PDF de programación - Una revisión de ciberdefensa de infraestructura crítica

Imágen de pdf Una revisión de ciberdefensa de infraestructura crítica

Una revisión de ciberdefensa de infraestructura críticagráfica de visualizaciones

Publicado el 28 de Agosto del 2018
801 visualizaciones desde el 28 de Agosto del 2018
267,6 KB
34 paginas
Creado hace 9a (12/11/2014)
UNA REVISIÓN DE CIBERDEFENSA DE

INFRAESTRUCTURA CRÍTICA*

A Review of Cyber Defense of Critical Infrastructure

Juan Anabalón R.** y Eric Donders O***

RESUMEN:
El descubrimiento del gusano Stuxnet,
malware que afectó el proyecto nuclear
iraní en Natanz el año 2010, se considera
como el puntapié inicial de lo que se co-
noce como ciberguerra. Después de este
descubrimiento y las nuevas revelaciones
hechas por Edward Snowden respecto del
masivo espionaje realizado por la NSA, han
proporcionado un nuevo contexto político
y estratégico en cuanto a las nuevas ame-
nazas cibernéticas.
En este trabajo se realiza una revisión de las
actuales amenazas cibernéticas y la infraes-
tructura crítica que puede verse afectada,
con especial énfasis en el sistema eléctrico
nacional y se establecen los nuevos desa-
fíos tecnológicos que conciernen a tales
infraestructuras críticas automatizadas.

Palabras clave: Ciberguerra, ciberdefensa,
infraestructura crítica

ABSTRACT:
The discovery of the Stuxnet worm,
malware that hit the
Iranian nuclear
project in Natanz in 2010, is considered
as the initial tip of what is known as
cyberwar. After this discovery and the new
revelations made by Edward Snowden on
massive spying by the NSA, they have
provided a new political and strategic
context in terms of the new cyber threats.
This paper is a review of the current cyber
threats and critical infrastructure that may
be affected, with special emphasis on the
national electricity system and sets new
technological challenges related to such
automated critical infrastructure.

Key words: Cyberwar, cyberdefense,
critical infrastructure.

* Recibido: enero de 2014; aceptado: mayo de 2014. Este artículo es uno de los productos de la
tesis “Una Evaluación de Vulnerabilidades en Sistemas de Control de Supervisión y Adquisición
de Datos (SCADA) en Plantas de Generación Eléctrica”. Trabajo de titulación para obtener el
grado de Magíster en Seguridad, Peritaje y Auditoría en Procesos Informáticos de la Universidad
de Santiago de Chile.

** O cial de Seguridad de la Información (CISO) e investigador independiente, Ingeniero de
ejecución en Informática y Licenciado en Ciencias de la Ingeniería, Magíster (c) en Seguridad,
Peritaje y Auditoría en Procesos Informáticos de la Universidad de Santiago de Chile. rodrigo_
[email protected].

*** O cial de Seguridad de la Información (CISO), Ingeniero en informática de la Universidad de Chile, Máster
en Seguridad Informática de la Universidad Central de Chile, académico del Magíster en Seguridad,
Peritaje y Auditoría en Procesos Informáticos de la Universidad de Santiago de Chile. [email protected].

ESD. Estudios de Seguridad y Defensa Nº 3, jun. 2014

131

Juan Anabalón R. y Eric Donders O.

INTRODUCCIÓN

Antiguamente, los procesos de cybersecurity estaban alejados de toda actividad
militar e inteligencia, sin embargo, con el devenir de los avances tecnológicos y la
informatización de todas las operaciones, los procesos de cybersecurity son actividades
que no deben despreocuparse tanto a nivel logístico, táctico y operacional.

Tal como en el mundo civil, en la industria militar se opera a través de
procesos industriales automatizados y los sistemas SCADA (Supervisory
Control and Data Acquisition) son parte importante en todo el proceso.

Un ataque cibernético directo y certero contra este tipo de infraestructura
puede tener serias consecuencias para la continuidad operacional de los
sistemas por lo que se hace necesario considerar todo tipo de acciones para
proteger, asegurar y promover conductas de seguridad en la implementación
y mantención de Sistemas de Control Industrial (ICS, por su sigla en inglés).

En seguridad informática, una vulnerabilidad implica que existen puntos
débiles en la infraestructura tecnológica, políticas o de procedimientos, por lo que
un atacante puede utilizar un conjunto de aplicaciones o métodos para romper la
seguridad y explotar los puntos débiles en las redes y comprometer los sistemas.

Una de las actividades extendidas en ambiente de redes IT, para poder
aplicar contramedidas a estas vulnerabilidades, consiste en adelantarse a las
acciones maliciosas y realizar una intensiva búsqueda de vulnerabilidades
antes que un atacante real las descubra primero.

Un análisis de vulnerabilidades o Ethical Hacking es un buen comienzo para
descubrir problemas de seguridad en redes y sistemas SCADA y pueden ser
aplicados sin mayor inversión. Este tipo de actividad se puede transformar en
el puntapié inicial de un programa de seguridad informático con un enfoque
holístico y de proceso para la administración de la infraestructura crítica.

Infraestructura crítica: descripción general infraestructura

Las infraestructuras críticas son sistemas físicos y sistemas basados en
sistemas computacionales complejos que forman parte importante en una
sociedad moderna y su funcionamiento able y seguro es de suma importancia
para la vida económica y la seguridad nacional1.

1

TEN, Chee-Wooi and LIU, Chen-Ching. Cybersecurity for Critical Infrastructures: Attack and

132

ESD. Estudios de Seguridad y Defensa Nº 3, jun. 2014

UNA REVISIÓN DE CIBERDEFENSA DE INFRAESTRUCTURA CRÍTICA

Si llegase a ocurrir un incidente de seguridad en estos sistemas podría tener
incluso impacto a nivel nacional, un gran impacto en los sistemas físicos que
dependen de tales sistemas y un gran impacto en la vida de los ciudadanos.

La seguridad física de la infraestructura de las plantas industriales es
muy importante para evitar actos vandálicos comunes en subestaciones o
plantas de gas. Sin embargo, la seguridad en redes es tan importante como
la seguridad física debido al impacto potencial que se puede alcanzar al
manipular maliciosamente, por ejemplo, los sistemas SCADA o PLC de una
planta eléctrica, de agua, gas, petróleo, cobre u otro tipo.

Por ejemplo, dentro del sistema eléctrico se puede encontrar este tipo de

sistemas en distintas instalaciones y en distintas funciones operativas.

Generación de Energía: Los sistemas SCADA tienen mucha presencia
en el sector de la energía, especialmente en las plantas de generación
termoeléctricas como de generación hidráulica. No obstante también existen
instalaciones más pequeñas, como plantas de generación eólicas que están
empezando a instalarse en nuestro país.

Distribución y Transmisión: Al igual que en los sistemas de generación, los
sistemas SCADA se encuentran ampliamente extendidos en la distribución
de energía. Estos sistemas de transmisión y distribución tienen un grado
de dependencia muy alto respecto a esta tecnología, ya que estos sistemas
igualmente deben ser monitoreados y controlados de forma remota.

Infraestructura crítica eléctrica en Chile

En Chile se han desarrollado algunos estudios de infraestructura crítica
a nivel gubernamental por distintas secretarías de Estado. En el caso de la
infraestructura crítica de telecomunicaciones se re ere a “aquellas redes
cuya interrupción o destrucción podría producir un serio impacto en la salud,
seguridad o bienestar de la población o producir un serio impacto en el
funcionamiento del gobierno o de la economía del país”2.

2

Defense Modeling. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and
Humans. July 2010. Vol. 40, no. 4, p. 853 – 865. DOI 10.1109/TSMCA.2010.2048028.
ZAGREB, Consultores Ltda., SUBSECRETARÍA DE TELECOMUNICACIONES y MINISTERIO
DE TRANSPORTE Y TELECOMUNICACIONES. Estudio para la de nición e identi cación de
infraestructura crítica de la información en Chile. Diciembre 2008.

ESD. Estudios de Seguridad y Defensa Nº 3, jun. 2014

133

Juan Anabalón R. y Eric Donders O.

En este sector, los elementos de red más críticos corresponden a las redes
de transporte y estos además están seriamente expuestos a amenazas de
tipo físico debido a que sus componentes están emplazados en espacios
no controlados. Estas redes cuentan con respaldos de otros operadores, sin
embargo la cercanía que existe entre sí, en ciertos tramos, reducen la efectividad
esperada. Además, existen sitios (edi cios) de los distintos operadores
altamente concentrados en cuanto a redes y nodos, que los transforman
en importantes puntos de falla en caso de amenazas. Sin embargo, los
operadores de telecomunicaciones trabajan cooperativamente y se respaldan
mutuamente y cada operador cuenta con los sistemas de protección en sus
redes y nodos que permiten proveer servicios con alto nivel de disponibilidad.

No obstante, no se han identi cado estudios coordinados con entidades
relacionadas como Carabineros, FF.AA., Bomberos, etc. que puedan identi car
los riesgos y amenazas comunes que permitan de nir un plan de seguridad
adecuado y transversal en los organismos de Estado.

Después que

la recuperación de

las redes de telecomunicaciones
posterior al terremoto del 27 de febrero de 2010 tuvo muy mal desempeño, el
Gobierno de la época decidió promover una modi cación legal para proteger
las comunicaciones del país en caso de desastres, la Ley N° 20.478, sobre
Recuperación y Continuidad en Condiciones Críticas del Sistema Público de
Telecomunicaciones3 fue publicada en el Diario O cial el 10 de diciembre de
2010, esta permite garantizar la continuidad de los servicios del sistema público
de telecomunicaciones tomando medidas para su protección e incorporando
la Internet como un servicio público, Además, se dict
  • Links de descarga
http://lwp-l.com/pdf13258

Comentarios de: Una revisión de ciberdefensa de infraestructura crítica (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad