Skip to main content
Esta página se muestra mediante traducción automática. ¿Deseas ver el contenido en inglés?
Imagen que acompañará al artículo sobre la ciberseguridad en la subestación digital
Artículo

Un marco práctico para proteger las subestaciones digitales

Explore los desafíos únicos de ciberseguridad a los que se enfrentan las subestaciones digitales y un marco práctico para que los operadores de la red refuercen su postura de seguridad, dando a los ingenieros más control, más información y límites defensivos más fuertes que nunca.

Más información sobre las subestaciones digitales

Rompiendo la cadena de muerte del ICS

Las subestaciones digitales son un componente clave en la actual transformación digital de los sistemas de energía eléctrica. Si bien esta modernización aporta mejoras de eficiencia y visibilidad sin precedentes, también abre la puerta a posibles problemas de ciberseguridad. La convergencia de la tecnología operativa (OT) y la tecnología de la información (TI) en las subestaciones digitales crea oportunidades para que los atacantes provoquen cortes de energía generalizados, daños en los equipos y amenazas a la seguridad pública. En este artículo examinamos los desafíos de ciberseguridad a los que se enfrentan las subestaciones digitales y proporcionamos un marco práctico para que los operadores de la red refuercen su postura de seguridad.

El ataque a la red eléctrica de Ucrania de 2015: una llamada de atención

En diciembre de 2015, aproximadamente 225 000 ciudadanos ucranianos sufrieron un apagón que marcó un hito en la seguridad de las subestaciones digitales. El ataque, atribuido al grupo de amenazas Sandworm que utilizaba el malware BlackEnergy, supuso el primer ataque exitoso reconocido públicamente contra la infraestructura de energía eléctrica que provocó una pérdida de energía para los clientes.

Los atacantes ejecutaron una operación deliberada, bien planificada y de varias etapas de ciberhackeo tras meses de reconocimiento e infiltración de redes a través de campañas de suplantación de identidad, y obtuvieron acceso a las redes informáticas corporativas de la empresa de servicios públicos. A partir de ahí, los atacantes pasaron a las redes OT de la subestación y, finalmente, utilizaron una combinación de herramientas legítimas de acceso remoto y firmware malintencionado para interrumpir el servicio eléctrico y obstaculizar los esfuerzos de recuperación.

Este incidente reveló varios problemas de seguridad críticos para los operadores de subestaciones digitales: segmentación inadecuada de la red entre los entornos de TI y TO, supervisión insuficiente de las redes de TO, falta de autenticación multifactor para el acceso remoto y visibilidad limitada de las operaciones de la subestación.

Analicemos cómo resolver estos desafíos y poner las subestaciones digitales en una base sólida de ciberseguridad.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Enmarcar el problema: pensar como un atacante

Para entender mejor cómo proteger las subestaciones digitales, veamos la perspectiva del atacante utilizando la cadena de muerte del Sistema de Control Industrial. Esta cadena de muerte organiza las acciones de los atacantes en una serie de operaciones que se combinan entre sí para lograr el efecto deseado al final de la cadena (en nuestro ejemplo de Ucrania, la pérdida de energía eléctrica). Para nuestros propósitos, utilizaremos una versión resumida de la cadena de muerte, con los pasos siguientes: preparación, intrusión, paso a OT, ejecución de OT y ataque.

Preparación

Los atacantes comienzan por recopilar información sobre su objetivo. Para las empresas de servicios públicos, esto podría incluir identificar las ubicaciones de las subestaciones, entender la arquitectura SCADA, investigar los equipos de los proveedores y mapear la infraestructura de la red. Los atacantes de Ucrania de 2015 dedicaron meses a estudiar sus objetivos. Del mismo modo, el ataque a Colonial Pipeline de 2021 comenzó con un reconocimiento que identificó las credenciales de VPN vulnerables.

Controles defensivos: Las empresas de servicios públicos deberían minimizar su presencia digital limitando la información disponible públicamente sobre las configuraciones de las subestaciones y los sistemas de control. Employee security awareness training debería hacer hincapié en los riesgos de compartir en exceso los detalles operativos en las redes sociales o profesionales, así como en el tratamiento adecuado de los datos confidenciales.

Intrusión

Los atacantes entran en el entorno objetivo. Los métodos de entrada más comunes incluyen correos electrónicos de suplantación de identidad, actualizaciones de software comprometidas, unidades USB infectadas o explotación de sistemas con acceso a Internet. Los atacantes de Ucrania utilizaron la suplantación de identidad con archivos adjuntos malintencionados de Microsoft Office, lo que permitió instalar el malware BlackEnergy y el punto de apoyo necesario para las acciones de seguimiento.

Controles defensivos: Siga las mejores prácticas de ciberseguridad informática empresarial, incluidas soluciones sólidas de seguridad del correo electrónico con funciones avanzadas de protección contra amenazas y espacio aislado, soluciones antivirus/EDR para estaciones de trabajo corporativas, sistemas de detección de intrusos en la red y centros de operaciones de seguridad (prestación de servicios internos o gestionados). Asegúrese de que los equipos de OT están alineados y actualizados con la estrategia de ciberseguridad de TI empresarial.

Pivote a OT

Tras acceder a las redes informáticas corporativas, los atacantes buscan extender su alcance a las redes OT, como las que se encuentran en las subestaciones digitales. Esto se hace normalmente explotando soluciones de acceso remoto inseguras, robando credenciales de usuario válidas de sistemas de TI comprometidos o utilizando dispositivos transitorios infectados, como teléfonos y ordenadores portátiles. El uso de unidades USB infectadas en el ataque de Stuxnet es un ejemplo de cómo incluso las redes aisladas pueden verse comprometidas. En el ataque de Ucrania, los atacantes utilizaron credenciales robadas de los sistemas de TI para acceder a las redes OT a través de conexiones VPN.

Controles defensivos: Establezca políticas estrictas para los medios extraíbles y los dispositivos externos. Mantenga un inventario de activos actualizado de todo el software y el firmware y mantenga los activos actualizados con parches de seguridad firmados digitalmente (en la medida en que lo permitan las operaciones). Las soluciones de control de acceso a la red (NAC) pueden impedir que dispositivos no autorizados se conecten a las redes de subestaciones, mientras que la red entre las redes de TI y TO y las zonas de subestaciones interrumpe el movimiento lateral. Implemente sistemas de detección de intrusos (IDS) industriales que entiendan los protocolos de OT y puedan identificar las comunicaciones anómalas. Proteja el acceso remoto mediante la autenticación multifactor y asegúrese de que el acceso remoto de terceros (normalmente para el mantenimiento del proveedor) esté protegido de manera similar. Elimine las credenciales por defecto en todos los IED, relés y dispositivos de red, idealmente implementando un control de acceso basado en funciones. Por último, las evaluaciones periódicas de las vulnerabilidades de las redes OT ayudan a identificar los puntos débiles antes que los atacantes.

Ejecutar un ataque de OT

La fase final implica que los atacantes logren sus objetivos, ya sea el robo de datos, la manipulación del sistema o las acciones destructivas. En Ucrania, esto significaba abrir disyuntores (a través de HMI de subestación) para provocar cortes de energía. Los atacantes de Ucrania utilizaron cargas de firmware malintencionadas para cortar las comunicaciones con los dispositivos de campo y, al mismo tiempo, ejecutaron ataques de denegación de servicio a los centros de llamadas, lo que retrasó los esfuerzos de recuperación y frustró a los clientes que no podían obtener respuestas.

Controles defensivos: Implemente sistemas instrumentados de seguridad (SIS) que funcionen de forma independiente de los sistemas de control. Mantener copias de seguridad de las configuraciones sin conexión y comprobar los procedimientos de restauración. Realice regularmente ejercicios de mesa y simulacros de respuesta a incidentes específicos para los entornos de TO, para garantizar una respuesta rápida incluso cuando los controles de ciberseguridad fallan.

Juntándolo todo: un marco procesable

Cuando defender las subestaciones digitales, implementar los controles de seguridad es solo la mitad de la batalla y las empresas eléctricas también deben alinear los controles con los marcos regulatorios e industriales establecidos y planificar las medidas defensivas según los requisitos del CIP del NERC y el Marco de Ciberseguridad (CSF) del NIST.

Alineación NERC CIP

Los estándares de protección de infraestructuras críticas (CIP) de la Corporación de Confiabilidad Eléctrica de Norteamérica establecen requisitos obligatorios para la ciberseguridad de los sistemas de energía masiva. Los estándares clave relacionados con las subestaciones digitales incluyen:

CIP-004 (Personal y formación): Se centra en el elemento más importante de la ciberseguridad: los seres humanos. Establece los requisitos para la contratación, el entrenamiento y la incorporación y la baja.

CIP-005 (Electronic Security Perimeters): Aborda las medidas de segmentación de la red y control de acceso analizadas en Defender contra la intrusión y pasar a la OT.

CIP-007 (System Security Management): Cubre el «bloqueo y la lucha» diarios de la ciberseguridad: la gestión de parches, la prevención del malware, la supervisión de los eventos de seguridad y la gestión de cuentas. Esto incluye las prácticas de protección de puntos finales, registro y gestión de vulnerabilidades esenciales para la detección temprana.

CIP-008 (Planificación de respuesta a incidentes): Garantiza que las organizaciones desarrollen, mantengan y practiquen su capacidad de respuesta a los ataques.

CIP-009 (Planificación de la recuperación): Se centra en volver a la «normalidad» tras un ataque. Garantiza que los procedimientos de respaldo se despliegan y verifican y que la restauración se comprueba periódicamente para comprobar su velocidad y precisión.

CIP-010 (gestión de cambios de configuración): Define las configuraciones de referencia para los activos y establece un proceso estructurado de gestión de cambios para esas líneas de base, que incluye las pruebas de parches para garantizar la integridad operativa. También incluye requisitos para las evaluaciones periódicas de la vulnerabilidad.

CIP-015 (Internal Network Security Monitoring): La nueva norma del CIP, aprobada en el verano de 2025 y que entrará en vigor a partir de octubre de 2028. El CIP-015 consiste en saber lo que ocurre «en la red»: monitorizar las redes OT, detectar cualquier actividad anómala y tomar decisiones de respuesta informadas.

Integración con el CSF del NIST

El Marco de Ciberseguridad del NIST proporciona un enfoque flexible y basado en el riesgo, organizado en torno a seis funciones principales que representan una estrategia de ciberseguridad integral:

Gobernar: Establecer y supervisar la estrategia, las expectativas y las políticas de gestión de riesgos de ciberseguridad de la organización.

Identifique: Desarrollar una comprensión común del riesgo de ciberseguridad en los sistemas, los activos, los datos y las personas. Obtenga visibilidad de la postura de seguridad actual y los riesgos asociados.

Proteger: Implemente los controles técnicos descritos anteriormente: segmentación de la red, controles de acceso, protección de puntos finales, etc. Su objetivo es reducir la superficie de ataque general que un atacante puede utilizar para hacerse un hueco en la red.

Detectar: Implemente capacidades para identificar correctamente la aparición de eventos malintencionados de ciberseguridad de manera oportuna. Utilice los datos agregados de una amplia variedad de activos para añadir contexto a la visibilidad.

Responda: Al detectar un ciberataque, tome medidas para frenar el progreso de los atacantes, mitigar el impacto y, en última instancia, expulsar a los atacantes de la red.

Recuperarse: Tras neutralizar una amenaza, restablezca cualquier capacidad o servicio que se haya visto afectado a causa del incidente. Utilice las lecciones aprendidas para informar la futura estrategia de seguridad.

Combinar NERC CIP, NIST CSF y controles defensivos

Requisito de NERC CIP

Funciones del CSF del NIST

Ejemplos de control defensivo

CIP-004

Gobernar, identificar

Concienciación de los empleados sobre la seguridad

CIP-005

Identificar, proteger

Cortafuegos, DMZ, acceso remoto seguro

CIP-007

Proteger, detectar, responder, recuperar

Parchear, registrar, reforzar el sistema

CIP-008

Responda

Ejercicios de respuesta a incidentes

CIP-009

Recuperarse

Copias de seguridad sin conexión, procedimientos de recuperación de pruebas

CIP-010

Gobernar, identificar, proteger

Gestión del cambio, evaluaciones de vulnerabilidades

CIP-015

Detectar, responder

ID de red OT, registro de red

Conclusión

El ataque a Ucrania de 2015 demostró que las subestaciones digitales representan objetivos críticos en los que las cibervulnerabilidades pueden traducirse directamente en consecuencias físicas. Sin embargo, al entender la cadena de muerte del atacante e implementar defensas por niveles, las utilidades pueden reducir significativamente su perfil de riesgo. Con la aceptación de los equipos de TI y OT y una aplicación cuidadosa de la estrategia, las subestaciones digitales pueden tener una base de seguridad excepcionalmente sólida y estar preparadas para lo que los atacantes puedan intentar a continuación.

Este artículo se publicó originalmente en Energía limpia en Norteamérica.