Seguridad ICS-SCADA — Superficie de Ataque en Infraestructuras Críticas
Seguridad ICS-SCADA — Superficie de Ataque en Infraestructuras Críticas
Nota importada desde Inbox durante consolidacion bulk.
Seguridad ICS-SCADA — Superficie de Ataque en Infraestructuras Críticas
Resumen
Los sistemas de control industrial (ICS/SCADA) representan un perfil de riesgo único: la tríada CIA se invierte (disponibilidad primero), los protocolos son propietarios y la convergencia IT/OT crea vectores de ataque laterales. Este tema conecta la arquitectura OT, el threat modeling, las amenazas reales de actores estatales y el pentesting ICS.
Arquitectura y Superficie de Ataque
Modelo Purdue y Convergencia IT/OT
ceh-18-iot-hacking cubre la arquitectura de referencia: el modelo Purdue segmenta la red industrial en niveles (0: proceso físico, 1: controladores PLC/RTU, 2: supervisión SCADA/HMI, 3: operaciones, 3.5: DMZ, 4-5: enterprise IT). La convergencia IT/OT elimina el air gap que históricamente protegía los niveles inferiores.
scada-acronimos-comunicaciones documenta los protocolos clave: Modbus TCP/RTU, DNP3, IEC 61850, OPC UA, PROFINET. Muchos carecen de autenticación o cifrado nativo.
Threat Modeling — STRIDE + MITRE ATT&CK for ICS
ems-stride-mitre-attack aplica STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, DoS, Elevation of Privilege) al sistema de gestión energética, mapeando cada amenaza a tácticas MITRE ATT&CK for ICS.
red-team-siemens-spectrum-power va más allá: identifica 6 rutas de ataque contra Siemens Spectrum Power, con tabla de CVEs específicos, scoring CVSS, y priorización por impacto en el sistema eléctrico.
Amenazas Reales
Actores Estatales
threat-actor-sandworm (GRU Unit 74455) es el actor de referencia en ataques a infraestructuras críticas: BlackEnergy (2015), Industroyer (2016), NotPetya (2017). Su modus operandi combina spearphishing inicial con movimiento lateral hacia redes OT y despliegue de malware ICS-specific.
Contexto Geopolítico
ciberguerra-ia-infraestructuras-criticas analiza la tendencia macro: la convergencia de capacidades ofensivas estatales con IA acelera la cadencia y sofisticación de ataques a infraestructura crítica (energía, agua, transporte).
Red Team y Pentesting ICS
Planificación de Ejercicios
ics-plan-pruebas-cliente establece el framework de engagement: cuestionario de scoping, requisitos de seguridad física, limitaciones de testing en entornos OT en producción, y criterios de "do no harm".
Análisis de Debilidades
scada-analisis-debilidades documenta la metodología de red team para entornos ICS: reconocimiento pasivo de protocolos industriales, enumeración de PLCs y HMIs, explotación de configuraciones default, y post-explotación con impacto simulado en el proceso físico.
Requisitos de Seguridad
scada-siemens-spectrum-power establece los requisitos de seguridad alineados con NIST CSF: identificación de activos OT, protección de comunicaciones (segmentación, cifrado), detección de anomalías en tráfico industrial, y recuperación ante incidentes.
Patrón Clave
La seguridad ICS no es seguridad IT aplicada a otro entorno — es una disciplina diferente. El impacto de un fallo no es pérdida de datos sino daño físico. El pentesting debe priorizar la no-disrupción. Y la defensa empieza por la segmentación (modelo Purdue) mucho antes que por el EDR.
Notas Vinculadas
| Nota | Dominio | Rol en el tema |
|---|---|---|
| ceh-18-iot-hacking | Cyber | Arquitectura OT/IT, convergencia, modelo Purdue |
| scada-analisis-debilidades | CTI | Red team methodology para ICS |
| red-team-siemens-spectrum-power | CTI | Threat model detallado + 6 rutas de ataque |
| scada-siemens-spectrum-power | Cyber | Requisitos de seguridad NIST CSF |
| scada-acronimos-comunicaciones | Cyber | Protocolos industriales y glosario |
| ics-plan-pruebas-cliente | CTI | Framework de engagement ICS |
| ciberguerra-ia-infraestructuras-criticas | CTI | Contexto geopolítico de amenazas |
| ems-stride-mitre-attack | CTI | Threat modeling STRIDE + ATT&CK |
| threat-actor-sandworm | CTI | Actor de referencia en ataques ICS |