Un marco práctico para proteger las subestaciones digitales

Para entender mejor cómo proteger las subestaciones digitales, tomemos la perspectiva del atacante usando el Sistema de Control Industrial Kill Chain. Esta cadena de muerte organiza las acciones de los atacantes en una serie de operaciones que se construyen unas sobre otras para producir el efecto deseado al final de la cadena (en nuestro ejemplo de Ucrania, pérdida de energía eléctrica). Para nuestros propósitos, usaremos una versión condensada de la cadena de muerte, describimos los pasos como Preparación, Intrusión, Pivote a OT, Ejecución de OT y Ataque.

Preparación

Los atacantes comienzan por reunir información sobre su objetivo. Para las empresas de servicios públicos, esto podría incluir identificar ubicaciones de subestaciones, comprender la arquitectura SCADA, investigar el equipo del proveedor y mapear la infraestructura de red. Los atacantes de Ucrania de 2015 pasaron meses estudiando sus objetivos. Del mismo modo, el ataque de Colonial Pipeline 2021 comenzó con un reconocimiento que identificó credenciales VPN vulnerables.

Controles defensivos: Las empresas de servicios públicos deben minimizar su huella digital limitando la información disponible públicamente sobre las configuraciones de subestaciones y los sistemas de control. La training de concientización sobre seguridad de los empleados debe enfatizar los riesgos de compartir demasiado los detalles operativos en las redes sociales o redes profesionales, así como el manejo adecuado de los datos confidenciales.

Intrusión

Los atacantes obtienen acceso al entorno objetivo. Los métodos de entrada comunes incluyen correos electrónicos de phishing spear-phishing, actualizaciones de software comprometidas, unidades USB infectadas o explotación de sistemas conectados a Internet. Los atacantes de Ucrania utilizaron spear-phishing con archivos adjuntos maliciosos de Microsoft Office, lo que permitió la instalación del malware BlackEnergy y la base necesaria para las acciones de seguimiento.

Controles defensivos: Siga las mejores prácticas para la ciberseguridad de TI empresarial, incluidas soluciones sólidas de seguridad de correo electrónico con capacidades avanzadas de protección contra amenazas y sandboxing, soluciones antivirus/EDR para estaciones de trabajo corporativas, sistemas de detección de intrusiones de red y centros de operaciones de seguridad (ya sean internos o administrados). Asegúrese de que los equipos de OT estén alineados y actualizados con la estrategia de ciberseguridad de TI empresarial.

Pivote a OT

Habiendo obtenido acceso a las redes corporativas de TI, los atacantes buscan extender su alcance a las redes OT como las que se encuentran en las subestaciones digitales. Esto generalmente se hace mediante la explotación de soluciones de acceso remoto inseguras, el robo de credenciales de usuario válidas de sistemas de TI comprometidos o la utilización de dispositivos transitorios infectados como teléfonos y computadoras portátiles. El uso de unidades USB infectadas en el ataque de Stuxnet es un ejemplo de cómo incluso las redes con problemas de aire pueden verse comprometidas. En el ataque de Ucrania, los atacantes utilizaron credenciales robadas de sistemas de TI para acceder a redes OT a través de conexiones VPN.

Controles defensivos: Establezca políticas estrictas para medios extraíbles y dispositivos externos. Mantenga un inventario de activos actualizado de todo el software y firmware, y mantenga los activos actualizados con parches de seguridad firmados digitalmente (tanto como lo permitan las operaciones). Las soluciones de control de acceso a la red (NAC) pueden evitar que dispositivos no autorizados se conecten a redes de subestaciones, mientras que la red entre las redes de TI y OT y las zonas de subestaciones interrumpirá el movimiento lateral. Implemente sistemas industriales de detección de intrusiones (IDS) que comprendan los protocolos OT y puedan identificar comunicaciones anómalas. Asegure el acceso remoto mediante autenticación multifactor y asegúrese de que el acceso remoto de terceros (generalmente para el mantenimiento del proveedor) esté protegido de manera similar. Elimine las credenciales predeterminadas en todos los IEDs, relés y dispositivos de red, idealmente implementando el control de acceso basado en roles. Finalmente, las evaluaciones regulares de vulnerabilidad de las redes OT ayudan a identificar las debilidades antes que los atacantes.

Ejecute el ataque OT

La etapa final implica que los atacantes alcancen sus objetivos, ya sea robo de datos, manipulación del sistema o acciones destructivas. En Ucrania, esto significaba abrir interruptores (a través de HMI de subestación) para crear cortes de energía. Los atacantes de Ucrania utilizaron cargas maliciosas de firmware para interrumpir las comunicaciones a los dispositivos de campo mientras ejecutaban ataques de denegación de servicio a los centros de llamadas, lo que llevó a retrasos en los esfuerzos de recuperación y a clientes frustrados que no podían obtener respuestas.

Controles defensivos: Implemente sistemas instrumentados de seguridad (SIS) que operen independientemente de los sistemas de control. Mantenga copias de seguridad fuera de línea de las configuraciones y verifique los procedimientos de restauración. Realice ejercicios de mesa regulares y simulacros de respuesta a incidentes específicos para entornos de OT, para garantizar una respuesta rápida incluso cuando fallan los controles de ciberseguridad.

Cuando la defensa de subestaciones digitales, implementar controles de seguridad es solo la mitad de la batalla y las empresas eléctricas también deben alinear los controles con los marcos regulatorios y de la industria establecidos y mapear medidas defensivas tanto a los requisitos de NERC CIP como al Marco de Cybersecurity del NIST (CSF).

Alineación NERC CIP

Los estándares de Protección de Infraestructura Crítica (CIP) de North American Electric Reliability Corporation proporcionan requisitos obligatorios para la ciberseguridad de los sistemas de energía a granel. Los estándares clave relevantes para las subestaciones digitales incluyen:

CIP-004 (Personal y capacitación): Se centra en el elemento más crítico de la ciberseguridad: los humanos. Expone los requisitos de contratación, training e incorporación/desincorporación.

CIP-005 (perímetros electrónicos de Security): Aborda la segmentación de la red y las medidas de control de acceso discutidas en la defensa contra la intrusión y el pivote hacia OT.

CIP-007 (Administración de Security del sistema): Cubre el “bloqueo y la lucha” diarios de la ciberseguridad: administración de parches, prevención de malware, monitoreo de eventos de seguridad y administración de cuentas. Esto incluye la protección de puntos finales, el registro y las prácticas de administración de vulnerabilidades esenciales para la detección temprana.

CIP-008 (Planificación de respuesta a incidentes): Asegura que las organizaciones desarrollen, mantengan y practiquen su capacidad para responder a los ataques.

CIP-009 (Planificación de recuperación): Se centra en volver a la “normalidad” después de un ataque. Asegura que los procedimientos de backup se implementen y verifiquen, y que la restauración se pruebe periódicamente para verificar la velocidad y precisión.

CIP-010 (Administración de cambios de configuración): Define las configuraciones de línea base para los activos y establece un proceso estructurado de administración de cambios para esas líneas base, para incluir pruebas de parches para la integridad operativa. También incluye requisitos para evaluaciones periódicas de vulnerabilidades.

CIP-015 (Monitoreo interno de la Security de la red): El estándar CIP más nuevo, aprobado en el verano de 2025 y que entrará en vigor a partir de octubre de 2028. CIP-015 se trata de saber lo que está sucediendo “por cable”: monitorear las redes OT, detectar cualquier actividad anómala y tomar decisiones de respuesta informadas.

Integración NIST CSF

El marco de Cybersecurity del NIST proporciona un enfoque flexible basado en el riesgo organizado en torno a seis funciones principales que representan una estrategia integral de ciberseguridad:

Gobernar: Establecer y monitorear la estrategia de administración de riesgos de ciberseguridad, expectativas y políticas de la organización.

Identifique: Construya una comprensión común del riesgo de ciberseguridad en todos los sistemas, activos, datos y personas. Obtenga visibilidad sobre la postura de seguridad actual y los riesgos asociados.

Proteja: Implemente los controles técnicos discutidos anteriormente: segmentación de red, controles de acceso, protección de puntos finales, etc. Apunte a reducir la superficie de ataque general que un atacante puede utilizar para afianzar su posición en la red.

Detectar: Implemente capacidades para identificar correctamente la ocurrencia de eventos maliciosos de ciberseguridad de manera oportuna. Utilice datos agregados de una amplia variedad de activos para agregar contexto a la visibilidad.

Responda: Al detectar un ataque cibernético, tome medidas para reducir el progreso de los atacantes, mitigar el impacto y, en última instancia, expulsar a los atacantes de la red.

Recuperar: Después de haber neutralizado una amenaza, restaure cualquier capacidad o servicio que se haya deteriorado debido al incidente. Utilice las lecciones aprendidas para informar la futura estrategia de seguridad.

Combinación de NERC CIP, NIST CSF y controles defensivos

Conclusión

El ataque de 2015 en Ucrania demostró que las subestaciones digitales representan objetivos críticos donde las vulnerabilidades cibernéticas pueden traducirse directamente en consecuencias físicas. Sin embargo, al comprender la cadena de muerte del atacante e implementar defensas en capas, las utilidades pueden reducir significativamente su perfil de riesgo. Con la aceptación de los equipos de TI y OT, y una aplicación reflexiva de la estrategia, las subestaciones digitales pueden colocarse sobre una base de seguridad excepcionalmente sólida y estar preparadas para lo que los atacantes puedan probar a continuación.