Blog del CCI

miércoles, 18 de octubre de 2017

Riesgos tecnológicos en la seguridad funcional y de procesos (Ejemplo: el automóvil)

Cuando se trata de proteger a las personas, podemos afirmar que la tecnología ha salvado miles de vidas, por ejemplo los sistemas de seguridad en el automóvil han tenido un desarrollo tecnológico incremental, gracias a estos avances tecnológicos se ha reducido en casi un 200% la siniestralidad. En la última década los esfuerzo en seguridad del automóvil se han centrado en conocer el entorno, a este periodo se le conoce como “era de la detección”, donde sistemas de seguridad autónomos incorporan múltiples sensores que prestan ayuda en la conducción anticipándose a un eventual accidente. Ejemplos como el alumbrado adaptativo, que permite que los faros giren y adapten la forma de su haz de luz en función de la velocidad y la climatología, sensores de lluvia, sensores de presión de neumáticos, sensores de aviso de abandono de carril o sensores de vigilancia del conductor que analizan su atención y avisan si detectan fatiga. Todas estas tecnologías para reducir el riesgo de que suframos accidentes se están incorporando de forma lenta, excepto cuando son obligatorias. Ejemplos como el avisador de cinturones o el sensor de presión de los neumáticos ya son obligatorios en la UE desde 2012. 

Un vehículo tiene de media unos doce sistemas autónomos que controlan mas de un centenar de sensores, de los cuales el 25% son sistemas autónomos de seguridad activa. La arquitectura de comunicación que se utiliza en el automóvil desde hace tres décadas utiliza el protocolo Bus CAN.

Los vehículos también incluyen un protocolo de diagnóstico abordo, conocido también como OBD, que los fabricantes han tenido que instalar para poder realizar diagnósticos y pruebas de niveles de emisiones de humo. Debido a que OBD requiere realizar lecturas de un gran número de sensores del vehículo fue necesario el desarrollo de un bus de red centralizado a través del cual los sensores y controladores puedan comunicarse, este bus es CAN (Controller Area Network).



La arquitectura CAN tiene numerosas vulnerabilidades que son debidas principalmente a su diseño, tal y como se recoge en el documento “Developments in Car Hacking” publicado por SANS en 2015. Entre todas ellas quiero destacar tres de estas debilidades de diseño:

1. No existe segmentación desde la óptica de seguridad informática en la arquitectura CAN. La segmentación de la red es una parte fundamental del diseño seguro de cualquier sistema. Si una red no está segmentada, una vulnerabilidad trivial en un componente de cualquier sistema del vehículo puede ser explotada para permitir el acceso al resto de la red, incluyendo sus sistemas más críticos y sensibles, como son los sistemas de seguridad activa, cuya alteración podría tener graves consecuencias en la seguridad de las personas. Imagine que el airbag del vehículo se activase durante la conducción.

2. No existe autenticación de dispositivos. La falta de autenticación de la arquitectura CAN supone que sea vulnerable a los atacantes. Cada unidad de control sirve a una función diferente, desde el control de instrumentos del motor que transmite constantemente un mensaje CAN a la red que contiene la velocidad actual del motor (RPM), hasta el control de funciones de seguridad como el airbag o el ABS. En este escenario podemos afirmar que es posible conectar uno o varios dispositivos que envíen mensajes CAN que engañen a determinadas unidades de control alterando su comportamiento, como así demostraron Sheila Berta y Claudio Caracciolo en la edición 12 de Ekoparty demostrando que es posible fabricar un pequeño dispositivo de unos 4 cm de ancho por 4 cm de alto, que si se tiene acceso libre al automóvil, como por ejemplo en un estacionamiento, se puede conectar directamente a su red interna al no requerir la autenticación de este dispositivo logrando el envío de mensajes a la unidad ECU, y controlando a distancia vía SMS el comportamiento del vehículo.

3. No existe cifrado de las comunicaciones. Un fallo crítico de la arquitectura CAN es la falta de cifrado en el diseño de las comunicaciones. Los diseñadores buscaban diseñar un protocolo ligero y robusto, y no contemplaron el riesgo de piratas informáticos. La ausencia de cifrado permite que un atacante pueda conectarse al bus mediante un cable de interface CANdo conectado a un portátil con el software adecuado, e inspeccionar así los mensajes que controlan el vehículo, aprendiendo que ordenes son las que se comunican entre los diferentes sistemas, pero aún este atacante puede llegar más allá, como así demostraron Sheila Berta y Claudio Caracciolo manipulando vía SMS distintas funcionalidades de una vehículo en vivo, demostrando que podían encender o apagar las luces con sólo enviar un mensaje CAN.

Exactamente estas mismas debilidades de diseño: ausencia de segmentación, de autenticación y de cifrado nos las encontramos actualmente en la mayoría de ambientes industriales automatizados, así lo reconocen importantes directivos de organizaciones industriales que han participado en el documento “Beneficios de la ciberseguridad industrial para las empresas industriales” publicado en febrero de 2017 por el Centro de Ciberseguridad Industrial, donde se reconoce que “… los atacantes tienen multitud de posibilidades de causar daño a una organización industrial… alterando las especificaciones…”, pero también se declara que “…un incidente tecnológico podría alterar la producción, incluso producir un accidente laboral”. Hay varias razones que estos directivos argumentan para que una organización decida gestionar en serio estos riesgos, pero podemos destacar dos: “…cualquier empresa industrial puede ser un objetivo para quienes hoy han convertido los ciberataques en una fuente de ingresos”, también otro directivo indica que “… en cuestión de minutos cualquiera puede identificar formas de acceder y causar daño..”, es decir, es fácil y además es un negocio, son dos poderosas razones para que cualquier organización industrial se ponga en marcha y actué de forma responsable gestionando el riesgo tecnológico de su negocio.

La resiliencia es vital para la nueva era digital (Ejemplo: La fabrica 4.0)


La avalancha tecnológica, con multitud de nuevas soluciones, pero con la necesidad de su integración con sistemas, aplicaciones y redes existentes, ha convertido esta era digital en un terreno peligroso donde la estrategia tecnológica, y la capacidad que tengan las organizaciones de adaptación está siendo clave para garantizar la supervivencia del negocio en el actual mercado global, complejo y cambiante. Ejemplo reciente es la adopción de Industria 4.0, donde cada vez es más importante fabricar de manera ágil, con una mayor orientación a la demanda y de manera más flexible, todo ello sin encarecer el producto. Esta capacidad de adaptación y respuesta a los cambios dinámicos del mercado y del entorno tecnológico es lo que se entiende por resiliencia. La resiliencia permite afrontar la evolución, la dependencia y los riesgos de la tecnología.

La resiliencia debe formar parte de la naturaleza de las organizaciones y estar implícita en su estructura, a través de la definición y cumplimiento de un Plan Estratégico de Resiliencia, que incluya como vértice principal, su estrategia tecnológica. El Plan, debe ser adoptado y abordando de acuerdo a las dos dimensiones principales de la resiliencia en las organizaciones:
  • Adaptación: ante un nuevo contexto del mercado, la organización debe tener la capacidad de reaccionar y adaptarse –gracias a procesos de mejora continua-, compitiendo y operando conforme a las nuevas reglas del mercado y su demanda. Este es la situación en el ámbito industrial, donde solo se puede ser competitivo a través de la transformación y conversión tecnológica y digital.
  • Robustez: ante una serie de sucesos, la organización debe ser capaz de recuperarse y seguir operando, como si nada hubiera sucedido.

No se puede trazar una línea divisoria clara entre lo que supone la resiliencia de la organización y la ciber-resiliencia, o resiliencia tecnológica y digital, puesto que la continuidad de sus operaciones y la competitividad de su producción depende directamente de la tecnología, la automatización, y la eficiencia que ambas aportan.

son cada vez más las voces que defienden que la seguridad en la era de la transformación digital no debe estar basada de forma exclusiva en medidas de prevención o defensa, sino también en la capacidad de adaptarse y dar respuesta, tal y como indica el profesor e investigador Jeimy Cano “Tarde o temprano las barreras definidas van a caer, tarde o temprano la organización será objeto de un incidente y para ello, la postura de seguridad por vulnerabilidad habilita a la organización para responder de manera ágil y efectiva, pues no estará distraída en el “que dirán del incidente”, sino tomando acciones concretas que permitan entender, contener, recuperar y comunicar lo que ha ocurrido, para aprender rápidamente y aumentar su capacidad de resiliencia frente a eventos futuros”.

En el caso de la “Fábrica 4.0” aparecen nuevos riesgos cibernéticos derivados de la nueva operativa industrial: la interconectividad interna y externa, así como con el cloud, la proliferación de sistemas embebidos (que proporcionan inteligencia a sensores, materiales, máquinas o productos), y el desarrollo de las nuevas aplicaciones de fabricación avanzada y personalizada. Actualmente, se están detectando nuevos vectores de ataque, más propios de los sistemas de información, ocasionados principalmente por la necesidad de conectar las redes corporativas con las industriales.

Todos estos riesgos se ven además agravados por la falta de madurez tecnológica, y la falta de una estrategia definida, lo cual, en muchos casos genera conflictos internos -ya sea por la asignación de responsabilidades a personal insuficientemente formado o bien por la propia necesidad de provisionar recursos dedicados a este efecto-.

Ha de advertirse que, en el contexto industrial, y de forma específica en Industria 4.0 se dan algunas diferencias a la hora de abordar la resiliencia tecnológica con respecto a otros entornos:
  • Se trata de un sector, que, en su operativa principal, se ha mantenido históricamente aislado a la revolución digital, por lo que la adaptación táctica y organizativa a este nuevo entorno es, en muchos casos, conflictiva.
  • Los periodos de adaptación tecnológica en los entornos industriales son lentos y deben implicar a todos los equipos organizativos de los cuales depende que la operativa de la organización evolucione de forma sostenible y eficiente.
  • Las operaciones y, por tanto, las consecuencias de cualquier perturbación en estos entornos tienen un gran componente físico. Los principales escenarios de desastre hacen referencia a amenazas de naturaleza física como incendios, inundaciones, sabotajes o destrucción de equipamiento/instalaciones.
Aunque muchas organizaciones han empezado a contemplar medidas de ciberseguridad basadas en la evaluación y gestión de riesgos, son conscientes de que estas medidas no serán suficientes, y que deben estar preparadas para afrontar los nuevos retos tecnológicos y recuperarse de los incidentes, lo cual, significa que deberán preocuparse de sus capacidades de adaptación y resiliencia, es decir, su capacidad para transformarse a las nuevas demandas del mercado, resistir, dar respuesta y superar, cualquier perturbación relativa al uso de las tecnologías de operación. Bajo este principio se entenderán las necesidades de la organización para planificar, definir, desarrollar, gestionar y medir las oportunas prácticas y comportamientos que conduzcan la resiliencia -en sus dos dimensiones- de la organización. En definitiva, definir y ejecutar un Plan Estratégico de Resiliencia Tecnológica.

lunes, 15 de mayo de 2017

I wanna cry! [#WannaCry]

I wanna cry!” [#WannaCry]


That must have been the feeling that gripped Mr. Ron Grimshaw when nurses told him they had to stop his MRI scan because of a cyber-attack.

None of them had even imagined having to give such news to Mr. Grimshaw and the rest of the patients who had come on that date - May 12th, International Nurses' Day - to receive their treatments at one of the centers of the British public health network (NHS) affected by the effects of ‘WannaCry’ ransomware. It was not the kind of 'virus' that neither they nor their patients were accustomed to.

I dare say that, even for ourselves, as professionals in the field, the situation has not been without a significant burden of novelty. The positive upside is that any challenging situation should always be taken as a learning opportunity.


I wanna cry, too!

I want to cry when I see governmental agencies identify and exploit software (and/or hardware) vulnerabilities, ‘for the benefit of us?’.

I want to cry when I see supposedly well-intentioned hacktivist groups disclose in the wild such governmental secrets, ‘for the benefit of who?’.

I want to cry when I see how such disclosed stuff has no other destination that being used by cyber criminals to generate chaos, ‘for the benefit of them!’.

I want to cry when I see how technology vendors make recommendations ‘for the benefit of everyone’ that no one follows.

I want to cry when I see how organizations leave their emergency communication plans in some of their executives’ hands  -or, even worse, social media accounts-,  ‘for the benefit of their battered egos?’.

I want to cry when I see those same organizations and their governments saying that the impact has not been so great, that it was almost all hype. I suppose 'for the benefit of a better learning of the lessons that the issue has left us'.

I want to cry when I see how 166 cyber-hit nations still trust on ‘national’ cyber strategies to face an international/borderless problem.

I want to cry when I see adult people still accepting candies  -i.e., e-mails-  from strangers, ‘for the benefit of their own curiosity?’.


This latter only proofs the effectiveness of the blue bomb  -i.e., VIAGRA®-;  I mean the effectiveness of commercial spam we have been suffering for years. Traditional spam seems to have been a sort of proof of concept for the massive ransomware attacks of today. Let’s see if these current attacks are just the training exercise of the new surprises of tomorrow.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Last year CCI released a set of recommendations to prevent, defend and react before IACS ransomware. You can download it here.

¡Yo quiero llorar! [#WannaCry]

¡Quiero llorar!” [#WannaCry]


Ese debió ser el sentimiento que embargó al Sr. Ron Grimshaw cuando las enfermeras le comunicaron que debían cancelar su resonancia magnética a consecuencia de un ciberataque.

Ninguna de ellas había, siquiera, imaginado tener que dar tales noticias, ni a Sr. Grimshaw, ni al resto de pacientes que habían acudido ese día  -el 12 de mayo, “Día Internacional de las Enfermeras”-  a recibir sus tratamientos a alguno de los centros de la red sanitaria pública británica (NHS, por sus siglas en inglés) afectados por los efectos del ‘ransomware’ ‘WannaCry’. No era el tipo de ‘virus’ al que ni ellas, ni sus pacientes, estaban acostumbradas.

Me atrevo a decir que, incluso para nosotros, profesionales del sector, la situación no ha estado exenta de una notable carga de novedad. Lo positivo es que cualquier situación desafiantes debería ser tomada, siempre, como una oportunidad para aprender.


¡Yo también quiero llorar!

Quiero llorar cuando veo a agencias gubernamentales identificar y explotar vulnerabilidades del software (y/o del hardware), ‘¿en nuestro beneficio?’.

Quiero llorar cuando veo grupos hacktivistas, supuestamente bien intencionados, divulgar a los cuatro vientos esos secretos gubernamentales, ‘¿en beneficio de quién?’.

Quiero llorar cuando veo cómo ese material revelado no tiene más destino que ser empleado por ciberdelincuentes para generar caos, ‘¡en su propio beneficio!’.

Quiero llorar cuando veo cómo los fabricantes de tecnología emiten recomendaciones ‘para beneficio de todos’, que nadie sigue.

Quiero llorar cuando veo organizaciones que dejan la comunicación corporativa en las manos  -o, incluso peor, en las cuentas de las redes sociales-  de alguno de sus directivos,  ‘¿para beneficio de sus maltrechos egos?’.

Quiero llorar cuando veo a esas mismas organizaciones y sus gobiernos diciendo que el impacto no ha sido para tanto, que ha sido más el ruido que las nueces. Supongo que 'en beneficio de un mejor aprendizaje de las lecciones que el asunto nos deja'.

Quiero llorar cuando veo a ciento sesenta y seis paises cibergolpeados seguir confiando en sus ciberestrategias ‘nacionales’ para enfrentarse a un problema internacional/sin fronteras.

Quiero llorar cuando veo a personas adultas que siguen aceptando caramelos  -léase mensajes de correo-e-  de extraños, ‘¿en beneficio de su propia curiosidad?’.


Esto últmo no prueba sino la eficacia de la ‘bomba azul’  -sí, el VIAGRA®-;  me refiero a la eficacia del correo-e basura, comercial, que hemos venido padeciendo durante años. El correo-e basura, tradicional, parece haber servido de prueba de concepto para los ataques masivos de ‘ransomware’ que vivimos hoy. Veamos si los ataques actuales no son más que un ejercicio de entrenamiento para las sorpresas de mañana.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: El año pasado CCI publicó una serie de recomendaciones para prevenir, defenderse de, y reaccionar ante, el ‘ransomware’ que afecta a los sistemas de control industrial. Podrá encontrarlas aquí.

viernes, 3 de marzo de 2017

CCI offers [Re]Cognition to the fellow members of “The CCI Ecosystem” on its 4th anniversary

This Friday, 3 March 2017, the Industrial Cybersecurity Center, CCI, turns 4 years old. No doubt, we have a lot of things to celebrate, given all what we lived in this time; but it is not less what we both, the ones who drove and the ones who are currently driving the Center, have to thank. Being aware of that, let us avoid, this time, the usual triumphalist message and, instead of talking about the milestones achieved by the Center, let us talk about You.

For You, fellow member of “The CCI Ecosystem”, today we are launching a pioneer and, in our view, appealing "Program of 'Recognition' of the Commitment with Industrial Cybersecurity". The program, focused on professionals and students, aims to recognize the effort of both, those who perform their daily duties in this domain and those who are, currently, studing and getting their first experiences in a discipline like this, which, so far, has a short academic offer, despite being living a true explosion worldwide in recent years.

Futhermore, we have decided to bring our thanks beyond and complement the mentioned recognition  -should you get it, it will have been your merit-  with a gift; from now onwards the Center releases for free, indefinitively, three pieces of “Cognition”, until now priced:


  • "Protecting critical infrastructure vs. Industrial Cybersecurity".
  • "Tool for assessing Industrial Cybersecurity requirements for automation providers".
  • "State of Industrial Cybersecurity in Spain. 2013 edition".


By this way CCI releases freely the full series of papers published in 2013, year of the establishment of CCI, including the, then already free, “Roadmap of Industrial Cybersecurity in Spain 2013-2018”, that currently counts 20,000+ downloads.

[You can access this, and other, material at the "CCI Library"]


Stay close to us in our task of keeping the development of research and analysis activities, thought leadership, report publishing and information and knowledge interchanging on critical infrastructures processes and practices in Cyberspace.

This will let us keep consolidating an international ecosystem to share experiences.

Receive a grateful hug.

Board of Directors, The Industrial Cybersecurity Center

CCI celebra su IV aniversario ofreciendo [Re]Conocimiento a los miembros de "El Ecosistema CCI"

El Centro de Ciberseguridad Industrial, CCI, cumple este viernes, día 3 de marzo de 2017, cuatro años. Sin duda, es mucho lo que hay que celebrar de lo vivido en este tiempo, pero no menos lo que hemos de agradecer, tanto quienes estuvieron, como quienes actualmente estamos, al frente del mismo. Conscientes de ello, permítanos huir, en esta ocasión, del socorrido mensaje triunfalista y, en lugar de hablar de los logros conseguidos por el Centro, hablemos de Ud.

Para Ud., estimado miembro de "El Ecosistema CCI", lanzamos, hoy, un pionero y, a nuestro juicio, atractivo "Programa de 'Reconocimiento' del Compromiso con la Ciberseguridad Industrial". El programa, dirigido a profesionales y estudiantes, quiere reconocer la labor, tanto de quienes se desempeñan diariamente en este ámbito, cuanto de quienes, actualmente, se están esforzando por formarse y adquirir experiencia en una disciplina como ésta que, de momento, cuenta con pocos estudios reglados, a pesar de estar viviendo una verdadera explosión, en todo el mundo, en los últimos años.

Asimismo, hemos creído oportuno llevar nuestro agradecimiento más allá y acompañar el referido reconocimiento  -si lo obtiene, se lo habrá ganado Ud.-  con un regalo; desde el día de hoy el Centro libera, de forma indefinida, tres piezas de "Conocimiento", hasta ahora de pago:

  • "La protección de infraestructuras críticas y la Ciberseguridad Industrial".
  • "Herramienta de evaluación de requisitos de Ciberseguridad Industrial para proveedores".
  • "Estado de la Ciberseguridad Industrial en España. Edición 2013".


Con esta acción, CCI pone libremente a disposición de Ud. la serie completa de documentos publicados en 2013, año de nacimiento del Centro, incluido el, ya entonces gratuito, "Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018", que actualmente alcanza las 20.000 descargas.

[Puede acceder a este, y otro, material en la "Biblioteca CCI"]


Manténgase a nuestro lado en nuestra labor de seguir desarrollando actividades de investigación y análisis, de generación de opinión, de elaboración y publicación de estudios y herramientas y de intercambio de información y conocimiento sobre los procesos y prácticas de las infraestructuras industriales en el ciberespacio.

Eso nos permitirá seguir consolidando un ecosistema internacional para compartir experiencias.

Reciba un agradecido abrazo.

El Equipo Directivo del Centro de Ciberseguridad Industrial


miércoles, 22 de febrero de 2017

CiberSeguridad Industrial en la RSA




La semana pasada fue la RSA Conference en la hermosa ciudad de San Francisco (California), sin duda la conferencia de seguridad más grande del mundo y donde se encuentran “fabricantes” de seguridad, con clientes, consultores e implementadores de tecnologías. Digo “fabricantes” entre comillas, porque uno se imagina que los sponsors sólo serán grandes proveedores de seguridad, sin embargo, algo muy interesante de la RSA, es que uno puede encontrarse con una gran compañía ofreciendo sus productos o servicios, pero también con pequeños emprendedores y desarrolladores que han gastado hasta lo último que tienen para poder tener un stand en esta conferencia, tratando de vender su producto a potenciales clientes, o hasta incluso, si tienen suerte, vender su marca y quizás su emprendimiento completo a una gran empresa…


La conferencia se realiza cada año en el Moscone Center, y durante su realización se ocupan dos de los edificios para las zonas de exposiciones donde encontrarán todo tipo de stand o booth (donde personalmente he estado representando a ElevenPaths mostrando las soluciones que allí hemos creado), y un tercer edificio que se utiliza para las conferencias del evento. Es tanta la gente que asiste (más de 40.000 personas), que es imposible no encontrarse con conocidos, y en mi caso he tenido la oportunidad de encontrarme con varias personas de nuestro ecosistema del CCI como por ejemplo con Marc Blackmer y Erik Knapp (oradores y colaboradores del centro), Patrick Miller y Gabriel Bergel (coordinadores de los capítulos USA y Chile respectivamente).

Recuerdo que tiempo atrás era muy complejo encontrar fabricantes y charlas relacionadas con el mundo de los sistemas industriales, pero me alegra ver cómo esto está cambiando muy rápidamente y ver como empiezan a tomar fuerza las charlas relacionadas con ICS, Smart Cities, sistemas médicos, y el interminable mundo del IoT. De hecho, algunas de las charlas brindadas relacionadas a lo mencionada antes en esta edición sólo en el centro de conferencias (es decir que no están incluidas las que brindaban los sponsor en las salas de exposiciones) que podemos encontrar son:

·       The War in Cyberspace: Why We Are Losing—and How to Fight Back
·       Securing the Internet of Everything: How Webroot Keeps a Smart City Safe (Webroot)
·       Unexpected IoT—Solar Panels Compromise
·       Cyber, an Evolving Ecosystem: Creating the Road for Tomorrow’s Smart Cities
·       Weaponizing IoT
·       Fact or FUD? ICS Cyberattack Simulation and Impact Analysis Fun for the Whole Family
·       Medical Device Security Considerations: Case Study
·       Profiling Exposed Cyber-Infrastructure in Cities in the United States
·       What Do You Mean, “Patch”? A Shared Vision of IoT Security Updates
·       Anatomy of Industrial Cyber Attacks
·       Safety First! Strategic Solutions to Protect the Industrial Internet of Things
·       Cybersecurity Culture in ICS Organization: Human Factor as the Weakest Link In This Chain
·       IRL: Live Hacking Demos!
·       IIOT Vulnerabilities, Where Do They Lie?
·       IoT in Healthcare: Life or Death
·       Adding Security to Your ICS Environment? Fine! But How?!

Si no han tenido la oportunidad de pasar por allí nunca, les recomiendo la experiencia, y si quieren ver las charlas brindadas durante las conferencias, pueden encontrarlas la mayoría de ellas aquí .  

Espero poder encontrarme con más miembros del Centro en este tipo de eventos, para tomar un café o una cerveza mientras aprovechamos para conversar sobre Seguridad y Sistemas de Control!



Claudio Caracciolo
Coordinador General de LATAM del CCI-Es
Coordinador del Equipo CSA de ElevenPaths
@holesec