Ciberseguridad

• Telecontról y automatización: Control y monitoreo a distancia de equipos y procesos.
• Telecomunicaciones: Tecnologías para la comunicación en la red eléctrica.

• Diseñar la arquitectura digital operacional de una empresa de distribución eléctrica: Crear un plan sobre cómo se conectarán y funcionarán los sistemas digitales en la red eléctrica de una empresa.
• Diseñar la red eléctrica tradicional a alto nivel (Generación - Transporte - Distribución): Representar un esquema que muestre cómo la electricidad se produce en las plantas de energía, se transporta a través de las líneas eléctricas y llega a los hogares y negocios.
• Modificar la red eléctrica teniendo en cuenta la generación distribuida así como la generación de origen renovable: Adaptar la red eléctrica para incluir fuentes de energía renovable y distribuida, como paneles solares y turbinas eólicas.
• Identificar los elementos digitales necesarios en esa red eléctrica (Sistemas de control, centros de control, Remotas, contadores inteligentes): Elegir sistemas que controlen el flujo de electricidad, centros que coordinen las operaciones, dispositivos remotos para la supervisión en tiempo real y contadores inteligentes para medir el consumo de energía y enviarla a los operadores de la red.

• Contenidos:
• Identificación de principales normas: NERC CIP, NIST, IEC 62443, IEC 62351, NIS2, CRA…
• IEC 62443.
• IEC 62351.

Son todas ellas normas y guías diseñadas para proteger sistemas e infraestructuras importantes.

• Retos:
• Identificar los requisitos de seguridad para los dispositivos digitales y para los sistemas.

• Contenidos:
• Identificación de activos: Hacer una lista detallada de todos los sensores, controladores, máquinas y equipos utilizados en una planta industrial.
• Identificación y análisis de riesgos específicos en entornos OT: Evaluar el riesgo de un ataque o fallos técnicos que podrían interrumpir el funcionamiento de una planta de energía.
• Métodos y herramientas de evaluación de riesgos en sistemas industriales: Aprender sobre las diferentes herramientas que se utilizan para poder hacer la tarea mencionada encima.

• Retos:
• Que hagan un análisis de riesgos de la arquitectura que han diseñado, haciendo una matriz de probabilidad - impacto e identifiquen los elementos más críticos: Hacer una tabla que liste diferentes problemas posibles (como fallos de equipo o ataques informáticos), estimar qué tan probable es cada problema y qué tan grave sería. Una matriz de probabilidad-impacto es básicamente una tabla donde se pone cuan probable es que ocurra algo y si ocurre su gravedad.

• Contenidos:
• Fundamentos de la tecnología operativa (OT) y su importancia en la seguridad industrial: Entender cómo los sistemas que controlan maquinaria en una fábrica necesitan ser seguros para evitar accidentes y fallos.
• Desafíos y riesgos específicos de ciberseguridad en entornos OT: Conocer los problemas y amenazas de seguridad que afectan a los sistemas OT. Al fin y al cabo, no es lo mismo la seguridad que necesita un teléfono móvil o un dispositivo de una fábrica y hay que conocer esos riesgos específicos.
• Principios básicos de arquitecturas de ciberseguridad para OT: Conocer cómo organizar y proteger una red de control industrial para minimizar los riesgos de seguridad.

• Retos:
• Diseñar una arquitectura "segura" para el entorno de distribución planteado en la cápsula 1: Diseñar un esquema que incluya medidas de seguridad como firewalls (filtros para controlar que acciones externas pueden acceder a los sistemas y cuáles no) y sistemas de detección de intrusiones para proteger la red eléctrica.

• Contenidos:
• Topología y componentes de sistemas OT: Conocer cómo se conectan entre sí todos los dispositivos en una red de control industrial.
• Segmentación de redes y aislamiento de sistemas críticos: Aislar los sistemas más importantes y que no pueden bajo ningún concepto caer bajo un ataque del resto de la red para proteger todo el sistema mejor.

• Retos:
• Configurar una zona desmilitarizada para el intercambio de información de operación con aplicaciones: Es una configuración que permite que el sistema de la fábrica pueda intercambiar datos con aplicaciones o dispositivos de fuera sin que puedan entrar del todo y mantener el sistema seguro.

• Contenidos:
• Autenticación y autorización en sistemas OT + Control de accesos y gestión de identidades en entornos industriales: Aprender a cómo comprobar la identidad de los diferentes usuarios que van a trabajar con los sistemas y a darles los permisos adecuados para que cada uno solo pueda acceder a lo que debe y evitar problemas de seguridad. Sería como comprobar el pasaporte de la gente para saber si pueden entrar al país o no.
• Principios de least privilege y gestión de privilegios en sistemas OT: Sería asegurarse de dar a los usuarios la menor cantidad de permisos posibles y ya desde ahí ir dándoles más permisos si realmente los requieren, pero asegurándose de que no tienen nada de más.

• Retos:
• Alguna práctica con un LDAP: Un LDAP es una forma de controlar el acceso de la gente a diferentes archivos o aplicaciones de los dispositivos. Funcionaría de forma similar al control que hacen los institutos con los ordenadores, tú metes tu usuario y contraseña de alumno y sólo puedes ver cosas para los alumnos, pero si metes las de los profesores, puedes ver más.

• Contenidos:
• Cifrado de las comunicaciones: Usar técnicas de cifrado para asegurar que los datos que viajan por la red no puedan ser leídos por personas no autorizadas. Sería como usar un código secreto para transmitir la información y que así la gente que vea esa información no la pueda entender.
• Uso de certificados: Digamos que es una especie de DNI que una entidad ha firmado para que tú puedas usarlo cuando te comuniques con otros usuarios y puedan asegurarse de que no estás suplantando la identidad de nadie.
• Protección de dispositivos, bastionado, parcheo, end point protection: Consistiría en tomar medidas como actualizar el software o usar herramientas de protección para evitar ataques. Similar a actualizar la versión del móvil y ponerte un antivirus en el ordenador, pero de forma más profesional.

• Retos:
• Diseño de la arquitectura PKI para el firmware de los equipos: Consistiría en configurar los sistemas para evitar que al actualizar los programas que usan los sistemas se adquieran tan sólo los seguros. Sería básicamente comprobar que las actualizaciones de WhatsApp se descargan desde la App Store en vez de desde una página random que mete virus de internet.

• Contenidos:
• Monitoreo de amenazas y eventos en tiempo real en sistemas OT: Usar herramientas que avisen a los operadores de si hay intentos de acceso no autorizados o actividades inusuales en la red.
• Métodos de detección de intrusiones en entornos industriales: Trabajar con sistemas de detección de intrusiones que analizan todo lo que pasa en la red y buscan actividad sospechosa.
• Estrategias de respuesta a incidentes específicos para OT: Tener un plan para saber cómo reaccionar y aislar sistemas afectados lo antes posible en caso de un ataque.

• Retos:
• Práctica de detección de intrusión: Simular un ataque y usar las herramientas disponibles para poder detectarlo y reducir el posible impacto sobre los sistemas.

• Contenidos:
• Protocolos de comunicación en entornos OT y sus vulnerabilidades: Estudiar cómo los datos se transmiten entre dispositivos industriales y conocer las debilidades que podrían aprovechar los atacantes.
• Estándares de seguridad aplicables a sistemas de control industrial: Aplicar estándares internacionales que especifican cómo proteger los sistemas de control industrial. Al fin y al cabo ya hay formas definidas para hacer frente a posibles amenazas y conviene conocerlas.
• Criptografía y firmas digitales en entornos OT: Consiste en cifrar los datos y utilizar otros mecanismos para asegurarse de que se mantiene la integridad y autenticidad de los datos.

• Retos:
• Hacemos algo relacionado con Wireshark para analizar tramas: Wireshark es una aplicación que sirve para ver todo lo que pasa en la red. Por ejemplo, si buscas algo en internet o descargas algo o hay cualquier otro tipo de conexión o actividad en la red, se puede analizar. Sería básicamente ver todo lo que pasa en la red.

• Contenidos:
• CVE: Conocer casos donde programas/bibliotecas de terceros han sido comprometidos y entender cómo se pueden evitar problemas en esos casos. Un poco como cuando los pilotos estudian accidentes del pasado.

• Retos:
• Propuesta de arquitectura mixta, empleando módulos de terceros: Diseñar una estructura que combine componentes propios con bibliotecas externas.
• Identificar riesgos y aislamiento seguro de los mismos: Asegurarse de que lo arriba mencionado es seguro. Al fin y al cabo, si estás haciendo un trabajo y le pides a un amigo que te pase una parte hecha y se la copias, tienes que estar seguro de que lo que ha hecho tu amigo está bien, porque si no puedes pencar.
• la definición de bibliotecas está explicada en el módulo de IA

• Contenidos:
• Principios de diseño seguro.
• Arquitectura de software seguro.
• Principales patrones de seguridad en el diseño de sistemas.
• En general, se podría decir que es la base para poder programar un sistema teniendo en cuenta, mientras que se hace la seguridad que hay que añadir. En vez de programar una máquina y luego añadirle extras para que tenga seguridad, la idea es que desde la base ya se piense en cómo hacerlo para que sea seguro.

• Retos:
• Hacer un diseño de bloques de un registrador de datos (u otro elemento) que los suba a un servidor interno (Basado en el apartado 4-1 de la norma 62443): Consistiría en diseñar un registrador de datos (un medidor de Kw/h de un panel solar por ejemplo) que basándose en cierta normativa consiga guardar los datos en un servidor interno, para ello manteniendo la seguridad de los datos.

• Contenidos:
• Prácticas de codificación segura: Aprender técnicas para escribir código que evite vulnerabilidades conocidas, como por ejemplo la inyección SQL. Hay algunos tipos de ataques muy comunes y en este apartado se estudia a cómo hacerles frente, sería como que un médico aprenda qué medicinas hay que recetar en los casos más comunes de catarro, gripe…
• Gestión de autenticación y autorización. Poder crear sistemas que verifiquen la identidad de los usuarios y que gestionen sus permisos.
• Criptografía aplicada al desarrollo: Consistiria en implementar códigos o librerías que permitan encriptar datos y así mantenerlos de forma segura en las aplicaciones o sistemas.

• Retos:
• Identificar las mejores prácticas de codificación segura (resumen de OWASP): Se haría un resumen de las mejores prácticas mencionadas en OWASP, que es una organización mundial que ofrece distintos recursos relacionados con el desarrollo de aplicaciones seguras.

• Contenidos:
• Técnicas de pruebas de seguridad: Aprender las distintas técnicas que existen para abordar problemas de seguridad o simplemente controlar los sistemas.
• Automatización de pruebas de seguridad: Poder realizar lo arriba mencionado mediante programas que automáticamente se encarguen de hacer revisiones o mantener seguros los sistemas.
• Análisis estático y dinámico de código: El análisis estático sería analizar el código de los programas tal y como son. El dinámico consistiría en analizarlo mientras que se está ejecutando. Básicamente, abrir el capó y mirar si el coche tiene una avería o arrancar el motor para ver por dónde pierde aceite.

• Retos:
• Práctica con CPPCheck: CPPCheck es una herramienta que analiza el código en busca de posibles errores o vulnerabilidades para que los desarrolladores puedan corregirlas.
• Corrección de errores del módulo desarrollado: Una vez hecho el análisis mediante CPPCheck se corregirán aquellos errores que haya identificado.

• Retos:
• Pentest básico con Kali / nessus esentials: Usando un sistema operativo (Kali) dirigido hacia el control de red/seguridad y la herramienta nessus, se realizaría un pentest (penetration test) básico que consiste en buscar las posibles vulnerabilidades del sistema. El programa que hace el pentest prueba todo tipo de ataques diferentes hacia el sistema y ve cuáles son exitosos y cuáles no.

• Contenidos:
• Buenas prácticas en el desarrollo y mantenimiento de software seguro: Hacer uso de procedimientos que garanticen la seguridad en todas las etapas de desarrollo del software (programas).
• Ética y responsabilidad en la seguridad informática: Se estudia sobre los principios y estándares morales que deben seguir los profesionales a la hora de tomar decisiones. Gracias a estos principios se asegura que las acciones que tomen los profesionales sean legales y para el interés de las sociedad. Un profesional de seguridad debe asegurar que los datos personales de los clientes no se divulguen y asumir la responsabilidad si un sistema se ve comprometido.

• Contenidos:
• Integración de requerimientos normativos en estrategias de seguridad OT: Aprender cómo las leyes y regulaciones afectan la seguridad de los sistemas operativos industriales y cómo incorporarlas en las estrategias de seguridad.

• Retos:
• Propuesta de gobernanza: Consistiría en diseñar los roles y permisos, además de asignar un encargado en el equipo de trabajadores de la empresa, pudiendo así mantener la seguridad de los sistemas.
• Desarrollar un plan de aseguramiento: Trabajar en un plan detallado que asegure que los sistemas OT cumplen con las normas y regulaciones. Hay ciertas normas de seguridad que no se cumplen tan solo por el bien de la empresa sino por el bien de los consumidores y, por lo tanto, hay ciertos mínimos de seguridad que cumplir.

• Contenidos:
• Desarrollo e implementación de políticas de seguridad específicas para OT: Trabajar en la definición de múltiples políticas como las de control de acceso (para gestionar permisos), gestión de contraseñas (para mantener contraseñas seguras), actualización de sistemas (para que se revise periódicamente)…

• Contenidos:
• Estrategias de respuesta a incidentes cibernéticos en entornos OT: Aprender a cómo darles una rápida y efectiva respuesta a los incidentes de seguridad que puedan ocurrir.
• Planificación de continuidad del negocio para sistemas industriales: Planificar cómo mantener los sistemas industriales funcionando lo mejor posible al recibir un ataque o tras recibirlo. Intentar mantener el funcionamiento de la empresa pese a haber recibido un ataque.
• Implementación de medidas de recuperación ante desastres en tecnología operativa. Diseñar sistemas que permitan recuperar todo lo que se haya podido perder en el incidente mediante copias de seguridad, por ejemplo.

• Retos:
• Desarrollar un plan de respuesta ante incidentes: Poner en práctica lo trabajado en el contenido.

• Contenidos:
• Planificación de continuidad del negocio para sistemas OT: Crear planes para garantizar que los sistemas OT puedan seguir operando durante interrupciones.
• Estrategias de recuperación ante desastres en entornos industriales: Establecer procedimientos que permitan recuperar rápidamente los sistemas cuando se ven afectados por desastres naturales.
• Mantenimiento de operaciones críticas y su seguridad: Asegurarse de la seguridad de los sistemas/operaciones más importantes y mantenerlos bajo control.

• Retos:
• Desarrollar plan de recuperación: Se desarrollaría un plan que incluya la restauración de sistemas mediante: copias de seguridad, verificación de la integridad de datos y la reanudación de las operaciones de manera segura.

• Ejercicio “red team blue team” ataque a subestación. Trabajando en un entorno de pruebas se simulará una suplantación maliciosa de un IED de Subestación, que es un tipo de ataque en el que el atacante toma control del sistema y puede dar órdenes para causar daños en los equipos o cortes de luz y apagones.