos capaces de alterar el
funcionamiento de controladores
lgicos programables conectados
a un sistema scada. Este es un
aviso que no podemos pasar por
alto. Adems, los controladores
lgicos programables poseen otras
dos caractersticas que los hacen
vulnerables.
Por un lado, las necesidades
perentorias del funcionamiento en
tiempo real en plantas qumicas,
cadenas de montaje, hornos, redes
elctricas e infraestructuras crticas exigen un trnsito fluido de
datos en el bus y disponibilidad
preferencial del ancho de banda.
En teora basta con que el atacante
inyecte unos pocos paquetes en el
bus, por ejemplo mediante un escaneo de puertos o cualquier otra
forma de ataque de denegacin de
acceso, para que el sistema se niegue a seguir funcionando. Al notar
una circunstancia anmala en el
interfaz Ethernet que lo conecta
al bus, el PLC puede detener la
ejecucin de su programa pasando
del modo RUN al modo STOP.
Finalmente, es un hecho conocido que la mayor parte de las
instalaciones industriales estn
diseadas con unos requerimientos de seguridad muy severos que
se traducen en restricciones adicionales en el funcionamiento de
la maquinaria. Esto aumenta la
seguridad del personal, pero tambin facilita la tarea del atacante:
basta abrir una portezuela en el
enrejado de proteccin, o mejor
dicho, lograr que el PLC reciba la
seal del sensor correspondiente,
para que la CPU entre en modo
STOP y una cadena de montaje
quede detenida.
El cortafuegos al rescate
En los orgenes de Internet la
seguridad no era una de las principales preocupaciones. El mayor inters se puso en hacer posible una

Soluciones

Automtica e Instrumentacin

n Red industrial protegida mediante cortafuegos.

comunicacin eficaz y un uso compartido de recursos. En nuestros

das, con la implantacin masiva
de los controladores programables
y el despliegue de sistemas inteligentes en las infraestructuras
crticas, existe motivo para pensar
que se est produciendo una situacin similar. Se persigue de forma
prioritaria un rendimiento ptimo
de los equipos. La idea de que
alguien quiera atacar un PLC es,
por alguna razn que se desconoce,
ajena a la visin del mundo de los
ingenieros y programadores que
disean las instalaciones industriales. En realidad, los recursos
para hacer ms segura una red
industrial estn al alcance de la
mano. El empleo de un cortafuegos
puede hacer mucho por elevar el
nivel de seguridad de las zonas
de campo en las que funcionan los
PLC, histricos, puestos de programacin e interfaces scada.
El cortafuegos (en ingls: firewall) es, paradjicamente, uno
de los elementos menos conocidos
en el mbito de las redes. Muchos
usuarios saben que existe nicamente por los problemas que
les causa a la hora de utilizar
juegos en lnea o software de archivos compartidos. Las grandes
empresas disponen de routers y
switches especializados en discriminar trfico entre sus diversos dominios y departamentos. El
entorno Linux tambin dispone

de su propio firewall. Lo llaman

iptables y existen libros de 500
pginas dedicados a explicar su
funcionamiento y configuracin.
Pero, qu es un cortafuegos?, se
trata de un dispositivo?, de un
programa de ordenador?, de una
especie de filtro?
En realidad, el cortafuegos es
un concepto realizable tanto por
hardware como por software. Su
funcin consiste en examinar paquetes de datos. Puede operar
en ordenadores individuales o en
enrutadores. Existen cortafuegos para todos los niveles de las
pilas de protocolos OSI o TCP/
IP. Normalmente examinan las
direcciones IP y MAC (direccin
hardware de un interfaz Ethernet,
asignada mediante un convenio
internacional y por consiguiente
nica para cada uno de los dispositivos conectados a una red) de
los paquetes de datos. Tambin
pueden supervisar otros datos
correspondientes a las capas de
transporte o aplicacin, como puertos, contenidos HTTP, canales, etc.
Para configurar cortafuegos existen dos estrategias: permitir todo
por defecto (allow all), impidiendo
a continuacin mediante reglas
especficas el paso de aquel trfico
que nos parezca inconveniente;
o bien la de un bloqueo total del
trfico como condicin de partida
(deny all), para a partir de ah permitir tan solo las conexiones que

Soluciones

SEGURIDAD

Automtica e Instrumentacin

nos interesan. En el caso de una

red industrial, este ltimo es el
esquema ms sensato. Un firewall
con la configuracin adecuada,
instalado convenientemente en un
dispositivo de enrutamiento por el
que se haga pasar todo el trfico
que circula entre la red local y la
red de campo, permite mantener
bajo control los accesos a todos los
recursos crticos de una planta de
produccin.

Esquema de una red industrial

Una red de datos industrial se
vuelve ms segura instalando cortafuegos no solo en la zona de campo, para separarla de la red local
de la empresa. Tambin es buena
idea aislar con firewalls simples o
pareados otros mbitos de la red,
como por ejemplo la DMZ (Zona
Desmilitarizada; en ingls: DeMilitarized Zone) y, por supuesto,
la salida de los usuarios a Internet. Existe una diferencia entre
la DMZ convencional (es decir,
aquel segmento de una red local

Febrero 2016 / n. 481

expuesto al exterior para ofrecer

en condiciones seguras servicios
web y de otros tipos) y la DMZ en
una red industrial. En este ltimo
caso, la DMZ est situada en el
interior, entre la LAN empresarial
y la red de campo, y por consiguiente aislada de Internet. El
cometido de una DMZ industrial
es alojar histricos, bases de datos
y puestos de trabajo relacionados
con el control de planta. Se trata
de racionalizar el trfico de datos
creando conexiones explcitas y
cauces por los que necesariamente
ha de pasar el caudal de informacin (figura en pgina anterior).
Este es el nico medio que existe
para garantizar la seguridad de
una red de campo. Industria 4.0 no
podr salir adelante sin este tipo
de consideraciones bsicas. Desde
aqu me atrevo a pronosticar que
ese desconocido al que llaman
cortafuegos, y cuyo conocimiento
la mayor parte de los usuarios
obvian para concentrarse en otras
partes ms visibles de los sistemas

informticos, ir adquiriendo un
protagonismo creciente a medida
que avance el proceso masivo de
automatizacin de procesos industriales e infraestructuras crticas.
Pero, qu pasa si los ciberdelincuentes consiguen llegar a uno de
los HMI autorizados para establecer conexiones con los PLC? Esto
nos recuerda que de puertas afuera
de la zona de campo la seguridad
informtica convencional sigue
siendo algo de la mayor importancia. Los sistemas de deteccin de
intrusos (IDS, en ingls: Intrusion
Detection System), parchear de
sistemas operativos, actualizar
el antivirus y una buena poltica
de utilizacin de medios siguen
siendo elementos clave para la
supervivencia en el mundo digital.
Francisco Lzaro
Experto en Informtica Forense
y Representante de A.N.T.P.J.I.
(Asociacin Nacional de
Tasadores y Peritos Judiciales
Informticos) en Vizcaya