Hacking ONESEC

¡Contáctanos!

9 tipos de vulnerabilidades que deberías conocer, si te dedicas a seguridad en OT

Alejandro Cisneros

·

·

, , ,

Introducción

La modernización de los Sistemas de Control Industrial (ICS) ha traído eficiencia operacional sin precedentes, pero posiblemente con un costo que no hemos dimensionado del todo, como la exposición masiva de infraestructura crítica a las amenazas latentes cibernéticas. Como ya se ha mencionado en el artículo “IT vs OT: Dos mundos, una convergencia inevitable” lo que antes eran sistemas propietarios aislados, hoy son arquitecturas híbridas conectadas a redes corporativas, Internet y la nube.

Entiéndase sistemas propietarios aislados, como sistemas físicamente desconectados de otras redes y propietarios ya que sus protocolos y tecnologías eran desarrollados específicamente por el fabricante, no estaban públicamente documentados ni eran compatibles con otras marcas; esto creaba “seguridad por oscuridad”, un atacante necesitaba conocimiento muy especializado sobre ese sistema específico.

Imagine una central eléctrica construida en los años 90. En ese entonces, sus sistemas de control estaban completamente aislados del mundo exterior, la seguridad residía en la desconexión física, no había acceso a internet, ni redes corporativas conectadas ni acceso remoto. El único camino para atacar estos sistemas era entrar físicamente a la instalación. Los protocolos de comunicación eran propietarios, conocidos solo por ingenieros especializados, y el software no se actualizaba porque simplemente no había necesidad, pues el sistema funcionaba bien.

Avancemos 30 años. Esa misma central ahora necesita enviar datos de producción en tiempo real a ejecutivos para toma de decisiones estratégicas. Los operadores requieren acceso remoto para responder rápidamente a emergencias. Los vendors (proveedores) necesitan conectarse para diagnósticos predictivos y mantenimiento. La integración con sistemas empresariales es esencial para optimizar operaciones.

Comparativa visual de la evolución en ciberseguridad industrial: planta eléctrica antigua aislada (Air-gapped) de los 90s versus planta moderna conectada (Convergencia IT/OT) con múltiples vectores de acceso remoto.

Como resultado cada vulnerabilidad descubierta en sistemas IT estándar, cada técnica de hacking publicada, cada herramienta de pentesting disponible públicamente, ahora podrían ser aplicable a esa central eléctrica que alguna vez estuvo aislada.

Este artículo identifica 9 vulnerabilidades críticas en entornos de Tecnología Operacional (OT) basándose en material de la Cybersecurity and Infrastructure Security Agency (CISA), agencia federal de Estados Unidos cuya misión principal es proteger la infraestructura crítica física y cibernética de la nación. Cada vulnerabilidad identificada representa un riesgo tangible para operaciones críticas de infraestructura que sostienen la energía eléctrica, el agua potable, así como para empresas con áreas de OT en sectores como la manufactura y otros servicios esenciales en nuestra sociedad.

Contexto y causas de vulnerabilidades en OT

El fin de la seguridad por oscuridad

La seguridad por oscuridad fue durante décadas una estrategia de protección implícita en entornos OT. Los protocolos propietarios eran conocidos únicamente por quienes los diseñaron o por personal con entrenamiento altamente especializado. Sin embargo, la adopción de protocolos de comunicación estándar y abiertos (como Ethernet, TCP/IP y Modbus TCP) cambió completamente este panorama.

Estos protocolos modernos están exhaustivamente documentados, lo cual es excelente para la interoperabilidad entre diferentes fabricantes y sistemas, pero elimina por completo la protección que ofrecía la oscuridad. Las vulnerabilidades de estos protocolos están bien conocidas, ampliamente documentadas y son objeto de constante investigación por la comunidad de seguridad. Lo que antes era una cerradura única y compleja, ahora es una cerradura estándar que cualquier experto en seguridad puede estudiar, analizar e intentar forzar.

Los activos en la mira

Todo hardware o software que procese, almacene o transmita información digitalmente es vulnerable a ciberataques. La diferencia crítica radica en si esa vulnerabilidad es explotable. En otras palabras, cualquier sistema puede ser atacado, pero no todo ataque será exitoso. En entornos de control industrial, se reconocen al menos ocho tipos de activos digitales que se han convertido en objetivos principales para adversarios cibernéticos:

ActivoBreve descripción de función
Dispositivos de red (switches, routers)Gestionan el tráfico, enrutamiento y segmentación de la red.
Controladores Lógicos Programables (PLCs)Permite controlar dispositivos electromecánicos y automatizar procesos industriales.
Unidades Terminales Remotas (RTUs)Conecta objetos del mundo físico con un sistema central para su monitoreo y control remoto.
Estaciones de Interfaz Humano-Máquina (HMI)Panel o pantalla que conecta al operador con la máquina para ver datos y controlarla.
Servidores de adquisición de datos y Data HistoriansServidores que capturan variables de proceso y las almacenan cronológicamente para mantener un registro histórico y analizar el rendimiento de la planta.
Estaciones de ingenieríaDonde se programa y configura el sistema.
Dispositivos de acceso remotoLa puerta de entrada desde el exterior.
Servidores de autenticación y autorizaciónControlan quién puede hacer qué.

Incluso los sistemas de seguridad integrados (SIS Safety Instrumented Systems) están en riesgo si se conectan directamente a la red del sistema de control. Estos son sistemas diseñados para proteger vidas humanas en caso de fallos operacionales, y su compromiso podría tener consecuencias catastróficas.

La realidad es que existen múltiples vías para comunicarse con una red ICS y sus componentes. En un sistema mal configurado cualquier persona con conocimientos en equipos de proceso, redes, sistemas operativos y aplicaciones de software puede potencialmente ganar acceso. La superficie de ataque se ha expandido exponencialmente con las revoluciones tecnológicas que estamos viviendo.

Listado de los 9 tipos de vulnerabilidades:

Basándonos en los recursos digitales compartidos al público por CISA (Cybersecurity and Infrastructure Security Agency), se identificaron nueve categorías de vulnerabilidades que sistemáticamente ponen en riesgo la seguridad de sistemas OT. Cada una representa no solo una debilidad técnica, sino una brecha en la defensa de infraestructura.

1. Calidad de código Deficiente (Poor Code Quality)

Una de las causas primarias de vulnerabilidades de seguridad en software y firmware de sistemas de control es el uso de técnicas de programación deficientes. La mayoría de los desarrolladores no escriben código con fallas de seguridad intencionalmente. El problema muchas veces radica en las prioridades de diseño, imagine a un ingeniero que debe construir un puente, éste se centra exclusivamente en que no se caiga bajo el peso del tráfico, en que los materiales sean adecuados, que no entre en resonancia con el viento, que los vehículos tengan correctas contenciones de seguridad, esto suena bien, pero el ingeniero nunca consideró que alguien podría escalarlo desde cierta columna para colocar explosivos en un punto crítico y derribarlo. El puente cumple perfectamente su función operacional y contempla una gran cantidad de factores, sin embargo es completamente vulnerable a amenazas que nunca se consideraron durante su diseño.

Los sistemas ICS se desarrollan con un enfoque absoluto en disponibilidad y resiliencia. Cuando el requisito de alta disponibilidad es la prioridad número uno, la seguridad frecuentemente no se considera durante el ciclo de vida de desarrollo. Esto no era un problema cuando los sistemas operaban aislados. Se convirtió en un problema crítico cuando se conectaron al mundo.

El problema se exacerba dramáticamente en sistemas de control que pueden tener décadas de antigüedad, ejecutando código que no ha sido actualizado desde su instalación original. Cambiar las prácticas de codificación o reescribir el código fuente de un producto emblemático puede ser extraordinariamente costoso tanto para vendors como para clientes. Aplicar parches en un entorno operacional es frecuentemente difícil o imposible sin tiempo de inactividad planificado, algo que muchas operaciones críticas simplemente no pueden permitirse.

¿Cómo se explotan?

Los atacantes explotan funciones y características del código que son potencialmente peligrosas en arquitecturas modernas y fueron incluidas en aplicaciones ICS propietarias para facilitar operaciones pensadas para otros contextos:

  • Funciones que asumen que todas las entradas son confiables
  • Ausencia de validación de límites (permitiendo buffer overflows)
  • Lógica de negocio expuesta que puede ser manipulada
  • Código de depuración dejado en versiones de producción
Contramedidas clave:

Los propietarios de ICS deben exigir que los vendors certifiquen que sus desarrolladores están entrenados en prácticas de codificación segura como parte integral de su proceso de control de calidad. También deben crear canales de comunicación efectivos para aprender rápidamente de problemas de seguridad basados en código y recibir y desplegar parches de manera eficiente. Aumentar la conciencia de ciberseguridad en el ciclo de vida de desarrollo de sistemas y software ayuda a propietarios de activos y vendors a entender la necesidad de construir seguridad proactivamente en el sistema desde el diseño, lo cual incrementará significativamente la seguridad de productos ICS.

2. Servicios Web Vulnerables (Vulnerable Web Services)

Es como instalar una puerta trasera súper conveniente en una bóveda bancaria para que los empleados puedan entrar rápidamente cuando olvidan algo. La puerta es increíblemente útil para operaciones diarias, pero también es increíblemente útil para un ladrón que descubra su existencia.

Servicios web embebidos, herramientas de diagnóstico remoto, características de reporteo y otras capacidades de valor agregado tradicionalmente no usadas en soluciones de sistemas de control están siendo cada vez más implementadas en campo, mientras que los servicios basados en web y remotos permiten a los operadores ICS gestionar, monitorear y controlar sistemas de manera más eficiente, este enfoque puede introducir vulnerabilidades de seguridad significativas en la arquitectura del sistema de control.

El ejemplo crítico

Muchos proveedores de sistemas de control satisfacen las demandas de sus clientes integrando interfaces fáciles de usar para gestionar equipos. Un ejemplo es incorporar servicios web simples y económicos directamente en sus dispositivos de campo. Esto permite a los operadores controlar y administrar equipos críticos desde cualquier lugar a través de un navegador web o de Internet.

El problema es que sin un análisis de seguridad adecuado de esa interfaz web, puede ser usada como un vector de ataque directo hacia equipos de campo. Lo que era una característica conveniente se convierte en una vulnerabilidad explotable.

Muchos dispositivos industriales (PLCs, variadores, medidores inteligentes) traen servidores web integrados habilitados por defecto que los ingenieros a veces ni siquiera saben que están ahí.

Vulnerabilidades Comunes en Servicios Web ICS

Las vulnerabilidades únicas de servicios remotos ahora están integradas en muchas soluciones de vendors de sistemas de control. Si se explotan, estas vulnerabilidades pueden revelar información significativa a un atacante o proporcionarles acceso al dispositivo mismo:

Gráfico de vulnerabilidades comunes en servicios web ICS: autenticación deficiente, directory traversal, acceso no autenticado e inyección SQL.

Entiéndase como autenticación deficiente al uso de credenciales por defecto, débiles o inexistentes; Directory Traversal como la característica que permite el acceso indebido a archivos de un sistema; acceso no autenticado a la exposición de páginas administrativas sin protección; e inyección SQL como la vulnerabilidad que permite la manipulación directa de bases de datos.

Contramedidas clave:

Todos los servicios web y remotos deben pasar por un análisis de seguridad riguroso antes de ser desplegados en entornos de producción. Esto incluye pruebas de penetración, revisión de código y evaluación de arquitectura de seguridad.

3. Implementación Deficiente de Protocolos de Red (Poor Network Protocol Implementations)

Representación fotorealista de una oficina caótica donde circulan mensajes abiertos y sin sobres que Son leídos por terceros, simbolizando la falta de encriptación y autenticación en las comunicaciones corporativas inseguras.

Imagine un sistema de mensajería corporativa donde los mensajes viajan sin sobres, cualquiera puede leerlos, nadie verifica la identidad del remitente, y no hay forma de confirmar que el mensaje no fue alterado en tránsito. Ese es esencialmente el estado de muchos protocolos de red en ICS.

La mayoría de los nuevos sistemas de control han migrado de usar comunicaciones basadas en serial hacia tecnología de redes basada en Ethernet para proporcionar una infraestructura de comunicaciones más ágil. El uso de TCP/IP (Transmission Control Protocol/Internet Protocol) ha demostrado ser beneficioso tanto para vendors como para propietarios de activos en términos de gestión de red.

Sin embargo, esta migración trajo consigo vulnerabilidades fundamentales del protocolo TCP/IP que nunca fueron diseñadas considerando entornos adversariales.

Vulnerabilidades Críticas en Implementaciones de Protocolos

La falta de validación de entrada resulta en buffer overflow y falta de verificación de límites en servicios de control del sistema, permitiendo a atacantes ejecutar código arbitrario. La autenticación débil o inexistente significa que muchos protocolos de control no autentican comunicaciones, por lo que cualquiera que pueda enviar paquetes correctamente formateados es considerado “confiable”. Los protocolos de control usando verificaciones de integridad débiles permiten modificación de comandos en tránsito sin detección. Y los productos ICS dependiendo de protocolos IT estándar con cifrado débil o mal implementado, o implementaciones propietarias de cifrado que han sido públicamente vulneradas, completan el panorama de riesgo.

¿Cómo se explotan?

La capacidad de hacer spoofing de paquetes IP (técnica de engaño donde un atacante falsifica su dirección de identidad para hacerse pasar por un dispositivo autorizado) y el hecho de que IPv4 no verifica la validez de la dirección de origen ni el puerto de origen en los encabezados de paquetes es una de las vulnerabilidades primarias en la suite de protocolos TCP/IP. A medida que más ICS usan protocolos de comunicación estándar, el potencial para un compromiso basado en IP se escala dramáticamente. Un atacante con acceso a la red puede suplantar (spoofing) comunicaciones legítimas, inyectar comandos maliciosos que parecen venir de fuentes confiables, interceptar y modificar comunicaciones en tránsito (man-in-the-middle), y causar fallos mediante paquetes malformados (buffer overflows).

Contramedidas clave:

Implementar validación rigurosa de entrada, autenticar todas las comunicaciones de control, y utilizar protocolos con verificación de integridad robusta. Donde sea posible, migrar a versiones seguras de protocolos (por ejemplo, de Modbus a Modbus/TCP con TLS).

4. Gestión Deficiente de Parches (Poor Patch Management)

Camión de reparto llamado 'Empresa Sin Parches' envuelto en llamas, con el eslogan 'Primero entregamos, luego nos preocupamos', ilustrando las consecuencias fatales de una gestión deficiente de parches de seguridad y falta de mantenimiento preventivo

Es como operar una flota de vehículos corporativos ignorando todos los llamados de revisión (recalls) de seguridad del fabricante porque llevar los vehículos al taller interrumpiría las entregas. Los vehículos siguen funcionando hasta que un defecto crítico causa un accidente fatal que pudo haberse prevenido.

La gestión de parches en entornos OT es fundamentalmente diferente y más compleja que en entornos IT tradicionales. Mientras que un servidor IT puede ser parchado y reiniciado con relativa facilidad, un sistema de control que opera una planta de manufactura 24/7 no puede simplemente “reiniciarse” para aplicar actualizaciones.

Caso real

El ransomware WannaCry en 2017 explotó la vulnerabilidad EternalBlue en Windows, afectando sistemas de salud, manufactura y otros sectores críticos globalmente. Muchos sistemas ICS fueron impactados no porque la vulnerabilidad fuera desconocida (Microsoft había lanzado un parche meses antes), sino porque los sistemas no pudieron ser parchados a tiempo.

Contramedidas clave:

Desarrollar una estrategia de gestión de parches específica para OT que incluya inventario completo de activos y versiones de software, proceso de evaluación de riesgo para cada parche, entornos de prueba cuando sea posible, ventanas de mantenimiento planificadas, y controles compensatorios cuando el parcheo no sea posible (segmentación, IDS/IPS, listas blancas).

5. Autenticación Débil (Weak Authentication)

La gestión de contraseñas es un componente fundamental de cualquier programa de seguridad. Sin embargo, pocos operadores ICS han provisionado sus sistemas con contraseñas únicas soportadas por políticas de seguridad robustas, tales como cambios rutinarios de contraseñas, especialmente contraseñas predeterminadas (default passwords). Porque los ICS están siempre encendidos (always-on), la mayoría de propietarios de activos ICS usan una contraseña fácil de recordar y compartida para todos los operadores, o las contraseñas predeterminadas nunca se cambian después de la instalación. El razonamiento operacional tiene sentido: esto asegura que los operadores puedan acceder rápidamente al sistema en situaciones de emergencia. El problema: también hace fácil para un atacante hacer exactamente lo mismo.

Algunos vendors han diseñado sus sistemas con contraseñas codificadas internamente (hard-coded) o no modificables (unchangeable). Estas contraseñas son usadas internamente por programas ICS que necesitan autorización para comunicarse con otros recursos computacionales, como bases de datos, o para simplificar instalaciones de software y configuraciones de programas. Es trivial descubrir la mayoría de contraseñas codificadas. Se pasan en texto plano a través de la red, capturables con herramientas como Wireshark. Están abiertamente publicadas en manuales de equipo disponibles en sitios web de vendors o documentadas en foros técnicos y blogs.

¿Cómo se explotan?

Malware avanzado ha sido desarrollado específicamente para explotar contraseñas codificadas en conjunto con otras vulnerabilidades, dejando sistemas que las usan en riesgo significativo. Un atacante puede escanear la red en busca de servicios ICS, intentar credenciales predeterminadas conocidas, capturar credenciales en texto plano del tráfico de red, consultar manuales públicamente disponibles, y ganar acceso administrativo completo al sistema.

Contramedidas clave:

Cambiar todas las contraseñas predeterminadas antes de poner sistemas en producción, implementar políticas de contraseñas robustas (complejidad, rotación), utilizar autenticación multifactor (MFA) donde sea técnicamente posible, eliminar o reemplazar sistemas con contraseñas codificadas no modificables, y cifrar todas las credenciales en tránsito y en reposo.

6. Violación del Principio de Mínimos Privilegios (Least User Privileges Violation)

Se ilustra la Violación del Principio de Mínimos Privilegios (Least User Privileges Violation)

Fallar en este punto es como darle a cada empleado de su organización, desde el cocinero de la cafetería hasta el CEO, acceso completo a todas las bóvedas, todas las cuentas bancarias, y todos los secretos comerciales. Técnicamente conveniente, operacionalmente eficiente, y absolutamente un peligro desde una perspectiva de seguridad. El principio de mínimos privilegios establece que cualquier usuario, programa o proceso debe tener solo los privilegios mínimos necesarios para realizar su función. En entornos ICS, este principio es frecuentemente violado de manera sistemática.

¿Por Qué Se Viola Este Principio en OT?

La justificación histórica era simple, los operadores requerían control completo del sistema. En entornos aislados donde todos los usuarios eran confiables (empleados autorizados físicamente presentes), otorgar privilegios amplios no representaba un riesgo significativo. El enfoque era maximizar la capacidad operacional, no limitar el acceso.

¿Cómo se explotan?

Un atacante que compromete una cuenta de usuario o aplicación con privilegios excesivos puede escalar privilegios rápidamente sin necesidad de exploits adicionales complejos, moverse lateralmente accediendo a otros sistemas usando los privilegios heredados, modificar configuraciones críticas cambiando parámetros operacionales, instalar persistencia creando backdoors con privilegios administrativos, y borrar evidencia modificando o eliminando logs de auditoría.

Contramedida clave:

Implementar el principio de mínimos privilegios mediante control de acceso basado en roles (RBAC) con permisos agrupados por función laboral, separación de deberes con diferentes personas para operación, configuración y auditoría, just-in-time access proporcionando privilegios elevados solo cuando y donde se necesitan, auditoría continua con revisión regular de quién tiene acceso a qué, y principio de “need-to-know” dando acceso solo a información necesaria para la función.

7. Divulgación de Información (Information Disclosure)

Los protocolos en texto plano son comunes en sistemas de control. Esta no fue una decisión de seguridad deficiente en su contexto original, fue una decisión de diseño optimizada para el entorno de despliegue previsto. No había necesidad de defender contra robo de datos porque no había acceso externo. El texto plano hace más fácil integrar sistemas dispares, con propietarios, vendors e integradores presionando por interoperabilidad, por lo que el tráfico en texto plano sigue siendo común. Y los protocolos en texto plano son más simples y rápidos de diagnosticar que protocolos encriptados, un ingeniero con Wireshark puede ver exactamente qué está sucediendo, mientras que el cifrado agregaría complejidad a la resolución de problemas.

Tipos de Información Divulgada

Hay comunicación de protocolos de control industrial sin cifrar (Modbus, DNP3, Profibus en texto plano) y comunicación de protocolos de control como HTTP, FTP, Telnet. Servicios sin cifrar comunes en sistemas IT como Telnet en lugar de SSH, HTTP en lugar de HTTPS, y FTP en lugar de SFTP/FTPS. Recursos compartidos de red abiertos en hosts de control del sistema, como shares de Windows sin autenticación y servidores NFS configurados inseguramente, permitiendo acceso de lectura/escritura sin credenciales. Protección débil de credenciales de usuario, con contraseñas almacenadas en texto plano en archivos de configuración, credenciales embebidas en scripts visibles, y tokens de autenticación sin protección adecuada. Y fuga de información a través de servicios no asegurados, incluyendo banners de servicio revelando versiones exactas de software, mensajes de error con información del sistema, y páginas de diagnóstico accesibles sin autenticación.

¿Qué puede hacer un atacante?

Con acceso a redes de sistemas de control, un adversario puede realizaranálisis de tráfico en tiempo real, monitoreando comunicaciones operacionales, entendiendo la lógica del proceso, e identificando comandos críticos. Puede capturar tráfico de red para análisis offline, recolectando tráfico para estudio detallado, realizando ingeniería inversa de protocolos propietarios, e identificando patrones y vulnerabilidades. Puede explotar relaciones de confianza capturando contraseñas en texto plano, suplantando activos cibernéticos confiables como consolas de operador o servidores, inyectando datos maliciosos en el flujo de datos, y causando eventos operacionales no deseados.

El acceso a tráfico de control en texto plano permite a un actor de amenaza ejecutar numerosos ataques, incluyendo denegación de servicio inundando con tráfico malicioso, man-in-the-middle interceptando y modificando comunicaciones, session hijacking tomando control de sesiones legítimas, y otros ataques basados en red, impactando en última instancia la integridad y disponibilidad del sistema.

Contramedidas clave:

Implementar cifrado para todas las comunicaciones sensibles (TLS/SSL), utilizar VPNs para tráfico remoto, segmentar red para limitar alcance de captura de tráfico, implementar detección de intrusiones (IDS) para identificar análisis de tráfico, y migrar protocolos legacy a versiones seguras donde sea posible.

8. Diseño de Red Inadecuado (Network Design)

Algunas arquitecturas de red ICS usan redes planas sin zonas, sin seguridad de puertos, y aplicación débil de políticas de acceso remoto. Para agravar este problema, las redes ICS pueden estar conectadas directamente a entornos corporativos sin firewalls y zonas, o permitir conexiones directas a Internet. Con el tiempo, brechas de seguridad pueden haber sido introducidas inadvertidamente. Sin remediación, estas brechas introducen vulnerabilidades en el ICS.

Conectar redes ICS directamente a redes corporativas sin segmentación apropiada significa que un ataque de phishing exitoso en IT puede propagarse directamente a OT. Malware que infecta laptops corporativas puede saltar a sistemas de control. Una brecha en sistemas de negocio se convierte automáticamente en brecha en sistemas operacionales.

¿Cómo se explota?

Un atacante que compromete un solo punto en una red plana puede moverse lateralmente sin restricción, acceder a cualquier sistema en la red, escanear la red completa identificando todos los activos y vulnerabilidades, escalar privilegios fácilmente atacando sistemas más críticos desde el punto de entrada inicial, y establecer persistencia en múltiples puntos asegurando que no puedan ser expulsados fácilmente

Contramedidas clave:

Implementar arquitectura de red basada en zonas y conductos (ISA/IEC 62443), segmentación de red dividiendo la red en zonas de seguridad basadas en función y criticidad, firewalls entre zonas controlando tráfico permitido entre zonas, principio de mínimo acceso de red permitiendo solo comunicaciones explícitamente necesarias, DMZ entre IT y OT como zona intermedia para integración segura, Modelo Purdue implementando separación de niveles (Level 0-5), y Network Access Control (NAC) verificando dispositivos antes de permitir conexión.

9. Configuraciones Inseguras de Componentes de Red (Network Component Configurations)

Puerta de entrada de alta seguridad de acero inoxidable y vidrio en un vestíbulo corporativo moderno, abierta y con un letrero de cartón pegado con cinta adhesiva que dice 'POR FAVOR MANTENER LA PUERTA ABIERTA', lo que ilustra de configuración en un sistema de acceso avanzado.

Es como tener las puertas más sofisticadas y costosas del mercado instaladas en su edificio corporativo, pero dejarlas permanentemente abiertas porque alguien olvidó configurar los mecanismos de cierre automático. La tecnología de seguridad está presente, pero está mal configurada y por lo tanto inútil.

Configuraciones Inseguras Comunes

El acceso a puertos específicos en host no está restringido a direcciones IP requeridas, servicios críticos (HMI, ingeniería) son accesibles desde cualquier dirección IP, sin listas de control de acceso (ACLs) implementadas, y reglas de firewall configuradas en modo “permitir todo”. La seguridad de puertos no está implementada en equipos de red, port security está deshabilitado, sin limitación de direcciones MAC, sin segmentación VLAN, y todo el tráfico en una sola VLAN.

Los servicios de gestión están expuestos, interfaces de administración de switches/routers son accesibles desde redes de producción. SNMP (Simple Network Management Protocol) está configurado con community strings predeterminadas (“public”, “private”). Los servicios de gestión no tienen cifrado (Telnet en lugar de SSH).

Las configuraciones predeterminadas no han sido modificadas, credenciales de administración predeterminadas no han sido cambiadas, configuraciones de fábrica nunca han sido endurecidas (hardened), y servicios innecesarios están habilitados por defecto.

El logging y el monitoreo es inadecuado, los logs de seguridad están deshabilitados, no hay correlación de eventos, y las alertas de seguridad no están configuradas.

¿Cómo se explota?

Un atacante se beneficia enormemente de configuraciones inseguras. El escaneo de puertos revela servicios expuestos, identificación rápida de puntos de entrada. Las credenciales predeterminadas proporcionan acceso administrativo, control completo de infraestructura. La falta de segmentación permite movimiento lateral, una vez dentro, acceso a todo. La ausencia de logs oculta actividad maliciosa, ataques que no dejan evidencia.

Contramedidas clave:

Desarrollar y aplicar estándares de configuración segura (hardening guides) para todos los equipos de red, implementar gestión de configuración con herramientas que detecten desviaciones de configuraciones aprobadas, realizar auditorías regulares de configuración con revisiones trimestrales de configuraciones de seguridad, aplicar principio de mínimo acceso bloqueando todo por defecto y permitiendo solo lo explícitamente necesario, separar redes de gestión con management plane en red separada de data plane, e implementar logging centralizado enviando todos los logs a SIEM para análisis de seguridad.

Próximo tema – Causas raíz

Diagrama basado en el material 210W-07 ICS Cybersecurity Vulnerabilities de CISA, las causas se abordarán en un siguiente artículo.

Las nueve vulnerabilidades que hemos analizado no aparecieron de la nada. Son manifestaciones de causas raíz profundas y sistémicas que CISA identifica como contribuyentes fundamentales a la inseguridad de sistemas de control industrial. Así como un árbol, las vulnerabilidades visibles en la superficie tienen raíces profundas que las alimentan. Hemos visto en parte que muchas de estas vulnerabilidades tienen “justificaciones históricas” pero además de esto intervienen más factores, los cuales se abordarán en posteriores artículos en este mismo blog Hacking ONESEC.

Preguntas para hacer a tu proveedor

Por último quisiera compartirle algunas de las preguntas que la CISA sugiere hacer a los provedores o vendors:

  • ¿Qué están haciendo para eliminar errores de validación de entrada tales como buffer overflows, inyección de comandos OS y SQL, y cross-site scripting?
  • ¿Han abordado problemas de calidad de código tales como implementar prácticas de codificación segura, verificaciones de autenticación de protocolos, y revisiones de seguridad de software IT desplegado?
  • ¿Su sistema tiene contraseñas codificadas (hard-coded)?
  • ¿Ejecutan sus servidores como un proceso o como un servicio?
  • ¿Han incorporado las últimas versiones de software de terceros?
  • ¿Prueban parches de sistema operativo?
  • ¿Proporcionan parches de seguridad para su aplicación ICS a medida que se descubren vulnerabilidades?

Estas preguntas específicas pueden ser referenciadas en documentos de CISA como “Cybersecurity Procurement Language for Control Systems” y “Questions to Ask Your Vendor” (Dentro del material 210W-07 ICS Cybersecurity Vulnerabilities).

Conclusiones

Las nueve vulnerabilidades críticas que hemos analizado no son fallas de seguridad aisladas que pueden ser parcheadas individualmente. Son manifestaciones sistémicas de decisiones de diseño históricas que tenían sentido en contextos aislados, pero que se han convertido en riesgos existenciales en el mundo hiperconectado actual. Sus causas raíz son profundas: sistemas heredados diseñados para diferentes entornos de amenaza, arquitecturas de red optimizadas para disponibilidad sobre seguridad, presiones operacionales y financieras que priorizan la producción, y una cultura organizacional que todavía está aprendiendo a integrar ciberseguridad en operaciones.

El conocimiento de estas vulnerabilidades es el primer paso hacia la resiliencia. Los programas de CISA, los estándares de la industria como IEC 62443, y las mejores prácticas documentadas proporcionan una hoja de ruta clara. La tecnología para asegurar sistemas OT existe. El conocimiento de cómo implementarla está disponible. Lo que frecuentemente falta es la voluntad organizacional de priorizar la seguridad al mismo nivel que producción, y el compromiso de invertir los recursos necesarios.

La pregunta para cada organización que opera infraestructura no es si pueden ser atacadas, sino cuándo. Y cuando ese momento llegue, la diferencia entre una interrupción menor y una catástrofe operacional estará determinada por las acciones tomadas hoy para remediar estas vulnerabilidades conocidas.

La responsabilidad de proteger infraestructura crítica es compartida, entre propietarios de activos, vendors, reguladores y la comunidad de ciberseguridad. Pero en última instancia, cada organización debe tomar la decisión de actuar. El costo de la inacción, medido en términos de riesgo operacional, impacto financiero, y potencial de daño a la seguridad pública, es simplemente demasiado alto para ser ignorado.

Referencias

CISA Cybersecurity and Infrastructure Security Agency, Department of Homeland Security (CISA) – 210W-07 ICS Cybersecurity Vulnerabilities. Recuperado el 7 de enero de 2026.

CISA Cybersecurity and Infrastructure Security Agency, Department of Homeland Security (CISA) – Cybersecurity Procurement Language for Control Systems. Recuperado el 12 de enero de 2026.

ISA/IEC – ISA/IEC 62443 Series of Standards. Recuperado el 11 de enero de 2026.

Alejandro Cisneros

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied