Metodología para evaluación de ciber vulnerabilidad en ...
Transcript of Metodología para evaluación de ciber vulnerabilidad en ...
Metodología para evaluación de ciber
vulnerabilidad en sistemas de transmisión de
energía eléctrica “EVULCIB”, estudio de caso
subestación eléctrica de 230kV ubicada en la
ciudad de Bogotá-Colombia.
Autor
Juan Carlos Carreño Pérez
Tutor
Álvaro Espinel Ortega. PhD
Universidad Distrital Francisco José De Caldas
Maestría en Ciencias de la Información y las Comunicaciones
Énfasis en Teleinformática
Bogotá, Colombia
julio de 2019
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 2
NOTA JURADOS
______CINCO PUNTO CERO (5.0)_______
____________________________________
____________________________________
____________________________________
___PHD. OCTAVIO SALCEDO PARRA____
Jurado 1
___PHD. EDWIN RIVAS TRUJILLO_______
Jurado 2
Bogotá D.C., 21 de junio del 2019
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 3
Agradecimientos
Un agradecimiento muy especial a mi familia por su apoyo, por el tiempo sacrificado,
por su confianza, y por estar siempre en cada logro y tropiezo de la vida. Con una
buena actitud, con sus consejos que día a día me llenan de fuerzas y más ganas de
seguir imponiéndome nuevos retos.
El autor reconoce la colaboración del profesor Álvaro Espinel Ortega, PhD, tutor del
presente trabajo, por su dedicación y orientación en todas las fases del proyecto.
.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 4
Contenido
Lista de Tablas .................................................................................................................. 6
Lista de Figuras ................................................................................................................. 8
Resumen ......................................................................................................................... 12
Palabras Clave ................................................................................................................ 12
Introducción ..................................................................................................................... 13
Glosario ........................................................................................................................... 15
1. Problema de Investigación ........................................................................................ 18
1.1 Planteamiento del Problema .............................................................................. 18
1.2 Formulación del Problema ................................................................................. 19
1.3 Sistematización del Problema ............................................................................ 19
1.4 Objetivo General ................................................................................................ 20
1.5 Objetivos Específicos ........................................................................................ 20
1.6 Justificación ....................................................................................................... 20
1.7 Impacto y Resultados Esperados ...................................................................... 24
2. Marco de Referencia ................................................................................................ 25
2.1 Marco Teórico .................................................................................................... 25
2.2 Marco Conceptual.............................................................................................. 32
3. Estado del Arte ......................................................................................................... 34
4. Identificación de Factores Técnicos y Normativos .................................................... 92
5. Diseño y Construcción de la Metodología Propuesta para la Evaluación de Ciber
Vulnerabilidad en Sistemas de Transmisión de Energía Eléctrica EVULCIB .................. 114
5.1 Identificación de activos ................................................................................... 115
5.2 Definición de Requerimientos Funcionales y No Funcionales .......................... 128
5.3 Propuesta metodológica de evaluación ........................................................... 141
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 5
6. Estudio de Caso Aplicado con la Metodología EVULCIB ........................................ 153
6.1 Selección del sistema de estudio ..................................................................... 154
6.2 Caracterización del sistema de estudio ............................................................ 155
6.3 Aplicación de la metodología propuesta .......................................................... 159
6.4 Evaluación de ciber vulnerabilidad ................................................................... 183
6.5 Análisis de resultados ...................................................................................... 192
6.6 Recomendaciones ........................................................................................... 196
7. Conclusiones y Trabajos Futuros ............................................................................ 199
8. Referencias ............................................................................................................ 204
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 6
Lista de Tablas
Tabla 1. Distribución del nivel de seguridad. Fuente: (Akdeniz & Bağrıyanık, 2015). ....... 58
Tabla 2. Distribución del nivel de criticidad social. Fuente: (Akdeniz & Bağrıyanık, 2015).
........................................................................................................................................ 58
Tabla 3. Definiciones de probabilidades. Fuente: Adaptado de (Hopkin, 2017) ............... 72
Tabla 4. Definiciones de impacto. Fuente: Adaptado de (Hopkin, 2017) .......................... 72
Tabla 5. CIP-010-2 Evaluaciones de Vulnerabilidad. Fuente: (NERC, 2018) ................... 78
Tabla 6. CIP-010-2 Niveles de Severidad de Violación. Fuente: (NERC, 2018) ............... 79
Tabla 7. Método de ponderación. Fuente: adaptado de (NERC, 2018) ........................... 82
Tabla 8. Niveles de seguridad especificados en la IEC 62443. Fuente: (DesRuisseaux,
2018) ............................................................................................................................... 86
Tabla 9. Normograma de regulación y normativa aplicable. ............................................ 92
Tabla 10. Normograma de aplicabilidad en las propiedades de seguridad de la información.
........................................................................................................................................ 95
Tabla 11. Entidades involucradas .................................................................................... 96
Tabla 12. Servicios y puertos asociados. Fuente: Elaboración propia. .......................... 131
Tabla 13. Categorías de vulnerabilidades. Fuente: (NCCIC - National Cybersecurity and
Communications Integration Center, 2016). ................................................................... 135
Tabla 14. Principales categorías de vulnerabilidades al 2018. Fuente: (NCCIC - National
Cybersecurity and Communications Integration Center, 2018) ...................................... 136
Tabla 15. Lista de vulnerabilidades metodología y su respectiva clasificación. Fuente:
Elaboración propia ......................................................................................................... 138
Tabla 16. Método para evaluar los controles de identificación y autenticación. Fuente:
Elaboración propia. ........................................................................................................ 146
Tabla 17. Método para evaluar tiempos de respuesta a eventos. Fuente: Elaboración
propia. ........................................................................................................................... 147
Tabla 18. Método para evaluar los controles de uso. Fuente: Elaboración propia. ........ 147
Tabla 19. Método para evaluar la integridad del sistema. Fuente: Elaboración propia. .. 148
Tabla 20. Método para evaluar la confidencialidad de los datos. Fuente: Elaboración propia.
...................................................................................................................................... 148
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 7
Tabla 21. Método para evaluar el flujo de datos restringido. Fuente: Elaboración propia.
...................................................................................................................................... 149
Tabla 22. Método para evaluar la disponibilidad de recurso. Fuente: Elaboración propia.
...................................................................................................................................... 149
Tabla 23. Método para evaluar las amenazas identificadas. Fuente: Elaboración propia.
...................................................................................................................................... 151
Tabla 24. Método para evaluar las amenazas identificadas. Fuente: Elaboración propia.
...................................................................................................................................... 162
Tabla 25. Equipos descubiertos y espiados en la red de comunicaciones del caso de
estudio. Fuente: Elaboración propia. .............................................................................. 169
Tabla 26. Puertos identificados en el Router Firewall del caso de estudio. .................... 174
Tabla 27. Evaluación de los controles de identificación y autenticación caso de estudio.
Fuente: Elaboración propia. ........................................................................................... 188
Tabla 28. Evaluación tiempos de respuesta a eventos caso de estudio. Fuente: Elaboración
propia. ........................................................................................................................... 188
Tabla 29. Evaluación de los controles de uso caso de estudio. Fuente: Elaboración propia.
...................................................................................................................................... 189
Tabla 30. Evaluación de la integridad del sistema caso de estudio. Fuente: Elaboración
propia. ........................................................................................................................... 189
Tabla 31. Evaluación de la confidencialidad de los datos caso de estudio. Fuente:
Elaboración propia. ........................................................................................................ 190
Tabla 32. Evaluación del flujo de datos restringido caso de estudio. Fuente: Elaboración
propia. ........................................................................................................................... 190
Tabla 33. Evaluación de la disponibilidad de recurso caso de estudio. Fuente: Elaboración
propia. ........................................................................................................................... 190
Tabla 34. Evaluación de ciber vulnerabilidad caso de estudio. Fuente: Elaboración propia.
...................................................................................................................................... 193
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 8
Lista de Figuras
Figura 1. Sistema de transmisión nacional visión 2030. .................................................. 22
Figura 2. Diagrama unifilar sistema de transmisión nacional visión 2030. ....................... 23
Figura 3. Etapa de análisis de mecanismos de evaluación. ............................................ 34
Figura 4. Grafo de interdependencias de componentes Topología IEEE 30. .................. 43
Figura 5. Ejemplo de intersección Ciber/Humana dentro del sistema. ............................. 50
Figura 6. Esquema del enfoque de evaluación de vulnerabilidad propuesto en (DeSmit,
Elhabashy, Wells, & Camelio, 2017). ............................................................................... 51
Figura 7. Ejemplo de mapa de intersección de vulnerabilidades. .................................... 53
Figura 8. Ejemplo de árbol de decisión de análisis de vulnerabilidades. ......................... 54
Figura 9. Ventana de AREM. .......................................................................................... 59
Figura 10. Metodología de cálculo de índice de severidad operativa. ............................. 66
Figura 11. Proceso de gestión de riesgo. ........................................................................ 69
Figura 12. Elementos de la IEC 62443. ........................................................................... 85
Figura 13. Elementos de la IEC 62443. ........................................................................... 86
Figura 14. Etapa de identificación de los factores. .......................................................... 92
Figura 15. Diagrama institucional y su interacción en el ámbito de Ciberseguridad. ..... 100
Figura 16. Responsables de Ciberseguridad. ............................................................... 101
Figura 17. Sensibilización de responsables del negocio. .............................................. 102
Figura 18. Análisis de riesgos en sistemas de control y automatización industriales. .... 102
Figura 19. Segmentación y protección de redes de automatización. ............................. 103
Figura 20. Dispositivos de redes de automatización conectados a Internet. .................. 104
Figura 21. Acceso remoto. ............................................................................................ 104
Figura 22. Normas utilizadas en la Seguridad Cibernética Industrial. ............................ 105
Figura 23. Medidas de Seguridad Cibernética Industrial utilizadas. ............................... 106
Figura 24. Factores técnicos que inciden en el ámbito de ciberseguridad. .................... 110
Figura 25. Factor técnico interacción humana. .............................................................. 111
Figura 26. Factor técnico nivel adecuado de servicio. ................................................... 111
Figura 27. Factor técnico nivel adecuado de servicio. ................................................... 111
Figura 28. Factor técnico soluciones de TI en la industria. ............................................ 111
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 9
Figura 29. Factor técnico hardware y software. ............................................................. 112
Figura 30. Factor técnico importancia de datos de aplicación. ...................................... 112
Figura 31. Factor técnico normas y medidas de seguridad. .......................................... 112
Figura 32. Factor técnico sistemas de tecnologías avanzadas. ..................................... 112
Figura 33. Factor técnico responsabilidad de ciberseguridad corporativa. .................... 113
Figura 34. Etapa de diseño de metodología de evaluación. .......................................... 114
Figura 35. Modelo del funcionamiento desde la perspectiva de ciberseguridad. ........... 117
Figura 36. Esquema de arquitectura de comunicaciones en sistemas de transmisión. . 119
Figura 37. Activos primarios subestación barra sencilla en sistemas de transmisión. ... 125
Figura 38. Activos primarios subestación doble barra en sistemas de transmisión. ...... 125
Figura 39. Activos primarios subestación doble barra + transferencia en sistemas de
transmisión. ................................................................................................................... 126
Figura 40. Activos primarios subestación interruptor y medio en sistemas de transmisión.
...................................................................................................................................... 126
Figura 41. Activos secundarios que pueden afectar los activos primarios del sistema de
transmisión. ................................................................................................................... 127
Figura 42. Activos terciarios que pueden afectar los activos primarios del sistema de
transmisión de manera indirecta. ................................................................................... 128
Figura 43. Esquema de comunicaciones, protocolos y aplicaciones en la operación del
sistema de transmisión. ................................................................................................. 130
Figura 44. Proceso de evaluación propuesto para las redes de comunicación y
aplicaciones. .................................................................................................................. 140
Figura 45. Método para el cálculo del indicador de vulnerabilidad operativa. ................ 143
Figura 46. Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión
de energía eléctrica (EVULCIB). Fuente: Elaboración propia. ........................................ 152
Figura 47. Etapa de verificación de la metodología de evaluación. ............................... 153
Figura 48. Sistema seleccionado para el estudio de caso. ............................................ 154
Figura 49. Identificación de activos primarios estudio de caso. ..................................... 155
Figura 50. Arquitectura de red e identificación de activos secundarios y terciarios estudio
de caso. ......................................................................................................................... 158
Figura 51. Identificación de protocolos y aplicaciones del caso de estudio. .................. 159
Figura 52. Escaneo de protocolo IEC 61850 del caso de estudio.................................. 161
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 10
Figura 53. Escaneo de protocolo SNMP del caso de estudio. ....................................... 161
Figura 54. Escaneo de protocolo de redundancia controlador del caso de estudio. ...... 161
Figura 55. Protocolo de pruebas IED para el caso de estudio. ...................................... 163
Figura 56. Prueba de entradas binarias IED para el caso de estudio. ........................... 164
Figura 57. Prueba de Salidas binarias IED para el caso de estudio. ............................. 164
Figura 58. Prueba de entradas análogas IED para el caso de estudio. ......................... 165
Figura 59. Prueba de laboratorio, interpretación de trama IED para el caso de estudio. 166
Figura 60. Prueba de laboratorio, interpretación de trama controlador de subestación para
el caso de estudio. ......................................................................................................... 167
Figura 61. Prueba de ping equipos identificados en prueba pasiva para el caso de estudio.
...................................................................................................................................... 168
Figura 62. Código de descubrimiento de red con ping. ................................................. 168
Figura 63. Escaneo de servicios abiertos equipos de cómputo caso de estudio. .......... 171
Figura 64. Ataque de fuerza bruta para identificar credenciales RDP equipos caso de
estudio. .......................................................................................................................... 171
Figura 65. Ataque de fuerza bruta con detección de patrón en las credenciales de equipos
de cómputo del caso de estudio. ................................................................................... 172
Figura 66. Ataque de fuerza bruta credenciales RDP de la IHM del caso de estudio. ... 172
Figura 67. Descubrimiento de las políticas firewall del caso de estudio......................... 173
Figura 68. Descubrimiento del enrutamiento del caso de estudio.................................. 173
Figura 69. Descubrimiento de las Vlans firewall del caso de estudio. ............................ 174
Figura 70. Ingreso equipo de comunicación remoto desde el Router local del caso de
estudio. .......................................................................................................................... 175
Figura 71. Vulnerabilidades de sistemas operativos del caso de estudio. ..................... 175
Figura 72. Vulnerabilidades de dispositivos OT instalados en el caso de estudio. ........ 176
Figura 73. Exploit de vulnerabilidades de dispositivos OT instalados en el caso de estudio.
...................................................................................................................................... 176
Figura 74. Exploit de vulnerabilidades de Registradores de Falla en el caso de estudio.
...................................................................................................................................... 177
Figura 75. Conexión cliente IEC61850 externo a IED’s del caso de estudio. ................ 178
Figura 76. Conexión cliente IEC61850 externo forzando señalización hacia el Centro de
Control. .......................................................................................................................... 178
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 11
Figura 77. Conexión cliente IEC61850 externo desactivando funciones de protección en el
relé. ............................................................................................................................... 179
Figura 78. Conexión Controlador de Subestación con IED’s de manera simultánea con
cliente externo. .............................................................................................................. 179
Figura 79. Conexión cliente IEC61850 externo ejecutando mando sobre seccionador de
barra. ............................................................................................................................. 180
Figura 80. Ejecución del mando sobre seccionador de barra. ....................................... 180
Figura 81. Vulnerabilidad física malla perimetral subestación. ...................................... 181
Figura 82. Vulnerabilidad física tableros sin llave en subestación. ................................ 182
Figura 83. Vulnerabilidad física identificación de información de IED’s. ........................ 182
Figura 84. Histórico de Potencia Activa real del caso de estudio................................... 183
Figura 85. Histórico de Potencia Reactiva real del caso de estudio. ............................. 183
Figura 86. Escenario de análisis eléctrico para el caso de estudio. ............................... 184
Figura 87. Escenario con contingencia en el que se apaga la subestación. .................. 184
Figura 88. Escenario con contingencia segunda iteración. ............................................ 185
Figura 89. Escenario con contingencia tercera iteración. .............................................. 185
Figura 90. Nivel de vulnerabilidad de los siete requisitos técnicos de la metodología para el
caso de estudio. ............................................................................................................. 193
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 12
Resumen
La incorporación de tecnologías de información y comunicación en los sistemas de control,
supervisión, medida y protección de la infraestructura eléctrica ha generado que el sector
energético presente una vulnerabilidad a nivel de seguridad informática, de tal manera que
si se dieran ataques cibernéticos podrían afectar el suministro de energía para la comunidad
en general.
En este trabajo de grado se propone un método para la evaluación de la vulnerabilidad en
sistemas de transmisión de energía eléctrica en el ámbito de ciberseguridad. A partir del
análisis de la normativa, regulaciones, guías de buenas prácticas y vulnerabilidades
relacionadas con la seguridad informática específicamente para la infraestructura eléctrica
de Colombia.
Con base en los resultados obtenidos en esta investigación se aplicó la metodología
desarrollada, para evaluar la ciber vulnerabilidad de una subestación eléctrica de 230kV del
sistema de transmisión nacional colombiano ubicada en la ciudad de Bogotá, mostrando un
diagnóstico del sistema y determinando el grado de exposición de esta.
Con la metodología propuesta en esta investigación se podrá tener una guía de evaluación,
que fortalecerá las capacidades del sector energético en el ámbito de ciberseguridad y
facilitará la ejecución de un diagnóstico en sistemas eléctricos semejantes al estudio de
caso presentado.
Palabras Clave
Automatización, Protecciones Eléctricas, Ciberseguridad, IC (Infraestructura Crítica),
Sistemas de Potencia, TIC (Tecnologías de la Información y las Telecomunicaciones), TO
(Tecnologías de Operación), Vulnerabilidad.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 13
Introducción
El presente proyecto está orientado al sector energético y en particular a sistemas de
potencia eléctrica, que básicamente se puede definir como un conjunto de componentes
interrelacionados que permiten suministrar energía eléctrica a un usuario o punto de carga,
realizando un proceso que comienza en la producción de energía y termina en la entrada
de servicio de los consumidores (CREG, 2014). Este proceso en Colombia está conformado
por cuatro etapas que constituyen en conjunto el sistema de potencia eléctrica nacional,
generación, transmisión, distribución y comercialización. Para el caso de esta investigación
nos centraremos en la infraestructura de transmisión de energía eléctrica.
El sistema eléctrico es parte fundamental para el desarrollo económico y social de un país
y se ha convertido en una prioridad para el bienestar de las personas, debido a que se
requiere para hospitales, centros educativos y labores diarias como refrigeración de
alimentos, calentadores, iluminación y tecnología. De acuerdo con lo anterior, se requiere
de todos los mecanismos necesarios para mantener la continuidad del servicio de energía
eléctrica y prevenir apagones que puedan afectar estos aspectos, teniendo en cuenta que
dependiendo de la magnitud puede resultar caótico, produciendo pérdidas de vidas
humanas, desabastecimiento de alimentos e incluso desorden público.
Al incorporar las tecnologías de información y la comunicación (TIC), en los sistemas de
control, supervisión y protección de la infraestructura eléctrica, se crea una vulnerabilidad a
nivel de seguridad informática, en la cual un agente inescrupuloso pueda generar ataques
cibernéticos que ocasionen pérdidas de suministro de energía o fallas en el sistema
eléctrico. Por estas razones, es de vital importancia que se vinculen metodologías y
mecanismos que permita que el sistema eléctrico esté preparado para dichos ataques
cibernéticos y para evitar que los mismos produzcan daños en la operación del sistema.
Algunos países como por ejemplo los Estados Unidos de Norte América han desarrollado
planes de ciberseguridad, los cuales están alineados con las buenas prácticas de la
industria y normativas que se han creado como guías de implementación. Entre las más
conocidas se encuentran las normas NERC CIP. (NERC, 2018), los veinte (20) controles
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 14
críticos del Consejo de la Ciberseguridad (Council on Cyber Security, 2015), y como
iniciativa en Colombia la guía de Ciberseguridad del CNO aprobada en el Acuerdo 788
(CNO, 2015).
Con el objeto de obtener un diagnóstico acertado que permita tener mayores herramientas
para la implementación de planes de ciberseguridad, en este proyecto de grado se realizó
una propuesta metodológica para la evaluación de ciber vulnerabilidad en el sistema de
transmisión de energía eléctrica, llamado EVULCIB que significa evaluación de
vulnerabilidad cibernética y que podrá ser implementado por los diferentes agentes del
sector energético para identificar sus debilidades y virtudes en este ámbito, permitiendo
tener un diagnóstico del estado en el que se encuentra su sistema eléctrico.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 15
Glosario
Activos de Conexión
Son aquellos activos que se requieren para que un generador, un usuario u otro
transportador, se conecten físicamente al Sistema de Transmisión Nacional, a un Sistema
de Transmisión Regional, o a un Sistema de Distribución Local. Siempre que estos activos
sean usados exclusivamente por el generador, el usuario o el transportador que se conecta,
no se considerarán parte del Sistema respectivo. (CREG, CREG – Resolución CREG No,
1998).
Sistema de Transmisión Nacional (STN).
Es el sistema interconectado de transmisión de energía eléctrica compuesto por el conjunto
de líneas, con sus correspondientes módulos de conexión, que operan a tensiones iguales
o superiores a 220 kV. (CREG, CREG – Resolución CREG No, 1998).
Sistema Interconectado Nacional (SIN).
Es el sistema compuesto por los siguientes elementos conectados entre sí: las plantas y
equipos de generación, la red de interconexión, las redes regionales e interregionales de
transmisión, las redes de distribución, y las cargas eléctricas de los usuarios. (CREG, CREG
– Resolución CREG No, 1998)
Transmisor Nacional (TN).
Persona jurídica que opera y transporta energía eléctrica en el Sistema de Transmisión
Nacional o que ha constituido una empresa cuyo objeto es el desarrollo de dichas
actividades. (CREG, CREG – Resolución CREG No, 1998).
Unidad Constructiva (UC).
Elementos que conforman un sistema de transporte eléctrico, constituido por Líneas (km) y
Módulos típicos (Unidad). (CREG, CREG – Resolución CREG No, 1998)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 16
Niveles de Tensión
Los sistemas de Transmisión Regional y/o Distribución Local se clasifican por niveles, en
función de la tensión nominal de operación, según la siguiente definición presentada por la
comisión de regulación de energía y gas (CREG 2002 – Resolución CREG No.082, 2002):
Nivel 4: Sistemas con tensión nominal mayor o igual a 57.5kV y menor a 220kV.
Nivel 3: Sistemas con tensión nominal mayor o igual a 30kV y menor de 57.5kV.
Nivel 2: Sistemas con tensión nominal mayor o igual a 1kV y menor de 30kV.
Nivel 1: Sistemas con tensión nominal menor a 1 kV.
Ciberterrorismo
Desde la Dirección General de la Guardia General de España, considera que se debe
entender por ciberterrorismo el empleo de las TIC, por parte de grupos terroristas para la
consecución de sus objetivos; utilizando Internet como instrumento de comisión del delito o
como acción del delito (Dirección General de la Guardia General de España, 2006).
Otra definición relevante es la dada por Dan Verton. (2003). El ciberterrorismo es la
ejecución de un ataque sorpresa por parte de un grupo (o persona) terrorista, extranjero
subnacional, con objetivo político, utilizando tecnología informática e Internet para paralizar
o desactivar las infraestructuras electrónicas y físicas de una nación, provocando de este
modo la pérdida de servicios críticos, como energía eléctrica, sistemas de emergencia
telefónica, servicio telefónico, sistemas bancarios, Internet y otros muchos.
Análisis de Seguridad
El propósito de un análisis de seguridad es identificar las posibles amenazas de un sistema
identificando los recursos cibernéticos críticos. Existen numerosos esquemas para la
identificación de diversos aspectos para la seguridad de la información y de la red. Estos
esquemas pueden ser separados en dos categorías principales, la primera es la
identificación de acuerdo con la perspectiva de un defensor y la segunda desde el punto de
vista de un atacante. (NERC, 2018).
Perspectiva de un defensor: El análisis en la perspectiva de un defensor del sistema,
consiste en examinar los requerimientos de seguridad, esto lleva a establecer una política
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 17
de seguridad que, a su vez, requiere de mecanismos para poder cumplir con este propósito.
La aplicabilidad de estas políticas de seguridad depende de los mecanismos usados los
cuales deben ser seleccionados de manera que no se vea comprometido el rendimiento del
sistema.
Perspectiva de un atacante: El otro método para el análisis de seguridad es más efectivo
que el primero, a causa de que el atacante es el motivado a realizar este tipo de infiltración.
Si el diseño de seguridad se basa en esta perspectiva el contexto es más realista y se podrá
predecir el comportamiento de un ataque real al sistema.
Ciberdefensa
Capacidad del Estado para prevenir y contrarrestar toda amenaza o incidente de naturaleza
cibernética que afecte la soberanía nacional. (DNP, 2011).
Ciberseguridad
Capacidad del estado para minimizar el nivel de riesgo al que están expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza cibernética (DNP, 2011).
TIC (Tecnologías de la Información y las Comunicaciones)
Conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes
y medios; que permiten la compilación, procesamiento, almacenamiento, transmisión de
información como voz, datos, texto, video e imágenes. (MINTIC – Ley 1341. Ministerio de
Tecnologías).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 18
1. Problema de Investigación
1.1 Planteamiento del Problema
Debido al avance de los sistemas de comunicaciones y tecnologías electrónicas, se ha
promulgado durante los últimos 18 años la implementación de estos beneficios tecnológicos
a los sistemas de potencia abarcando toda la cadena productiva de energía eléctrica, es
decir, generación, transmisión, distribución, comercialización e incluso en proyectos de
generación distribuida, con el propósito de brindar confiabilidad, selectividad y controlar de
manera centralizada la información y gestión de todas las variables eléctricas.
Anteriormente en los sistemas eléctricos, las únicas fallas que podrían producir una pérdida
del suministro de energía eran las ocasionadas por descargas atmosféricas, sobrecargas
de los circuitos o fallas en los activos del sistema como conductores, transformadores,
interruptores, bujes entre otros. Ahora, con la integración de redes de comunicación a
sistemas energéticos, a estos imprevistos se suman problemas de seguridad cibernética
como lo son la seguridad e integridad de la información, así como el control de acceso para
la manipulación de los dispositivos de maniobras del sistema eléctrico.
Actualmente en el país, una de las principales barreras que se tienen para la
implementación de mecanismos de ciberseguridad, es que no se cuenta con una
metodología definida que permitan una evaluación de la vulnerabilidad del sistema eléctrico,
con lo que facilitaría la toma de decisión para implementación de políticas de seguridad,
infraestructura requerida, aprovechamiento de tecnología existente, niveles de exposición
de los activos y niveles de impacto sobre el sistema. Dando una sólida justificación para la
inversión en proyectos de ciberseguridad en la infraestructura eléctrica considerada crítica
para la nación.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 19
1.2 Formulación del Problema
La investigación contemporánea ha identificado la necesidad de proteger los sistemas
SCADA (Supervisory Control And Data Acquisition) de infraestructura crítica, como lo es el
sistema de energía eléctrica. Estas informaciones son dispares y no proporcionan una
visión coherente de las amenazas y los riesgos resultantes de la tendencia a integrar estos
sistemas (A. Nicholson, S. Webber, S. Dyer, T. Patel, & H. Janicke, 2012). Lo anterior es
posible mitigar utilizando técnicas adecuadas, a partir de un diagnóstico acertado del estado
de vulnerabilidad del sistema. Contribuyendo en buscar una solución a este problema se
plantea la siguiente pregunta: ¿Cómo establecer una metodología de evaluación de ciber
vulnerabilidad en los sistemas de transmisión de energía eléctrica, que integre tecnologías,
arquitecturas y buenas prácticas con base a las necesidades actuales de ciberseguridad?
1.3 Sistematización del Problema
¿Cómo identificar si el sistema de transmisión de energía eléctrica esta vulnerable ante
ataques cibernéticos?
¿Cómo determinar el nivel de impacto que tiene determinado activo dentro del sistema de
transmisión eléctrico nacional?
¿Cómo se puede evaluar a través del tiempo el sistema de ciberseguridad de la
infraestructura de transmisión de energía eléctrica?
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 20
1.4 Objetivo General
Proponer e implementar una metodología para evaluación de ciber vulnerabilidad en
sistemas de transmisión de energía eléctrica, en el ámbito de ciberseguridad aplicado al
entorno colombiano.
1.5 Objetivos Específicos
▪ Identificar los factores tanto técnicos como normativos, que inciden en el ámbito de
ciberseguridad de la infraestructura de transmisión eléctrica en Colombia.
▪ Analizar los mecanismos o metodologías de evaluación de ciberseguridad que se
utilizan a nivel mundial y definir las prácticas que aplicarían al entorno colombiano,
como objetivo se establece el estudio para tres países.
▪ Diseñar una metodología de evaluación de ciber vulnerabilidad, para sistemas de
transmisión de energía eléctrica en el ámbito de ciberseguridad.
▪ Evaluar la metodología propuesta mediante un estudio de caso de una subestación
del sistema de transmisión nacional colombiano a nivel de ciber vulnerabilidad.
1.6 Justificación
En Colombia se está desarrollando constantemente proyectos de expansión de energía
eléctrica como se presentan en las Figuras 1 y 2, con proyección al 2030 (UPME 2016 –
Plan de expansión de referencia), en los cuales se están vinculando tecnologías modernas
que implementan tendencias IP y específicamente aplicaciones con IEC 61850,
adicionalmente a esto, se realizan modernizaciones de sistemas existentes contemplando
el cambio de plataforma y migrando a sistemas inteligentes, automatizando procesos e
integrando gestión energética. Por lo tanto, se requiere establecer una metodología que
brinde a las empresas del sector los mecanismos necesarios para tener un sistema seguro.
Con base en este nuevo aspecto que puede ocasionar fallas y daños en la infraestructura
eléctrica, y evaluando la situación actual del país en cuanto al tema de seguridad y
condición social, se evalúa que existe gran probabilidad a que se organicen ataques
cibernéticos al sistema energético. Como es bien conocido, hasta el momento en Colombia
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 21
sólo se han presentado ataques a la infraestructura eléctrica con derribamiento de torres,
sin embargo, de darse un ataque cibernético podría afectar el suministro de energía del
país y desencadenar una condición muy crítica para la nación.
Con estos argumentos, se necesita que los sistemas energéticos y en el caso particular de
estudio, el sistema de transmisión de energía eléctrica cuente con mecanismos adecuados
para prevenir y estar preparados para ataque cibernéticos que pretendan poner en riesgo
el suministro de energía del país.
Sin embargo, a pesar de que el tema está tomando auge a nivel mundial, no existe un
modelo especifico y definido para la evaluación de ciber vulnerabilidad que permita y facilite
la toma de decisión, en cuanto a la implementación de sistemas de seguridad y buenas
prácticas, he incluso las empresas del sector no saben el estado actual de su condición en
este aspecto y si en verdad están expuestos o no a un ataque cibernético.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 22
Figura 1. Sistema de transmisión nacional visión 2030. Fuente: (UPME 2016 – Plan de expansión de referencia)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 23
Figura 2. Diagrama unifilar sistema de transmisión nacional visión 2030. Fuente: (UPME 2016 – Plan de expansión de referencia)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 24
1.7 Impacto y Resultados Esperados
Fortalecer las capacidades de las empresas del sector energético colombiano en el ámbito
de la ciberseguridad para su infraestructura crítica, y contribuir al país en el desarrollo de
metodologías para evaluar las posibles vulnerabilidades realizando un diagnóstico y de esa
manera estar preparados en caso de ataques cibernéticos que quieran comprometer el
bienestar de la nación.
El resultado esperado era la entrega de una propuesta metodológica para la evaluación de
ciber vulnerabilidad que pudiera ser aplicada a la infraestructura de transmisión eléctrica
del país, proporcionando un diagnóstico del estado actual del sistema particular que se
quiera analizar.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 25
2. Marco de Referencia
2.1 Marco Teórico
Durante los últimos años la difusión e implementación de las tecnologías de la información
y las comunicaciones (TIC) ha producido un fenómeno con profunda influencia política,
social y económica aportando aspectos positivos como por ejemplo la globalización del
conocimiento.
A pesar de este desarrollo significativo e importante creado por la humanidad, también está
siendo utilizado para satisfacer los ilícitos intereses de individuos y grupos faltos de
escrúpulos que han visto en las TIC una oportunidad para saciar sus oscuros intereses.
(Dirección General de la Guardia General de España, 2006).
Sin lugar a dudas los Estados Unidos de América, han sido los más damnificados con el
terrorismo y por ende son pioneros en seguridad y ciberterrorismo, intensificando sus
estudios y aplicaciones desde que la organización terrorista Al Qaeda cometió los atentados
del 11-S de 2001, con lo que todas las miradas se han vuelto hacia este entorno y han
identificado el sin fin de posibilidades que los terroristas pueden optar para generar ataques
a su nación.
A pesar de esto, Estados Unidos no ha sido el único interesado en el tema ya que estos
grupos islámicos han atacado múltiples países, otro caso muy conocido fue el ataque
terrorista del 11-M del 2004 que causo casi dos centenares de víctimas mortales en España.
En el 2007, el gobierno de Estonia sufrió el que es considerado el mayor ataque cibernético
de la historia, en el cual se vio afectados la presidencia y varias agencias gubernamentales.
El país quedo completamente desconectado y sin servicios bancarios, internet y fluido
eléctrico por varios días. Este ataque desató una gran crisis que requirió la intervención de
la comunidad internacional y alertó a la Organización del Tratado del Atlántico Norte
(OTAN), la cual, en agosto de 2008, puso en marcha el Centro de Excelencia para la
Cooperación en Ciber Defensa (CCD), con el fin de proteger a sus miembros de este tipo
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 26
de ataques y entrenar a personal militar, investigar técnicas de defensa electrónica y
desarrollar un marco legal para ejercer esta actividad. (MINDEFENSA, 2015).
Varios episodios de interrupciones repentinas en el servicio eléctrico que cubren grandes
áreas geográficas han tenido un profundo impacto en los sectores económicos y sociales
de los países afectados. Algunos incidentes de blackout se refieren a eventos en Canadá y
los EE. UU. (Agosto de 2003), Alemania, Bélgica, Italia, Francia, España y los Países Bajos
(noviembre de 2006), Brasil (noviembre de 2009), así como actos de terrorismo a corto
plazo en ciertos activos de infraestructuras eléctricas, como los experimentados en
Colombia (1998-2003) (Correa & Yusta, 2014).
Otro ataque informático de relevancia es el ocurrido en el 2009 en Estados Unidos, donde
hackers robaron información ultra secreta del Joint Strike Fighter o F-35 (el proyecto de un
sistema de armas más costoso en la historia de Estados Unidos), en el mismo año,
perpetuaron otro ataque donde deshabilitaron las páginas web del Departamento del
Tesoro y de Estado, de la Comisión Federal de Comercio, del Pentágono y de la Casa
Blanca. (MINDEFENSA, 2015).
Específicamente en el ámbito que nos interesa en el presente proyecto, en julio de 2010, el
Stuxnet worm que atacó las instalaciones nucleares iraníes es el ataque de malware más
famoso para dañar directamente una infraestructura industrial; en diciembre de 2015, un
ciberataque intencional coordinado a través del malware BlackEnergy fue directamente
responsable de los cortes de energía para al menos 80,000 clientes en el oeste de Ucrania.
El incidente fue el primero con corte de energía conocido causado por un ataque
cibernético. Stuxnet y BlackEnergy han demostrado que la "seguridad por oscuridad" ya no
es un esquema adecuado para las infraestructuras críticas (Yang, y otros, 2017).
Con los avances en las redes y las tecnologías de Internet, los ciberataques en los sistemas
físicos se están convirtiendo en un fenómeno en crecimiento. Quizás el ciberataque más
conocido en un sistema físico fue el virus "Stuxnet". Entre finales de 2009 y principios de
2010, Stuxnet pretendía destruir hasta 1000 centrífugas de alta velocidad iraníes utilizadas
para el enriquecimiento de uranio. Específicamente, los períodos de vida de estas
centrifugadoras se redujeron significativamente al cambiar periódicamente sus velocidades
de rotación. Este ataque fue exitoso porque fue capaz de mostrar lecturas de equipos
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 27
engañosas (las lecturas indicaron que no había problemas) para los operadores (DeSmit,
Elhabashy, Wells, & Camelio, 2017).
Ejemplos de otros ciberataques son bastante numerosos y se expanden en una variedad
de campos. Los ciberataques recientes incluyen la violación de datos de Yahoo! de 2016,
la piratería de Sony Pictures Entertainment en noviembre de 2014, entre otros (DeSmit,
Elhabashy, Wells, & Camelio, 2017).
Ahora bien, Colombia también ha sido objeto de ataques. Un caso por resaltar fue el
ocurrido durante el primer semestre de 2011, cuando el grupo “hacktivista” autodenominado
Anonymous atacó a los portales de la Presidencia de la República, el Senado de la
República, Gobierno en Línea y de los Ministerios del Interior y Justicia, Cultura y Defensa,
dejando fuera de servicio sus páginas web por varias horas. Este ataque se dio en protesta
al Proyecto de Ley “por el cual se regula la responsabilidad por las infracciones al derecho
de autor y los derechos conexos en Internet”. Este grupo ha atacado indistintamente
entidades públicas y privadas, entre las que se cuentan PayPal, el banco suizo Post
Finance, MasterCard, Visa y páginas web del gobierno suizo. (DNP, 2011).
Una definición muy acertada sobre el tema es la realizada por Dan Verton. (2003). El
ciberterrorismo es la ejecución de un ataque sorpresa por parte de un grupo (o persona)
terrorista, extranjero subnacional, con objetivo político, utilizando tecnología informática e
Internet para paralizar o desactivar las infraestructuras electrónicas y físicas de una nación,
provocando de este modo la pérdida de servicios críticos, como energía eléctrica, sistemas
de emergencia telefónica, servicio telefónico, sistemas bancarios, Internet y otros muchos.
A nivel mundial existen varios grupos terroristas potencialmente activos que pueden en
determinada medida producir ataques informáticos, la lista de organizaciones terroristas
extranjeras más conocido es el realizado por el Departamento de Estado de los Estados
Unidos, en el cual, para el caso colombiano se vinculan a las disidencias Fuerzas Armadas
revolucionarias de Colombia (FARC) y al Ejército de Liberación Nacional (ELN).
Sin embargo, estos no son los únicos grupos potenciales para generar ataques en nuestro
país, también existen grupos organizados de delincuencia y narcotráfico que podrían tener
interés en perpetuar ataques a la nación.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 28
En la actualidad, los gobiernos estatales consideran la seguridad del suministro de energía
como uno de los objetivos principales de sus políticas energéticas, involucrando esfuerzos
institucionales en la protección de la seguridad nacional, las actividades económicas, la
salud pública, entre otros. Este hecho evidencia la estrecha relación entre la seguridad
global de las infraestructuras eléctricas y otros sectores críticos de infraestructura de la
economía (Correa & Yusta, 2014).
Un SCADA (por sus siglas en inglés "Supervisory Control and Data Acquisition") es un
sistema de tipo ICS (Industrial Control System). Un ICS controla procesos en el sector
industrial y en sectores de infraestructura crítica, denominada mundialmente como CNI
(Critical National Infrastructure). Esta lista de infraestructura crítica depende del País y es
formada generalmente por nueve sectores: Energía, Alimentos, Agua, Transporte,
Comunicaciones, Servicios de Emergencia, Atención Medica, Servicios Financieros y
Gubernamentales. Hoy en día, los SCADA son ampliamente usados en instalaciones de
fabricación de acero, química, telecomunicaciones, entre otros sectores (Cherdantseva, y
otros, 2016).
Los sistemas SCADA a diferencia de otros ICS son sistemas que (1) supervisa y controla
los activos distribuidos en grandes áreas geográficas, y (2) usa equipamiento de control
especifico como MTU (Master Terminal Unit), RTU (Remote Terminal Unit) o Gateway para
la transmisión de información hacia el SCADA. Inicialmente, los sistemas SCADA son
usados en transmisión de potencia, gasoducto y sistemas de control de distribución de agua
(Cherdantseva, y otros, 2016).
En 2004, el National Institute of Standards and Technology (NIST), publico el documento
titulado perfil del sistema de protección en sistemas de control industrial, el cual cubre los
riesgos y objetivos de los sistemas SCADA. En 2007, el presidente de los Estados Unidos
conformo la junta de protección de la infraestructura crítica y el departamento de Energía
para mejorar la seguridad de sus redes SCADA, publicando el folleto con 21 pasos para
mejorar la seguridad cibernética en las redes SCADA. En el 2008, el Centre for Protection
of National Infrastructure (CPNI), produce el documento “Guía de Buenas Prácticas para
Procesos de Control y Seguridad de SCADA”, encapsulando las mejores prácticas de
seguridad. La guía se actualizó en el 2011. Por otro lado, en el 2013 la Agencia de la Unión
Europea para seguridad en redes y la Información (ENISA), dio a conocer las
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 29
recomendaciones de seguridad de sistemas SCADA en Europa. (Cherdantseva, y otros,
2016)
En la actualidad la NERC (NERC, 2018), trabaja activamente en el desarrollo de normativas
abarcando muchos aspectos de la seguridad Cibernética.
Por otro lado, la regulación de las infraestructuras críticas ha sido varias veces discutida
durante mas una década. Sin embargo, sigue siendo un tema polémico para la academia y
los gobiernos. La estricta intervención gubernamental y los esfuerzos en las regulaciones
no son consideradas como una opción adecuada por el mundo académico y los gobiernos
de los países desarrollados. En estos países, hay una serie de estudios académicos que
proponen modelos de gestión de la seguridad para infraestructura crítica. Estos artículos se
centran en la importancia de la cooperación y la innovación, en lugar de enfatizar en la
importancia de las regulaciones (B. Karabacak, S. Ozkan, & N. Baykal, 2016). Este aspecto
toma mayor relevancia cuando en países como el nuestro, la regulación es parte
fundamental para justificar inversiones, y más teniendo en cuenta que el sector de energía
eléctrica se basa en mercados regulados, donde el costo pagado al proveedor del servicio
es bajo un esquema estipulado por la CREG (Comisión de Regulación de Energía y Gas).
Basado en la regulación y si en verdad es requerida o no, un estudio fundamentado en un
modelo de economía de la ciberseguridad revela que, dependiendo de la combinación de
incentivos, los operadores dejarán de invertir en evaluación de riesgos y sólo se
preocuparán por el cumplimiento (y viceversa), lo que sugiere que presionar por más reglas
podría tener consecuencias no deseadas (F. Massacci, R. Ruprai, M. Collinson, & J.
Williams, 2016).
Ahora, los sistemas SCADA modernos son altamente sofisticados, complejos y basados en
sistemas de tecnologías avanzadas. Esta creciente sofisticación y modernización, así como
su funcionamiento continuo, en tiempo real distribuido, con arquitecturas multicomponente,
hace que esta evolución permita también el crecimiento de las amenazas informáticas en
los sistemas SCADA. El cual, en el caso particular de esta investigación, se utiliza para la
supervisión y control de sistemas de transmisión de energía eléctrica.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 30
Las ciber vulnerabilidades involucran tres componentes principales: ordenadores,
comunicaciones y el sistema de potencia eléctrico. Los ataques pueden estar dirigidos a
sistemas específicos, subsistemas y a varios lugares simultáneamente de forma remota,
haciendo de estos componentes altamente interdependientes. El nivel de seguridad
entonces, indica la gravedad de los daños que podrían tener si hay una penetración en el
sistema de potencia. (Ten, Govindarasu, & Liu, 2007).
Con base en estos aspectos mencionados se hace necesario conocer el impacto que podría
tener un ataque en el sistema de potencia eléctrico. Hay varias estrategias como la que se
menciona en (Ten, Manimaran, & Liu, 2010), donde se propone una metodología para el
análisis de impacto que busca analizar el comportamiento de la intrusión y evaluar las
consecuencias de un ciberataque por ejemplo aun sistema SCADA. El método propuesto
se utiliza para evaluar la vulnerabilidad de las redes de ordenadores y los sistemas de
energía, y posiblemente la pérdida de carga en un sistema de energía como resultado de
un ciberataque.
Una ciberseguridad comprometida en un sistema SCADA puede causar graves daños al
sistema de alimentación de energía, el ataque puede ser capaz de realizar acciones de
encendido y apagado de equipos que conducen a una pérdida de carga o daños en
dispositivos del sistema. Esto es particularmente problemático si el ataque puede penetrar
en la red de centro de control SCADA que está conectado a las subestaciones del sistema
de potencia (Ten, Manimaran, & Liu, 2010). Los pasos de la metodología analizada en el
documento referenciado son los siguientes:
1. Cybernet: Red que incorpora combinaciones de escenarios de intrusión en el
sistema SCADA. El Cybernet captura la configuración del sistema, la autenticación,
el modelo de servidor de seguridad, y el modelo de usuario / contraseña. Las tasas
de transición de la Cybernet se obtienen mediante el análisis estadístico de los
registros del sistema. El análisis de estado estacionario de Cybernet proporciona la
probabilidad de intrusiones para cada escenario.
2. Simulación del flujo de potencia: El comportamiento en estado estacionario de un
sistema de energía bajo un ciberataque puede ser estudiado mediante modelos de
intrusión y simulaciones de flujo de potencia. Esta evaluación de un sistema de
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 31
potencia bajo ciberataques puede llevarse a cabo mediante el aislamiento de los
subsistemas comprometidos. La falla obtenida de la solución del flujo de potencia
es una indicación de que tan grande es el impacto, y si puede conducir a un colapso
del sistema de alimentación. El impacto de aislamiento de una subestación en el
sistema global se mide por un factor de impacto correspondiente a la subestación.
3. Cálculo del índice de vulnerabilidad: El índice de vulnerabilidad de un escenario se
calcula como el producto de la probabilidad de intrusión en estado estacionario para
el escenario (que se obtiene a través del análisis Cybernet) y el factor de impacto
del componente (obtenida a través de la simulación del flujo de potencia). El máximo
entre los índices de vulnerabilidad de escenarios evaluados se utiliza como el índice
de vulnerabilidad del sistema.
4. Mejoras de seguridad: mejorar la seguridad cibernética del sistema SCADA basado
en los resultados de evaluación de la vulnerabilidad con las tecnologías disponibles.
Esta mejora puede producir diferentes probabilidades que serán utilizadas en un
análisis cuantitativo.
En este escenario en el que contemplamos al sector energético como infraestructura crítica,
el cual a su vez es tecnológicamente y estructuralmente evolutiva (y cada vez más
interdependiente), surgen preocupaciones comprensibles por su vulnerabilidad y riesgo, es
decir, por el peligro de que (Zio, 2016):
• Las capacidades del sistema asignadas y actuales no pueden ser adecuadas para
soportar las crecientes demandas en escenarios de mayor integración y
desregulación del mercado.
• Los márgenes de seguridad diseñados preventivamente pueden no ser suficientes
para hacer frente a las condiciones esperadas y, sobre todo, inesperadas que llegan
a los sistemas.
Estos aspectos son difíciles de analizar, ya que, debido a la complejidad de la misma
infraestructura crítica, los comportamientos emergentes pueden surgir a partir de la
respuesta colectiva de los diferentes componentes elementales, en formas difíciles de
predecir y manejar (Zio, 2016). Como resultado, existen grandes incertidumbres en la
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 32
caracterización de los escenarios de falla, lo que requiere de un análisis de ciber
vulnerabilidad y de evaluación de sus propiedades elásticas, para asegurar su protección y
resiliencia.
2.2 Marco Conceptual
El presente proyecto está orientado al sector energético y en particular a sistemas de
potencia eléctrica, que básicamente se puede definir como un conjunto de etapas
interrelacionadas que permiten suministrar energía eléctrica a un usuario o punto de carga,
realizando un proceso que comienza en la generación de energía y termina en la entrada
de servicio de los consumidores en donde se miden los consumos.
Este proceso en Colombia está conformado por cuatro etapas que constituyen en conjunto
el sistema de potencia eléctrico nacional (CREG, CREG 1994 – Resolución CREG 055 de
1994, 1994) que a continuación serán descritas:
• Etapa de Generación de Energía Eléctrica: Proceso mediante el cual se
obtiene energía eléctrica a partir de alguna otra forma de energía.
• Etapa de Transmisión de Energía Eléctrica: Transferencia de grandes
bloques de energía eléctrica, desde las centrales de generación hasta las aéreas de
consumo.
• Etapa de Distribución de Energía Eléctrica: Transferencia de energía
eléctrica a los consumidores, dentro de un área específica.
• Etapa de Comercialización de Energía Eléctrica: Es la actividad de comprar
grandes cantidades de energía a los productores para venderla a los usuarios o a
otras empresas del sector, está relacionada con lectura de medidores y facturación.
Teniendo claro cada una de las etapas de la cadena productiva de la energía eléctrica y en
busca de integrar un sistema de gestión de seguridad a esta infraestructura, para la
realización de este proyecto es necesario tener claro algunos conceptos que permitan
sustentar teóricamente este trabajo. Por lo tanto, es pertinente definir algunos parámetros
y variables que se tienen en cuenta en su elaboración y así mismo los componentes que lo
conforman, a continuación, se mencionan algunos términos considerados para tal fin.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 33
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 34
3. Estado del Arte
En esta etapa del proyecto se analizan los mecanismos y metodologías de evaluación de
Ciberseguridad en los sistemas eléctricos, que se realizan a nivel mundial y se definen
algunas de las prácticas que aplicarían al entorno colombiano. Para este aspecto se realizó
el estudio en algunos países, de donde se analizó las metodologías que aplicaban y de qué
manera se adaptaban al entorno de transmisión de energía eléctrica.
La metodología de desarrollo utilizada en esta fase se muestra a continuación:
Figura 3. Etapa de análisis de mecanismos de evaluación. Fuente: Elaboración propia.
Las infraestructuras críticas juegan un papel vital en el apoyo a la sociedad moderna. La
fiabilidad, el rendimiento, la operación continua, la seguridad, el mantenimiento y la
protección de infraestructuras críticas son prioridades nacionales para los países de todo el
mundo. (Alcaraz & Zeadally, 2015).
La Unión Europea (UE), a través de su Programa Europeo para la Protección de
Infraestructuras Críticas (EPCIP, European Programme for Critical Infrastructure
Protection), también enfatiza la importancia de la protección de infraestructuras críticas para
todos sus estados miembros y sus ciudadanos. Según el EPCIP, las infraestructuras críticas
se clasifican de la siguiente manera:
Mecanismos o metodologías de
otros países.
Identificación de diferencias y semejanzas.
Identificación de factores que aplican
al sistema de transmisión de
energía.
Definición de las prácticas aplicables al
STN colombiano.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 35
• Energía.
• Tecnologías de la Información y las Comunicaciones.
• Agua.
• Agricultura, Salud Público.
• Sistema Financiero.
• Administración Civil.
• Seguridad Pública y de Orden Legal.
• Sistemas de Transporte
• Industria Química.
• Industria Nuclear.
• Espacio.
• Servicios de Investigación.
Las conexiones entre los sectores de infraestructura críticas producen relaciones de
interdependencia especiales. Las relaciones expresan el hecho de que una infraestructura
crítica podría depender de productos y servicios proporcionados por otra infraestructura
crítica, y la segunda infraestructura crítica también puede depender de los productos y
servicios proporcionados por la primera infraestructura crítica. Estas interdependencias
podrían desencadenar efectos de cascada en múltiples infraestructuras críticas cuando una
infraestructura crítica se interrumpe, daña o destruye (Alcaraz & Zeadally, 2015).
En (CRC, Comisión de Regulación de Comunicaciones 2015 – Identificación de las posibles
acciones, 2015) se presenta un análisis de la información vigente en temas de
Ciberseguridad a nivel internacional, con el fin de plantear posibles líneas de acción en la
materia para la Comisión de Regulación de Comunicaciones de Colombia. Dentro de las
experiencias recopiladas en este documento, se incluyeron por su avance e impacto las
siguientes en el presente trabajo de investigación:
Unión Europea
En el año 2013 la Comisión Europea publicó el documento titulado “Estrategia de
Ciberseguridad de la Unión Europea: Un Ciberespacio Abierto, Seguro y Protegido”
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 36
, que aborda de manera general el problema de la Ciberseguridad (CRC, 2015). En
el caso de la Unión Europea oriento a los estados miembros hacia la adopción de
prácticas para la gestión de riesgos en las administraciones públicas y para los
operadores de servicios financieros, de transportes, servicios de energía y para los
prestadores de servicios que operen con información sensible de los usuarios.
Dentro de las medidas adoptadas las empresas de los sectores críticos concretos
antes citados y las administraciones públicas evaluan los riesgos a que se enfrentan
y establecen medidas adecuadas y proporcionadas para garantizar la seguridad de
la Información y redes. Estas empresas notifican a las autoridades competentes
todos los incidentes que supongan un peligro grave para el funcionamiento de sus
redes, sistemas de información y comprometan de forma significativa la continuidad
de los servicios críticos y el suministro de mercancías (CRC, 2015).
En varios países de la Unión Europea se exige la acreditación de seguridad de
sistemas informáticos en operación, en el cual se definen los procedimientos a
seguir para una buena práctica de gestión, todo ello de acuerdo a la norma ISO
27001 (CRC, 2015).
Estados Unidos
Para el caso de los Estados Unidos la seguridad nacional y económica del país
depende en gran medida del funcionamiento fiable de su infraestructura crítica, es
por ello que en el año 2008 fue lanzada la Iniciativa Integral Nacional de
Ciberseguridad (CNCI), que para el tema particular de análisis establecio una línea
de defensa contra las amenazas inmediatas, mediante la creación o mejora de la
conciencia compartida de vulnerabilidades de la red, las amenazas y eventos dentro
del Gobierno Federal, y en última instancia con sectores estatales, locales y los
socios del sector privado, teniendo como objeto actuar con rapidez para reducir
vulnerabilidades actuales y prevenir intrusiones (CRC, 2015).
En cuanto a temas particulares para la industria TI y los equipos terminales, respecto
a seguridad, se han adoptado certificaciones expedidas por instancias como la NIAP
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 37
(National Information Assurance Partnership), la cual es una iniciativa del gobierno
de Estados Unidos para identificar las necesidades de pruebas de seguridad tanto
de consumidores como de productores de tecnologías de la información, la cual es
operada por la NSA (National Security Agency) y fue el resultado de un esfuerzo
conjunto entre la NSA y el NIST (National Institute of Standards and Technology) de
los Estados Unidos. Esta certificación proporciona un conjunto común de requisitos
funcionales para los productos de TI (Tecnologías de la Información) y combinan
criterios de los sistemas de evaluación de seguridad de Estados Unidos, Canadá y
Europa, que a su vez fueron adoptados por la ISO (International Organization for
Standardization) bajo la serie de normas ISO/IEC 15408 (CRC, 2015).
Las redes eléctricas en Estados Unidos han estado desarrollándose durante más de
un siglo, convirtiendose en sistemas extremadamente complejos con más de 55.000
subestaciones y cerca de 500.000 kilómetros de líneas de transmisión.
Investigaciones frecuentemente se refieren a subestaciones como nodos y a líneas
de transmisión como enlaces, investigando las vulnerabilidades del sistema desde
estas dos perspectivas (Zhu, Yan, Tang, Sun, & He, 2015).
Los Estados Unidos y algunas provincias de Canadá también aplican las normas o
estándares de NERC-CIP versión 6 (North American Electric Reliability Corporation
Critical Infrastructure Protection) en los sistemas de energía. El incumplimiento
puede dar lugar a sanciones financieras (CRC, 2015).
Australia
Australia en el 2009 creó la Estrategia de Ciberseguridad en la que estableció las
prioridades estratégicas del gobierno para asegurar la infraestructura de información
nacional y reunió dos iniciativas: el CERT (Computer Emergency Response Team)
Australia y el CSOC (Cyber Security Operations Centre) (CRC, 2015).
El ente regulador ACMA (Australian Communications and Media Authority)
desarrolló la iniciativa de seguridad en Internet australiana, el cual reúne datos de
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 38
varias fuentes en computadores que presentan alguna desviación en su
comportamiento dentro de las redes de Internet del país y a partir de estos datos, el
ACMA provee reportes diarios y con sugerencias sobre la forma de solucionar la
anomalía detectada (CRC, 2015). Como dato adicional en Australia es ilegal que
cualquier persona u organización utilice y controle remotamente el computador de
otra persona sin su consentimiento.
En (Hopkin Paul, 2017) se define cuatro aspectos que pueden ser afectados por una
amenaza o riesgo determinado dentro de una organización. Para el caso particular de las
amenazas de los ciber activos del sistema de transmisión y teniendo en cuenta esta
definición tenemos los impactos globales que se pueden llegar a presentar:
✓ Financiero: La empresa podría no ser capaz de transportar la energía eléctrica y
pagar compensaciones por incumplimientos de contratos o por energía no
suministrada.
✓ Infraestructura: La empresa podría perder activos por los daños ante la
materialización de riesgos y realizar inversiones de alto costo para cumplir con las
obligaciones adquiridas como transmisor de energía eléctrica. Además, podría tener
afectación en seres vivos, llegando a tener pérdidas humanas o afectaciones
ambientales por ataques de ciberseguridad efectivos.
✓ Reputación: La empresa podría ser intervenida por la superintendencia de servicios
públicos domiciliarios debido a una reputación degradada dado a ataques exitosos
de ciberseguridad.
✓ Mercado: El sector energético podría buscar otro proveedor de electricidad o
castigar con los valores remunerados al agente transmisor, por la afectación del
servicio de energía eléctrica debidas a ataques cibernéticos.
Como parte de la revisión de diferentes metodologías utilizadas a nivel mundial, a
continuación se muestran algunas investigaciones realizadas en el ámbito de
Ciberseguridad y análisis de vulnerabilidades en infraestructuras críticas:
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 39
• En la metodología utilizada en (Song J, Lee J, Lee C, Kwon K, & Lee D., 2012) se
describe seis pasos que deben llevarse a cabo para realizar una evaluación de
riesgos de seguridad cibernética durante el diseño del sistema y componentes:
1. Identificación del sistema y modelado de seguridad cibernética.
2. Análisis de activos y de impacto.
3. Análisis de amenazas.
4. Análisis de vulnerabilidad
5. Diseño de control de seguridad.
6. Prueba de penetración.
En cuanto al análisis de vulnerabilidad, en este trabajo se recomienda utilizar una
lista existente de vulnerabilidades y adaptarlas a las características específicas del
sistema bajo análisis.
• En (Woo & Kim, 2014) se propone una metodología para la evaluación cuantitativa
del riesgo de seguridad cibernética en los sistemas SCADA basada en el flujo de
potencia óptimo y el seguimiento del flujo de potencia.
Para la cuantificación de vulnerabilidades, primero, se define el impacto de cada
amenaza para cada componente. Luego, se asigna un índice de vulnerabilidad a
cada componente del sistema. El índice de vulnerabilidad de un componente se
basa en datos históricos, cuando estos están disponibles, y en las características
de seguridad del componente. Para la cuantificación de amenazas, se asigna un
índice ponderado normalizado a cada tipo de amenaza para cada componente del
sistema SCADA. Se basa en la aplicabilidad del tratamiento al componente, con el
índice de vulnerabilidad y la capacidad de daño. El valor del activo se calcula en
función del costo de interrupción.
El flujo de potencia óptimo se estima como un costo mínimo de generación de
energía para todos los generadores bajo restricciones de generadores y
capacidades de línea. El método de seguimiento de flujo de potencia, se basa en la
teoría de grafos, se utiliza para examinar las interdependencias entre generadores
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 40
y terminales de carga con el fin de calcular el costo de interrupción para cada
componente de un sistema SCADA.
Finalmente, el riesgo se calcula en términos monetarios como un producto de las
probabilidades de una amenaza y vulnerabilidad, y el costo de un activo.
• En la investigación realizada en (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling
of Cyber Attacks, 2015), se desarrolla una metodología para el análisis de impacto
de una subestación eléctrica y sus líneas asociadas, considerando parametros de
ataques y sus correlaciones con las conexiones fisicas del sistema de transmisión
de energía eléctrica.
Varios metodos son utilizados para evaluar las probabilidades de acceso ilegal, los
cuales incluyen cadenas de Markov, redes Petri y metodos basados en redes
Bayesianas (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling of Cyber Attacks,
2015).
En este artículo se hace enfasis en analizar la respuesta del sistema de protección
local de la subestación ante ciber ataques. Se evalúa los Ni parametros de ajuste
del esquema de protecciones eléctricas de la subestación y líneas de trasnmisión y
se asume una capacidad de atacante el cual es definido como el porcentaje de
parametros que el atancante puede modificar, evaluando el número y las
combinaciones de parametros modificables, al igual de su indicador de impacto
sobre el sistema de transmisión.
• En (Yang, y otros, 2017) se propone un modelo de sistema de detección de intrusión
(IDS) orientado a ciber seguridad de subestaciones eléctricas basadas en IEC
61850. El IDS propuesto integra el conocimiento físico, las especificaciones del
protocolo y los comportamientos lógicos para proporcionar una solución integral y
efectiva que pueda mitigar varios ciberataques.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 41
Se han propuesto muchas investigaciones en intrusión y detección de anomalías
dirigidas a los sistemas SCADA. Sin embargo, la investigación sobre IDS orientado
a subestaciones inteligentes con IEC 61850 todavía se encuentra en una etapa
temprana de desarrollo (Yang, y otros, 2017). Un IDS basado en reglas para un IED
con IEC 61850 generalmente se obtienen a partir de datos experimentales basados
en ciberataques simulados sin considerar la especificación del protocolo. El enfoque
de la lista negra (blacklist) propuesta en algunos IDS muestra la detección efectiva
de ataques conocidos. Sin embargo, las listas negras generalmente no son efectivas
contra amenazas desconocidas o vulnerabilidades no descubiertas, también
llamadas ataques de día cero.
Basado en ciberataques relacionados recientes como Havex, Stuxnet y
BlackEnergy, la motivación para la IDS de red es detectar comportamientos
específicos del SCADA llevados a cabo por un intruso que ya se ha afianzado en la
red debido a una interfaz de máquina humana infectada (HMI), computadora portátil
de ingeniería o un vector inicial similar. Estas infecciones iniciales suelen explotar
las vulnerabilidades del software de TI no relacionadas con el sistema de control
central.
El enfoque de IDS propuesto en (Yang, y otros, 2017) consta de cuatro dimensiones:
1. Detección de control de acceso: Es un tipo de estrategia de control de acceso
que incluye direcciones de control de acceso medio (MAC) en la capa
Ethernet, direcciones IP en la capa de red y puertos en la capa de transporte.
2. Detección de lista blanca de protocolo: Se refiere a las capas 2-7 en términos
del modelo OSI y trata de identificar los protocolos de redes de
subestaciones inteligentes que deben operar.
3. Detección basada en modelos: El enfoque analiza los archivos SCD y el
contenido de tráfico IEC 61850 normal, define modelos de comportamiento
normales y correctos utilizando un análisis de protocolo en profundidad y
compara los perfiles de comportamientos benignos con el tráfico observado
para identificar desviaciones anómalas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 42
4. Detección basada en múltiples parámetros: La idea central de la detección
es identificar las posibles amenazas contra el SCADA, que resultan de un
uso indebido interno no intencionado o ataques maliciosos externos
mediante el control de los parámetros más sensibles desde el punto de vista
operativo de una subestación eléctrica. Se basa en la integridad de los datos,
compara valores desde todos los puntos de información.
La clave para este trabajo es el uso novedoso de la información de configuración
del archivo SCD, para configurar automáticamente el IDS desplegado en la
subestación donde está instalado el IDS.
• En el trabajo realizado en (Zhu, Yan, Tang, Sun, & He, 2015), se diseña una nueva
métrica llamada gráfico de interdependencia de componentes, para presentar las
relaciones entre nodos críticos y enlaces desde la perspectiva del atacante.
Adicionalmente, se realiza simulaciones adoptando el sistema propuesto en la IEEE
30, el cual es utilizado como punto de referencia para los análisis realizados. El
sistema de potencia analizado cuenta con 30 nodos y 41 enlaces, que en total
suman 71 componentes de red analizados. Las combinaciones de nodos y enlaces
son destacados en la investigación realizada, por que de esta radica la importancia
para la investigación de vulnerabilidades y las estrategias de ataques en el sistema
de transmisión de energía, identificando y generando un gráfico de
interdependencias de componentes.
En este trabajo se representa la red de influencia como H, donde H = {N,L} , donde
N es el grupo de Nodos (subestaciones del área de influencia) y L es el número de
enlaces (líneas de transmisión del área de influencia). Los nodos son clasificados
en tres grupos, nodos de generación NG, nodos de demanda ND y nodos de
transmisión NT. Adicionalmente, se definen las siguientes constantes KN, KL, KNG,
KND, los cuales representan el número de nodos, enlaces, nodos de generación y
nodos de demanda respectivamente.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 43
En sistemas de potencia, la energía es transmitida desde nodos de generación
hasta nodos de demanda. Por lo tanto, cada nodo puede causar cambio en los
enlaces del sistema eléctrico. Sin embargo, dentro de la red eléctrica siempre existe
un limite de flujo de potencia, que en el caso de (Zhu, Yan, Tang, Sun, & He, 2015)
se denomina Pmax. Finalmente, la capacidad de la red CRT es usada en la
metodología para evaluar como el sistema puede suplir la energía ante los
diferentes eventos que puedan ocurrir en el sistema de potencia.
La metodología se basa en grafos, el cual luego del análisis de varias
combinaciones, se visualiza una red con nodos que representan los componentes
del sistema y enlaces que representan las interdependencias entre dos
componentes, adicionalmente en el gráfico el color y el tamaño de la fuente
representa la criticidad tanto del nodo como del enlace correspondiente, tal como se
muestra en la Figura 4.
Figura 4. Grafo de interdependencias de componentes Topología IEEE 30. Fuente: (Zhu, Yan, Tang, Sun, & He, 2015).
Para la simulación propuesta en esta metodología se tienen en cuenta los siguientes
conceptos definidos (Zhu, Yan, Tang, Sun, & He, 2015):
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 44
✓ Carga: En este documento representa la potencia transferida por cada línea de
transmisión, se demona carga inicial a la potencia trasmitida antes del ataque o
de pérdida del elemento.
✓ Tolerancia del sistema: Dentro del modelo eléctrico se debe conocer y definir la
capacidad de cada línea de transmisión y subestación. Esta capacidad
generalmente esta dada proporcionalmente a una carga inicial. Esta
proporcionalidad es la tolerancia del sistema.
✓ Sobre Carga: Es cuando alguno elemento del sistema de potencia excede su
capacidad.
Como medida de valoración en (Zhu, Yan, Tang, Sun, & He, 2015), se adoptan dos
medidas para evaluar el daño causado por el ataque. La medida principal es el
porcentaje de caída en la capacidad de la red (PCR), que se define como:
PCR = (CRT − CRT′) CRT⁄ [1]
Donde CRT representa la capacidad de la red antes del ataque y CRT' representa
la capacidad de la red después del ataque. Es importante tener en cuenta que las
fallas en cascada ocurren precisamente cuando la carga de una subestación o línea
de transmisión excede esta capacidad, la cual es calculada en (Zhu, Yan, Tang,
Sun, & He, 2015) por el multiplo de la tolerancia del sistema con respecto a la carga
base o inicial.
La segunda medida es la pérdida de conectividad (PL), que se define como:
PL = 1 − KL′ KL⁄ [2]
Donde KL es el número de líneas disponibles antes del ataque y KL' representa el
número de líneas disponibles luego del ataque.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 45
• Otra investigación encontrada, donde se calculan metricas de ciberseguridad es en
(Yu, Mao, & Guo, 2006), en donde se propone un índice de vulnerabilidad para
sistemas de potencia dado por:
Ic= ∑ P(Ej)×P(ELj Ej⁄ )×Lj(ELj)j∈N [3]
Donde:
P(Ej) : Probabilidad de la ocurrencia del evento Ej.
P(ELj/Ej) : Probabilidad de afectación del sistema de potencia
ELj : Resultado del evento de ciber seguridad Ej.
Lj : Pérdidas causadas por la afectación ELj.
• Uno de los trabajos que aporto un referente importante para la investigación
realizada es (Cherdantseva, y otros, 2016), donde se describe un estado del arte
detallado sobre las diferentes metodologías para la valoración del riesgo y que
contribuye a la identificación de las vulnerabilidades del sistema. A continuación se
describen aspectos relevantes de las metodologías presentadas y que de una u otra
forma contribuyeron a la propuesta realizada en el presente trabajo.
En (Cherdantseva, y otros, 2016) se referencia el método de dos índices para la
evaluación cuantitativa de la vulnerabilidad de los sistemas de información críticos.
El método desarrollado en (Patel S, Graham J, & Ralston P., 2008), es basado en
una vulnerabilidad argumentada en estructura de arbol con dos índices, nombrados
índice de impacto de la amenza y índice de ciber vulnerabilidad.
1. El índice de impacto de la amenza representa el efecto financiero de una
amenaza cibernética, entre más grande es el indicador mayor es el impacto.
Se mide en la escala de 0 a 100.
2. El índice de ciber vulnerabilidad representa la vulnerabilidad de un sistema
con respecto a un ciberataque. Un sistema más vulnerable tiene un índice
más alto. Se mide en la escala de 0 a 100.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 46
El método requiere seis pasos para su ejecución:
1. Desarrollo del diagrama de árbol desde su nivel base, identificando las
vulnerabilidades para un sistema determinado.
2. Construcción de una tabla de análisis de efectos y cálculo de los valores del
índice de impacto de la amenaza.
3. Asignación y reorganización en el diagrama de árbol de los valores de índice
de impacto de amenaza.
4. Cálculo de los valores del índice de vulnerabilidad cibernética.
5. Asignación y reorganización en el diagrama de árbol con los valores del
índice de vulnerabilidad cibernética.
6. Reproducción de los pasos 2-5 para un sistema de seguridad mejorada y la
comparación de resultados.
En este artículo, las pérdidas financieras causadas por los ataques fueron estimadas
entrevistando ingenieros, gerentes, operadores y contadores del caso de estudio.
Otro estudio referenciado en (Cherdantseva, y otros, 2016), es la evaluación del
riesgo de ciberataques en los sistemas SCADA, a través del análisis de redes de
Petri. La metodología propuesta en (Henry & Haimes, 2009), es identificar los
posibles modos de falla del proceso con las consecuencias correspondientes, a
partir de ellos, esos modos de falla se separan y se determinan cuales puede
conducir a una falla de alto impacto del proceso. Luego, se identifican los recursos
que necesita un atacante para cometer un ataque.
El modelo de riesgo de seguridad de red (NSRM Network Security Risk Model), es
un gráfico dirigido que representa un ataque. En el gráfico, los nodos representan
los componentes de un sistema y las conexiones indican los enlaces a través de los
cuales un componente puede influir en otro. El NSRM presenta los siguientes pasos
(Henry & Haimes, 2009):
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 47
1. Identificar las métricas de riesgo específicas del sistema. En el ejemplo
presentado en el caso de estudio, el riesgo se mide en términos de los
galones de flujo perdido de petróleo crudo por día.
2. Descomponer una infraestructura controlada en un modelo jerárquico.
3. Caracterizar los modos y efectos de falla del proceso.
4. Especificar el funcionamiento del proceso y los modos de interrupción del
proceso.
5. Construir un escenario de ataque. Cada escenario de ataque se caracteriza
por los objetivos del atacante, el tipo de atacante y los puntos de acceso.
6. Caracterizar la estructura de seguridad de red.
7. Descomponer la red de control en los componentes de la red y los enlaces
entre ellos.
8. Definir los modos de interrupción del proceso y los requisitos de recursos en
términos de acceso a los componentes para cada escenario de ataque.
En esta investigación se observa que debido a la falta de datos estadísticos y debido
a las particularidades de los sistemas individuales, los expertos deben participar en
la estimación de los parámetros involucrados en el cálculo.
Otro referenciamiento presentado en (Cherdantseva, y otros, 2016), es la evaluación
del riesgo de seguridad cibernética en centrales nucleares desarrollado en (Song J,
Lee J, Lee C, Kwon K, & Lee D., 2012). La metodología describe seis pasos que
deben llevarse a cabo para realizar una evaluación de riesgos de seguridad
cibernética, durante el diseño del sistema y componentes:
1. Identificación del sistema y modelado de seguridad cibernética.
2. Análisis de activos y de impacto.
3. Análisis de amenazas.
4. Análisis de vulnerabilidad
5. Diseño de control de seguridad.
6. Prueba de penetración.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 48
En cuanto al análisis de vulnerabilidad, en este trabajo se recomienda utilizar una
lista existente de vulnerabilidades y adaptarlas a las características específicas del
sistema bajo análisis.
Por ultimo, se menciona la metodología cuantitativa para evaluar el riesgo de
seguridad cibernética de los sistemas SCADA realizada en (Woo & Kim, 2014). Este
documento propone una metodología para la evaluación cuantitativa del riesgo de
seguridad cibernética en los sistemas SCADA basada en el flujo de potencia óptimo
y el seguimiento del flujo de potencia.
Para la cuantificación de vulnerabilidades, primero, se define el impacto de cada
amenaza para cada componente. Luego, se asigna un índice de vulnerabilidad a
cada componente del sistema. El índice de vulnerabilidad de un componente se
basa en datos históricos, cuando estos están disponibles, y en las características
de seguridad del componente. Para la cuantificación de amenazas, se asigna un
índice ponderado normalizado a cada tipo de amenaza para cada componente del
sistema SCADA. Se basa en la aplicabilidad del tratamiento al componente, con el
índice de vulnerabilidad y la capacidad de daño, el valor del activo se cálcula en
función del costo de interrupción.
El flujo de potencia óptimo se estima como un costo mínimo de generación de
energía para todos los generadores bajo restricciones de generadores y
capacidades de línea. El método de seguimiento de flujo de potencia, se basa en la
teoría de grafos, se utiliza para examinar las interdependencias entre generadores
y terminales de carga con el fin de calcular el costo de interrupción para cada
componente de un sistema SCADA.
Finalmente, el riesgo se cálcula en términos monetarios como un producto de las
probabilidades de una amenaza y vulnerabilidad, y el costo de un activo.
• En el caso de la metodología propuesta en (Matthew, Ryan, Kevin, & Zaret, 2009),
se identifican los posibles modos de falla del proceso con las consecuencias
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 49
correspondientes, a partir de ellos, esos modos de falla se separan y se determinan
cuales puede conducir a una falla de alto impacto del proceso. Luego, se identifican
los recursos que necesita un atacante para cometer el ataque. Finalmente, con esta
valoración se realiza una ponderación se presenta el análisis de vulnerabilidad del
sistema.
• Basándose en un extenso análisis de fallas, en (Alcaraz & Zeadally, 2015) se han
propuesto una taxonomía de amenazas que se basa en la noción de causa y efecto.
La taxonomía utiliza vectores de eventos y vectores de efectos para definir la
motivación de una amenaza, la metodología aplicada para crear una amenaza y los
efectos resultantes. Un vector de evento describe el agente de amenaza, la
motivación, el objetivo y el método o la técnica utilizada para lograr el objetivo. Por
el contrario, un vector de efectos describe los impactos en la infraestructura, los
servicios y el sector afectados, además de la causa.
También se hace enfasis en la importancia de considerar el nivel de dependencia
entre recursos, componentes del sistema, funcionalidades y servicios. Cuando el
nivel de dependencia es alto y un componente exhibe un comportamiento anómalo,
existe la posibilidad de que todo el sistema y sus servicios se vean afectados y los
efectos puedan caer en cascada hacia otras infraestructuras críticas. En tales
situaciones, es de suma importancia estar al tanto de cuatro factores: el alcance del
efecto, su magnitud, propagación y recuperación.
Desde la perspectiva más general en (Alcaraz & Zeadally, 2015), se recomienda
que el acceso externo a los recursos del sistema debe asegurarse mediante
firewalls, zonas desmilitarizadas (DMZ), sistemas de detección de intrusos (IDS -
intrusion detection systems) , sistemas de prevención de intrusiones (IPS - intrusion
prevention systems) y software antivirus.
• Con referencia al tema de evaluación de vulnerabilidades en (DeSmit, Elhabashy,
Wells, & Camelio, 2017), se proporciona un enfoque para identificar
sistemáticamente las vulnerabilidades ciberfísicas y analizar su impacto potencial
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 50
en los sistemas de fabricación inteligentes. El enfoque propuesto emplea el mapeo
de intersecciones para identificar vulnerabilidades ciberfísicas en la fabricación. Se
presenta un análisis de impacto de vulnerabilidad ciberfísica utilizando árboles de
decisión y proporciona una escala de semáforo entre niveles bajos, medios y altos
de vulnerabilidades ciberfísicas para cada proceso de producción. La escala de
semáforo permite interpretar los resultados de la evaluación de una manera intuitiva.
El enfoque propuesto es el primero de un protocolo de seguridad ciberfísica de cinco
pasos: identificación y evaluación de vulnerabilidades, protección, detección de
ataques, estrategia de respuesta y protocolo de recuperación; propuesto por el
Instituto Nacional de Estándares y Tecnología (NIST).
El enfoque de evaluación de vulnerabilidad es basado en la idea de que las
vulnerabilidades en los sistemas ocurren en las intersecciones de entidades
cibernéticas, físicas, ciberfísicas y humanas que se incorporan en un proceso
determinado. En la Figura 5 se puede ver una representación visual de cómo estas
entidades y vulnerabilidades interactúan dentro del espacio de vulnerabilidad, donde
las intersecciones deberían dar como resultado una transformación esperada. Sin
embargo, la transformación real podría diferir de la esperada. Esta transformación
actuaría como entrada en la próxima intersección y este procedimiento continuaría
a través de cada intersección en el proceso o funcionamiento del sistema.
Figura 5. Ejemplo de intersección Ciber/Humana dentro del sistema. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).
CIBER ENTIDAD
ENTIDAD HUMANA
INTERSECCIÓN
TRANSFORMACIÓN ESPERADA
TRANSFORMACIÓN ACTUAL
ESPACIO DE VULNERABILIDAD
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 51
El enfoque propuesto comienza con el mapeo de intersecciones y el análisis del
impacto de la vulnerabilidad en cada nodo de intersección, como se muestra en la
Figura 6. Sin embargo, primero se necesita una mejor comprensión del flujo del
proceso, la transición de datos / conocimiento y los requisitos de recursos para el
funcionamiento del sistema.
Figura 6. Esquema del enfoque de evaluación de vulnerabilidad propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017).
Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).
Para un análisis completo, se deben crear mapas de procesos y mapas de
intersecciones posteriores para cada parte del sistema garantizando que todas las
intersecciones estén incluidas. Después de eso, se realizá un análisis de impacto
de vulnerabilidad en cada nodo de intersección de acuerdo con un conjunto de
métricas específicas. Como resultado del enfoque, se pone a disposición de la
empresa como una visión general de las vulnerabilidades ciberfísicas existentes en
el sistema.
Ahora bien, para el proceso del mapeo de intersección, el primer paso del enfoque
de evaluación propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017), es
rastrear los cuatro tipos de entidades diferentes a lo largo de todo el proceso de
producción o funcionamiento del sistema. Para este propósito, los mapas de
intersección se usan para identificar cada entidad a medida que avanza a través del
proceso, creando una cadena de entidades relacionadas que podrían rastrearse
fácilmente. Las cuatro entidades enumeradas a continuación son: cibernéticas,
físicas, ciberfísicas y humanas.
✓ La entidad cibernética se utiliza para el procesamiento previo, el
almacenamiento, la transferencia, la administración o el procesamiento posterior
PROCESO DE MAPEO
MAPEO DE INTERSECCIONES
ANÁLISIS DE IMPACTO DE
VULNERABILIDADES
PERSPECTIVA GENERAL DE
VULNERABILIDADES CIBER-FÍSICAS
ENFOQUE DE EVALUACIÓN DE VULNERABILIDAD
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 52
de la información digital. Los ejemplos de entidades cibernéticas incluyen:
sistemas de planificación de necesidades de materiales (MRP), plataformas de
gestión del ciclo de vida (PLM), sistemas de planificación de recursos
empresariales (ERP), sistemas de gestión de datos, software de minería de
datos y sistemas de informe de control o inspección de calidad.
✓ Una entidad física es aquella que es de naturaleza tangible y cuyo papel en el
sistema no está completamente gobernado por sistemas automatizados. Los
ejemplos de entidades físicas incluyen: piezas fabricadas, máquinas operadas
manualmente, materiales crudos o intermedios y equipos de inspección
operados manualmente.
✓ Las entidades ciberfísicas se definen como cualquier entidad compuesta de
elementos cibernéticos y físicos que interactúan de manera autónoma, con o sin
supervisión humana. Los ejemplos de entidades ciberfísicas incluyen: máquinas
de Control Numérico Computarizado (CNC), Máquinas de Medición de
Coordenadas (CMM), sistemas de adquisición de datos (DAQ), impresoras 3D y
redes SCADA.
✓ Por ultimo, en el espacio de vulnerabilidad, un humano se define como cualquier
persona que tiene la oportunidad de interactuar con otras entidades dentro del
sistema. Entre los ejemplos de entidades humanas se incluyen: personal de
soporte de tecnología de la información (TI), diseñadores, ingenieros de
mantenimiento, maquinistas, operadores, ingenieros de calidad, ingenieros de
operación y visitantes.
La propuesta metodológica para los mapas de intersección, es que las entradas son
codificadas por colores para identificar posteriormente las tendencias o niveles de
significancia que ocurren dentro de tipos específicos de entradas. Como se presenta
en la Figura 7, el verde representa una entidad física en el sistema, el azul
representa un componente cibernético, el violeta representa un componente
ciberfísico y finalmente el rojo representa una entidad humana.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 53
Figura 7. Ejemplo de mapa de intersección de vulnerabilidades. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).
Por lo tanto, el mapeo de intersección es el primer paso del enfoque, donde todas
las interacciones presentes en los mapas de proceso se convierten en
intersecciones. Luego del mapeo de intersección, el análisis del impacto de la
vulnerabilidad evalúa cinco métricas utilizando diferentes árboles de decisión.
Para el análisis de impacto de vulnerabilidad se tienen en cuenta los siguientes
aspectos:
✓ Pérdida de información: la información pérdida o modificada durante la
finalización de un nodo.
✓ Inconsistencia: El nivel de variabilidad de intersección, que puede ocurrir debido
a cambios de operador, nuevas herramientas, configuraciones de máquina, etc.
✓ Frecuencia relativa: la cantidad de veces que se repite una intersección exacta
durante el funcionamiento. Esta métrica se refiere a la intersección específica
recurrente con detalles idénticos.
✓ Tiempo hasta la detección: la cantidad de tiempo transcurrido entre una
perturbación del nodo y su posible detección.
✓ Falta de madurez: la cantidad de tiempo que una intersección no ha estado en
operación. En el caso de las entidades humanas, podría considerarse como la
falta de experiencia o confianza; ya que se espera que un operario novato sea
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 54
menos experto que uno que ha estado operando el sistema durante diez años,
por ejemplo.
Se debe tener en cuenta que cada métrica se clasificará en baja, media o alta; de
una manera similar a una escala de semáforo para permitir al analista interpretar
fácilmente los resultados del enfoque de evaluación (DeSmit, Elhabashy, Wells, &
Camelio, 2017). Los valores bajos representan un impacto de baja vulnerabilidad y
una intersección más segura que una que recibe un valor más alto. Los árboles de
decisión para cada una de estas métricas se crean para permitir una evaluación fácil
de repetir. Cada árbol de decisión para una métrica plantea una pregunta (o un
conjunto de preguntas); es al responder a estas diferentes preguntas que se
determina el nivel de impacto de las vulnerabilidades ciberfísicas, tal como se
presenta en el ejemplo de la Figura 8.
Por último, el resultado del enfoque propuesto es proporcionar una visión general
de las vulnerabilidades ciberfísicas existentes en las instalaciones.
Figura 8. Ejemplo de árbol de decisión de análisis de vulnerabilidades. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).
• Otras investigaciones consultadas desarrollan un proceso de tres pasos para la
evaluación de vulnerabilidad cibernética y métodos de análisis de riesgos para
sistemas ciberfísicos. El primer paso consiste en comprender la estructura
organizacional. Segundo, la organización determina los modos de falla e identifica
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 55
posibles consecuencias. Por último, la organización implementa mejoras. El
problema principal de este enfoque es la falta de claridad sobre cómo identificar
correctamente las vulnerabilidades (DeSmit, Elhabashy, Wells, & Camelio, 2017).
• De acuerdo al estudio realizado en (Akdeniz & Bağrıyanık, 2015), se presenta una
medida para la evaluación de vulnerabilidad de ataque en líneas de transmisión de
energía usando el sistema de prueba de confiabilidad IEEE.
En la literatura, varios estudios discuten el tema de vulnerabilidad del sistema de
energía como un problema de ataque terrorista en la forma de una optimización
binivel, que se enfoca principalmente en los impactos finales en la red eléctrica,
como lo es la pérdida de energía (PE) o pérdida de generación (PG) (Akdeniz &
Bağrıyanık, 2015). Sin embargo, los criterios de selección de los objetivos se basan
principalmente en el nivel de flujo de potencia (es decir, seleccionar la potencia
máxima transferida / líneas cargadas) que es casi independiente de los factores
físicos y ambientales del sistema de transmisión en sí. Además, el comportamiento
de actuación de los ataques terroristas debe tomarse en consideración en términos
de la distribución de la capacidad de la fuerza de trabajo y el nivel intelectual del
conocimiento del sistema.
En este estudio, se presenta una medida de vulnerabilidad para las líneas y
subestaciones del sistemas de transmisión. Se menciona que por lo general, el
ranking de vulnerabilidades para ataques terroristas de líneas de transmisión esta
compuesto por dos componentes principales, uno proviene de las características
físicas del sistema y el otro se debe al nivel de importancia de las subestaciones
conectadas. Para el cálculo del índice de ataque terrorista para líneas, se usa la
suma del nivel de aperturas de líneas y la vulnerabilidad de las subestaciones
directamente conectadas. Además, se tiene en cuenta la longitud relativa de las
líneas, la distancia de separación vertical relativa a tierra de las líneas y la capacidad
de MVA de la línea individual. De manera similar para las barras de las
subestaciones, se tiene en cuenta el nivel de protección, el nivel de criticidad social
y el porcentaje de generación y consumo de energía de las barras conectadas por
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 56
la línea individual. Los detalles de cálculo de la vulnerabilidad general de ataque
terrorista de líneas, VTA,l, se describen a continuación (Akdeniz & Bağrıyanık,
2015):
𝑉𝑇𝐴, 𝑙 = 𝑉𝑂𝑃. 𝑙 + 𝑉𝑇𝐴, 𝑏𝑢𝑠 [4]
𝑉𝑃𝑂, 𝑙 = 𝑊𝑙𝑙, 𝑙 ∗ 𝑊𝑣𝑐𝑑, 𝑙 ∗ 𝑊𝑐𝑎𝑝, 𝑙 [5]
𝑉𝑇𝐴, 𝑏𝑢𝑠 = 𝑉𝑡𝑎, 𝑖 ∗ 𝑉𝑡𝑎, 𝑗 [6]
𝑉𝑡𝑎, 𝑖 = 𝑊𝑝𝑙, 𝑖 ∗ 𝑊𝑠𝑐, 𝑖 ∗ 𝑊𝑠𝑖𝑧𝑒, 𝑖 [7]
𝑊𝑙𝑙, 𝑙 =𝐿𝑙
𝐿𝑚𝑎𝑥 [8]
𝑊𝑣𝑐𝑑, 𝑙 =𝐷𝑣𝑙1
𝐷𝑣𝑙2 [9]
𝑊𝑐𝑎𝑝, 𝑙 =𝑀𝑉𝐴𝑙
𝑀𝑉𝐴 𝑚𝑎𝑥 [10]
𝑊𝑠𝑖𝑧𝑒, 𝑖 =𝐶𝑖
𝐶𝑡𝑜𝑡+
𝐺𝑖
𝐺𝑡𝑜𝑡 [11]
𝑊𝑝𝑙, 𝑖 = 1 − 𝑊𝑠𝑙, 𝑖 [12]
Donde:
𝐿𝑙 = Longitud de la línea
𝐿𝑚𝑎𝑥 = la longitud de la línea más larga
𝐷𝑣𝑙1 & 𝐷𝑣𝑙2 = Distancia vertical al suelo para diferentes niveles de voltaje
𝐶𝑖 = Consumo del bus i
𝐶𝑡𝑜𝑡 = Consumo total
𝐺𝑖 = Generación del bus
𝐺𝑡𝑜𝑡 = Generación total
𝑀𝑉𝐴𝑙 = Capacidad de la línea l
𝑀𝑉𝐴 𝑚𝑎𝑥 = Capacidad maxima de la línea
𝑊𝑙𝑙, 𝑙 = Relación de longitud de línea relativa de la línea l
𝑊𝑣𝑐𝑑, 𝑙 = Distancia relativa entre la distancia vertical de la línea l y el suelo
𝑊𝑐𝑎𝑝, 𝑙 = Capacidad relativa en MVA de la línea l
𝑊𝑠𝑖𝑧𝑒, 𝑖 = Generación de energía y nivel de consumo del bus i.
𝑊𝑝𝑙, 𝑖 = Nivel de protección del bus i
𝑊𝑠𝑙, 𝑖 = Nivel de seguridad del bus i
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 57
𝑊𝑠𝑐, 𝑖 = Impacto de la criticidad social del bus i
𝑉𝑃𝑂, 𝑙 = Nivel de apertura física de la línea l
𝑉𝑡𝑎, 𝑖 = NIvel de vulnerabilidad de ataque terrorista en el bus i
𝑉𝑇𝐴, 𝑏𝑢𝑠 = Componente de ataque terrorista con l línea y i buses
𝑉𝑇𝐴, 𝑙 = Vulnerabilidad total del ataque terrorista de la línea l
Con base en la anteriro expresión en (Akdeniz & Bağrıyanık, 2015), se define que
el nivel de protección del bus equivalente, Wpl, se considera complementario al valor
del nivel de seguridad del bus individual Wsl definidos en la Tabla 1. El factor Wsc
se define en grados de impacto de los factores de criticidad social mostrados en la
Tabla 2.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 58
Tabla 1. Distribución del nivel de seguridad. Fuente: (Akdeniz & Bağrıyanık, 2015).
Tabla 2. Distribución del nivel de criticidad social. Fuente: (Akdeniz & Bağrıyanık, 2015).
En términos de la metodología clásica de evaluación de vulnerabilidades del sistema
eléctrico, las características eléctricas del sistema son los parámetros principales a
los que el estado del sistema depende. Sin embargo, sólo teniendo en cuenta estos
parámetros puede no ser suficiente para un análisis de vulnerabilidad completo. Por
lo tanto, los parámetros no operacionales y otros problemas sociológicos a los que
los sistemas de potencia están sujetos deben incluirse en el modelo de análisis de
vulnerabilidad.
Si bien el análisis de vulnerabilidad fuera de línea puede orientar las inversiones y
los planes de prioridad de mantenimiento, el análisis de vulnerabilidad en línea
brinda asistencia a los despachadores de carga para optimizar las acciones de
control de frecuencia de carga del sistema y mejorar los niveles de supervivencia
después de fallas que afectan una amplia área del sistema eléctrico (Akdeniz &
Bağrıyanık, 2015). De acuerdo con la naturaleza de la ocurrencia de la perturbación,
los riesgos que pueden estimarse a partir de los datos históricos se consideran
riesgos probabilísticos, mientras que las amenazas que pueden suceder y que no
tienen datos estadísticos deben evaluarse.
Orden Nivel de seguridad Descripción Grado
6 Extremo Completamente seguro 1,0-0,8
5 Mayor Área protegida y segura, alarmada 0,8-0,6
4 Moderado Área segura 0,6-0,4
3 Menor Barreras complejas, patrullas de seguridad, videovigilancia 0,4-0,2
2 Muy bajo Barreras desbloqueadas y no complejas <0,2
1 cero Completamente abierto, sin control, sin barreras 0
Orden Nivel de seguridad Grado
4 Severo 1,0
3 Mayor 0,8
2 Moderado 0,5
1 Menor 0,2
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 59
• Una estrategia para anticipar los riesgos y amenazas en ciberseguridad empresarial
es propuesto en (Cano, 2017), dentro del estudio para el análisis de vulnerabilidades
propuesto en este documento, se presenta como necesario comprender en detalle
la incertidumbre estructural del entorno.
La metodología propuesta en (Cano, 2017) se denomina ventana de AREM
(Amenaza y Riesgos Emergentes) desarrollado para la actualización continua de la
gestión de riesgos, enteniendo el riesgo como factor clave en la toma de decisiones.
La herramienta apalanca los retos de anticipación y defensa de las organizaciones
ante riesgos, que no sólo tiene en cuenta amenazas conocidas, sino latentes,
focales y emergentes.
Esta herramienta presentada en la Figura 9, establece un nuevo tratamiento en la
gestión de riesgos introduciendo las posibilidades como elemento clave dentro de
los análisis de los riesgos propios del sector analizado.
Figura 9. Ventana de AREM. Fuente: Tomado de (Cano, 2017).
Donde los riesgos conocidos, son aquellos que son parte de la práctica tradicional
de la aplicación de los estándares de gestión de riesgos. Para determinarlo es a
Lo que conoce
la organización
Lo que desconoce
la organización
Lo que conoce
el entorno
Amenazas y
riesgos
conocidos
Amenazas y
riesgos
latentes
Lo que
desconoce
el entorno
Amenazas
y riesgos
focalizados
Amenazas
y riesgos
emergentes
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 60
través de la identificación de si se ha conversado o comunicado dentro de la
organización y se conoce de su existencia (Cano, 2017).
Los riesgos latentes, son aquellos que se sabe que están en el entorno y no son
conocidos por la organización. Los analistas de riesgos entrenados saben qué forma
tienen, cómo se pueden materializar, pero no se cuenta a la fecha con controles
específicos para su tratamiento. Se define si se ha enterado de que tal amenaza
existe y que no sabe si la organización tiene alguna estrategia de mitigación (Cano,
2017).
Los riesgos focales, representa aquellos que son conocidos por la organización y
desconocidos por el entorno, dado que sólo afecta a una industria particular, por lo
que es clave contar con estadísticas o información confiable de la dinámica del
mismo en dicha industria. se clasifica en este cuadrante si la amenaza ya se a visto
o materializado en la industria particular a la que pertenece la empresa (Cano,
2017).
Por ultimo los riesgos emergentes, configuran un escenario de posibilidades y
oportunidades para concretar acciones contrarias contra la organización desde
diferentes aproximaciones. Es decir, nunca se habia escuchado de tal amenaza
(Cano, 2017).
Todo este análisis enfocados principalmente a la capacidad de explorar y reconocer
nuevos vectores de ataque de forma previa, en determinado ambiente empresarial
que en el caso particular de la investigación seria en el sistema de transmisión de
energía eléctrica.
Con el resultado de la valoración de vulnerabilidad, se comunica a las partes
interesadas la vista sistémica de las vulnerabilidades que se tienen identificadas a
la fecha y que son relevantes para la gestión de la organización en el contexto de
ciberseguridad.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 61
• La estrategia metodológica utilizada en (Correa & Yusta, 2014) para la evaluación
estructural de la vulnerabilidad en redes de transmisión de energía de alto voltaje,
es basada en la combinación de modelos de flujo de potencia e índices estadísticos
de grafos de libre escala, también conocida como teoría de redes complejas. Por lo
tanto, se estudian escenarios de riesgo basados en eventos que pueden
desencadenar fallas en cascada dentro de un sistema de potencia.
La teoría de grafos constituye un área de conocimiento relativamente nueva en la
que es posible estudiar las interdependencias entre los sistemas de infraestructura
críticas, específicamente la red eléctrica de potencia. En este trabajo, los autores
aplican un método basado en el modelado de la teoría de grafos (teoría de redes
complejas), que permite una representación más simple de las infraestructuras
eléctricas, mediante el análisis de su robustez cuando se interrumpe. Esto implica
el estudio de la vulnerabilidad debido a los efectos de ciertos riesgos y amenazas
que afectan el funcionamiento normal de la red eléctrica.
El modelado de sistemas de energía eléctrica con redes complejas, implica el
estudio de los eventos que desencadenan fallas en cascada y la desconexión de los
consumidores. La metodología explicada en esta sección podría ser particularmente
útil como un mecanismo para explicar eventos como apagones o blackouts.
Como propuesta para representar topología de red, las redes eléctricas se pueden
asemejar a grafos de libre escala, lo que permite la representación de la mayoría de
los activos que conforman la red eléctrica. Algunos investigadores simplifican esa
representación como una red compleja donde las subestaciones se especifican
como nodos y las líneas eléctricas se esbozan como enlaces. Dicha representación
es bastante simple, pero incompleta, ya que muchos activos importantes en la red
eléctrica no pueden tenerse debidamente en cuenta en la evaluación de
vulnerabilidad estructural, como lo son las torres de transmisión, los
transformadores, los centros de generación, los consumidores de carga, los
condensadores y otros activos. En (Correa & Yusta, 2014), la modelación topológica
busca una representación más realista del sistema de potencia como un grafo de
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 62
libre escala, donde el conjunto de torres que sostienen las líneas eléctricas también
se considera como un nodo en el gráfico. Se tiene una consideración similar para el
conjunto de transformadores y bancos de condensadores.
Luego de la representación topológica se utiliza tres conceptos fundamentales para
realizar la evaluación de vulnerabilidad de la estructura de transmisión (Correa &
Yusta, 2014):
1. Eficiencia geodésica: Este indicador es la estimación de la eficiencia con la que
se intercambia información dentro de una red. Se supone que el flujo entre dos
nodos debe pasar a través de la distancia geodésica más corta. En un sistema
de energía eléctrica, una baja eficiencia geodésica significa que el flujo de
electricidad debe fluir a través de un mayor número de nodos y, por lo tanto,
puede aumentar los problemas de capacidad o sobrecargas de las líneas.
2. El índice promedio de vulnerabilidad geodésica: está directamente relacionado
con la eficiencia geodésica y permite mejores mediciones en el rendimiento de
la red cuando se somete a eventos de contingencia. El índice varía entre cero y
uno. Cuanto mayor es el valor del índice de vulnerabilidad, mayor es el impacto
en la red debido a problemas de congestión y fallas en cascada, ya que algunas
rutas geodésicas se interrumpen y, por lo tanto, la energía eléctrica debe fluir a
través de más o otros caminos. Esto es consistente con la fragmentación de la
red y el aislamiento de cargas de potencia en el sistema. Por lo tanto, el índice
de vulnerabilidad geodésica se puede medir como una función de la fracción de
nodos eliminados.
3. Impacto en la conectividad de la red: El estudio de fallas en cascada requiere el
cálculo del rendimiento del sistema de potencia a través de la estimación de las
cargas que permanecen conectadas bajo eventos de contingencia. Un índice
completo que permite la estimación de cargas desconectadas en fallas en
cascada corresponde a la pérdida de carga. Entonces, se establece el deslastre
de carga como una estimación de la potencia aparente total que permanece
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 63
conectada en eventos de fallas en cascada. Este índice es apropiado para
estimar el rendimiento estructural de la red, mostrando el porcentaje de
demanda no suministrada en una red en particular.
Como se presenta en (Beyza, Yusta, Correa, & Ruiz, 2018) donde se utiliza la misma
metodología, partiendo de un sistema que opera en condiciones estables (caso
base) se desarrolla un modelo dinámico de fallas en cascada. Esto se realiza
mediante iteraciones sucesivas en las que se van eliminando nodos del grafo, lo que
implica el cálculo de contingencias N-1 de una red eléctrica que cambia
constantemente su topología después de cada eliminación de un nodo. Cada
remoción de nodo está asociada con una nueva contingencia y, por tanto, con una
iteración en el proceso de desintegración de la red. La eliminación de un nodo
implica también la eliminación de todos los enlaces del grafo conectados a él. El
análisis de vulnerabilidad estructural se realiza mediante el cálculo del índice de
vulnerabilidad geodésica en función de la cantidad de nodos que quedan aislados.
Finalmente, en (Correa & Yusta, 2014) se aplico la metodología a las redes
eléctricas de dos países modelandolas como redes complejas (Sistema de
transmisión de Colombia y España) cuya topología se define de acuerdo con la
estructura existente en el año 2014. Adiconalmente, en (Beyza, Yusta, Correa, &
Ruiz, 2018) se utilizo la misma metodología para el análisis de la red de transmisión
de Mexico.
Algo de resaltar de esta metodología propuesta, es que se involucra la
representación de activos como nodos (subestaciones, torres eléctricas,
transformadores, barras de conexión, etc.) y enlaces (líneas aéreas, subterráneas,
etc.), independientemente de las distancias físicas o los parámetros eléctricos
(impedancias de línea, regulación de voltaje, pérdida de potencia, etc.) en la red.
Una vez que se ha logrado la representación mediante grafos, la vulnerabilidad
estructural del sistema eléctrico se evalúa según tres casos en las redes de
transmisión:
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 64
✓ Caso base: consiste en la evaluación de la vulnerabilidad en el estado actual
de la red.
✓ Caso planes de robustez: La evaluación de vulnerabilidad se realiza teniendo
en cuenta los planes para mejorar la robustez del sistema, sólo considera el
efecto de construir nuevas líneas de transmisión, sin agregar nuevas
subestaciones.
✓ Caso planes de expansión: consiste en evaluar la vulnerabilidad de los
planes de expansión de la red existente, según lo estipulado en los períodos
de planificación de las redes de transmisión. Considera el efecto de la
construcción de nuevas líneas de transmisión y la adición de nuevas
subestaciones en la red eléctrica.
Los resultados presentados en (Beyza, Yusta, Correa, & Ruiz, 2018) y en (Correa &
Yusta, 2014), muestran que las redes son mucho más resistentes a los escenarios
que involucran riesgos de errores aleatorios (desastres naturales, fallas técnicas,
errores humanos, etc.) que a aquellas amenazas relacionadas con actos maliciosos
(vandalismo, terrorismo, ciberataques). Los planes de expansión muestran una
mayor vulnerabilidad del sistema, esto se puede explicar porque la expansión de la
red de transmisión implica la construcción de una infraestructura más grande pero
menos compacta, teniendo unos nodos altamente conectados y con gran cantidad
de enlaces a otros nodos.
La tolerancia a los errores aleatorios se refiere a los daños en los sistemas de
infraestructura desencadenados por contingencias aleatorias, se ha demostrado
que este tipo de fallas en cascada puede provocar el colapso del servicio de red
(blackouts) cuando se aísla hasta el 20% de los nodos del sistema (Correa & Yusta,
2014).
Para el caso de la tolerancia a ataques deliberados que se relaciona con los
objetivos en la red que el atacante elige de manera determinista y que en cierta
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 65
medida pueden ser los más importantes, ya sea por su grado nodal o por su grado
de intermediación, se ha demostrado que los ataques deliberados pueden causar
blackouts de la red cuando se aísla desde el 2-5% de los nodos en el sistema
(Correa & Yusta, 2014).
• Dentro del marco de identificar la vulnerabilidad en sistemas de trasnmisión de
energía eléctrica , en Colombia se desarrolló una metodología para evaluar el
impacto de las subestaciones eléctricas dentro del sistema de transmisión nacional
y el cual se denomino como el índice de severidad operativo.
En el plan de expansión 2017-2031 se presenta una metodología de la UPME para
la evaluación de impacto de subestaciones eléctricas, teniendo en cuenta dos
indicadores llamados ISO (Índice de Severidad Operativos) y IRCS (Índice de
Riesgo para la Configuración de la Subestación), los cuales evaluan la seguridad y
riesgo de una subestación (UPME, 2018). La metodología presenta la forma de
calcular los dos indicadores, estableciendo luego la relación entre ellas y
determinando finalmente la necesidad o no de realizar una reconfiguración de la
topología de la subestación.
En este caso particular mostrado en (UPME, 2018), se aplica la metodología para
analizar el cambio de configuración de la subestación Mocoa ubicada en el sur de
Colombia. Sin embargo, para el tema abordado en esta investigación sólo
tomaremos como aporte para el presente trabajo el cálculo del Índice de Severidad
Operativa.
Para el calcular el ISO se utiliza el esquema presentado en la Figura 10, en primera
instancia se establece para cada periodo de demanda el escenario operativo en el
cual la subestación redistribuye grandes flujos de energía. Se entenderá como
grandes flujos de energía aquellos que son superiores al máximo flujo que es capaz
de redistribuir la subestación, sin generar eventos de demanda no atendida (UPME,
2018). Posteriormente se simula la pérdida de la subestación y se modela de
manera simplificada la pérdida de otros elementos (cascada), si se presentan
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 66
violaciones en el Sistema. Subsecuentemente se cálcula la potencia no
suministrada asociada a la pérdida de la subestación, como también el tiempo medio
de restablecimiento en función de la magnitud de la falla. Si el evento es de magnitud
nacional se asumen cuatro (4) horas. Si la demanda no atendida sólo compromete
un área operativa, se consideran dos (2) horas.
Figura 10. Metodología de cálculo de índice de severidad operativa. Fuente: Adaptado de (UPME, 2018).
Paralelamente al procedimiento descrito se establece la probabilidad de tener
grandes flujos de energía por la subestación. Para ello se utiliza la información
histórica del despacho real o una simulación del modelo energético SDDP
(Programación Dinámica Dual y Estocástica), finalmente se calcula la severidad
como el producto de la potencia no suministrada, el tiempo medio de
Para la subestación i definidaen el listado del Plan deExpansión
Inicio
i=1,17,1
Se establece la severidad
Establecer el escenario dedespacho y demanda queimplican grandes flujos deenergía por la subestación i.
Simular la contingencia de lasubestación i.
Simular la “cascada” asociadaa la contingencia.
Determinar el tiempo mediode restablecimiento enfunción de la magnitud delevento.
Cuantificar la probabilidadde este escenario.
Calcular la Potencia NoSuministrada asociada a lafalla de la subestación i.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 67
restablecimiento y la probabilidad del escenario anteriormente descrito (UPME,
2018).
• La investigación realizada en (Hyunguk & Taeshik, 2015), menciona que de acuerdo
a la revisión hecha por ellos, no se tienen estudios sobre los tipos de nuevas
vulnerabilidades de seguridad y los requisitos de seguridad que se requieren en un
entorno de protocolo heterogéneo basado en IEC 61850. En este documento, se
examina la red eléctrica en Korea y analiza las vulnerabilidades de seguridad, los
requisitos de seguridad, y arquitecturas de seguridad en dicho entorno.
Las comunicaciones en las subestaciones son basadas en IEC 61850, entre las
subestaciones y el Centro de Control del sistema de control de potencia de Korea,
se usan los protocolos IEC 61850, DNP3 y IEC 61970.
Cuando se conectan protocolos heterogéneos, como en este caso, un punto de
conversión de protocolo es requerido y se convierte en un punto de ruptura de la
seguridad de extremo a extremo, en este punto se basa la metodología propuesta
en (Hyunguk & Taeshik, 2015). Por lo que determinan que las amenazas de
seguridad que pueden ocurrir en un entorno donde se conectan protocolos
heterogéneos basados en IEC 61850, se clasifican en seis tipos: Vulnerabilidad de
protocolo, asignación inadecuada de protocolos, mapeo de servicio de seguridad
incorrecta, herramienta de configuración insegura, sistema Gateway inseguro y
debilidad de diseño de red, a continuación se presenta una descripción más
detallada:
1. Vulnerabilidades del protocolo: En un entorno en el que se conectan
protocolos heterogéneos, las vulnerabilidades de cada protocolo pueden
extenderse a otras secciones de protocolo. Al conectar dos protocolos, si las
técnicas de seguridad, como el cifrado o la autenticación, se aplican sólo a
una sección de protocolo, la otra sección de protocolo cuyas vulnerabilidades
están expuestas puede ser atacada mediante suplantación y falsificación de
mensajes.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 68
2. Asignación inadecuada de protocolo: Ocurre cuando el mapeo de protocolos
se realiza incorrectamente debido a una falla de cumplimiento con respecto
a estándares relacionados, o debido a un error humano durante el mapeo de
objetos de datos y servicios al conectar protocolos heterogéneos, con lo que
el significado del mensaje original puede dañarse.
3. Mapeo de servicios de seguridad incorrectos: Al usar la función de seguridad
de cada protocolo en un entorno en el que se conectan protocolos
heterogéneos, el objeto debe estar correlacionado para proteger el nivel de
seguridad, el objeto de autenticación y los elementos de control de acceso.
4. Herramienta de configuración insegura: Cuando se conectan protocolos
heterogéneos, comienza un procedimiento para preajustar la información de
mapeo de dos protocolos. En este momento, la información de mapeo se
genera utilizando una herramienta de configuración de software. Si la
verificación de confiabilidad de la información de tales herramientas de
configuración es imposible, existe el riesgo de que se inserten códigos
maliciosos en las herramientas de configuración o que la información pueda
ser fabricada por una herramienta de configuración no válida insertada en el
gateway.
5. Sistema Gateway inseguro: El riesgo de fabricación o falsificación de
información de mapeo de protocolo es una de las vulnerabilidades de
seguridad que pueden ocurrir en los Gateway conectados. Si no hay forma
de verificar la integridad de la información utilizada en el proceso de
conversión de protocolo, este tipo de información de asignación puede ser
fácilmente falsificada o fabricada por un atacante.
6. Debilidad del diseño de red: Las vulnerabilidades en una configuración de
red del sistema de control pueden ocurrir de manera similar a las
vulnerabilidades en un entorno de red de TI general. Las vulnerabilidades
típicas incluyen la inexistencia de una DMZ, la inexistencia de un
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 69
cortafuegos, la configuración incorrecta del cortafuegos y la inexistencia de
IDS de red.
Finalmente la metodología evalua el sistema de potencia en estas 6 categorías y
propone una arquitectura de seis capas de seguridad, las cuales estan asociada
directamente a cada categoria. Cada capa proporciona diferentes funciones de
seguridad necesarias para la defensa en profundidad.
Por otro lado, algunas investigaciones se han centrado en la valoración de riesgo para
determinar que tan vulnerable se encuentra alguna infrastructura crítica, el proceso de
gestión de riesgos, tal como se adoptó en ISO 31000: 2009 (E) (ISO, 2009) e ISO / IEC
27005: 2011 (ISO, 2011), se muestra en la Figura 11.
Figura 11. Proceso de gestión de riesgo. Fuente: Adaptado de (Cherdantseva, y otros, 2016).
La ISO 31000 del 2009 proporciona las siguientes definiciones para la gestión de riesgos y
la evaluación de riesgos:
Gestión de riesgos: "actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo" (ISO, 2009, Def. 2.2). Evaluación de riesgos: "proceso general de
identificación de riesgos, análisis de riesgos y evaluación de riesgos" (ISO, 2009, Definición
2.2), donde la identificación de riesgos es el "proceso de búsqueda, reconocimiento y
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
Valoración de Riesgos
Co
mu
nic
ació
n y
Co
nsu
lta
Mo
nit
ore
o y
Rev
isió
n
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 70
descripción de riesgos" (ISO, 2009, Def. 2.15). El análisis de riesgos es el "proceso para
comprender la naturaleza del riesgo y determinar el nivel de riesgo" (ISO, 2009, Def. 2.21)
y la evaluación de riesgos es el "proceso de comparación de los resultados del análisis de
riesgos con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable
o tolerable "(ISO, 2009, Def. 2.24).
Los riesgos que son naturalmente definidos, estan basados en los estándares disponibles
a la fecha como lo son ISO 31000 o AS/NZ 4360 (Cano, 2017).
Sin embargo, una evaluación de vulnerabilidad presenta un marco común para evaluar y
cuantificar el impacto que una vulnerabilidad puede tener en un sistema; no debe
confundirse con el análisis de riesgos. Un enfoque tradicional de análisis de riesgos implica
una auditoría de investigación para verificar la presencia de sistemas de seguridad y validar
su utilidad. Juntos, las evaluaciones de vulnerabilidad y los informes de análisis de riesgos
permiten a una organización ver su posición de seguridad en un momento dado (DeSmit,
Elhabashy, Wells, & Camelio, 2017).
La valoración del riesgo es una parte importante de las mejores practicas en la
administración del riesgo en infraestructuras críticas y sistemas SCADA. La valoración del
riesgo responde a las siguientes tres preguntas (Cheminod, Durante, & Valenzano, 2013):
✓ ¿Que puede salir mal?
✓ ¿Cual es la probabilidad de que pueda salir mal?
✓ ¿Cuales son sus consecuencias?
La construcción de la administración del riesgo, puede basarse sobre la valoración de riesgo
respondiendo a otras tres preguntas (Cheminod, Durante, & Valenzano, 2013):
✓ ¿Que se puede hacer y que opciones están disponibles?
✓ ¿Cuales son las compensaciones asociadas en términos de todos los costos,
beneficios y riesgos?
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 71
✓ ¿Cuales son los impactos de las decisiones actuales de su administración sobre las
opciones futuras?
De acuerdo a (Hopkin, 2017), los riesgos se pueden dividir en cuatro categorías:
✓ Riesgos de cumplimiento: Categoría de riesgo asociada a la gestión de obligaciones
mandatorias.
✓ Riesgos de Peligro: Categoría de riesgo que está asociada con la gestión de riesgos
o riesgos puros (los efectos de los riesgos de peligro deben mitigarse).
✓ Riesgos de control: Categoría de riesgo asociada a la gestión de la incertidumbre.
✓ Riesgos de oportunidad: Categoría de riesgo que está asociada con los beneficios
de las oportunidades especulativas.
Cuando un riesgo ha sido reconocido como significativo, la organización debe calificarlo
para poder identificar los riesgos significativos prioritarios (Hopkin, 2017). Para esto se
deberá establecer las medidas de la probabilidad de riesgo y el impacto del riesgo que se
utilizarán. La Tabla 3 proporciona una lista típica de definiciones en relación con la
probabilidad de riesgo y la Tabla 4 establece definiciones de impacto que generalmente se
usan. En ambos casos, se proporcionan cuatro definiciones diferentes, lo que evitará que
las personas que realicen un ejercicio de calificación de riesgo tiendan a elegir la opción del
medio. La cantidad de opciones disponibles dependerá de la naturaleza, tamaño y
complejidad del sistema o la organización.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 72
Tabla 3. Definiciones de probabilidades. Fuente: Adaptado de (Hopkin, 2017)
Tabla 4. Definiciones de impacto. Fuente: Adaptado de (Hopkin, 2017)
Probabilidad Frecuencia
Improbable
Se puede esperar razonablemente que ocurra,
pero solo ha ocurrido 2 o 3 veces durante 10 años
en esta organización u organizaciones similares.
Posible
Ha ocurrido en esta organización más de 3 veces
en los últimos 10 años u ocurre regularmente en
organizaciones similares, o se considera que tiene
una probabilidad razonable de ocurrir en los
próximos años.
Probable
Ocurrieron más de 7 veces durante 10 años en esta
organización o en otras organizaciones similares, o
las circunstancias son tales que es probable que
suceda en los próximos años.
Casi seguro
Ha ocurrido 9 o 10 veces en los últimos 10 años en
esta organización, o han surgido circunstancias
que casi con certeza harán que suceda.
Descripción Definición
Menor
Sin impacto en la infraestructura ni afectación de
personas; pequeña reducción de la reputación en
el corto plazo; ninguna violación de la ley; pérdida
económica insignificante que puede ser
restaurada.
Moderado
Impacto temporal menor en la infraestructura o en
la salud de personas; pequeña reducción de la
reputación que puede influenciar la confianza por
un corto tiempo; violación de la ley que resulta en
una advertencia; pequeña pérdida económica que
puede ser restaurada.
Mayor
Grave impacto en la infraestructura o en la salud de
personas; pérdida grave de reputación que influirá
en la confianza y el respeto durante mucho tiempo;
violación de la ley que resulta; gran pérdida
económica que no puede ser restaurada.
Severo
Muerte o reducción permanente de la salud de
personas o perdida total de la infraestructura ;
pérdida grave de reputación que es devastadora
para la confianza; grave violación de la ley; pérdida
económica considerable que no puede ser
restaurada.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 73
Por lo tanto, el riesgo necesita ser descrito y medido, las consecuencias pueden medirsen
en términos de pérdida, daños, lesiones etc., y su incertidumbre, en términos de
probabilidades, tal como lo presentado en las tablas anteriores.
El análisis de riesgos ha sido investigado en una amplia área de aplicaciones con el
proposito de revelar e identificar modos de fallas potenciales y peligros en nuestro sistema
y en su operación. En términos generales y basado con el SRA (Society for Risk Analysis),
el riesgo describe las potenciales consecuencias generadas desde la operación y
actividades del sistema y su incertidumbre asociada. Las consecuencias son
frecuentemente vistas en relación a algunos valores de referencia (valores planeados,
objetivos, indicadores etc.) y centradas normalmente en las consecuencias negativas e
indeseables (Zio, 2016).
La valoración del riesgo en sistemas SCADA debera ayudar a priorizar (1) los componentes
de un sistema en términos de su importancia para la correcta operación del sistema o en
términos de su nivel de vulnerabilidad para un ataque, y (2) amenazas términos del peligro
que plantea y su probabilidad (Cherdantseva, y otros, 2016).
Hay tres tipos de eventos en un ataque: evento de ataque, evento de detección y evento de
mitigación. El costo de un ataque es el costo de las consecuencias de los eventos dado por
un ataque con el mínimo costo y está restringido por el presupuesto de un atacante
(Cherdantseva, y otros, 2016).
El enfoque actual en Colombia tiene como objetivo preservar la seguridad en lugar de
gestionar los riesgos, pero un enfoque basado en la gestión de riesgos permite obtener
grandes beneficios de un entorno digital para lograr la prosperidad económica y social
(CRC, 2015).
A nivel mundial se han propuesto normas y recomendaciones que abordan aspectos
organizativos y técnicos en el ámbito de seguridad. Los estándares representativos para
sistemas de información y sistemas de comunicaciones por ejemplo SCADA, incluyen las
NIST 800-53, NISTIR 7628 para redes inteligentes, IEC 62351, WirelessHART e
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 74
ISA100.11a. Los estándares tradicionales, que también son útiles, incluyen ISA 99-1 e ISA
99-2, ISO 17799, ISO 27001 , ISO 27002, ISO 19791, entre otros. Además de estos
estándares, las organizaciones también usan recomendaciones y directrices para sistemas
de control críticos alineando sus modelos comerciales con un marco de protección eficaz,
entre estos se encuentran la NERC CIP-2, GAO-04-140T, IEEE 1402 (seguridad física de
subestaciones de energía) y API 1164 (Alcaraz & Zeadally, 2015).
La ISO 27001 es otro de los estándar internacional utilizado para la seguridad de la
información (Information technology - Security techniques - Information security
management systems - Requirements), aprobado y públicado como estándar internacional
en octubre de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission. Este estándar especifica los requisitos
necesarios para implementar, mantener y mejorar un (SGSI) Sistema de Gestión de la
Seguridad de la Información (CRC, 2015).
Entre los diferentes esfuerzos en mejorar la seguridad de infraestructuras críticas, se creo
el estándar IEC 62351 destinado a mejorar la seguridad en los sistemas de automatización
en el dominio de los sistema de potencia. El estándar IEC 62351 aborda la seguridad de la
información para las operaciones de control de sistemas de potencia, y el objetivo general
es preservar las propiedades de confidencialidad, integridad, disponibilidad y no repudio en
el sistema, principalmente a través de la introducción de mecanismos de autenticación. El
estándar se divide en diez partes diferentes que abordan diferentes áreas (Schlegel,
Obermeier, & Schneider, 2016).
En 2004, el National Institute of Standards andTechnology (NIST), publico el documento
titulado perfil del sistema de protección en sistemas de control industrial, el cual cubre los
riesgos y objetivos de los sistemas SCADA. En 2007, el presidente de los estados unidos
conformo la junta de protección de la infraestructura crítica y el departamento de Energía
para mejorar la seguridad de sus redes SCADA, publicando el folleto con 21 pasos para
mejorar la seguridad cibernética en las redes SCADA (Cherdantseva, y otros, 2016).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 75
El marco de seguridad cibernética del NIST se desarrolló en respuesta a una orden
ejecutiva que designo al NIST proceder en la implementación de un marco de
ciberseguridad que ayudará a las industrias de Estado Unidos a fortalecer su infraestructura
para ser más resistentes a los ciberataques. El marco se enfoca principalmente en los
desafíos cibernéticos, es decir, en cuestiones de propiedad intelectual, dejando sin
respuesta las preguntas relacionadas con las vulnerabilidades ciberfísicas (DeSmit,
Elhabashy, Wells, & Camelio, 2017).
En el 2008, el Center for Protection of National Infrastructure (CPNI), produce el documento
Guia de Buenas Practicas para Procesos de Control y Seguridad de SCADA, encapsulando
las mejores practicas de seguridad. La guia se actualizo en el 2011. Por otro lado en el
2013, la Agencia de la Unión Europea para seguridad en redes y la Información (ENISA),
dio a conocer las recomendaciones de seguridad de sistemas SCADA en Europa
(Cherdantseva, y otros, 2016).
En el caso particular de interes del presente trabajo de investigación, las normas estudiadas
para entender la forma en que pueda desarrollarse una metodología de evaluación de
vulnerabilidades a los sistemas de transmisión de enérgia eléctrica, son la North American
Electric Reliability Corporation (NERC), Critical Infrastructure Protection (CIP) Standards y
la IEC 62443 Series of Standards. En los siguientes párrafos se presentan los apartados
más importantes y que sirvieron de fundamento para el desarrollo de la propuesta realizada
en el acápite 5.
Una de las motivaciones de verificar estos dos estándar es por la iniciativa del comité
tecnológico del Consejo Nacional de Operación el cual realizó un estudio de las normas
aplicables a la industria eléctrica para mitigar los riesgos de ciberseguridad en el sector y
en el Sistema Interconectado Nacional, concluyendo en el documento (CNO, 2015), que la
mejor referencia de aplicación es la Norma NERC CIP para tecnologías de activos críticos
y con base en esta norma, se elaboró la guía de Ciberseguridad orientada a la protección
de los activos del SIN Colombiano.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 76
Las partes estudiadas del estándar NERC CIP por su aplicabilidad en el tema desarrollado
en el presente documento, son las parte CIP-010-2 “Cyber Security — Configuration
Change Management and Vulnerability Assessments” y la CIP-014-2 “Physical Security”.
Las normas CIP esta estructurada en tablas, cada una tiene una columna "Sistema
aplicable" para definir mejor el alcance de los sistemas a los que un requisito específico
ubicado en la fila de la tabla aplica. La NERC CIP adaptó este concepto del marco de
gestión de riesgos del Instituto Nacional de Estándares y Tecnología (NIST) como una
forma de aplicar requisitos más apropiadamente basado en las características de impacto
y conectividad. De acuedo a lo expuesto hasta el momento, se presenta a continuación los
puntos relevantes de cada parte:
NERC CIP-010-2
El estándar CIP-010 existe como parte de un conjunto de estándares CIP
relacionados con la seguridad cibernética, que requieren la identificación y
categorización inicial del BES (Bulk Electric System), ciber sistemas que requieren
un nivel mínimo de controles organizacionales, operacionales y de procedimientos
para mitigar el riesgo del sistema. En el CIP-010-2 definido como administración del
cambio de configuración y evaluaciones de vulnerabilidad, se especifican los
requerimientos para la evaluación de vulnerabilidades. Las siguientes convenciones
se usan en las columna de aplicabilidad (NERC, 2018):
• Ciber sistemas de alto impacto: se aplica a ciber sistemas categorizados
como de alto impacto según los procesos de identificación y categorización
CIP-002-5.1.
• Ciber sistemas de impacto medio: Se aplica a ciber sistemas categorizado
como de impacto medio de acuerdo con los procesos de identificación y
categorización CIP-002-5.1.
• Sistemas de monitoreo o control de acceso electrónico (EACMS - Electronic
Access Control or Monitoring Systems): se aplica a cada sistema de
monitoreo o control de acceso electrónico asociado con un ciber sistema de
alto o medio impacto. Los ejemplos pueden incluir, pero no están limitados a
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 77
firewalls, servidores de autenticación, sistemas de monitoreo y alerta de
registros.
• Sistemas de control de acceso físico (PACS - Physical Access Control
Systems): se aplica a cada sistema de control de acceso físico asociado con
ciber sistemas con conectividad enrutable externa.
• Ciber activos protegidos (PCA - Protected Cyber Assets): se aplica a cada
ciber activo protegido asociado con un ciber sistema.
Dentro de los requerimientos presentados en el CIP-010-2 y que se vinculan dentro
de la metodología propuesta en el presente trabajo, tenemos que se deberá
implementar procesos documentados que colectivamente incluyan cada una de las
partes de requisitos aplicables en la evaluación de vulnerabilidad presentada en la
Tabla 5. El cumplimiento de estos requerimientos a su vez son evaluados de
acuerdo a lo presentado en la Tabla 6 y son tenidos en cuenta en la valoración de
vulnerabilidad final del sistema.
Adicionalmente en el NERC el CIP-010-2, se dan algunas pautas para realizar la
evaluación de vulnerabilidad de papel, la evaluación de vulneranilidad activa, la
configuración de línea base y el entorno de pruebas para el desarrollo de la
valoración de vulnerabilidad. En este aspecto para el proyecto se vincularon los
siguientes aspectos dentro de la metodólogia propuesta en el acápite 5.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 78
Tabla 5. CIP-010-2 Evaluaciones de Vulnerabilidad. Fuente: (NERC, 2018)
Parte Sistema Aplicable Requerimiento Medidas
3.1 Ciber sistemas de alto impacto:
1. EACMS.
2. PACS.
3. PAC.
Ciber sistemas de medio impacto:
1. EACMS.
2. PACS.
3. PAC.
Al menos una vez cada 15 meses
calendario, realice una valoración de
vulnerabilidad.
Los ejemplos de evidencia pueden
incluir, pero no están limitados a:
* Un documento que enumera la fecha de
la evaluación (realizada al menos una vez
cada 15 meses calendario), los controles
evaluados para cada ciber sistema junto
con el método de evaluación; ó
* Un documento que enumera la fecha de
la evaluación y el resultado o reporte de
las herramientas utilizadas para realizar la
evaluación.
3.2 Ciber sistemas de alto impacto. Cuando sea técnicamente posible, al
menos una vez cada 36 meses
calendario:
* Realice una evaluación de
vulnerabilidad activa en un entorno de
prueba, o realice una evaluación de
vulnerabilidad activa en un entorno de
producción, donde se realice la prueba
controlada de manera que minimice
los efectos adversos.
* Documente los resultados de la
prueba y si se utilizó un entorno de
prueba, identifique las diferencias con
el entorno de producción.
Un ejemplo de evidencia puede incluir,
pero no se limita a:
* un documento que enumera la fecha de
la evaluación (realizada al menos una vez
cada 36 meses calendario), el resultado
de las herramientas utilizadas para
realizar la evaluación y una lista de
diferencias entre entornos de producción
y prueba con descripciones de cómo se
tuvieron en cuenta las diferencias al
realizar la evaluación.
3.3 Ciber sistemas de alto impacto:
1. EACMS.
2. PAC.
Antes de agregar un nuevo ciber activo
a un entorno de producción, realice
una evaluación de vulnerabilidad
activa del nuevo dispositivo (excepto
en circunstancias como reemplazos
del mismo tipo de ciber activos), con
una configuración de línea base que
modele una configuración existente.
Un ejemplo de evidencia puede incluir,
pero no se limita a:
* un documento que enumera la fecha de
la evaluación (realizada antes de la
puesta en servicio del nuevo ciber activo)
y el resultado de las herramientas
utilizadas para realizar la evaluación.
3.4 Ciber sistemas de alto impacto:
1. EACMS.
2. PACS.
3. PAC.
Ciber sistemas de medio impacto:
1. EACMS.
2. PACS.
3. PAC.
Documente los resultados de las
evaluaciones realizadas de acuerdo
con las Partes 3.1, 3.2, 3.3 y el plan de
acción para subsanar o mitigar las
vulnerabilidades identificadas en las
evaluaciones, incluida la fecha
planificada para completar el plan de
acción y el estado de ejecución de
cualquier acción de mitigación.
Un ejemplo de evidencia puede incluir,
pero no se limita a:
* un documento que enumera los
resultados, revisión o evaluación, una
lista de elementos de acción, fechas de
finalización documentadas para el plan
de acción y registros del estado de los
elementos de acción ( como minutos de
una reunión de estado, actualizaciones
en un sistema de orden de trabajo o una
hoja de cálculo que rastrea los elementos
de acción).
CIP-010-2 Evaluaciones de Vulnerabilidad
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 79
Tabla 6. CIP-010-2 Niveles de Severidad de Violación. Fuente: (NERC, 2018)
Acciones para la evaluación de vulnerabilidad de papel (frecuencia de 15 meses)
(NERC, 2018):
1. Descubrimiento de red: una revisión de la conectividad de red para identificar
todos los puntos de acceso electrónico al perímetro de seguridad electrónica.
2. Puertos de red e identificación de servicio: una revisión para verificar que
todos los puertos y servicios habilitados tengan una justificación adecuada.
3. Revisión de vulnerabilidades: una revisión de conjuntos de reglas de
seguridad y configuraciones que incluyen controles para cuentas
predeterminadas, contraseñas y gestión de red.
Menor Moderado Mayor Severo
La entidad responsable ha
implementado uno o más
procesos documentados de
evaluación de
vulnerabilidades para cada
uno de sus ciber sistemas
aplicables, pero ha
realizado una evaluación de
vulnerabilidad mayor de 15
meses, pero menor de 18
meses, desde la última
evaluación.
La entidad responsable ha
implementado uno o más
procesos documentados de
evaluación de
vulnerabilidades para cada
uno de sus ciber sistemas
aplicables, pero ha
realizado una evaluación de
vulnerabilidad mayor de 18
meses, pero menor de 21
meses, desde la última
evaluación.
La entidad responsable ha
implementado uno o más
procesos documentados de
evaluación de
vulnerabilidades para cada
uno de sus ciber sistemas
aplicables, pero ha
realizado una evaluación de
vulnerabilidad mayor de 21
meses, pero menor de 24
meses, desde la última
evaluación.
La entidad responsable no ha
implementado ningún procesos de
evaluación de vulnerabilidad de sus ciber
sistemas aplicables.
La entidad responsable ha
implementado uno o más procesos
documentados de evaluación de
vulnerabilidades para cada uno de sus
ciber sistemas aplicables, pero ha
realizado una evaluación de
vulnerabilidad mayor a 24 meses desde
la última evaluación en uno de sus
sistemas.
La entidad responsable ha
implementado uno o más
procesos de evaluación de
vulnerabilidades activos
documentados para
sistemas aplicables, pero ha
realizado una evaluación de
vulnerabilidad activa mayor
a 36 meses, pero menor de
39 meses, desde la última
evaluación activa en uno de
sus ciber sistemas.
La entidad responsable ha
implementado uno o más
procesos de evaluación de
vulnerabilidades activos
documentados para
sistemas aplicables, pero ha
realizado una evaluación de
vulnerabilidad activa mayor
a 39 meses, pero menor de
42 meses, desde la última
evaluación activa en uno de
sus ciber sistemas.
La entidad responsable ha
implementado uno o más
procesos de evaluación de
vulnerabilidades activos
documentados para
sistemas aplicables, pero ha
realizado una evaluación de
vulnerabilidad activa mayor
a 42 meses, pero menor de
45 meses, desde la última
evaluación activa en uno de
sus ciber sistemas.
La entidad responsable ha
implementado y documentado uno o
más procesos de evaluación de
vulnerabilidad para cada uno de sus ciber
sistemas aplicables, pero no realizó la
evaluación de vulnerabilidad activa de
una manera que modele una
configuración de línea base existente de
sus sistemas.
La entidad responsable ha
implementado y documentado uno o
más procesos de evaluación de
vulnerabilidad para cada uno de sus ciber
sistemas aplicables, pero no ha
documentado los resultados de las
evaluaciones de vulnerabilidad, ni los
planes de acción para subsanar o mitigar
las vulnerabilidades identificadas en las
evaluaciones, la fecha planificada de
finalización del plan de acción y el estado
de ejecución de los planes de mitigación.
Niveles de Severidad de Violación (CIP-010-2)Horizonte de
Tiempo
Planificación a
largo plazo y
planificación de
operaciones.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 80
4. Revisión inalámbrica: identificación de tipos comunes de redes inalámbricas
(como 802.11a / b / g / n) y una revisión de sus controles si se utilizan de
algún modo para las comunicaciones de los ciber activos.
Acciones para la evaluación de vulnerabilidad activa (frecuencia de 36 meses)
(NERC, 2018):
1. Descubrimiento de red: uso de herramientas de software para descubrir
dispositivos activos e identificar rutas de comunicación para verificar que la
arquitectura de red descubierta coincida con la arquitectura documentada.
2. Identificación de servicio y puertos de red: uso de herramientas de
descubrimiento activo (como Nmap) para descubrir puertos y servicios
abiertos.
3. Escaneo de vulnerabilidades: uso de una herramienta de escaneo de
vulnerabilidades para identificar puertos y servicios accesibles en la red junto
con la identificación de vulnerabilidades conocidas asociadas con los
servicios que se ejecutan en esos puertos.
4. Escaneo inalámbrico: uso de una herramienta de escaneo inalámbrico para
descubrir señales inalámbricas y redes en el perímetro físico de un ciber
sistema. Sirve para identificar dispositivos inalámbricos no autorizados
dentro del alcance de la herramienta de escaneo inalámbrico.
El concepto de establecer una configuración de línea de base de ciber activos tiene
como objetivo proporcionar claridad sobre el lenguaje de requisitos. La modificación
de cualquier elemento dentro de la configuración de referencia de un ciber activo
proporciona el mecanismo desencadenante para cuando las entidades deben
aplicar los procesos de gestión de cambios (NERC, 2018). Las configuraciones
básicas definidos en CIP-010-2 constan de cinco elementos diferentes:
1. Sistema operativo / Firmware
2. Software disponible comercialmente o Software de aplicación de código
abierto.
3. Software personalizado.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 81
4. Identificación de puerto accesible de red lógica.
5. Parches de seguridad.
Donde se debe asegurarse que sólo las aplicaciones de software que se
determinaron necesarias para el uso del ciber activo se incluyan en la configuración
de referencia. Si un dispositivo específico necesita comunicarse con otro dispositivo
fuera de la red, las comunicaciones deben limitarse sólo a los dispositivos que
necesitan comunicarse según el requisito, esos puertos que son accesibles deben
incluirse en la línea de base. Los parches de seguridad aplicados incluirían todos
los parches históricos y actuales que se han aplicado al activo cibernético (NERC,
2018).
En relación con el entorno de prueba del centro de control (o entorno de producción
donde la prueba se realiza de una manera que minimice los efectos adversos) debe
modelar la configuración de referencia, pero puede tener un conjunto diferente de
componentes. El entorno de prueba puede tener el mismo sistema operativo,
parches de seguridad, puertos accesibles en red y software, pero tiene tanto la base
de datos como los servicios ejecutándose en un único componente en lugar de
varios componentes (NERC, 2018).
Además, se debe tener en cuenta que siempre que se mencione un entorno de
prueba (o entorno de producción donde la prueba se realiza de una manera que
minimice los efectos adversos), el objetivo es "modelar" la configuración de
referencia y no duplicarla exactamente.
NERC CIP-014-2
Por otra parte el estándar CIP-014-2 tiene como proposito identificar y proteger las
subestaciones de transmisión y sus centros de control primario asociados, que si se
vuelven inoperables o fallan como resultado de un ataque físico podrían resultar en
inestabilidad del sistema eléctrico, separación incontrolada o desconexión en
cascada.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 82
Dentro del estándar y como parte de la aplicación que se implemento dentro del
proyecto se utilíza el método de ponderación para la evaluación inicial de impacto
del sistema, que adaptando lo presentado en la CIP-014-2, consiste en las
instalaciones de transmisión que operan a más de 100 kV, donde la subestación
está conectada a tres o más subestaciones de transmisión y tiene un "valor
agregado total" superior a 3000 de acuerdo con la Tabla 7. Donde el "valor
ponderado agregado" para una subestación individual se determina sumando el
"valor de peso por línea" para cada línea de transmisión entrante y saliente
conectada a otra subestación de transmisión. Adicionalmente, tambien se tendra en
cuenta instalaciones de transmisión que son identificadas por su coordinador de
confiabilidad, coordinador de planificación o planificador de transmisión como
críticas para la sistema y sus contingencias asociadas (NERC, 2018).
Tabla 7. Método de ponderación. Fuente: adaptado de (NERC, 2018)
Por otra parte tomando como buena practica del estandar, cada propietario del
sistema de transmisión deberá realizar esta evaluación inicial del riesgo en sus
subestaciones de transmisión (existentes y planificadas para estar en servicio dentro
de una ventana de 24 meses), al menos una vez cada 30 meses calendario luego
que identificó en su evaluación de riesgos anterior una o más subestaciones de
transmisión que, si se volvieran inoperables o fallan, podrían provocar inestabilidad
del sistema, separación incontrolada o desconexiones en cascada. En otros casos
se debera realizar una vez cada 60 meses.
Como se menciona en CIP-014-2 (NERC, 2018), se debe periodicamente estar
revisando el historial previo de ataques a instalaciones similares teniendo en cuenta
la frecuencia, la proximidad geográfica y la gravedad o impacto de los eventos
Tensión de Línea Valor de Peso por Línea
100kV a 199kV 300
200kV a 299kV 700
300kV a 499kV 1300
>= 500kV 1500
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 83
relacionados con la seguridad física en el pasado. Obteniendo información de los
avisos de inteligencia o amenaza recibidos de fuentes como la policía, la
Organización de Confiabilidad Eléctrica (ERO - Electric Reliability Organization) y el
Centro de Intercambio de Información y Análisis de Información del Sector Eléctrico
(ES-ISAC - Electricity Sector Information Sharing and Analysis Center).
El agente de transmisión deberá realizar una evaluación de riesgos, que consiste en
un análisis de transmisión mediante estudios técnicos, experiencia técnica,
experiencia operativa y juicio experimentado de que la pérdida de dicha instalación
tendría un impacto crítico en el funcionamiento del sistema de transmisión que
puedan provocar inestabilidad, separación incontrolada o desconexión en cascada
del STN.
De acuerdo a lo anterior, el criterio definido es a través del análisis de flujo de
potencia teniendo en cuenta las siguientes variables (NERC, 2018):
1. Sobrecargas térmicas más allá de los limites de emergencia de la
instalaciones.
2. Desviación de voltaje superior a ± 10%;
3. Colapso de tensión y desconexiones en cascada.
4. Desviación de frecuencia.
Este análisis debe realizarse por lo menos cada 30 meses o antes si existe cambios
en la topologia de la red de transmisión en la zona de influencia.
Las amenazas y vulnerabilidades pueden variar de una instalación a otra en función
de una serie de factores que incluyen, entre otros, la ubicación, la función, las
protecciones de seguridad existentes, el tamaño y si es compartida con otros
agentes.
Para llevar a cabo una evaluación de vulnerabilidad, el propietario de la instalación
puede ser la mejor fuente para determinar vulnerabilidades específicas del sitio, sin
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 84
embargo las amenazas actuales y en evolución pueden ser mejor determinadas por
comunidades de inteligencia o entidades de seguridad gubernamental (NERC,
2018).
Por otra parte, el estándar IEC 62443 esta enfocado a la defensa en profundidad de los
sistemas de control industrial, extendiendo la seguridad a otros ámbitos desde los
fabricantes hasta los operadores, a continuación los aspectos que se tienen en cuenta para
la propuesta metodológica realizada en el presente trabajo.
IEC 62443
La serie de estándares IEC 62443 ha sido desarrollada conjuntamente por el comité
ISA99 y Comité Técnico IEC 65 Grupo de Trabajo 10 (TC65WG10), para abordar la
necesidad de diseñar robustez y resilencia en ciberseguridad en los sistemas de
control de automatización industrial IACS (Industrial Automation Control Systems).
Los sistemas incluyen, pero no están limitados a (ISA & IEC, 2018):
• Sistemas de hardware y software tales como DCS (Distributed Control
System), PLC (Programmable Logic Controller), SCADA, redes de sensores
electronicos, sistemas de monitoreo y diagnóstico.
• Interfaces internas, humanas, de red o máquina asociadas que se utilizan
para proporcionar funciones de control, seguridad y operaciones de
fabricación de procesos continuos, por lotes, discretos y de otro tipo.
El objetivo de la aplicación de la IEC 62443 es mejorar la seguridad, disponibilidad,
integridad y confidencialidad de los componentes o sistemas utilizados para la
automatización y el control industrial, y proporcionar criterios para la adquisición e
implementación de sistemas seguros de automatización y control. El cumplimiento
de los requisitos de la serie 62443 tiene como objetivo mejorar la seguridad
electrónica y ayudar a identificar y abordar vulnerabilidades, reduciendo el riesgo de
comprometer la información confidencial o causar degradación o falla del equipo
(hardware y software) (ISA & IEC, 2018).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 85
El contenido del estándar está dirigido a los responsables del diseño,
implementación o administración de los sistemas de control y automatización
industrial. Los elementos del estándar IEC 62443 se presentan en la Figura 12.
Figura 12. Elementos de la IEC 62443. Fuente: Adaptado de (ISA & IEC, 2018).
Para el caso particular del proyecto, en el estándar IEC 62443-3-2 se aborda la
evaluación de riesgos de seguridad y el diseño del sistema para las IACS. En
(DesRuisseaux, 2018) se abordará cómo el estándar IEC 62443 se puede aplicar a
los sistemas de control industrial y que acciones se pueden realizar para mitigar las
amenazas cibernéticas.
El estándar IEC 62443 introduce el concepto de niveles de seguridad garantizados,
la especificación define una serie de requisitos diseñados para asociar la seguridad
del sistema a uno de los cuatro niveles definidos. En la Tabla 8, se presenta un
resumen de cada nivel junto con una caracterización del tipo de atacante que el nivel
de seguridad está diseñado para afrontar.
Conceptos y modelosGlosario de términos
y abreviaturas
Métricas de conformidad de
seguridad del sistema
Ciclo de vida seguridad de los IACS
y casos de uso
Requerimientos para un sistema de
gestión de seguridad
Niveles de protección de IACS
Gestión de parches en el entorno IACS
Requisitos para los proveedores de IACS
Guía de implementación para
el propietario del activo
Tecnologías de seguridad para IACS
Diseño de sistemas y evaluación de riesgos
de seguridad
requisitos del sistema de seguridad
y niveles de seguridad
Requisitos de seguridad en el Ciclo de vida del producto
desarrollado
Requisitos de seguridad técnica
para componentes IACS
GEN
ERA
LP
OLÍ
TIC
AS
Y
PR
OC
EDIM
IEN
TOS
SIST
EMA
CO
MP
ON
ENTE
S
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 86
Tabla 8. Niveles de seguridad especificados en la IEC 62443. Fuente: (DesRuisseaux, 2018)
El estándar ISA99/IEC62443 define los niveles de seguridad de la siguiente manera:
“Los Niveles de Seguridad (SL, por sus siglas en idioma inglés) proveen una
aproximación cualitativa para la Ciberseguridad de una determinada zona. Al ser un
método cualitativo, la definición de niveles de seguridad sirve para comparar y
gestionar la seguridad de diferentes zonas dentro de una organización” (Castillo,
2018).
En el estándar se propone una descomposición en zonas y conductos, donde la
valoración tiene como objetivo identificar y clasificar los riesgos para cada zona, en
función de las amenazas, vulnerabilidades y consecuencias. Permitiendo asignar a
cada zona un nivel de seguridad correspondiente, tal como se presenta en la Figura
13.
Figura 13. Elementos de la IEC 62443.
Nivel de seguridad Objetivo Habilidades Motivación Método Recursos
SL1Violaciones casuales
o coincidentes
Sin habilidades de
ataqueEquivocación No instencional Individual
SL2 Cibercrimen, Hacker Genérico Bajo SimpleBajo (individual
aislado)
SL3 Hacktivista, TerroristaSistemas de Control
Industrial específicosModerado
Sofisticado
(Ataque)
Moderado (Grupo
de hackers)
SL4 Estado nacionalSistemas de Control
Industrial específicosAlto
Sofisticado
(Ataque)
Extendido (Equipo
multidisciplinario)
Sin Impacto Menor Mayor Severo
AltoRiesgo Medio
SL2
Riesgo Alto
SL3
Riesgo Muy Alto
SL4
Riesgo Muy Alto
SL4
MedioRiesgo Medio
SL2
Riesgo Alto
SL3
Riesgo Muy Alto
SL4
Riesgo Muy Alto
SL4
BajoRiesgo Bajo
SL1
Riesgo Medio
SL2
Riesgo Medio
SL2
Riesgo Alto
SL3
Muy BajoRiesgo Bajo
SL1
Riesgo Bajo
SL1
Riesgo Medio
SL2
Riesgo Alto
SL3
Pro
bab
ilid
ad
Nivel de Riesgo y
Correspondiente SL
Criticidad de Consecuencias
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 87
Fuente: Adaptado de (ISA & IEC, 2018).
Con estos niveles de seguridad SL (Security Level), se evalúan cada una de las
zonas de seguridad asignadas utilizando los 7 requisitos funcionales establecidos
por el estándar IEC 62443 (ISA & IEC, 2018):
RF1 - Control de Identificación y Autenticación. (IAC)
RF2 - Control de Usuarios. (UC)
RF3 - Integridad de Datos. (SI)
RF4 - Confidencialidad de Datos. (DC)
RF5 - Flujos de Datos Restringido. (RDF)
RF6 - Respuesta Oportuna al Evento. (TRE)
RF7 - Disponibilidad de Recursos. (RA)
Dentro del estándar IEC 62443 se fundamenta el análisis en el establecimiento de
zonas y conductos. Las zonas pueden ser una agrupación de activos
independientes, un grupo de subzonas o una combinación de ambos. A su vez, las
zonas poseen atributos de herencia, lo cual significa que las zonas “hijas” (o
subzonas) deben cumplir con todos los requisitos de seguridad de su zona “padre”.
Cada zona definida debe contener un documento en el cual se describe, entre otros,
el alcance de la zona, su nivel de seguridad, la estructura organizacional a la cual
pertenece y sus responsabilidades, los riesgos asociados a la zona, la estrategia de
seguridad adoptada y los tipos de actividades que son permitidas dentro de ella etc
(Castillo, 2018).
Una zona posee sus propias vulnerabilidades, y se encuentra expuesta a un
determinado número de amenazas. Es por ello que realizar un análisis de
vulnerabilidades periódicamente sobre ellas (o sobre el proceso industrial completo)
resulta de vital importancia para identificar potenciales amenazas que provoquen
que los activos industriales no cumplan con sus objetivos de negocio (Castillo,
2018).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 88
Por su parte, los “conductos” son zonas particulares que se aplican a procesos de
comunicación específicos proporcionando funciones de seguridad que permiten a
dos zonas comunicarse de manera segura.Toda comunicación entre diferentes
zonas ha de realizarse a través de un conducto. Los conductos pueden ser
pensados como los “tubos” que unen diferentes zonas o bien que son utilizados para
unir componentes dentro de una misma zona (Castillo, 2018).
Los conductos se utilizan como uno de los principales “inputs” para determinar las
amenazas a las cuales se encuentra expuesta una zona. Identificando con claridad
los conductos podremos conocer cuáles son los puntos de acceso que la zona
posee, y analizar si pueden convertirse en un potencial vector de ataque (Castillo,
2018).
Un vector puede ser utilizado para representar los requisitos de ciberseguridad para
una zona, conducto o sistema de forma más representativa que un único valor y
asociado a un nivel de seguridad especifico dado el requisito tecnico particular.
Ejemplo: La ZonaDMZ=[3323001] (Castillo, 2018).
Algunos criterios para la definición de zonas propuestos en el estándar
ISA99/IEC62443 son (Castillo, 2018):
3. Los activos de sistemas de información de negocio (TI) y sistemas de control
industrial (OT) deben ser agrupados en Zonas separadas.
4. Los activos o dispositivos que se conectan temporalmente al sistema deben
ser separados en Zonas distintas.
5. Las comunicaciones inalámbricas deben ubicarse en una o más zonas
separadas de las comunicaciones cableadas.
6. Los activos identificados como Sistemas Instrumentados de Seguridad (SIS)
deben ser separados en Zonas distintas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 89
El estándar IEC 62443 establece una guía de como implementar medidas de
protección contra incidentes de ciberseguridad soportada en los niveles de
seguridad que ella define. En consecuencia, en la metodología se utilizan estas
medidas pero como método de evaluación de vulnerabilidades, es decir que se
determina el estado y nivel de los siete requisitos técnicos en cuanto
vulnerabilidades ciberneticas.
En la actualidad grandes esfuerzos se han desarrollado para minimizar las ciber
vulnerabilidades en los sistemas de potencia (Liu & Li, 2015).
La mayoría de los estudios de vulnerabilidad se llevan a cabo después de la ocurrencia de
eventos de alto impacto (por ejemplo, un apagón generalizado) que determinan las causas
de los eventos de falla en cascada dentro de una red eléctrica específica. Dichos estudios
se logran a través del análisis estructural de la vulnerabilidad en las redes de transmisión
de energía, lo que requiere metodologías bien establecidas que puedan orientar a la mejora
en la toma de decisiones sobre la prevención y recuperación de las interrupciones en la red
eléctrica. Por ejemplo, los estudios de contingencia N-1 y N-t se encuentran entre los
criterios más utilizados en la industria de la energía (Correa & Yusta, 2014).
De acuerdo a lo anterior, el mapa de las propiedades de seguridad de la información que
formarán parte de la metodología propuesta en este trabajo y que se utilizará como parte
del análisis que de acuerdo a las definiciones de la ISO 27000 se definen como (Schlegel,
Obermeier, & Schneider, 2016):
✓ Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas
personas autorizadas a tener acceso a ella.
✓ Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos
de procesamiento.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 90
✓ Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con ella cada vez que se requiera.
✓ No-repudio: Se previene la negación de la autoría de una acción que tuvo lugar o
reclamar la autoría de una acción que no se llevó a cabo. Es decir imposibilidad de
identificar un atacante.
En comparación con la seguridad física de las subestaciones convencionales y la
ciberseguridad para las redes de IT, faltan investigaciones sobre la detección de intrusos
para las subestaciones basadas en IEC 61850. En particular, la literatura publicada carece
de validación de soluciones usando datos de subestaciones eléctricas reales (Yang, y otros,
2017).
Algunas de las herramientas comunes se crean en las instituciones de investigación, como
la Evaluación de Vulnerabilidades y Amenazas Operacionalmente Crítica de Activos de la
Universidad Carnegie Mellon OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation). Otros se crean a partir de agencias gubernamentales y federales,
como la herramienta de evaluación FFIEC (Federal Financial Institutions Examination
Council’s) y el marco de seguridad cibernética del NIST (DeSmit, Elhabashy, Wells, &
Camelio, 2017).
La evaluación de OCTAVE se esfuerza por ayudar a las organizaciones a alinear sus
actividades de seguridad con los objetivos generales de la organización. Este enfoque
utiliza un equipo multidisciplinario dentro de la organización para completar una serie de
preguntas relacionadas con activos basadas en encuestas para evaluar los niveles actuales
de ciberseguridad dentro de la organización.
La herramienta de evaluación de ciberseguridad FFIEC actúa más como una guía de
referencia para el nivel de seguridad de una organización contra los ataques cibernéticos y
puede repetirse según sea necesario para evaluar el progreso. La herramienta FFIEC se
enfoca en definir y evaluar los riesgos de ciberseguridad que una organización puede
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 91
experimentar y reúne a los miembros de la junta y los accionistas para acordar el nivel de
seguridad y riesgo en el que la compañía está dispuesta a incurrir.
Adicionalmente a los software mencionados, existen herramientas gratuitas que se utilizan
para realizar pruebas y monitoriar a nivel de seguridad informática los sistemas y redes de
comunicaciones. Entre estos se encuentra Kali Linux, el cual es una distribución GNU/Linux
basada en Debian que agrupa alrededor de 300 herramientas y aplicaciones relacionadas
con seguridad informática y la cual fue utilizada paa la evaluación realizada en el estudio
de caso realizado en este trabajo.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 92
4. Identificación de Factores Técnicos y Normativos
La elaboración del proyecto se desarrolló de acuerdo con un esquema estructurado que
abarcó en esta fase la revisión de la normativa y políticas de Colombia, buenas prácticas
en el área de Ciberseguridad, políticas internacionales y atributos particulares del estado
actual en la infraestructura eléctrica de Colombia, identificando los factores tanto técnicos
como normativos que inciden en el ámbito de ciberseguridad.
En la Figura 14 se presenta la parte metodológica implementada en esta etapa del proyecto:
Figura 14. Etapa de identificación de los factores. Fuente: Elaboración propia.
A partir de la revisión realizada, en la Tabla 9 se describe la regulación y normativa
colombiana que de alguna manera se aplica al tema central de Ciberseguridad. En esta
revisión se observa como ha venido tomando interés los aspectos relacionados con los
delitos cibernéticos y el manejo de la información, dando como resultado la definición y
crecimiento de normativas desde el año 2000. Sin embargo, para el tema particular del
sector eléctrico colombiano hasta el 2015 se hizo el primer acercamiento para dar los
fundamentos en la creación de normativa y cuya iniciativa estuvo a cargo del CNO. A pesar
de que el país lleva relativamente poco tiempo abordando este tema de manera profunda,
se resalta que a nivel gubernamental y empresas tanto públicas como privadas se está
empezando a generar conciencia en el área de Ciberseguridad.
Tabla 9. Normograma de regulación y normativa aplicable.
Investigación, estudio y
recopilación de información.
Identificación de requerimientos.
Normativa aplicable.
Especificación de los aspectos técnicos y normativos para la
metodología propuesta.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 93
Tipo Código Fecha Tema
Ley 142 1994
Conocida como la ley de servicios públicos domiciliarios, donde presenta el papel de las personas prestadoras de servicios públicos, muestra los procedimientos administrativos, la contratación, las normas especiales para algunos servicios y la legislación en lo que refiere a servicios públicos. (Congreso, Ley 142, 1994)
Ley 143 1994 Conocida como la ley eléctrica en la que se establece el régimen de las actividades de generación, interconexión, transmisión, distribución y comercialización de electricidad. (Congreso, Ley 143, 1994)
Ley 527 1999
Comercio Electrónico - Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. (Congreso, Ley 527, 1999)
Ley 599 2000
Por la cual se expide el Código Penal. En esta se mantuvo la estructura del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas indirectamente con el delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Se tipificó el “Acceso abusivo a un sistema informático”, (Congreso, Ley 599, 2000).
Ley 1273 2009
Delitos Cibernéticos - Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. (Congreso, Ley 1273, 2009)
Ley 1453 2011
Estatuto de seguridad ciudadana - El Art. 236 establece que cuando el fiscal tenga motivos razonables, para inferir que el indicado o imputado está transmitiendo o manipulando datos a través de las redes de telecomunicaciones, ordenará a la policía la retención, aprehensión o recuperación de dicha información, equipos terminales, dispositivos o servidores que pueda haber utilizado cualquier medio de almacenamiento físico o virtual, análogo o digital, para que expertos en informática forense, descubran, recojan, analicen y custodien la información que recuperen; lo anterior con el fin de obtener elementos materiales probatorios y evidencia física o realizar la captura del indiciado, imputado o condenado. (Congreso, Ley 1453, 2011)
Resolución CRC
3066 2011 Régimen integral de protección de los derechos de los usuarios de los servicios de comunicaciones. (CRC C. d., 2011)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 94
CONPES 3701 2011
Establece los lineamientos de política para la Ciberseguridad y Ciberdefensa, orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que puedan afectar significativamente al país. Definió en Colombia la estrategia del Gobierno Nacional y la Fuerza Pública, en materia de Ciberseguridad y Ciberdefensa. (DNP, 2011)
Resolución CRC
3067 2011 Principios de confidencialidad, protección de los datos personales, inviolabilidad de las comunicaciones, seguridad de la información y prevención de fraudes. (CRC C. d., 2011)
Decreto 2758 2012
Se reestructura la organización del Ministerio de Defensa, en el sentido de asignar al despacho del viceministro la función de formular políticas y estrategias en materia de Ciberseguridad y Ciberdefensa. Adicionalmente le encarga a la Dirección de Seguridad Pública y de Infraestructura, la función de implementar políticas y programas que mantengan la seguridad pública y protejan la infraestructura, así como hacerle seguimiento a la gestión relacionada con el riesgo cibernético en el sector defensa y diseñar el plan estratégico sectorial en materia de Ciberseguridad y Ciberdefensa. (Presidencia, 2012)
Resolución 3933 2013
Creó el Grupo colCERT y asignó funciones a la dependencia de la Dirección de Seguridad Pública y de Infraestructura del Ministerio de Defensa Nacional, respecto a promover el desarrollo de capacidades locales/sectoriales para la gestión operativa de los incidentes de Ciberseguridad y Ciberdefensa en las infraestructuras críticas nacionales, el sector privado y la sociedad civil. (MINDEFENSA, Resolución 3933, 2012)
Ley 1621 2013
Marco jurídico para desempeño de funciones de los organismos de inteligencia y contrainteligencia– Protección a las bases de datos. Esta Ley tiene por objeto fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir adecuadamente con su misión constitucional y legal, así mismo esta Ley establece los límites y fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control, supervisión y la regulación de la protección a las bases de datos. (Congreso, Ley 1621, 2013)
Acuerdo CNO
788 2015
Por el cual se presenta y se aprueba la Guía de Ciberseguridad. El comité tecnológico del Consejo Nacional de Operación realizó un estudio de las normas aplicables a la industria eléctrica para mitigar los riesgos de Ciberseguridad en el sector y en el Sistema Interconectado Nacional y concluyó que la mejor referencia de aplicación es la Norma NERC CIP para tecnologías de activos críticos y con base en esta norma, se elaboró la guía de Ciberseguridad orientada a la protección de los activos del SIN. (CNO, 2015)
Resolución 2007 2018
Por la cual se actualiza la política de tratamiento de Datos Personales del MINTIC. El objetivo principal de la presente política es establecer los lineamientos para garantizar el adecuado cumplimiento de lo dispuesto en la Ley 1581 de 2012 y en el decreto 1074 de 2015, (MINTIC, https://www.mintic.gov.co/portal/604/w3-channel.html, 2018)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 95
Con el propósito de relacionar la normativa identificada con cada una de los tópicos de
seguridad de la información aplicada a la infraestructura crítica de energía eléctrica, se
desarrolló la Tabla 10 donde se presenta el normograma asociando los aspectos relevantes
que cubre dentro de las cuatro propiedades definidas.
Tabla 10. Normograma de aplicabilidad en las propiedades de seguridad de la información.
Otro de los análisis fue conocer las entidades involucradas en el área de Ciberseguridad
para entender posibles formas de actuar ante eventos e incidentes en el sector eléctrico
colombiano. En la Tabla 11 se presentan las entidades y su intervención en el ámbito de
Ciberseguridad.
Disponibilidad Integridad No-repudio Confidencialidad
Ley 142 de 1994 X
Ley 143 de 1994 X
Ley 527 de 1999 X X
Ley 599 de 2000 X
Ley 1273 de 2009 X X
Ley 1453 de 2011 X
Resolución CRC 3066 de 2011 X
CONPES 3701 de 2011 X X
Resolución CRC 3067 de 2011 X
Decreto 2758 de 2012 X X
Resolución 3933 de 2013 X X
Ley 1621 de 2013 X X
Acuerdo CNO 788 de 2015 X X X
Resolución 2007 de 2018 X X
Propiedad de seguridad de la información en sistemas eléctricosNorma
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 96
Tabla 11. Entidades involucradas
Entidad Función Aplicabilidad en el Ámbito de
Ciberseguridad
Comisión de Regulación de Energía y Gas
(CREG)
Tienen la función de regular los monopolios en la prestación de los servicios públicos. Preparar proyectos de ley para someter a la consideración del gobierno, y recomendarle la adopción de los decretos reglamentarios que se necesiten. Someter a su regulación, a la vigilancia de la Superintendencia y a las normas que esta Ley contiene en materia de tarifas, de información y de actos y contratos. (CREG, Comisión de Regulación de Energía y Gas, 2018)
Regular el servicio de energía eléctrica en todo el territorio nacional. Comenzó a establecer políticas en cuanto a protección de datos y encriptación en el código de medida y se espera futuras regulaciones para el resto de los sistemas que hacen parte del sistema interconectado nacional.
Unidad de Planeación Minero Energética. (UPME)
Realiza la planeación integral del sector minero energético mediante evaluaciones, diagnósticos de la oferta - demanda de los recursos y elaboración de planes indicativos, como apoyo al MINMINAS y los decisores de inversión. Apoyar al MIMINAS y otras entidades en la realización de las convocatorias del STN, evaluación de proyectos de cobertura, emisión de conceptos para otorgar incentivos, cálculo de precios base para liquidación de regalías, entre otros. (UPME, 2018)
Planeación energética de los recursos renovables y no renovables. Actualmente se encuentra desarrollando estudios junto con la Universidad Nacional de Colombia en cuanto Interoperabilidad, Ciberseguridad y Gobernanza de Datos en el Proyecto AMI 4.0.
Ministerio de Minas
y Energía (MINMINAS)
Es una entidad pública de carácter nacional del nivel superior ejecutivo central, cuya responsabilidad es la de administrar los recursos naturales no renovables del país asegurando su mejor y mayor utilización; la orientación en el uso y regulación de los mismos, garantizando su abastecimiento y velando por la protección de los recursos naturales del medio ambiente con el fin de garantizar su conservación, restauración y el desarrollo sostenible, de conformidad con los criterios de evaluación, seguimiento y manejo ambiental, señalados por la autoridad ambiental competente. (MINMINAS, 2018)
Elabora máximo cada cinco años un plan de expansión de cobertura de electricidad, determinando inversiones públicas que deben realizarse e inversiones privadas que se deben estimular.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 97
Consejo Nacional de Operación.
(CNO).
El Consejo Nacional de Operación del sector eléctrico, creado por la Ley 143 de 1994 en su artículo 36, es un organismo privado que tiene como función principal acordar los aspectos técnicos para garantizar que la operación del Sistema Interconectado Nacional sea segura, confiable y económica y ser el ejecutor del Reglamento de Operación. (CNO, https://www.cno.org.co/, 2018)
Desarrolló y aprobó la guía de ciberseguridad para el Sistema Interconectado Nacional.
Ministerio de Interior y de Justicia.
(MININTERIOR)
Es el responsable de coordinar la atención integral del Estado a los asuntos políticos, para el fortalecimiento de nuestra democracia, y de la justicia, para proteger los derechos fundamentales de los ciudadanos. Así mismo, formula, coordina, evalúa y promueve las políticas de conservación del orden público en coordinación con el Ministro de Defensa Nacional, así como las encaminadas a la descentralización, ordenamiento y autonomía territorial, desarrollo institucional y las relaciones políticas y de orden público entre la Nación y las entidades territoriales. (MININTERIOR, 2018)
Destina recurso humano con conocimientos técnicos y/o jurídicos en el tema de seguridad de la información y Ciberseguridad, para apoyar la ejecución de actividades del colCERT. Adelantar las iniciativas tendientes a expedir o reformar las leyes que sean necesarias, así como reglamentar aquellas a que haya lugar, en aras de garantizar el marco normativo adecuado para la Ciberseguridad, la Ciberdefensa y la seguridad de la información.
Ministerio de Defensa Nacional.
(MINDEFENSA)
Participar en la definición, desarrollo y ejecución de las políticas de defensa y seguridad nacionales, para garantizar la soberanía nacional, la independencia, la integridad territorial y el orden constitucional, el mantenimiento de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y para asegurar que los habitantes de Colombia convivan en paz. (MINDEFENSA, https://www.mindefensa.gov.co, 2018)
Realiza en coordinación con MINTIC estudios en seguridad de la información, así como la identificación de la infraestructura crítica nacional. Implementa gradualmente asignaturas en seguridad de la información, Ciberdefensa y Ciberseguridad (teórico-prácticas), en las escuelas de formación y de capacitación de oficiales y suboficiales.
Ministerio de Tecnologías de la Información y las Comunicaciones.
(MINTIC)
El Ministerio de Tecnologías de la Información y las Comunicaciones, según la Ley 1341 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones. (MINTIC,
Destina recurso humano con conocimientos técnicos y/o jurídicos en el tema de seguridad de la información y Ciberseguridad, para apoyar la ejecución de actividades del colCERT. Emite un documento con las directrices en temas de seguridad de la información basada en
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 98
https://www.mintic.gov.co/portal/604/w3-channel.html, 2018)
estándares internacionales, que deberán ser implementadas por las entidades del sector público.
Departamento Nacional de Planeación.
(DNP)
El DNP es una entidad eminentemente técnica que impulsa la implantación de una visión estratégica del país en los campos social, económico y ambiental, a través del diseño, la orientación y evaluación de las políticas públicas colombianas, el manejo y asignación de la inversión pública y la concreción de estas en planes, programas y proyectos del Gobierno. (DPN, 2018)
Aprueba los lineamientos de Política para el desarrollo e impulso de la estrategia de Ciberseguridad y la Ciberdefensa, presentados en el CONPES 3701.
Comisión de Regulación de
Telecomunicaciones (CRC)
La Comisión de Regulación de Comunicaciones es el órgano encargado de promover la competencia, evitar el abuso de posición dominante y regular los mercados de las redes y los servicios de comunicaciones; con el fin que la prestación de los servicios sea económicamente eficiente, y refleje altos niveles de calidad. (CRC, Comisión de Regulación de Comunicaciones, 2018)
La Comisión de Regulación de Comunicaciones da al Gobierno Nacional recomendaciones para la creación de una Estrategia Nacional de Ciberseguridad y a su vez proporciona instrumentos idóneos para la colaboración y cooperación entre el gobierno y todos los niveles del sector privado. (CRC, 2015)
Grupo de Respuesta a Emergencias Cibernéticas de
Colombia (ColCERT)
El Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT, tiene como responsabilidad central la coordinación de la Ciberseguridad y Ciberdefensa Nacional, la cual estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del Ministerio de Defensa Nacional. Su propósito principal será la coordinación de las acciones necesarias para la protección de la infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten o comprometan la seguridad y defensa nacional. (colCERT, 2018)
Coordinar y asesorar a los CSIRT's (Computer Incident Response Team) y entidades tanto del nivel público, como privado y de la sociedad civil para responder ante incidentes informáticos. Apoya a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las comunicaciones. Desarrolla y promueve procedimientos, protocolos y guías de buenas prácticas y recomendaciones de Ciberdefensa y Ciberseguridad para las infraestructuras críticas de la Nación en conjunto con los agentes correspondientes y vela por su implementación y cumplimiento. (colCERT, 2018).
Fiscalía General de la Nación.
Corresponde a la Fiscalía General de la Nación, de oficio o mediante denuncia o querella, investigar los delitos y acusar a los presuntos
Diseña e implementa planes de capacitación sobre temas de investigación y judicialización de delitos informáticos, para policía
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 99
infractores ante los juzgados y tribunales competentes. Se exceptúan los delitos cometidos por miembros de la Fuerza Pública en servicio activo y en relación con el mismo servicio. (Fiscalia, 2018)
judicial, jueces y fiscales. (CRC, 2015)
Centro Cibernético Policial
Es una unidad de la Policía Nacional encargada de la atención en línea policial. (CCP, 2018)
Encargada del reporte de incidentes y delitos informáticos, además de asesorar a diferentes organismos en temas de Ciberseguridad y atender judicialmente los incidentes (CCP, 2018)
Comando Conjunto Cibernético
El Comando Conjunto Cibernético se desempeña como unidad élite en aspectos relacionados con la Ciberseguridad y Ciberdefensa, incluida la protección de las Infraestructuras Críticas Cibernéticas Nacionales, desarrollando operaciones militares en el ciberespacio para defender la soberanía, la independencia, la integridad territorial y el orden constitucional, contribuyendo a generar un ambiente de paz, seguridad y defensa nacional. (CCOC, 2018)
Fortalece las capacidades técnicas y operativas del país que permiten afrontar las amenazas informáticas y los ataques cibernéticos, a través de la ejecución de medidas de defensa a nivel de hardware y/o software y la implementación de protocolos de Ciberdefensa. Defiende la infraestructura crítica y minimiza los riesgos informáticos asociados con la información estratégica del país, así como reforzar la protección de los sistemas informáticos de la Fuerza Pública de Colombia. (CCOC, 2018)
Dirección Nacional de Inteligencia
La Dirección Nacional de Inteligencia tiene como objeto desarrollar actividades de inteligencia estratégica y contrainteligencia para proteger los derechos y libertades de los ciudadanos y de las personas residentes en Colombia, prevenir y contrarrestar amenazas internas o externas contra la vigencia del régimen democrático, el orden constitucional y legal, la seguridad y la defensa nacional. (DNI, 2018)
Contrarrestar en el ámbito nacional o internacional las capacidades y actividades de personas, organizaciones o gobiernos extranjeros que puedan representar un riesgo o una amenaza para la seguridad nacional. (DNI, 2018)
En la Figura 15 se presenta la interacción intersectorial que actualmente se esta dando
entre las entidades con respecto al tema de Ciberseguridad y Ciberdefensa en Colombia
particularmente en la infraestructura crítica de energía eléctrica, donde se observa la
importancia en este aspecto a nivel de estado y el interés por generar una estrategia al
cierre de brechas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 100
Figura 15. Diagrama institucional y su interacción en el ámbito de Ciberseguridad. Fuente: Elaboración propia.
A pesar de todo el esfuerzo de las entidades gubernamentales en adelantar este tipo de
procesos, es necesario tener en cuenta el siguiente apartado mencionado en (Asensio,
García, Valiente, & Zuluaga, 2018) "Es importante advertir que limitarse a mantener el grado
de inversión en ciberseguridad en el mínimo que permite el cumplimiento legislativo implica
que nuestros niveles de protección estarán muy por debajo del estándar necesario para
hacer frente a los peligros actuales. Las leyes y normativas de los Estados son siempre
lentas- lo cual es especialmente visible en temas técnicos complejos y alejados de los
legisladores como la Ciberseguridad Industrial- y la evolución tecnológica y la de los
ciberdelincentes muy rápida y con alta dedicación”.
Un estudio importante que sirvio de guía para identificar factores técnicos claves que
actualmente influyen en el ámbito de ciberseguridad, es el realizado por el centro de
ciberseguridad industrial (CCI), en el que se encuestaron 35 empresas industriales. Entre
ellas se encuentran las empresas que tienen mayor impacto en la economía colombiana y
que incluyen al sector eléctrico, tecnologías de la información, organizaciones del sistema
financiero y al sector minero.
Co
mu
nic
ació
n T
ran
sve
rsal
Co
mu
nic
ació
n T
ran
sver
sal
ColaboraciónActiva
ColaboraciónActiva
Colaboración ActivaInfraestructura Crítica
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 101
Dentro de los resultados arrojados en el estudio presentado en (Asensio, García, Valiente,
& Zuluaga, 2018), se encuentra que ninguna de las entidades encuestadas concentra la
responsabilidad de ciberseguridad en un único departamento. Aunque el dato más
relevante que arroja el estudio es el alto número de organizaciones que aún no se han
enfrentado a la realidad actual, y no han definido esta responsabilidad como se presenta
en la Figura 16. Lo que supone que no se la está dotando del compromiso, presupuesto y
mecanismos precisos para asegurar que se llevan a cabo las medidas necesarias. Sin
embargo, a pesar de no ser una unidad organizativa como tal dentro de las estructuras de
las empresas, un gran número de encuestados ha marcado entre sus respuestas, la
aplicación directa de esta responsabilidad sobre el CISO (Chief Information Security
Officer).
Figura 16. Responsables de Ciberseguridad. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
Otro de los datos importantes arrojados por (Asensio, García, Valiente, & Zuluaga, 2018),
es el grado de sensibilización con las normas y riesgos de la seguridad de las redes
industriales como se presenta en la Figura 17, en donde el 33% de ellas afirman estar muy
poco sensibilizados frente a estos riegos, lo que se convierte directamente en una
vulnerabilidad a nivel organizacional.
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
Departamento TI Departamento TO Oficial de SeguridadInformática
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 102
Figura 17. Sensibilización de responsables del negocio. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
En cuanto a la pregunta realizada en (Asensio, García, Valiente, & Zuluaga, 2018) acerca
de si, ¿Su empresa ha realizado evaluaciones del nivel de riesgo de los sistemas de
automatización y control?, se arrojaron los resultados mostrados en la Figura 18,
destacándose que cerca de un 45% de los encuestados declara haber llevado a cabo algún
tipo de evaluaciones como: técnicas sobre las redes, análisis de vulnerabilidad, de
segmentación, test de intrusión y normativas, al amparo de distintas normas y estándares
como NERC-CIP, IEC 62443, entre otras. Un 13,79% no han realizado ningun tipo de
evaluación de riesgos y por lo tanto no saben a las consecuencias que se enfrentan.
Figura 18. Análisis de riesgos en sistemas de control y automatización industriales. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
17%
46%
33%
4%
Bastante
Normal
Muy Poco
No se
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
Se h
a re
aliz
ado
eva
luac
ión
org
aniz
ativ
a(p
olít
icas
, pro
ced
imie
nto
s)
Se h
a re
aliz
ado
eva
luac
ión
téc
nic
a(s
egm
enta
ció
n, t
est
de
intr
usi
ón
)
Se h
a re
aliz
ado
eva
luac
ión
no
rmat
iva
(NER
C-C
IP, I
EC 6
24
43
,GC
I, IS
O..
.)
No
he
mo
s h
ech
o n
ingu
na
eval
uac
ión
del
rie
sgo
No
sé
ISO
27
00
5
Otr
o
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 103
Del análisis realizado en (Asensio, García, Valiente, & Zuluaga, 2018), dentro los aspectos
técnicos identificados por los autores se encuentran las conexiones de redes, accesos
remotos, uso de normas y medidas de ciberseguridad industrial. Para entender y justificar
los puntos que finalmente se utilizaron como base para la identificación final de los aspectos
técnicos que influyen en el ámbito de Ciberseguridad y que se definieron en el presente
trabajo de grado, se extraen los siguientes puntos relevantes de la encuesta realizada:
¿Las redes de automatización de su empresa están segmentadas y protegidas?
Figura 19. Segmentación y protección de redes de automatización. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
En la Figura 19 se observa que el 10% de las empresas encuestadas mantiene sus redes
industriales y corporativas directamente conectadas, lo que representa un enorme riesgo
de incidencias de seguridad.
¿Su red industrial posee dispositivos conectados a Internet, independientemente de los
mecanismos de protección aplicados?
35%
20%
31%
10%4%
La red corporativa e industrial estánsegmentadas por un dispositivo de filtrado (Ej:firewall)La red industrial está total y físicamente aisladade la red corporativa /ofimática
La red industrial tiene distintos niveles desegmentación con dispositivos de filtrado (Ej:firewall)La red corporativa e industrial estánconectadas directamente mediante switch owifiNo sé
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 104
Figura 20. Dispositivos de redes de automatización conectados a Internet. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
De la Figura 20 se concluye que un alto porcentaje de compañias cerca del 15%,
manifiestan desconocer si disponen de dispositivos conectados a internet, eso evidencia
que no se conocen el 100% de su infraestructura.
¿Su red industrial posee accesos remotos?
Figura 21. Acceso remoto. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
Como se presenta en la Figura 21 se observa que cerca del 76% utiliza el acceso remoto
hacia los dispositivos de automatización y control industrial, ya sea para gestión remota o
como soporte y mantenimiento por parte de los proveedores de IT y OT.
¿Qué normas se utilizan en el ámbito de la Ciberseguridad Industrial de su empresa?
35%
25%
25%
15%
Sí, permanentemente conectado a internet
Sí, solo conexión temporal por petición
No
No sé
24%
52%
10%
14%
Sí, permanentemente
Sí, solo conexión temporal por petición
No
No sé
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 105
Figura 22. Normas utilizadas en la Seguridad Cibernética Industrial. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
La mayor parte de las empresas encuestadas utilizan normas para el establecimiento de la
Ciberseguridad Industrial, en la Figura 22 se muestran las normas utilizadas como guías.
¿Qué medidas de Seguridad industrial ya ha implantado su empresa?
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
ISO
27
001
Leye
s d
e p
rote
cció
n d
e d
ato
sp
erso
nal
es
Ley
de
pro
tecc
ión
de
infr
aest
ruct
ura
s cr
ític
as
NER
C C
IP
Fam
ilia
IEC
624
43
(An
tigu
aIS
A9
9)
ISO
22
301
/ B
S 2
5999
SGC
I (Si
stem
a d
e ge
stió
n d
e la
cib
erse
guri
dad
ind
ust
rial
de
CC
I)
ISO
27
019
a n
ivel
de
cib
erse
guri
dad
NIS
T 8
00-8
2
Otr
o
NIS
T 8
00-5
3
Nin
gun
a
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 106
Figura 23. Medidas de Seguridad Cibernética Industrial utilizadas. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).
Como se observa en la Figura 23 la mayoría de las compañias encuestadas afirman tener
implementado algún tipo de medida de Ciberseguridad Industrial. Dentro de las más
comunes se encuentran las copias de seguridad, antivirus, IDS (Intrusión Detection
Systems) / IPS (Intrusion Prevention Systems), Firewalls, politicas y procedimientos.
Por otro lado, las vulnerabilidades en hardware y software pueden explotarse para producir
cambios no planificados en los servicios ofrecidos y desviaciones del comportamiento
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Backup/Copias de seguridad
Antivirus
IDS/IPS
Firewalls convencionales
Políticas y Procedimientos Documentados
Gestión de Respuesta a Incidentes
Auditorías de seguridad internas
Comunicaciones cifradas
Gestión de Continuidad de negocio
Gestión de Recuperación ante desastres
Auditorías de seguridad externas
Arquitectura de Red documentada
SIEM (Gestión de eventos e información de sistemas)
Firewalls industriales
Correlación de eventos
Whitelisting
Gestión de identidades
Acuerdos de nivel de servicio en Ciberseguridad
Gestión de seguridad en la cadena de suministro
Gateways unidireccionales
Control de aplicaciones industriales
Ciberseguridad Gestionada
Ninguna de las anteriores
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 107
normal. Las fallas resultantes se pueden clasificar como fallas internas y fallas externas.
Una falla interna corresponde a cambios anómalos dentro de un sistema y una falla externa
se debe a interacciones que se originan fuera de un sistema como fenómenos naturales,
acciones maliciosas y accidentes (Alcaraz & Zeadally, 2015).
Las Infraestructuras Críticas IC son expuestas a varios tipos de peligros, como riesgos
naturales, incremento de la demanda, cambio climático, ataques intencionales,
envejecimiento de componentes y fallas (Zio, 2016). Por esta razón, su protección es de
gran importancia para las naciones, requiriendo modelamiento de sus componentes bajo
diferentes amenazas y analizando sus riesgos y vulnerabilidades a nivel de sistema.
En los ultimos años, los esfuerzos se han centrado en la habilidad de las IC en adaptarse y
recuperarse rápidamente desde los efectos de un evento disruptivo, generando una nueva
cultura de respuesta ante fallas (Zio, 2016). Como consecuencia, los sistemas no sólo
deben ser confiables sino además ser capaces de recuperarse desde eventos de falla a
nivel del sistema, es decir retornar rápidamente a la operación normal después de ocurrido
un evento disruptivo sobre el sistema. Con base en lo expuesto anteriormente, se genera
el concepto de resilencia el cual hoy en día es considerado un atributo fundamental para
las IC que se debe garantizar por diseño, operación y mantenimiento.
Para tener un nivel adecuado de servicio, se debe garantizar una vulnerabilidad aceptable
dentro del sistema eléctrico. Como se presenta en (Akdeniz & Bağrıyanık, 2015), resulta
que el análisis de vulnerabilidad del sistema de energía no es sólo un análisis técnico en
términos de contingencia y estabilidad, sino que también tiene algunas características
ambientales y sociológicas adicionales que deben incluirse en la solución óptima ante un
evento en el sistema.
Existe una gran diferencia en las características de los sistemas IT que conocemos, con
respecto a los sistemas de control industrial ICS, entre los cuales se resaltan los riesgos
como sus prioridades. Algunos de estos son, los riesgos significativos en la salud y
seguridad de las vidas humanas, daños ambientales y efectos financieros, pérdidas de
producción e impactos negativos en la economía de la nación (NIST, 2015).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 108
Los ICS tiene diferentes requerimientos de rendimiento y confiabilidad, adicionalmente
utiliza sistemas operativos y aplicaciones que pueden ser considerados no convencionales
para las áreas típicas en entornos de red de IT. Inicialmente, las ICS tenían poca semejanza
con los sistemas de TI, ya que eran sistemas aislados que ejecutaban protocolos de control
propietarios que utilizaban hardware y software especializados. Sin embargo, los
dispositivos Ethernet y de Protocolo de Internet (IP), ampliamente disponibles y de bajo
costo, ahora están reemplazando a las tecnologías patentadas más antiguas, lo que
aumenta la posibilidad de vulnerabilidades e incidentes de ciberseguridad en los ambientes
industriales y en el caso particular en los sitemas de energía eléctrica.
Debido a que las ICS está adoptando soluciones de TI para promover la conectividad
corporativa y las capacidades de acceso remoto, están siendo diseñadas e implementadas
usando computadoras estándar de la industria, sistemas operativos (OS) y protocolos de
red, empezando a parecerse cada día más a los sistemas de TI (NIST, 2015). Ahora, si bien
las soluciones de seguridad se han diseñado para hacer frente a problemas de seguridad
en los sistemas de TI típicos, se deben tomar precauciones especiales al introducir estas
mismas soluciones en los entornos de ICS. En algunos casos, se necesitan nuevas
soluciones de seguridad que se adapten al entorno industrial.
Algunos sistemas requieren respuestas fiables y deterministas, para la mayoría de las ICS
el tiempo de respuesta automatizado o la respuesta del sistema con la interacción humana
es muy crítico. Este tipo de infraestructuras se basan en sistemas operativos en tiempo real,
donde el tiempo real se refiere a los requisitos de puntualidad y rendimiento. Las
interrupciones inesperadas de los sistemas que controlan los procesos industriales no son
aceptables, generalmente las interrupciones deben ser planificadas y programadas con
semanas de anticipación (NIST, 2015).
La operación y cada acción de los sistemas SCADA y en general todo el conjunto que
compone la supervisión y control de los sistemas de transmisión de energía eléctrica son
manejados en tiempos críticos y considerados como infraestructuras críticas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 109
Ahora, los sistemas SCADA modernos son altamente sofisticado, complejos y basado en
sistemas de tecnologías avanzadas (Cherdantseva, y otros, 2016). Esta creciente
sofisticación y modernización, así como su funcionamiento continuo, en tiempo real
distribuido , con arquitecturas multi-componente, hace que esta evolución permita tambien
el crecimiento de las amenazas informáticas a los sistemas SCADA .
El daño de los datos de aplicación en el sistema SCADA puede introducir riesgos
inesperados a la operación y control del sistema de potencia (X. Liu and M. Shahidehpour
and Z. Li and X. Liu and Y. Cao and Z. Li, 2017). Ciber atacantes, que estan familiarizados
con la sintaxis y semánticas de los sistemas de computación, pueden encontrar
vulnerabilidades en los sistemas de comunicaciones del sistema de potencia e infectar con
código mailicioso los controladores y relés de protección, logrando por ejemplo remover el
control del sistema de potencia y enviar comandos indeseados produciendo fallas en
cascada, demanda no atendida, blackout, entre otras consecuencias.
Los ciber ataques toma ventaja de las vulnerabilidades del sistema de potencia, para
controlar maliciosamente de manera local o remota el sistema a través de métodos no
convencionales.
En este escenario en el que contemplamos al sector energético como infraestructura crítica,
el cual a su vez es tecnológicamente y estructuralmente evolutiva (y cada vez más
interdependiente), surgen preocupaciones comprensibles por su vulnerabilidad y riesgo, es
decir, por el peligro de que: (1) las capacidades del sistema asignadas y actuales no pueden
ser adecuadas para soportar las crecientes demandas en escenarios de mayor integración
y desregulación del mercado, y que (2) los márgenes de seguridad diseñados
preventivamente pueden no ser suficientes para hacer frente a las tensiones esperadas y
sobre todo, inesperadas que llegan a los sistemas (Zio, 2016).
Otro factor identificado dentro de la revisión técnica es el humano, el cual juega un papel
trascendental en la seguridad cibernética de los sistemas SCADA e ICS. La supervisión
humana, la complicada arquitectura del software y el proceso de desarrollo son las
características de los sistemas SCADA que exacerban el papel del factor humano. Un
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 110
seguimiento y vigilancia continua de este aspecto, ayuda con la prevención de errores
humanos que pueden dar como resultado ataques no intencionales y prevención de
posibles ataques de ingeniería social internos y externos (Cherdantseva, y otros, 2016).
Un tema adicional dentro de la identificación de los aspectos técnicos, es remitirnos a una
de las conclusiones realizadas en (Asensio, García, Valiente, & Zuluaga, 2018), en donde
resaltan que una de las razones principales para incorporar la ciberseguridad dentro de las
compañias encuestadas fue la respuesta a incidentes. Esto indica que se han producido en
los últimos años incidentes de impacto considerable que están obligando a las empresas y
a las entidades gubernamentales a adoptar medidas para mitigar los efectos que puedan
ocasionar un ataque cibernético.
Con base en lo expuesto en el presente acápite, en la Figura 24 se muestran los nueve
factores técnicos identificados que inciden en el ámbito de ciberseguridad de la
infraestructura de transmisión eléctrica y que en el contexto de Colombia aplican e
intervienen de una manera significativa. Los aspectos técnicos expuestos sirvieron como
conceptos fundamentales para el desarrollo y la propuesta metodológica realizada en el
presente trabajo y que se presenta en detalle en los siguientes capítulos.
Figura 24. Factores técnicos que inciden en el ámbito de ciberseguridad. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 111
Figura 25. Factor técnico interacción humana. Fuente: Elaboración propia.
Figura 26. Factor técnico nivel adecuado de servicio. Fuente: Elaboración propia.
Figura 27. Factor técnico nivel adecuado de servicio. Fuente: Elaboración propia.
Figura 28. Factor técnico soluciones de TI en la industria. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 112
Figura 29. Factor técnico hardware y software. Fuente: Elaboración propia.
Figura 30. Factor técnico importancia de datos de aplicación. Fuente: Elaboración propia.
Figura 31. Factor técnico normas y medidas de seguridad. Fuente: Elaboración propia.
Figura 32. Factor técnico sistemas de tecnologías avanzadas. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 113
Figura 33. Factor técnico responsabilidad de ciberseguridad corporativa. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 114
5. Diseño y Construcción de la Metodología Propuesta para la
Evaluación de Ciber Vulnerabilidad en Sistemas de
Transmisión de Energía Eléctrica EVULCIB
A partir de la información recopilada y analizada en los anteriores acápites, se continúo con
la fase de construcción de la metodología de evaluación de ciber vulnerabilidad, para la
cual se siguió el método presentado en la Figura 34.
Figura 34. Etapa de diseño de metodología de evaluación. Fuente: Elaboración propia.
La metodología es llamada EVULCIB que significa evaluación de vulnerabilidad cibernética,
la cual esta orienatada a presentar un diagnóstico del sistema eléctrico evaluado por medio
de dos indicadopres definidos en este acápite y que permite realizar el seguimiento al cierre
de brechas y oportunidades de mejoras enfocadas al área de ciberseguridad.
Identificación de activos
• En este subprocesos se definen todos loscomponentes que se involucra a nivel deinfraestructura, operación y mantenimiento delsistema de transmisión de energía.
Definición de requerimientos
funcionales y no funcionales
• Se analizan, se estudian y se definen losmecanismos para la evaluación de software,redes de comunicación, administración deusuarios y cuentas, monitoreo, equiposeléctricos y los componentes que seidentifiquen, en el que su falla representeperdida del suministro de energía.
Propuesta metodología de
evaluación
• Desarrollo de unametodología deevaluación de cibervulnerabilidad parainfraestructura eléctricadel STN.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 115
5.1 Identificación de activos
De acuerdo a lo propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017), como primer
paso, las empresas deben comprender cómo sus sistemas podrían verse comprometidos
por ataques ciberfísicos. Sin embargo, antes de esto se debe tener claridad de la manera
en que funciona el sistema para determinar todos los posibles vectores de ataque, al que
nuestro sistema se puede ver expuesto.
Con el proposito de entender el funcionamiento del sistema de transmisión de energía
eléctrica, en términos generales una subestación cuenta con cuatro niveles jerárquicos de
operación.
✓ Nivel 0: Patio en el caso de subestaciones aisladas en aire y GIS en el caso de
subestaciones encapsuladas aisladas en SF6.
✓ Nivel 1: Controlador de Bahía / Selectores de respaldo (mímicos de operación de
emergencia para control de equipos de patio).
✓ Nivel 2: Estación de Operación y Gateway o Controladores de subestación.
✓ Nivel 3: Centros de Control.
La filosofía de operación establece que si un nivel jerárquico está habilitado para operación,
los niveles superiores a éste se encontrarán bloqueados. De esta forma, si el nivel 0 se
encuentra habilitado, no se podrá operar desde los niveles 1, 2 y 3. De igual manera para
los niveles superiores.
Los sistemas de automatización y protección de las subestaciones eléctricas del STN
colombiano, están basados en su mayoría por un equipo de control de subestación de Nivel
2, por su parte, los sistemas de control y protección de bahías de Nivel 1, son realizadas
por sistemas numéricos programables e integradas en el mundo de la tecnología de las
comunicaciones.
El sistema de automatización y protección de las subestaciones de transmisión de energía
cumple de manera integral con las siguientes tareas:
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 116
✓ Adquisición y distribución de la información en tiempo real.
✓ Señalización local (Nivel 1 y Nivel 2).
✓ Señalización remota (Nivel 3).
✓ Supervisión.
✓ Control local y remoto.
✓ Control con enclavamientos.
✓ Control bajo secuencias de mando.
✓ Protección eléctrica de la bahía.
✓ Selectividad de la operación de protecciones eléctricas de la subestación.
✓ Conexión decentralizada ó centralizada mediante protocolos de comunicación con
dispositivos de protección eléctrica, controladores de bahía y estaciones esclavas.
✓ Registro y archivo de la información del proceso.
Por la manera modular en que en la actualidad se diseñan las subestaciones eléctricas de
transmisión, el sistema de automatización y protección es escalable y expandible en la
medida que se puede implementar en un rango amplio de tipos, tamaños, con diferentes
aplicaciones y requerimientos, permitiendo adaptarce a la medida de las necesidades que
el sistema de transmisión lo vaya necesitando.
Por su parte, estos sistemas digitales se integra a la tecnología de las comunicaciones IT
aprovechando las ventajas actuales, sus desarrollos y todas sus posibilidades futuras.
Mediante las posibilidades de comunicación del sistema de automatización y protección es
posible crear los enlaces necesarios para el intercambio de información dentro del sistema
y con los centros de control de nivel superior, IED (Intelligent Electronic Device),
controladores de bahía y otros dispositivos o sistemas.
Con la intención de representar el funcionamiento y los elementos principales que
componenen el sistema de transmisión de energía eléctrica desde la perspectiva de
ciberseguridad, en la Figura 35. se muestra un modelo de funcionamiento en donde se
proporciona la estructura del sistema utlizada en la metodología propuesta en este trabajo.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 117
Figura 35. Modelo del funcionamiento desde la perspectiva de ciberseguridad. Fuente: Elaboración propia.
Dado el desarrollo de las tecnologias utilizadas en la industria y en las cuales se adoptaron
los desarrollos alcanzados por decadas en las redes de comunicaciones, las empresas han
visto la evolución de las arquitecturas de sus redes que a su vez producen modificaciones
en la estructura para adoptar medidas oportunas con la finalidad de garantizar seguridad y
continuidad del negocio (Asensio, García, Valiente, & Zuluaga, 2018).
Con la intención de dar una descripción de los diferentes componentes que intervienen en
el sistema de control, protección y medida en la transmisión de energía eléctrica, la
arquitectura de comunicaciones de este tipo de sistemas esta formada por uno o más
centros de control y un número de dispositivos de campo como RTU (Remote Terminal
Unit), IED (Intelligent Electronic Device), PLC (Programmable Logic Controller), Gateway
(Controladores basados en sotfware y sistemas operativos), conectados por una
• Analítica, Inteligencia Artificial, Algoritmos,Predicción, Estabilidad del Sistema, Proyección deDemanda, despacho de Generación.
Inteligencia Operacional
• Scada, ERP , MRP, Software de Gestión, Monitoreo,Sincrofasores, Ondas Viajeras, Estimación deestados, Simuladores eléctricos.
Sistemas
•Protocolos de comunicación, Medios Físicos (FO, OndaPortadora, Radio, Microondas, Satélite, GPRS), EquiposFísicos (SDH, PDH, Routers, MPLS, DWDM, GPON).
Comunicaciones
• Lógicas de Automatismos, Algoritmos de ProtecciónEléctrica, Supervisión, Control, Registro de Eventos,Almacenamiento de Comtrade, Auto diagnósticos.
Procesamiento
• Protocolos de Comunicación, Medios Físicos (FibraÓptica, SFTP, Seriales RS232-RS485)
Transporte de Información
•Gateway, RTU (Remote Terminal Unit), IED,Controladores, Protecciones, Teleprotecciones,Registradores de Fallas, PMU, Routers, Switches, RedBox.
Dispositivos y Componentes Inteligentes
• Sensores, BI/BO/AI Controladores, BI/BO/AIProtecciones, BI/BO/AI RTU, Transductores, Maletasde Pruebas, Mediciones Indirectas.
Enlace de Datos Físicos
• Equipos de Potencia (Interruptores, Seccionadores,Transformadores, CT’s, PT’s, Descargadores etc.),Líneas de Transmisión, Torres, Merging Unit.
Elementos Físicos
MODELO DE FUNCIONAMIENTO
SER
VIC
IOS
REM
OTO
S SE
RV
ICIO
S LO
CA
LES
2
1
3
4
5
6
7
8
NIVEL 0
NIVEL 1
NIVEL 2
NIVEL 3
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 118
infraestructura de comunicaciones. Estos dispositivos reciben información desde los
componentes de campo y convierten esta información en datos digitales, los cuales a su
vez son enviados a los centros de control, tambien son capaces de recibir comandos
digitales desde los centros de control y manejar grupos de alarmas y ajustes de variables
de campo (Cherdantseva, y otros, 2016).
Las RTU, PLC y Gateway son dispositivos digitales que monitorean sensores y variables
de campo, con las cuales toman decisiones basadas en programas de control realizadas
por el usuario con lo que dependiendo de estas controlan valvulas, interruptores, tiristores,
IGBTs entre otros. Dentro de la arquitectura de control la mayoría de instalaciones cuenta
con una Interface Hombre Maquina IHM, que permite almacenar, controlar y operar de
manera local el sistema a partir de una interface grafica y despliegues de operación.
Por otra parte, las IHM proporcionan un sistema de supervisión y control centralizado para
numerosas entradas y salidas de proceso. Estan diseñadas para recopilar información de
campo, transferirla a un centro informático central y mostrar la información al operador
gráfica o textualmente (Santander, 2017).
La comunicación se basa en el intercambio de mensajes entre los dispositivos maestros o
clientes, con los dispositivos de control esclavos o servidores los cuales envían información
y aceptan intrucciones de operación que transmiten hacia los elementos de campo
(Cherdantseva, y otros, 2016).
Dentro de este marco y tomando las funcionalidades definidas anteriormente, las mismas
están fisicamente soportadas en arquitecturas de comunicaciones que se resumen en el
esquema presentado en la Figura 36, este diagrama se desarrollo con el objeto de
representar las comunicaciones y enlaces de los casos más comunes que podemos
encontrar en un sistema de transmisión de energía eléctrica.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 119
Figura 36. Esquema de arquitectura de comunicaciones en sistemas de transmisión. Fuente: Elaboración propia.
Uno de los tipos más importantes de infraestructura de información crítica son los sistemas
de control industrial (ICS) que supervisan y controlan procesos en infraestructuras
industriales tales como sistemas de generación de energía, sistemas de distribución y
transmisión eléctrica, sistemas de tratamiento de agua, oleoductos y gasoductos, plantas
químicas y refinerías (Alcaraz & Zeadally, 2015). Estos sistemas incorporan arquitecturas
de comunicaciones como la presentada en la Figura 36, para conectar centros de control a
subestaciones remotas ubicadas en las infraestructuras que se controlan. Las
CENTRO NACIONAL DE DESPACHOServidores y Bases de Datos
Servidores y Bases de Datos
Sistemas de MonitoreoSCADA
Sistemas de Gestión
Sistemas de Adquisición
RED WAN
SDH MPLS / ETH GPRS
RED WAN
PLP OP
MÚLTIPLES REDES
SATELITAL
Diferenciales de Línea y Tele protecciones
Router/Firewall
MÚLTIPLES REDES
SW VideoSW CorporativaSW Voz IPSW GestiónSW Control & Protección
REDES CONTROL, PROTECCIÓN, GESTIÓN
RED GESTIÓN
RED BUS DE PROCESO
MÚLTIPLES REDES
Sistemas de Control, Gateway, RTU, PLC. IHM, PC Gestión,Servidores
Registradores,PMU
Relés de Protección Maletas de Prueba
Merging Unit, CT Ópticos Maletas de Prueba
SER
VIC
IOS
LOC
ALE
SSE
RV
ICIO
S R
EMO
TOS
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 120
subestaciones incorporan sistemas automatizados llamados unidades terminales remotas
(RTU), Gateway o controladores de subestación, que alojan sensores para recopilar y
enviar datos de estado al centro de control y actuadores para realizar acciones de control
(Alcaraz & Zeadally, 2015).
Teniendo en cuenta la importancia del sector energético, se necesita una tecnología
principal para asegurar la coordinación de todos los componentes de la tecnología de
operación (OT) desde un único centro, la cual se denomina sistemas de supervisión y
adquisición de datos (SCADA). Los sistemas SCADA deben brindar alta disponibilidad y
integridad de la información. En el caso particular del sector de energía su importancia esta
dada en el garantizar el suministro de energía eléctrica a toda la población y a diferentes
industrias (Santander, 2017).
Las tecnologías de la información y las comunicaciones desempeñan un papel crucial en la
conectividad y el control de los sistemas críticos. La interconexión de redes ofrece
importantes beneficios operacionales con respecto al control de supervisión y la adquisición
de datos. Los beneficios incluyen conectividad global, flexibilidad y difusión de datos desde
cualquier lugar y en cualquier momento a través de protocolos de comunicaciones basados
en IP e interfaces web (Alcaraz & Zeadally, 2015).
Las protocolos que se manejan en la infraestructura de red sobre los sistemas de
transmisión energía eléctrica generalmente son basados en TCP/IP, DeviceNet, ControlNet,
PROFIBUS, MODBUS, DNP3, IEC61850, IEC61870-5-104, IEC61870-5-101 Serial,
IEC61870-5-103 Serial (Cherdantseva, y otros, 2016).
Dentro de las comunicaciones más comunes que encontramos en subestaciones eléctricas
de transmisión con centros de control de nivel superior se tienen los siguientes protocolos:
IEC 60870-5-101 Serial, IEC 60870-5-104, DNP V3.00, OPC Server, IEC61850 Server,
ICCP.
Para las comunicaciones internas de la subestación con IED, RTU, PLC, relés de protección
y controladores de Bahía usualmente se usan los siguientes protocolos: IEC 61850,
Profibus, IEC 60870-5-101 Serial, IEC 60870-5-103 Serial, IEC 60870-5-104, DNP V3.00,
Modbus, OPC Client y algunos otros proptocolos propietarios.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 121
Adicionalmente, el uso extensivo del protocolo TCP/IP permite la integración de los
protocolos de comunicación que se usan con las tecnologías IT, como por ejemplo la
utilización de los protocolos SNTP, ICMP, SNMP, RSTP entre otros.
Con respecto a los requerimientos del sistema, para las conexiones físicas en la
infraestructura de comunicaciones se implementan interfaces en RS232, RS485, E1,
Ethernet en 10/100Mbps e incluso ya se tienen soluciones en Gbps, donde en los diferentes
caso se utilizan por lo general cables tipo Coaxial, SFTP o Fibra Óptica.
De acuerdo a lo expuesto hasta el momento y teniendo en cuenta un factor adicional a los
enunciados anteriormente, se tiene que generalmente existe una interacción entre sistemas
de control y protección con otras redes como la red corporativa (conectada a internet),
VozIP, Stream, sistemas de realidad aumentada y Video Vigilancia.
En el momento de explicar la metodología utilizada en este trabajo, se hace necesario
mencionar que las actuales implementaciones a nivel mundial en cuanto a los sistemas de
control y protección se realizan con el estándar IEC 61850. Este protocolo fue desarrollado
por el IEC TC 57 (Power Systems Management and Associated Information Exchange) el
cual publicó la norma IEC 61850 Edition 1 en 2005, la cual fue aceptada por las compañías
eléctricas de todo el mundo a un ritmo notablemente rápido. Este estándar fue desarrollado
originalmente para comunicaciones en sistemas de automatización de subestaciones y
dada su evolución, sus áreas de aplicación se extendieron a sistemas de energía
hidroeléctrica, sistemas de energía eólica y sistemas de energía distribuida (Hyunguk &
Taeshik, 2015).
El IEC 61850 está diseñado para soportar el modelado de información orientada a objetos
y la autodescripción. Estas diferencias fundamentales entre IEC 61850 y otros protocolos
resultan en algunos problemas para armonizar la interoperabilidad con estos mismos, lo
que finalmente pueden causar en algunos casos vulnerabilidades de seguridad (Hyunguk
& Taeshik, 2015).
En efecto, el protocolo IEC 61850 debe trabajar en armonía con otros estándares de
comunicación utilizados en arquitecturas típicas de subestaciones y centros de control. Sin
embargo, no se han realizado estudios sobre los tipos de nuevas vulnerabilidades de
seguridad y las exigencias de seguridad requeridas en un entorno en el que IEC 61850 y
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 122
protocolos heterogéneos están vinculados (Hyunguk & Taeshik, 2015). Solamente se tienen
algunos aspectos de seguridad de IEC 61850 especificados en el estándar IEC 62351 parte
3.
Al establecer la norma IEC 61850 la posibilidad de realizar una comunicación a nivel de
proceso y campo (comunicación entre el nivel 0 y nivel 1), permite un mayor control del
sistema y una disminución considerable en el cableado eléctrico, enviando toda la
información requerida en los IEDs por comunicaciones. Su implementación es cuidadosa,
debido a que se tienen que seguir conservando las prestaciones operativas convencionales
de los sistemas eléctricos clásicos como lo es tiempos de operación, seguridad,
redundancia y confiabilidad (J, D, & O, 2012).
Existen tres protocolos de comunicación para transmitir el modelo de información IEC
61850: MMS (Manufacturing Message Specification), GOOSE (Generic Object Oriented
Substation Event) y SMV (Sampled Measured Values). MMS se usa para la mayoría de la
información operativa que no es de tiempo crítico. GOOSE se utiliza para información de
tiempo crítico como disparos, enclavamientos y bloqueos. SV se utiliza para la información
de voltaje y muestra de corriente (Hyunguk & Taeshik, 2015). El protocolo MMS se aplica
en el nivel de la estación según el modelo cliente / servidor, que se ejecuta en redes TCP /
IP. Los protocolos GOOSE y SMV se basan en el mecanismo de publicación / suscripción
en la red de área local (LAN) de la subestación mediante Ethernet conmutada de alta
velocidad (Yang, y otros, 2017).
En este trabajo se limita la aplicación de la metodología al sistema de transmisión, cuyo
objetivo es transportar energía eléctrica a través del sistema interconectado nacional (SIN)
entre los sitios de generación y las subestaciones de distribución, para lo cual se utilizan
subestaciones y líneas de transmisión. En Colombia el SIN tiene alrededor de 233
subestaciones de transmisión y con más de 24.000 kilómetros de líneas de transmisión
(Santander, 2017).
Los sistemas de potencia funcionan frecuentemente cerca de los limites operacionales
debido al incremento de la demanda de electricidad, donde pequeños disturbios en la red
pueden producir disparos y efectos de mayor escala como Blackouts. De manera general,
los Blackouts resultan de fallas en cascada en el sistema de transmisón de energía, los
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 123
disparos de fallas en cascada son multiples y principalmente incluyen casos aleatorios y
ataques maliciosos (Zhu, Yan, Tang, Sun, & He, 2015).
Un grupo terrorista es probable que destruya fisicamente un transformador y líneas de
transmisión para causar salidas de potencia en una red de eléctrica. En cambio un grupo
de hackers puede inyectar remotamente datos falsos para deshabilitar plantas de
generación y líneas de transmisión, las cuales pueden producir fallas en cascadas en la red
de transmisión (Zhu, Yan, Tang, Sun, & He, 2015).
En trabajos existentes, las investigaciones de ataques sobre redes eléctricas se aborda
principalmente desde tres puntos de análisis: desarrollo de modelos de fallas en cascada,
desarrollo de métricas, selección de nodos y enlaces objetivos. Por su parte, los modelos
de fallas en cascada incluye tres categorías, modelos topológicos, modelo de flujos de
potencia y modelos hibridos.
En el caso particular del sistema de transmisión de energía eléctrica los diseños se realizan
para que funcionen por largos periodos tiempo, alrededor de 25 a 30 años, esto a través de
rutinas de mantenimiento, reacondicionamientos y integración de nuevas tecnologías (Zio,
2016).
En este trabajo se considera como infraestructura crítica (IC) las redes de transmisión de
energía eléctrica. Estas redes a su vez se definen como sistemas complejos debido a la
multiples interacciones entre sus componentes, dadas por el diseño que esta orientado a
brindar un rendimiento óptimo, una operación confiable y una funcionalidad segura. El
problema radica en que los metodos clasicos de análisis de vulnerabilidad y evaluación del
riesgo,no puede abarcar la complejidad de la IC (estructura y dinamismo; topología y
funcionalidad, estatica y dinamica).
Esta complejidad dificulta el análisis de una falla o mal funcionamiento, comportamientos
emergentes pueden surgir a nivel de sistema por una respuesta colectiva de componentes
fundamentales, que se traduce en la incapacidad de predecir y administrar un evento en el
sistema. Como consecuencia existe una mayor incertidumbre en la caracterización de
escenarios de falla de la infraestructura crítica (Zio, 2016).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 124
La estructura compleja hace referencia a la heterogeniedad, la cual se refiere a las
diferencias en los elementos, sus interconexiones y roles dentro de la estructura del
sistema, frecuentemente con alta conectividad hacia los elementos del nucleo y baja
conectividad hacia los nodos perisfericos (Zio, 2016).
La complejidad dinámica se manifiesta mediante eventos inesperados en el
comportamiento del sistema, en respuesta a cambios locales en el entorno y a las
condiciones operacionales de sus componentes. El sistema eléctrico de potencia a
mostrado dentro sus antecedentes a nivel mundial comportamientos emergentes, en donde
fallas locales han producido efectos envolventes inesperados transformándose en fallas en
cascada sobre todo el sistema (Zio, 2016).
Para la identificación de activos críticos dentro del sistema, se utilizo el método de
identificarlos dando respuestas a las siguientes preguntas:
¿Cuales son sus componentes críticos que si fallan causarian grandes consecuencias?
¿Cuales son los mecanismos de propagación en toda la infraestructura crítica?
¿Cuales son los eventos iniciales locales que pueden evolucionar a fallas en cascada
globales?
Dentro de este orden de ideas, la definición de los componentes eléctricos del sistema de
transmisión de energía se define en dos grandes grupos, subestaciones eléctricas y las
líneas de transmisión que conectan las subestaciones a todo el resto de la cadena
energética.
En consecuencia, a nivel sistemico eléctrico los activos que se pueden ver afectados son
subestaciones y líneas de transmisión, por lo tanto la identificación de los activos que en
este trabajo se denomina activos primarios son, por un lado, la propia línea de transmisión
y por otro, los elementos que constituyen una unidad constructiva que abarca dentro de
esté un conjunto de elementos y equipos utilizados para dirigir el flujo de energía, lo que se
denomina como grupo subestación eléctrica.
La definición de estos activos primarios dependen de la configuración de la subestación,
esta hace referencia al arreglo de equipos electromecánicos consecutivos de un patio de
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 125
conexión, que se traducen en la manera en que permite su operación con diferentes grados
de confiabilidad, seguridad y flexibilidad.
Por consiguiente, los activos utilizados en el presente trabajo se definen en las Figuras 37,
38, 39 y 40, en donde se muestra la tipificación de los activos primarios para las
configuraciones de subestaciones existentes en Colombia, y que a su vez son identificados
como los elementos del sistema de transmisión que pueden versen afectados ante un
ataque de cualquier índole y origen.
Figura 37. Activos primarios subestación barra sencilla en sistemas de transmisión. Fuente: Elaboración propia.
Figura 38. Activos primarios subestación doble barra en sistemas de transmisión. Fuente: Elaboración propia.
BARRA 1(1)
(2)LÍNEA 3LÍNEA 2LÍNEA 1
LÍNEA 1 LÍNEA 2 LÍNEA 3
ACOPLADOR DE BARRAS
LÍNEA 4
LÍNEA 7 LÍNEA 9 LÍNEA 10 LÍNEA 11LÍNEA 8
LÍNEA 5
LÍNEA 6
BARRA 1
BARRA 2
(1)
(2)
(3)
(4)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 126
Figura 39. Activos primarios subestación doble barra + transferencia en sistemas de transmisión. Fuente: Elaboración propia.
Figura 40. Activos primarios subestación interruptor y medio en sistemas de transmisión. Fuente: Elaboración propia.
LÍNEA 1 LÍNEA 2 LÍNEA 3
ACOPLADOR DE BARRAS
LÍNEA 4
LÍNEA 7 LÍNEA 9 LÍNEA 10 LÍNEA 11LÍNEA 8
LÍNEA 5
LÍNEA 6
BARRA 1
BARRA 2
(1)
(2)
(3)
(4)
(6)(3)BARRA 2
(1)
LÍNEA 2
LÍNEA 1
CORTE A
CORTE B
CORTE C
BARRA 1
DIAMETRO 1
LÍNEA 2
LÍNEA 1
CORTE A
CORTE B
CORTE C
LÍNEA 2
LÍNEA 1
CORTE A
CORTE B
CORTE C
DIAMETRO 2 DIAMETRO 3
(2)
(4)
(5)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 127
Identificando estos activos primarios, se definen los activos secundarios que pueden afectar
el activo primario, entendiéndose afectar como no permitir el flujo de energía a través de él,
en condiciones del sistema en el que deberia admitirlo. Los activos secundarios, para cada
activo primario se presentan en la Figura 41, los cuales fueron definidos a partir del modelo
funcional y del esquema de arquitectura desarrollado al inicio de esta sección, y teniendo
en cuenta que por su funcionalidad afectan directamente el activo primario de nuestro
sistema de transmisión de energía.
Figura 41. Activos secundarios que pueden afectar los activos primarios del sistema de transmisión.
Fuente: Elaboración propia.
Estos activos secundarios al ser conectados directamente a redes de comunicaciones y
sistemas de información, que en conjunto permiten la toma de decisión ante eventos y
contingencias sobre el sistema de transmisión, pueden ser afectados por otros, a los que
en este documento denominamos activos terciarios dado que por medio de estos se pueden
alterar, manipular y eliminar información relevante, modificando los resultados que se
obtienen en lo que en el modelo de funcionamiento del sistema desarrollado se definió como
las capas de sistemas y inteligencia operacional. En la Figura 42 se presentan los activos
terciarios y la manera indirecta en la que puede afectar el funcionamiento de un activo
primario.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 128
Figura 42. Activos terciarios que pueden afectar los activos primarios del sistema de transmisión de manera indirecta.
Fuente: Elaboración propia.
5.2 Definición de Requerimientos Funcionales y No Funcionales
Las infraestructuras a gran escala, son sistemas que funcionan interdependientemente para
producir y distribuir servicios esenciales (como la energía, agua, datos, transporte, servicios
financieros y salud). Es denominada crítica si su incapacida o destruccíon tiene impacto
significativo sobre la salud, seguridad, economía y bienestar social. (Council Derecive
2008/114/EC).
Como un resultado, las redes de potencia eléctrica son consideradas entre las más
importantes en la infraestructura crítica, definida como tal en el European Programme for
Critical Infrastructure Protection.
En varios casos de fallas a nivel de sistema, se producen por pequeñas perturbaciones que
en cascada produce consecuencias a gran escala. Por lo que un análisis de vulnerabilidad
y una evaluación de sus propiedades resilentes son vitales para asegurar la protección de
un sistema en el ámbito de ciberseguridad (Zio, 2016).
En particular las redes eléctricas son fuertemente heterogenea debida a su arquitectura en
forma de jerarquia en rama, donde la producción de energía es conectada desde los
generadores a través de redes de transmisión de alto voltaje y subestaciones eléctricas
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 129
hasta las redes de distribución para uso de los consumidores finales. En este sentido, la
vulnerabilidad y el riesgo, con la fuerte hetereogeniedad de los elementos y el gran número
de conexiones de las redes eléctricas, se traduce en una alta sensibilidad para ataques
directos sobre el sistema (Zio, 2016). De ahí que se requiere un análisis de ciber
vulnerabilidad y la evaluación de sus propiedades elásticas, para asegurar su protección y
resiliencia.
Como parte fundamental para definir los mecanismos que se utilizarán para la valoración
de vulnerabilidades del sistema, se requiere identificar las conexiones y protocolos que se
utilizan para el flujo de información y que permite el funcionamiento normal del sistema de
transmisión de energía.
En el apartado 5.1 se mencionaron los principales protocolos, se definió el modelo de
funcionamiento y se identificaron los diferentes tipos de activos que podemos encontrar.
Sin embargo, todos estos componentes realizan una determinada comunicación con otros
componentes que permiten que el sistema opere de acuerdo a como fue diseñado y a la
función central que en el caso particular es transmitir energía eléctrica. En relación a lo
expuesto, en la Figura 43 se plasmo de manera esquemática las posibles comunicaciones,
protocolos y aplicaciones que se presentan en la operación normal del sistema de
transmisión.
En este sentido, uno de los puntos más relevantes de la evaluación hace referencia a que
el sistema valorado realice una gestión de red de comunicación segura, para lo cual será
necesario identificar y conocer como se gestionan todas aquellas conexiones abiertas y
directas desde una red externa (internet, red corporativa, voz IP, Video) hacia y desde la
red del sistema de control, protección y medida. Lo que permite tener perímetros de
seguridad y demarcando claramente las zonas de seguridad en cuanto a comunicaciones.
Por lo tanto, dentro de la configuración de los equipos es necesario tener presente los
puertos que estarán funcionando en el sistema, sus restricciones requeridas y los servicios
que se necesiten habilitar. En la Tabla 12 se presenta los puertos que se utilizan de acuerdo
a lo mostrado en la Figura 43.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 130
Figura 43. Esquema de comunicaciones, protocolos y aplicaciones en la operación del sistema de transmisión.
Fuente: Elaboración propia.
Con la implementación de la norma IEC 61850 y dado los requerimientos de disponibilidad
y tiempos de transmisión de información necesarios para el correcto funcionamiento del
sistema eléctrico, se tienen definidas algunas topologías de red particulares que no son las
que normalmente se utilizan en infraestructura TI y para las cuales se requiere entender
que el diseño de comunicaciones para las redes OT, utiliza algunos mecanismos para que
la red sea robusta a fallas y en lo posible sin tiempos de conmutación. Aunque la norma
IEC 61850 no descarta el uso de redes a través del protocolo STP (Spanning Tree Protocol)
y RSTP (Rapid Spanning Tree Protocol), ni enlaces duales radiales como lo propuso en su
primera edición, si fundamenta en su segunda edición, lograr mitigar tiempos de
conmutación y poder aumentar la probabilidad de determinismo en la red, para lo cual anexa
a estos métodos el uso de la norma IEC 62439-3 Clausulas 4 y 5 que hacen énfasis en los
protocolos PRP (Parallel Redundancy Protocol) y HSR (High-availability Seamless
UI User Interface
SDM Source Data Management
DMS Distribution Management System
DTS Dispatcher Training Simulator
HIS Historical Information System
SC Supervisory Control
PA Power Applications
XPS Expert System
ADM Archives HIS Administration
GIS Geographic Information System
TCI Telecommunication Interface
IFS Independent Frint-End System
CA Communication Applications
DW Display Wall
LAN Local Area Network
HMI Human Machine Interface
RTU Remote Terminal Unit
MED Medidor
SER Servidor
IED Intelligent Electronic Device
PMU Phasor Measurement Unit
CS Controlador de Subestación
SM Sistema de Monitoreo
PLC Programmable Logic Controller
MP Maletas de Prueba
87L Diferencial de Línea
TP Teleprotección
REG Registrador de Fallas
MU Merging Unit
CDB Conexión a Bases de Datos
PP Protocolo Propietario
PTP Precision Time Protocol
NTP Network Time Protocol
CENTRO NACIONAL DE DESPACHO
UI
DW
CA
SDM
ADMIFS
DMS
XPSTCI
DTS
PA
GIS
HIS SC
CDB OPC
FTPPP
CENTRO CONTROL DE TRANSMISIÓN
UI
DW
CA
SDM
ADMIFS
DMS
XPSTCI
DTS
PA
GIS
HIS SC
CDBOPC
FTPPP
SUBESTACIONES TRANSMISIÓN CONVENCIONALES
HMI RTU RELÉS MED
LAN
CDBOPCPP
RS485 RS232
DNP3 MODBUS IEC101IEC104 IEC103
SUBESTACIONES TRANSMISIÓN ACTUALES
HMI
MED
MU
SER
MPREG
IED
PLCTP
PMU
SM
87L
RTU CS
CDB IEC61850
IEC104
OPC
HTTPSNTP
ICCP
HTTPS
TCP/IPSERIAL
TCP/IP
IEC 60870-5-104 IEC 61850IEC 60870-5-101
LAN
LAN
LAN
LAN
PTP
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 131
Redundancy) respectivamente. Siendo estos dos ultimos las soluciones de topología de red
que se estan implementando en la mayoría de las subestaciones actuales.
Tabla 12. Servicios y puertos asociados. Fuente: Elaboración propia.
En consecuencia a lo expuesto hasta el momento, el mecanismo de evaluación para el caso
de redes de comunicación y software, se basa en primera medida en verificar que cada
protocolo de comunicación y aplicación del sistema funcione tal como se diseño, lo cual
representará la línea base para la evaluación de ciber vulnerabilidad, por lo que en esta
etapa se requiere de un conocimiento especializado dado que los dispositivos y redes a
pesar de implementar funciones de TI, son soluciones y desarrollos tecnológicos
especificos para la operación del sistema energético.
Como segunda medida se propone verificar que la información que se transmite a través
de los protocolos de comunicación de las tecnologías de operación, sean cifradas, es decir
que se tengan mecanismos para brindar seguridad de la información.
Servicio Protocolo Puerto
IEC 60870-5-104 TCP 2404 - 2405
OPC TCP 135
OPC XML DA TCP 8081
Modbus TCP 502
DNP 3.0 TCP 20000
IEC 61850 Server TCP 102
Propietario Registradores TCP 4847
NTP UDP 123
Remote Server TCP 7912
Propietario IHM TCP 10501 - 10502
Propietario Gestion Siemens TCP 508-509
Propietario Gestion ABB TCP 5555 - 5556
IPSec UDP 500
PTP IEEE 1588 UDP 319 - 320
HTTPS TCP 443
ICCP TCP 102
SNMP UDP 161
FTP TCP 20 - 21
SSH TCP 22
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 132
Luego de las etapas ya mencionada, se validará las zonas de seguridad configuradas con
sus respectivas políticas de seguridad y reglas, de tal manera que se garantice un
funcionamiento de la red de comunicación de control, protección y medida segura. De esta
manera se valida que se tengan claramente demarcados los perímetros de seguridad.
Otra etapa prioritaria es identificar y validar si la red de comunicaciones y las aplicaciones
que funcionan en ella, estan preparadas para ciber ataques conocidos tanto en la industria
eléctrica, como en el área de TI. Es por esto que en los siguientes párrafos se presenta
unas referencias que para la metodología propuesta se tendran en cuenta en la evalución
de ciber vulnerabilidad.
Como se menciona en (Maglaras, y otros, 2018), los agentes de guerra cibernética,
ciberdelincuentes y ciberterroristas tienen un amplio arsenal de armas para usar en sus
búsquedas. Estos difieren considerablemente en términos del nivel de compromiso
requerido por el perpetrador, la sofisticación de la herramienta, los mecanismos de
protección y muchos otros factores. Sin embargo, lograr la ciberseguridad requiere que las
personas, las empresas y las agencias gubernamentales se aseguren de estar preparadas
y puedan defender sus propios datos y redes de cualquier forma.
Los métodos más comunes de ciber ataques se enumeran y se describen brevemente a
continuación (Maglaras, y otros, 2018):
• Sitio web malicioso: trabaja explotando la manera en que funcionan los
navegadores web de modo que el software perjudicial se descargue en la
computadora del usuario.
• Virus: programas que operan sin ser vistos ni detectados en una computadora u
otro hardware para influir en la manera en que funciona el sistema operativo del
dispositivo.
• Trojan Horse: Es un programa que, como un virus, existe para influir en la manera
en que funciona un componente de hardware o un programa de software, pero que
se disfraza para parecer un programa útil que el usuario afectado instala a sabiendas
en su sistema o dispositivo.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 133
• Gusano (worm): un tipo de virus que puede replicarse en un sistema infectado sin
ninguna acción humana.
• Spyware: programas que se instalan en un sistema o dispositivo sin el conocimiento
del usuario con el fin de recopilar información y transmitirla al origen del ataque.
• Keystroke Logger (keylogger): programas o dispositivos físicos que registran cada
tecla presionada por el usuario en sucesión ordenada.
• Malware: un nombre genérico para cualquier programa que intente comprometer,
interrumpir o robar desde un dispositivo o sistema (también conocido como código
malicioso o software malicioso).
• Ataque de denegación de servicio (DOS) / denegación de servicio distribuido
(DDOS): impide el acceso o el uso de un sitio web o sistema de gestión de la
información.
• Bot: una computadora que ha sido tomada por un atacante de forma remota, casi
exclusivamente a través de su conexión a Internet, con fines nefastos (generalmente
para ataques DDOS).
• Hack: un ingreso exitoso a un sistema de información o computadora usando
medios nefastos.
• Phishing: un método utilizado por hackers informáticos para obtener la información
de identificación y contraseña de un objetivo involuntario que generalmente implica
el uso de ingeniería social.
• Spoofing: un método que se utiliza a menudo en los esquemas de phishing en el
que un hackers informático puede enmascarar su propia dirección de correo
electrónico para parecerse a una en la que confía su objetivo.
• Intoxicación DNS (o Spoofing DNS): una forma de hacking en la que el hacker
informático puede desviar el tráfico de un sitio web legítimo al suyo, lo que les da
acceso a todos los datos que los usuarios normalmente proporcionarían al
propietario legítimo del sitio web.
• Exploit: un error o una vulnerabilidad desconocida en el software o sistema que le
permite a un hacker ingresar.
• Clickjacking: un método de hacking en el que el hacker informático engaña a un
objetivo, para que haga clic en algo que parece legítimo pero que en realidad lo
dirige a otro sitio web o intenta instalar software malicioso en su computadora.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 134
• Cookies: pequeños paquetes de información que un sitio web almacena en la
computadora de un usuario para rastrear, almacenar y luego devolver información
al sitio web con el fin de comprender la actividad anterior (tanto para sitios web
legítimos como para hacker informáticos).
• Inyección SQL: un método de hacking en el que el hacker informático introduce
código en una interfaz de base de datos u otro programa basado en datos, para
ordenar al programa que envíe toda o parte de la información que el sistema está
almacenando.
• Ingeniería social: métodos que usan medios psicológicos u otros medios no
técnicos para engañar a las víctimas, para que voluntariamente o involuntariamente
entreguen su información personal, incluida la información de inicio de sesión y las
contraseñas.
• Ransomware, ciber ransom y blackmail cibernético: herramientas y acciones en
las que un cibercriminal altera o corrompe los datos en un sistema objetivo y luego
instruye a un individuo a cargo del material específico para que proporcione un pago
de rescate a cambio de la reparación de los datos.
• Rootkit: es un conjunto de software que permite un acceso de privilegio continuo a
una computadora pero que mantiene su presencia activamente oculta al control de
los administradores al corromper el funcionamiento normal del sistema operativo o
de otras aplicaciones.
• USBdriveby: es un pequeño dispositivo basado en un microcontrolador que permite
infectar cualquier ordenador a través de un puerto USB fácilmente, simplemente con
conectar este dispositivo a él.
• Man-in-the-middle: en criptografía, un ataque de intermediario es un ataque en el
que se adquiere la capacidad de leer, insertar y modificar a voluntad.
Las bases de datos públicas, como la de Incidentes de Seguridad Industrial (ISID - Industrial
Security Incident Database) y los informes periódicos publicados por el Equipo de
Respuesta de Emergencia Cibernética del Sistema de Control Industrial (ICS-CERT - Cyber
Emergency Response Team), brindan amplia información sobre las amenazas. Según un
informe del 2012 del ICS-CERT, el número de incidentes en los sectores de infraestructura
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 135
crítica aumentó de 9 incidentes en 2009 a 198 en 2011, con un aumento principalmente en
el sector energético y relacionado con los sistemas de control (Alcaraz & Zeadally, 2015).
El equipo de evaluación de ICS-CERT identificaron 700 vulnerabilidades a través de sus 98
evaluaciones NAVV (Network Validation and Verification) y DAR (Design Architecture
Review). Las 30 principales categorías de debilidades, se enumeran en la Tabla 13 y
representan aproximadamente el 79 por ciento de todas las vulnerabilidades identificadas
por el ICS-CERT (NCCIC - National Cybersecurity and Communications Integration Center,
2016).
Tabla 13. Categorías de vulnerabilidades. Fuente: (NCCIC - National Cybersecurity and
Communications Integration Center, 2016).
Adicionalmente, los equipos de evaluación del ICS-CERT identificaron a principio del 2018
a través de su metodología de evaluación, las seis categorías que representaron
aproximadamente el 35 por ciento de las vulnerabilidades totales descubiertas en todos los
ID NIST 800-53 Categorías de debilidad Instancias Porcentaje
1 Protección de límites 94 13,4%
2 Mínima funcionalidad 42 6,0%
3 Identificación y Autenticación (Usuarios Organizacionales) 36 5,1%
4 Control de acceso físico 28 4,0%
5 Revisión de auditoría, análisis e informes 26 3,7%
6 Gestión del autenticador 24 3,4%
7 Bajos privilegios 20 2,9%
8 Asignación de recursos 19 2,7%
9 Gestión de cuentas 17 2,4%
10 Acceso remoto 16 2,3%
11 Entrenamiento en conciencia de seguridad 16 2,3%
12 Plan de seguridad del sistema 15 2,1%
13 Remediación de defectos 15 2,1%
14 Monitoreo del sistema de información 15 2,1%
15 Análisis de impacto de seguridad 14 2,0%
16 Confidencialidad e integridad de la transmisión 13 1,9%
17 Configuración de línea de base 12 1,7%
18 Plan de Contingencia 12 1,7%
19 Copia de seguridad del sistema de información 12 1,7%
20 Principios de ingeniería de seguridad 12 1,7%
21 Inventario de componentes del sistema de información 11 1,6%
22 Uso de dispositivos media 11 1,6%
23 Entrenamiento de seguridad basado en roles 10 1,4%
24 Control de cambio de configuración 10 1,4%
25 Interconexiones del sistema 9 1,3%
26 Configuración de ajustes 9 1,3%
27 Contenido públicamente accesible 8 1,1%
28 Eventos auditados 8 1,1%
29 Plan de respuesta a incidentes 8 1,1%
30 Protección de la información en reposo 8 1,1%
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 136
sectores de infraestructuras críticas evaluadas, las cuales se presentan en la Tabla 14
(NCCIC - National Cybersecurity and Communications Integration Center, 2018).
Tabla 14. Principales categorías de vulnerabilidades al 2018. Fuente: (NCCIC - National
Cybersecurity and Communications Integration Center, 2018)
De este modo, en el presente trabajo se realizó una propia lista de vulnerabilidades que a
criterio del autor y con base a lo estudiado, se pueden materializar en el sistema de
transmisión de energía eléctrica. Después de un análisis detallado se construyó la Tabla
15, que representa los resultados obtenidos luego de estudiar y combinar las
investigaciones desarrolladas en (Hopkin, 2017), (Schlegel, Obermeier, & Schneider, 2016),
(Santander, 2017), (Maglaras, y otros, 2018), (Cano, 2017) y presentadas en el acápite 4.
En este sentido, en la metodología propuesta se define realizar la verificación de cómo el
sistema se encuentra preparado para cada una de las 37 amenazas definidas y valoradas.
Es de resaltar, que la Tabla 15 debe ser revisada y actualizada por lo menos cada año o
cada vez que se encuentre o identifique una nueva amenaza, tal y como lo recomienda la
ID NIST 800-53 Categorías de debilidad
1 Protección de límites
2 Identificación y Autenticación (Usuarios Organizacionales)
3 Asignación de recursos
4 Control de acceso físico
5 Gestión de cuentas
6 Mínima funcionalidad
El acceso físico no autorizado a equipos de campo y ubicaciones
brinda una mayor oportunidad para:
* Modifique, elimine o copie maliciosamente programas y firmware
del dispositivo.
* Acceda a la red de los ICS.
* Robar o destrozar activos cibernéticos.
* Agregue dispositivos falsos para capturar y retransmitir el tráfico
de red.
* Comunicaciones de contraseña no segura comprometidas.
* El compromiso de la contraseña podría permitir el acceso de
confianza no autorizado a los sistemas.
* Aumento de vectores para el acceso malicioso a los sistemas
críticos.
* Establecimiento de acceso interno inescrupuloso.
* Actividad no autorizada y no detectada en sistemas críticos.
* Límites más débiles entre ICS (Industrial control systems) y redes
empresariales.
Riesgo
* Falta de responsabilidad y rastreabilidad para las acciones del
usuario, si una cuenta se ve comprometida.
* Mayor dificultad para proteger las cuentas a medida que el
personal abandona la organización, especialmente para usuarios con
acceso de administrador.
* Sin respaldo o personal alternativo para cubrir la posición si la
primaria no puede funcionar.
* Pérdida de conocimiento crítico de los sistemas de control.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 137
(NERC, 2018) y revisando los reportes del (NCCIC - National Cybersecurity and
Communications Integration Center, 2018)
Tabla 15. Lista de vulnerabilidades metodología y su respectiva clasificación. Fuente: Elaboración propia
Amenaza Propiedad Afectada Vulnerabilidad Categoria de riesgo Tipo de Riesgo Impacto Probabilidad
Sitio web malicioso Confidencialidad Protección de límites Riesgos de control Riesgos conocidos Moderado Probable
Virus Confidencialidad Protección de límites Riesgos de peligro Riesgos conocidos Menor Probable
Trojan Horse Integridad Mínima funcionalidad Riesgos de peligro Riesgos conocidos Menor Probable
Gusano (worm) Confidencialidad Mínima funcionalidad Riesgos de peligro Riesgos conocidos Moderado Probable
Spyware Confidencialidad Monitoreo del sistema de información Riesgos de peligro Riesgos emergentes Moderado Probable
Keystroke Logger Confidencialidad Gestión de cuentas Riesgos de control Riesgos conocidos Mayor Probable
Malware Integridad Mínima funcionalidad Riesgos de peligro Riesgos emergentes Mayor Casi seguro
DOS/DDOS Disponibilidad Identificación y Autenticación Riesgos de control Riesgos conocidos Severo Casi seguro
Bot Integridad Acceso remoto Riesgos de control Riesgos conocidos Severo Casi seguro
Hack No-repudio Protección de límites Riesgos de control Riesgos latentes Mayor Probable
Phishing Confidencialidad Identificación y Autenticación Riesgos de control Riesgos focalizados Mayor Probable
Spoofing No-repudio Entrenamiento en conciencia de seguridad Riesgos de control Riesgos emergentes Moderado Probable
Spoofing DNS Confidencialidad Confidencialidad e integridad de la transmisión Riesgos de control Riesgos conocidos Moderado Probable
Exploit Integridad Remediación de defectos Riesgos de control Riesgos emergentes Severo Probable
Clickjacking No-repudio Entrenamiento en conciencia de seguridad Riesgos de control Riesgos conocidos Moderado Casi seguro
Inyección SQL Confidencialidad Monitoreo del sistema de información Riesgos de peligro Riesgos latentes Mayor Probable
Ingeniería social No-repudio Entrenamiento en conciencia de seguridad Riesgos de oportunidad Riesgos focalizados Menor Casi seguro
Ransomware Integridad Protección de la información en reposo Riesgos de peligro Riesgos latentes Mayor Improbable
Ciberterorismo Integridad Control de acceso físico Riesgos de control Riesgos latentes Severo Posible
Ciberespionaje Confidencialidad Confidencialidad e integridad de la transmisión Riesgos de control Riesgos latentes Mayor Improbable
Vulnerabilidades en TO Disponibilidad Mínima funcionalidad Riesgos de oportunidad Riesgos focalizados Severo Probable
Rootkits en PLC Integridad Mínima funcionalidad Riesgos de control Riesgos focalizados Severo Posible
USB Driveby Integridad Uso de dispositivos media Riesgos de peligro Riesgos conocidos Moderado Posible
Man in the middle Integridad Protección de límites Riesgos de peligro Riesgos emergentes Mayor Posible
Suplantación de señales de control Integridad Mínima funcionalidad Riesgos de peligro Riesgos focalizados Severo Posible
Configuraciones inadecuadas Disponibilidad Asignación de recursos Riesgos de control Riesgos conocidos Mayor Probable
Controles de acceso débiles Confidencialidad Bajos privilegios Riesgos de control Riesgos conocidos Mayor Probable
Obsolecencia tecnológica Disponibilidad Análisis de impacto de seguridad Riesgos de peligro Riesgos focalizados Moderado Posible
Convergencia TI TO Disponibilidad Asignación de recursos Riesgos de peligro Riesgos emergentes Mayor Probable
Sistemas no actualizados Integridad Configuración de ajustes Riesgos de control Riesgos focalizados Moderado Probable
Puertos lógicos no controlados Confidencialidad Configuración de ajustes Riesgos de control Riesgos conocidos Moderado Probable
Bajo conocimiento especializado Integridad Asignación de recursos Riesgos de control Riesgos conocidos Menor Probable
Falta de conciencia situacional Disponibilidad Entrenamiento en conciencia de seguridad Riesgos de peligro Riesgos conocidos Moderado Probable
Ataques a sistemas de protecciones Integridad Protección de límites Riesgos de control Riesgos focalizados Severo Posible
Ataques a dispositivos de safety Integridad Protección de límites Riesgos de control Riesgos focalizados Mayor Posible
Ataques a sistemas control y RTUs Integridad Protección de límites Riesgos de control Riesgos focalizados Severo Posible
Ataques a sistemas de comunicaciones Integridad Protección de límites Riesgos de control Riesgos latentes Mayor Probable
Dentro de este marco, uno de los aspectos más influyentes en la vulnerabilidad del sistema
con base a las investigaciones consultadas y que por su importancia se propone realizar un
análisis un poco más detallado, es el control de acceso a cada uno de los dispositivos que
integran el sistema. Los controles de acceso consisten en la configuración de claves de
ingreso a todos los dispositvos que en nuestro caso son los activos secundarios y activos
terciarios, para que sólo usuarios autorizados puedan realizar monitoreo, mantenimientos,
operaciones y modificaciones al sistema.
De acuerdo a los mecanismos definidos en esta sección, en la Figura 44 se presenta el
proceso de evaluación propuesto para las redes de comunicación y aplicaciones que en los
sistemas de control, protección, medida y monitoreo de las redes de transmisión se
implementan.
Como punto final, dentro de los análisis realizados se encontro un factor importante que
deben tener las compañias de electricidad, y es el concepto de resilencia, que denota un
atributo del sistema caracterizado por la habilidad de recuperarse luego de un evento
disruptivo o falla del sistema, tambien definido como el restablecimiento del rendimiento
normal del sistema (Zio, 2016). A pesar de los diversos mecanismos de mitigación, nuestro
sistema nunca estará 100% seguro, es por esta razón que las empresas del sector deben
tener documentado y socializado con sus empleados el plan de contingencias y de
restablecimiento, en caso de que su sistema sea afectado por cualquier tipo de ataque o
falla del propio sistema.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 140
Figura 44. Proceso de evaluación propuesto para las redes de comunicación y aplicaciones. Fuente: Elaboración propia.
Identificación de las conexiones, protocolos yaplicaciones que se utilizan en el sistema.
Verificación de funcionamiento de losprotocolos de comunicación y aplicaciones .
¿Funciona de acuerdo a la línea
base?
Identificar las vulnerabilidades,errores de configuración,desviaciones de acuerdo a la líneabase.
Verificación de la información que se transmitea través de los protocolos de comunicación delas tecnologías de operación.
¿La información es cifrada?
Generar reporte
Identificar las comunicaciones nocifradas.
validar las zonas de seguridad configuradas consus respectivas políticas de seguridad y reglas.
¿Garantiza un funcionamiento
seguro?Identificar las vulnerabilidades.
Evaluar el comportamiento de la red y de lasaplicaciones bajo los escenarios de la lista deamenazas definidas y vigentes.
¿Cumple con los requerimientos?
Evaluar los sistemas de monitoreo en línea delsistema NOC (Network Operation Center).
¿El sistema esta preparado para las
amenazas ?
Identificar las desviaciones delNOC y posibles vulnerabilidades
Inicio
Fin
No
No
No
No
Si
Si
Si
Si
No
Si
Identificar las vulnerabilidades.
Generar reporte
Generar reporte
Generar reporte
Generar reporte
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 141
5.3 Propuesta metodológica de evaluación
Para la realización de la propuesta consolidada de evaluación de vulnerabilidad del sistema
de transmisión de energía eléctrica en el ámbito de ciberseguridad, debemos iniciar con su
definición, que de acuerdo al SRA (Society for Risk Analysis), la vulnerabilidad se refiere al
riesgo y al grado en el que el sistema puede ser afectado por una fuente de riesgo o agente.
El concepto de vulnerabilidad visto como propiedad de un sistema global vincula tres
conceptos (Zio, 2016):
1. Grado de pérdida y daño debido al impacto de un riesgo.
2. Grado de exposición al riesgo (Probabilidad y suceptibilidad).
3. Grado de resilencia.
De acuerdo a lo anterior, en este trabajo se utiliza el término de vulnerabilidad como la
propiedad que representa una falla o debilidad en el diseño, implementación, operación y
mantenimiento de la infraestructura de transmisión de energía eléctrica.
En este sentido la vulnerabilidad del sistema de potencia eléctrica se propone ser
especificada en términos de cambio de las características de la red eléctrica, luego de un
ataque sobre un activo (definidos en la sección 5.1), en términos de pérdidas asociadas,
demanda no atendida, tiempo de restablecimiento, fallas del sistema y la severidad
asociada. Para esto, la metodología de análisis propuesta cubre los siguientes aspectos:
➢ La identificación de estructura fisica y lógica que se aborda en las secciones 5.1 y
5.2.
➢ La identificación de peligros y amenazas, definidos en la sección 5.2 Tabla 15.
➢ La identificación delos posibles eventos y secuencia de eventos que pueden causar
daños y pérdidas.
Como resultado de las revisiones mencionadas, el objeto del diagnóstico es la
cuantificación de indicadores que permitan dar al agente una valoración de vulnerabilidad
del sistema y a su vez, seguimiento de cómo se abordan los planes de acción y como
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 142
evolucionan las amenazas a través del tiempo. Dentro de este orden de ideas, el primer
indicador que se propone en la metodología es el de vulnerabilidad operativa, que se define
como la manera de cuantificar el impacto y los posibles eventos que causa a nivel funcional
del sistema de transmisión de energía eléctrica, la afectación de la subestación valorada.
En la Figura 45, se presenta el método para el cálculo del indicador de vulnerabilidad
operativa, el cual fue construido a partir de diferentes aportes que se describieron en el
acápite 3.
Como se menciona en (Correa & Yusta, 2014), el análisis de contingencias que conducen
a fallas en cascada en redes eléctricas implica el uso de parámetros que miden la evolución
en la conectividad y la funcionalidad de la red. Esto se realiza mediante iteraciones
sucesivas que representan la eliminación de nodos de la red. Cada eliminación de nodo
está asociada a una contingencia y se considera como un paso de iteración en el
comportmiento de la red. La eliminación de una subestación también implica la eliminación
de todas las líneas conectadas a ellas, y por lo tanto, cambios en el flujo de potencia
correspondientes.
Estos aspectos son difíciles de analizar, ya que, debido a la complejidad de la misma IC,
los comportamientos emergentes pueden surgir a partir de la respuesta colectiva de los
diferentes componentes elementales, en formas difíciles de predecir y manejar. Como
resultado, existen grandes incertidumbres en la caracterización de los escenarios de falla
(Zio, 2016), por lo que en la presente propuesta se parte de condiciones de flujo de potencia
reales con el fin de representar ataques lo mas cercanos a las realidad a partir de un caso
base de despacho y demanda de energía.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 143
Figura 45. Método para el cálculo del indicador de vulnerabilidad operativa. Fuente: Elaboración propia.
Calcular indicador de vulnerabilidad
operativa
Se escoge el escenario de despacho ydemanda real, que produce el mayorflujo de energía por la subestación.
Simular la contingencia de lasubestación.
Simular el escenario con lasalida de las barras afectadas.
¿Hay líneas o equipos
sobrecargados?
No
Si
¿Hay Desviación de voltaje > a ±
10%?
Simular el escenario con lasalida de líneas y equipossobrecargados.
¿La Frecuencia se sale del rango 59.8 - 60.2 Hz?
NoSimular el escenario con lasalida de los generadores yequipos afectados.
Si
Si
No
¿Se genera Demanda No
Atendida?
Inicio
Fin
Calcular la Demanda No Atendida normalizada en el
escenario de simulación.
Calcular valor pérdida de conectividad (Ecu. 2)
Calcular ponderación de la subestación (Tabla 7).
Si
No
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 144
Uno de los objetivos del análisis de vulnerabilidad es evaluar las condiciones del sistema y
rastrear la evolución de sus cambios que desencadenan fallas en cascada (Correa & Yusta,
2014).Es por lo anterior que dentro de este método elaborado y propuesto en el presente
trabajo se cuenta con tres aspectos que se definen a continuación:
Demanda No Atendida (DNA): Se cálcula a partir del criterio de la potencia no
suministrada asociado al escenario de simulación tal como lo se propone en (UPME,
2018), pero teniendo en cuenta los tiempos de restablecimiento que pueden darse
en un ataque de tipo cibernético, si el evento es de magnitud nacional se asumen
siete (7) horas. Si la demanda no atendida sólo compromete un área operativa por
ejemplo maximo dos subestaciones o líneas de transmisión, se consideran dos (2)
horas. De este modo, la DNA se calcula como,
𝐷𝑁𝐴[𝑀𝑊ℎ] = 𝑃𝑁𝑆[𝑀𝑊] ∗ 𝑇𝑅 [13]
Donde,
𝑃𝑁𝑆[𝑀𝑊] = 𝑝𝑜𝑡𝑒𝑛𝑐𝑖𝑎 𝑛𝑜 𝑠𝑢𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑑𝑎 𝑎𝑠𝑜𝑐𝑖𝑎𝑑𝑜 𝑎𝑙 𝑒𝑠𝑐𝑒𝑛𝑎𝑟𝑖𝑜 𝑑𝑒 𝑠𝑖𝑚𝑢𝑙𝑎𝑐𝑖ó𝑛
𝑇𝑅 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑒𝑠𝑡𝑖𝑚𝑎𝑑𝑜 𝑑𝑒 𝑟𝑒𝑠𝑡𝑎𝑏𝑙𝑒𝑐𝑖𝑚𝑖𝑒𝑛𝑡
Demanda No Atendida Normalizada (DNAn): Es la manera de representar el
impacto que tendria una subestación o línea de transmisión ante su salida, en la que
por ejemplo la DNA sea baja sin tener un fuerte impacto sobre el STN.
𝐷𝑁𝐴 ≤ 1000𝑀𝑊ℎ = 0,1 + (0,6 ∗𝐷𝑁𝐴 [𝑀𝑊ℎ]
1000 [𝑀𝑊ℎ]) [14]
𝐷𝑁𝐴 > 1000𝑀𝑊ℎ = 0,7 + (0,3 ∗𝐷𝑁𝐴 [𝑀𝑊ℎ]
5000 [𝑀𝑊ℎ]) [15]
Pérdida de Conectividad (PC): Es por medio del cual se visualiza el nivel de
impacto de fallas en cascada producto del ataque que ocasiona exceder las
capacidades de carga de una subestación o línea de transmisión. Para su cálculo
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 145
se utiliza la propuesta realizada en (Zhu, Yan, Tang, Sun, & He, 2015) y que se
muestra en la ecuación [2].
Ponderación de Subestación (PS): Se adapta del estándar NERC CIP como se
describió en el acápite 4 para ponderar el impacto del sistema, y consiste en calcular
un valor agregado total a partir de los pesos definidos en la Tabla 7. A diferencia de
lo propuesto en (NERC, 2018), en este caso se realizó una normalización para
representar el efecto que tiene afectar la instalación valorada. Por consiguiente, su
cálculo se realiza de la siguiente manera,
𝑃𝑆𝑛 → 𝑃𝑆 ≤ 3000 (𝐷𝑒 𝑇𝑎𝑏𝑙𝑎 7) = 0,1 + (0,6 ∗𝑃𝑆
3000) [16]
𝑃𝑆𝑛 → 𝑃𝑆 > 3000 (𝐷𝑒 𝑇𝑎𝑏𝑙𝑎 7) = 0,7 + (0,3 ∗𝑃𝑆
10000) [17]
Luego de los cálculos descritos se define la manera de obtener el indicador de
vulnerabilidad operativa (IVO), que a partir de la experiencia y criterio del autor se asigno
unos pesos para cada uno de los aspectos dados anteriormente, los cuales son el producto
de conocer la topología eléctrica del sistema y realizar las simulaciones con las posibles
afectaciones enérgeticas. Dentro de este marco, el indicador de vulnerabilidad operativa se
especifica como,
𝐼𝑉𝑂 = 0,4 ∗ 𝐷𝑁𝐴𝑛 + 0,4 ∗ 𝑃𝐶 + 0,2 ∗ 𝑃𝑆𝑛 [18]
El valor de la ponderación se obtuvo a partir de la experiencia de algunos especialistas
consultados y con el conocimiento adquirido por el autor durante su trayectoria laboral.
Por otro lado, en la actualidad se crea un nuevo paradigma para la ingeniería de seguridad,
la cual proactivemente integra la prevención a partir de tareas de anticipación (imaginar que
se espera), monitoreo ( saber que buscar), tareas de respuesta (saber que hacer y poder
hacerlo), tareas de mitigación de absorción ( amortiguar el impacto negativo del efecto
adverso), tareas de adaptación (hacer un ajuste intencional para atravesar una interrupción)
y recuperación (retornar al estado normal luego de una interrupción) (Zio, 2016).
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 146
Como ayuda para estos propositos, el estándar IEC 62443 establece una guía de como
implementar medidas de protección contra incidentes de ciberseguridad fundamentada en
los niveles de seguridad que define y que se presentaron en el acápite 4 del presente
documento. De acuerdo a esto, en la metodología propuesta se utilizan estas medidas pero
como método de evaluación de las vulnerabilidades identificadas en la sección 5.2 y
mostradas en la Tabla 15, a partir del estado de los siete requisitos técnicos en cuanto a
vulnerabilidades ciberneticas definidos en (Castillo, 2018). Por consiguiente, las siguientes
Tablas se desarrollaron con el objeto de evaluar los controles propuestos que permiten
indirectamente valorar si el sistema se encuentra preparado y cubierto ante las amenazas
previamente identificadas.
Las tablas se diseñaron para realizar la valoración del nivel de impacto con respecto al
siguiente esquema:
+: Implementado, ±: Parcial, -:No existe.
Tabla 16. Método para evaluar los controles de identificación y autenticación. Fuente: Elaboración
propia.
+: Implementado ±: Parcial -:No existe
Se tiene identificación y autenticación única para
todos los usuarios.
Se tiene múltiple factor de autenticación para todas
las redes.
Se realiza gestión de cuentas unificada.
Se cuenta con Hardware de seguridad para identificar
credenciales mediante procesos de software.
Se cuenta con identificación y autenticación única
para los accesos inalámbricos.
Se tiene metodología definida para la generación de
contraseñas.
Se realiza restricciones en tiempo de vida para las
contraseñas de usuarios.
Se realiza bloqueos por Intentos de login fallidos.
DescripciónImpacto
CONTROLES DE IDENTIFICACIÓN Y AUTENTICACIÓN (IAC)
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 147
Tabla 17. Método para evaluar tiempos de respuesta a eventos. Fuente: Elaboración propia.
Tabla 18. Método para evaluar los controles de uso. Fuente: Elaboración propia.
+: Implementado ±: Parcial -:No existe
Se puede tener accesibilidad a logs de todos los
equipos y software.
Se tiene sistema de monitoreo continuo.
Se tiene plan de entrenamiento continuo para el
personal, en conciencia de seguridad .
TIEMPO DE RESPUESTA A EVENTOS (TRE)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se tiene aplicación de autorización para todos los
usuarios.
Se realiza mapeo de permisos por roles.
Se cuenta con sincronización interna de tiempo para
todos los equipos.
Se cuenta con sistemas de gestión centralizada.
Se puede identificar y reportar dispositivos no
autorizados.
Se usa certificados de seguridad para los accesos
remotos a dispositivos.
Se puede identificar y reportar personal no
autorizado en las instalaciones físicas.
CONTROL DE USO (UC)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 148
Tabla 19. Método para evaluar la integridad del sistema. Fuente: Elaboración propia.
Tabla 20. Método para evaluar la confidencialidad de los datos. Fuente: Elaboración propia.
+: Implementado ±: Parcial -:No existe
Se usa criptografía para proteger la integridad de los
datos.
Se usa protección contra código malicioso en los
puntos de entrada y salida.
Se cuenta con sistema de gestión centralizada para
protección contra código malicioso.
Se cuenta con mecanismos para verificar
funcionalidades de seguridad.
Se tiene sistema de notificaciones automáticas sobre
violaciones de integridad.
INTEGRIDAD DEL SISTEMA (SI)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se tiene protección de la confidencialidad de la
información alojada o en tránsito por redes.
Se tiene protección de la confidencialidad a través de
los límites de las zonas.
Se usa criptografía para proteger la integridad de los
datos.
Se realiza purga de recursos de memoria compartida.
CONFIDENCIALIDAD DE LOS DATOS (DC)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 149
Tabla 21. Método para evaluar el flujo de datos restringido. Fuente: Elaboración propia.
Tabla 22. Método para evaluar la disponibilidad de recurso. Fuente: Elaboración propia.
+: Implementado ±: Parcial -:No existe
Se tiene segmentación física de redes.
Se tiene aislamiento lógico y físico de redes criticas.
Se realiza denegar por defecto, permitir por
excepción.
Se cuenta con sistema de gestión centralizada para el
monitoreo de flujos de datos.
Se encuentran habilitados los puertos lógicos
utilizados por el sistema y restringidos los demas.
Se cuenta definidos los anchos de banda de acuerdo
a los servicios que se utilizan.
FLUJO DE DATOS RESTRINGIDO (RDF)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se realiza gestión de la carga en las comunicaciones.
Se tiene política de verificación de backup.
Se tiene sistema de automatización de backup.
Se cuenta con sistemas de respaldo de energía.
Se cuenta con reportes de ajustes de seguridad
actuales legibles.
Se cuenta con inventario de componentes del
sistemas de control.
Se realizan pruebas de verificación de configuración
del sistema periodicamente.
Se cuenta con gestor de actualizaciones e inventario
de versiones.
Se cuenta con los especialistas para el manejo y
operación de los sistemas de control y protección.
DISPONIBILIDAD DE RECURSOS (RA)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 150
En relación con las tablas de evaluación definidas, estas responderán a como el sistema se
encuentra frente a las amenazas identificadas y especialmente a las que tendrían un efecto
de mayor impacto en nuestros activos primarios y finalmente en la infraestructura de de
transmisión de energía. La manera en que se corresponde las tablas de evaluación con
cada una de las amanezas del sistema se presentan en la Tabla 23.
Para cuantificar la evaluación a nivel de sistema, se creo un indicador que se denomina
indicador de vulnerabilidad de sistema (IVS), el cual se determina de la siguiente manera,
𝐼𝐴𝐶 =(#+)∗2+(#±)
16 [19]
𝑇𝑅𝐸 =(#+)∗2+(#±)
6 [20]
𝑈𝐶 =(#+)∗2+(#±)
14 [21]
𝑆𝐼 =(#+)∗2+(#±)
10 [22]
𝐷𝐶 =(#+)∗2+(#±)
8 [23]
𝑅𝐷𝐹 =(#+)∗2+(#±)
12 [24]
𝑅𝐴 =(#+)∗2+(#±)
18 [25]
Donde con estos valores normalizados resultado de la evaluación propuesta en las Tablas
16, 17, 18, 19, 20, 21 y 22, se determina el IVS como se presenta en la ecuación 26.
𝐼𝑉𝑆 = 1 − (1
7∗ 𝐼𝐴𝐶 +
1
7∗ 𝑇𝑅𝐸 +
1
7∗ 𝑈𝐶 +
1
7∗ 𝑆𝐼 +
1
7∗ 𝐷𝐶 +
1
7∗ 𝑅𝐷𝐹 +
1
7∗ 𝑅𝐴) [26]
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 151
Tabla 23. Método para evaluar las amenazas identificadas. Fuente: Elaboración propia.
El objetivo final de la metodología propuesta en este trabajo, es permitirle a los agentes del
sector de transmisión de energía crear una visión global de las vulnerabilidades del sistema
valorado, donde debe operar con prevención, y ejecutar planes de acción para el cierre de
brechas identificadas en cada uno de los ciberactivos propios de su sistema.
Dentro de esta propuesta los dos indicadores definidos se evaluan en una escala que
permite identificar el nivel actual de vulnerabilidad al que se encuentra expuesto y a su vez
el nivel de impacto en el sistema de transmisión de energía que puede tener un ataque
efectivo sobre su infraestructura. Se determinaron los siguientes rangos de valoración para
los indicadores:
Rango Bajo: >=0,3 Rango Medio 0,3> & <=0,7 Rango Alto >0,7
Amenaza Vulnerabilidad Impacto Probabilidad Método Evaluación
Sitio web malicioso Protección de límites Moderado Probable Tabla 18, Tabla 19
Virus Protección de límites Menor Probable Tabla 18, Tabla 19
Trojan Horse Mínima funcionalidad Menor Probable Tabla 18, Tabla 19
Gusano (worm) Mínima funcionalidad Moderado Probable Tabla 18, Tabla 19
Spyware Monitoreo del sistema de información Moderado Probable Tabla 16, Tabla 19, Tabla 20
Keystroke Logger Gestión de cuentas Mayor Probable Tabla 15, Tabla 17
Malware Mínima funcionalidad Mayor Casi seguro Tabla 18, Tabla 19
DOS/DDOS Identificación y Autenticación Severo Casi seguro Tabla 15, Tabla 16, Tabla 17
Bot Acceso remoto Severo Casi seguro Tabla 17, Tabla 18, Tabla 19
Hack Protección de límites Mayor Probable Tabla 15, Tabla 17, Tabla 20
Phishing Identificación y Autenticación Mayor Probable Tabla 15, Tabla 17, Tabla 20
Spoofing Entrenamiento en conciencia de seguridad Moderado Probable Tabla 15, Tabla 16, Tabla 20
Spoofing DNS Confidencialidad e integridad de la transmisión Moderado Probable Tabla 15, Tabla 17, Tabla 20
Exploit Remediación de defectos Severo Probable Tabla 17, Tabla 18, Tabla 19
Clickjacking Entrenamiento en conciencia de seguridad Moderado Casi seguro Tabla 16, Tabla 19, Tabla 21
Inyección SQL Monitoreo del sistema de información Mayor Probable Tabla 16, Tabla 19, Tabla 21
Ingeniería social Entrenamiento en conciencia de seguridad Menor Casi seguro Tabla 16, Tabla 17, Tabla 21
Ransomware Protección de la información en reposo Mayor Improbable Tabla 16, Tabla 17, Tabla 20
Ciberterorismo Control de acceso físico Severo Posible Tabla 17, Tabla 21
Ciberespionaje Confidencialidad e integridad de la transmisión Mayor Improbable Tabla 15, Tabla 16, Tabla 17
Vulnerabilidades en TO Mínima funcionalidad Severo Probable Tabla 20, Tabla 21
Rootkits en PLC Mínima funcionalidad Severo Posible Tabla 20, Tabla 21
USB Driveby Uso de dispositivos media Moderado Posible Tabla 15, Tabla 17, Tabla 20
Man in the middle Protección de límites Mayor Posible Tabla 16, Tabla 18, Tabla 20
Suplantación de señales de control Mínima funcionalidad Severo Posible Tabla 20, Tabla 21
Configuraciones inadecuadas Asignación de recursos Mayor Probable Tabla 20, Tabla 21
Controles de acceso débiles Bajos privilegios Mayor Probable Tabla 15, Tabla 17
Obsolecencia tecnológica Análisis de impacto de seguridad Moderado Posible Tabla 21
Convergencia TI TO Asignación de recursos Mayor Probable Tabla 21
Sistemas no actualizados Configuración de ajustes Moderado Probable Tabla 16, Tabla 21
Puertos lógicos no controlados Configuración de ajustes Moderado Probable Tabla 20
Bajo conocimiento especializado Asignación de recursos Menor Probable Tabla 21
Falta de conciencia situacional Entrenamiento en conciencia de seguridad Moderado Probable Tabla 16, Tabla 21
Ataques a sistemas de protecciones Protección de límites Severo Posible Tabla 17, Tabla 18, Tabla 21
Ataques a dispositivos de safety Protección de límites Mayor Posible Tabla 16, Tabla 17, Tabla 18
Ataques a sistemas control y RTUs Protección de límites Severo Posible Tabla 17, Tabla 18, Tabla 21
Ataques a sistemas de comunicaciones Protección de límites Mayor Probable Tabla 16, Tabla 17, Tabla 18
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 152
Finalmente los indicadores deben ser dados en porcentaje dado que representan
probabilidades y se interpretan como el grado de vulnerabilidad del sistema luego del
diagnóstico realizado a partir de la metodología EVULCIB.
A pártir de lo desarrollado en el capítulo 5, la metodología consolidada se resume en la
Figura 46, la cual representa la propuesta realizada para la evaluación de ciber
vulnerabilidad en sistemas de transmisión de energía eléctrica.
Figura 46. Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica (EVULCIB). Fuente: Elaboración propia.
Identificación del sistema eléctrico,niveles de tensión, número de bahías,área de influencia.
Inicio
Fin
Caracterización del sistema de estudio,identificación de activos primarios,secundarios y terciarios,interconexiones, protocolos.
Aplicar metodología de evaluaciónpropuesta para las redes decomunicación y aplicaciones Figura 34,para la lista de vulnerabilidadesactualizada.
Calculo del indicador de vulnerabilidadoperativa IVO de acuerdo a lametodología propuesta.
Calculo del indicador de vulnerabilidadde sistema IVS de acuerdo a lametodología propuesta.
Evaluación de ciber vulnerabilidadconsolidada.
Análisis de resultados yrecomendaciones.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 153
6. Estudio de Caso Aplicado con la Metodología EVULCIB
Como parte del alcance del proyecto en este capítulo se presenta la validación de la
metodología desarrollada, para lo cual se propuso un estudio de caso en el que se realizó
la evaluación de ciber vulnerabilidad, a una subestación del sistema de transmisión nacional
colombiano en el ámbito de ciberseguridad y específicamente en una de las subestaciones
de la ciudad de Bogotá Colombia, que hace parte del circuito anillado de 230kV del área
oriental del país.
Para el caso de la aplicación de la metodología propuesta, se utilizó la metodología
presentada en la Figura 47.
Figura 47. Etapa de verificación de la metodología de evaluación.
Fuente: Elaboración propia.
Con base a esta estructura definida, a continuación se presenta el detalle de cada una de
las etapas presentadas y la manera que el autor propone realizar la evaluación de ciber
vulnerabilidad para sistemas de transmisión de energía eléctrica.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 154
6.1 Selección del sistema de estudio
El sistema seleccionado es una subestación eléctrica y sus líneas asociadas ubicada en la
ciudad de Bogotá, que cuenta con los niveles de tensión 230/115/11.4 kV y con una
disposición física de dos barrajes en el lado de 230 kV en configuración doble barra, hay
tres bancos de transformadores de 56 MVA, 230 /115 kV, y uno de 56 MVA 230/11.4 kV,
en el lado de 115 kV hay un trasformador de 60 MVA 115/11.4 kV y dos bancos de
condensadores de 75 MVA conectados a la barra principal de 115 kV, la cual tambien es
en configuración doble barra. La subestación esta interconectado a 230 kV con tres
subestaciones: Subestación A, Subestación B, Subestación C esta última en doble circuito,
y hace parte del anillo de la zona oriental del país, contribuyendo con el abastecimiento de
energía eléctrica de Bogotá y parte de los departamentos de Cundinamarca y el Meta.
Adicionalmente, el caso de estudio seleccionado cuenta con un sistema en la barra de
230kV que realiza el control de potencia reactiva, aumento de la capacidad de sobrecarga
del sistema y el control del amortiguamiento de las oscilaciones de potencia, con impacto
en la zona oriental del sistema de transmisión de energía eléctrica del país, específicamente
dando confiabilidad del suministro energético de la ciudad de Bogotá.
Figura 48. Sistema seleccionado para el estudio de caso. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 155
6.2 Caracterización del sistema de estudio
En primer lugar se debe definir los activos primarios de la subestación seleccionada para la
evaluación, que de acuerdo a la metodología desarrollada se define a partir de unidades
constructivas y en el caso particular de análisis, se identifican para el sistema de transmisión
de energía 12 activos primarios, tal como se presenta en la Figura 49.
Figura 49. Identificación de activos primarios estudio de caso. Fuente: Elaboración propia.
Ahora bien, como se menciono en la sección 5.2 la manera en que se pueden afectar estos
activos primarios, es a través de los activos secundarios y terciarios los cuales pueden ser
victimas de ataques cibernéticos. Es por esto, que la metodología propuesta recomienda
tener claridad de todas las conexiones y dispositivos que hacen parte del sistema de control,
medida, protecciones y comunicaciones del sistema evaluado. De este modo, se realizo un
levantamiento a partir de la ingeniería de detalle existenten y se represento de manera
esquemática los activos secundarios y terciarios, así como las conexiones que existen entre
ellos tal como se representa en la Figura 50.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 156
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 157
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 158
Figura 50. Arquitectura de red e identificación de activos secundarios y terciarios estudio de caso. Fuente: Elaboración propia.
En total se identificaron 87 activos secundarios y terciarios en el sistema seleccionado,
dentro de esta se encontraron conexiones ethernet y seriales, con interfaces ópticas,
eléctricas (SFTP) y coaxiales. Este análisis, tambien contribuyo a definir inicialmente las
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 159
aplicaciones y protocolos de red requeridos para la operación del sistema, observando que
dentro de él funcionan los protocolos de comunicación IEC 61850, IEC 60870-5-104, IEC
60870-5-101, IRIG-B, HSR, PRP, SNMP. Lo que contribuye a obtener el primer punto de la
metodología propuesta para la evaluación de las redes de comunicación y aplicaciones.
Figura 51. Identificación de protocolos y aplicaciones del caso de estudio. Fuente: Elaboración propia.
6.3 Aplicación de la metodología propuesta
Al tener el sistema de transmisión de energía operativo, es muy riesgoso utilizar
herramientas de análisis de seguridad y de ataques, por lo que en caso de realizar la
evaluación en un sistema funcional se recomienda el uso minimo de herramientas de
análisis de seguridad, siendo esto una diferencia marcada entre infraestructuras OT y IT,
UI User Interface
SDM Source Data Management
DMS Distribution Management System
DTS Dispatcher Training Simulator
HIS Historical Information System
SC Supervisory Control
PA Power Applications
XPS Expert System
ADM Archives HIS Administration
GIS Geographic Information System
TCI Telecommunication Interface
IFS Independent Frint-End System
CA Communication Applications
DW Display Wall
LAN Local Area Network
HMI Human Machine Interface
RTU Remote Terminal Unit
MED Medidor
SER Servidor
IED Intelligent Electronic Device
PMU Phasor Measurement Unit
CS Controlador de Subestación
SM Sistema de Monitoreo
PLC Programmable Logic Controller
MP Maletas de Prueba
87L Diferencial de Línea
TP Teleprotección
REG Registrador de Fallas
MU Merging Unit
CDB Conexión a Bases de Datos
PP Protocolo Propietario
PTP Precision Time Protocol
NTP Network Time Protocol
CENTRO NACIONAL DE DESPACHO
CENTRO CONTROL DE TRANSMISIÓN
UI
DW
CA
SDM
ADMIFS
DMS
TCI
DTS
GIS
HIS
SCCDB FTPPP
Bancos 115kV
RTU
RS232
IEC101
SUBESTACIÓN DE TRANSMISIÓN EVALUADA
HMI
MED
REG
IED
TP
PMU
87LCS
CDB IEC61850
HTTPS
ICCP
HTTPS
TCP/IP
TCP/IP
IEC 60870-5-104IE
C6
18
50
LAN
LAN
LAN
TCP/IPNTP
HSR PRP
C. Reactivos 230kV
CS
LAN
IEDSM
PLC
IEC61850IEC104
NTP
IEC
10
4
TCP/IP
IEC
10
1
IRIG B
SNMPIRIG B
SNMP
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 160
en la que un error o bloqueo del sistema puede llegar a comprometer vidas humanas,
animales y al medio ambiente.
Dentro de este marco se proponen dos escenarios, el primero, unas pruebas en el sistema
real completamente funcional en el que basicamente se realiza una visión del sistema, por
medio de escuchar tráfico actuando pasivamente dentro de la red, y un segundo escenario
donde se realiza un laboratorio en el que se simula lo mas cercano a la realidad el sistema
pero de manera reducida, para verificar el comportamiento que se tendria ante ataques
reales utilizando herramientas informáticas de seguridad.
De acuerdo al método propuesto para la evaluación de redes de comunicaciones y
aplicaciones se identificó las conexiones , protocolos y aplicaciones que se utilizan en el
sistema tal como se presentan en las Figuras 50 y 51, esta parte puede llamarse tambien
el levantamiento de información operativa. Complementando este paso, se realiza un
reconocimiento de la red a través de un escaneo de la información que transita por la red
de control y protección de la subestación.
Conforme a lo anterior se identifico un puerto de comunicación libre dentro de la red y se
conecto un computador de manera pasiva en forma de escucha de trafico. Con esta prueba
se detectaron varios de los protocolos que funcionan en el sistema y cierto direccionamiento
de red inicial que puede ser facilmente el punto de partida para la intrusión. En las Figuras
52, 53 y 54 se presenta la interpretación de algunas tramas obtenidas, mostrando por
ejemplo que dentro de la red se utilizan los protocolos IEC 61850, SNMP y protocolo
propietario de redundancia de controladores de subestación, respectivamente.
Con la anterior prueba y realizando la intrusión en varios puertos disponibles dentro de la
red de comunicaciones de la subestación, se detectaron los protocolos mostrados en la
Tabla 24, con lo cual se establece el escaneo de funcionamiento del sistema y encontrando
la primera vulnerabilidad sobre la red de comuncaciones, puertos libres y disponibles en
equipos de comunicación, sin bloqueo ni restricciones operativas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 161
Figura 52. Escaneo de protocolo IEC 61850 del caso de estudio. Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .
Figura 53. Escaneo de protocolo SNMP del caso de estudio. Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .
Figura 54. Escaneo de protocolo de redundancia controlador del caso de estudio.
Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 162
Tabla 24. Método para evaluar las amenazas identificadas. Fuente: Elaboración propia.
Continuando con la metodología, el siguiente paso consiste en la verificación de
funcionamiento de los protocolos de comunicación y aplicaciones, para esto se recomienda
compararlo con la línea base tanto en la configuración de equipos, como en los resultados
de las pruebas de las mismas que generalmente son las pruebas de aceptación realizadas
durante el comisionamiento de la subestación.
Lo más importante en este aspecto es validar si el agente propietario del sistema cuenta
con una politica definida para la gestión documental técnica y copias de seguridad, así como
procedimientos para el manejo de control de cambios. En este punto en particular, a pesar
de tener un sistema de gestión documental corporativo, la entidad dueña de la instalación
para el caso de la documentación técnica, actualmente no esta aplicando la politica y se
observa que el control de cambios no es suficiente para llevar la trazabilidad de una línea
base de las configuraciones de los activos secundarios y terciarios de la subestación.
La afirmación anterior se evidencia con la comparación de las configuraciones de la puesta
en servicio de la subestación con las que actualmente tienen cargada los dispositivos,
donde se encontraron diferencias en 15 equipos. En consecuencia, no se sabe si la
Protocolo de red Tipo Puerto
IEC 60870-5-104 TCP 2404 - 2405
IEC 61850 Server TCP 102
Registradores GE TCP 4847
NTP UDP 123
Remote Server TCP 7912
IHM TCP 10501
Redundancia Gateway 10500
Propietario Gestion Siemens TCP 508-509
Propietario Gestion ABB TCP 5555 - 5556
HTTPS TCP 443
HTTP TCP 80
FTP TCP 20 - 21
ICCP TCP 102
SNMP UDP 161
IRIG-B SERIAL P2P
IEC 60870-5-101 SERIAL RS232
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 163
discrepancia obedece a un cambio programado o por lo contrario es asociado a un error o
posible modificación por ataque malintecionado.
Para la validación del funcionamiento de los protocolos de comunicación y las señales
programadas en los IED’s se aprovecho las pruebas de mantenimiento preventivo que se
realizan cada 3 años, donde se valido el estado actual del hardware y la configuración de
las señales de los controladores y protecciones de cada una de las bahías de la subestación
analizada, con esto adicionalmente se documento la línea base para futuros análisis de
vulnerabilidad del sistema. En la Figura 55 se presenta el ejemplo del protocolo realizado a
un IED, de este análisis se encontro entre todos los equipos valorados (2) fallas ocultas por
daño propio en el hardware, una salida y una entrada binaria localizada en diferentes IED’s
dentro de la subestación.
Figura 55. Protocolo de pruebas IED para el caso de estudio. Fuente: Elaboración propia.
Asimismo, se realizo la verificación de la señalización de todos los IED’s a los niveles de
control 2 (IHM Local) y 3 (Centro Control del Agente). En las Figura 56, 57 y 58 se presenta
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 164
los soportes de prueba de una bahia, donde se valido los resultados tanto con la
configuración actual de los equipos, como con el archivo de pruebas realizado en la puesta
en servicio de la subestación. De este ejercicio se encontro que en el Scada se encontraban
señales programadas que no existian en la subestación, lo cual generaba unas alarmas en
las interrogaciones generales que se realizaban a los controladores de subestación desde
el Scada.
Figura 56. Prueba de entradas binarias IED para el caso de estudio. Fuente: Elaboración propia.
Figura 57. Prueba de Salidas binarias IED para el caso de estudio. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 165
Figura 58. Prueba de entradas análogas IED para el caso de estudio. Fuente: Elaboración propia.
Siguiendo con la propuesta metodologica se procede a realizar la verificación de la
información que se transmite a través de los protocolos de comunicación de las tecnologías
de operación. El primer análisis se realiza a la comunicación que existe entre los IED’s y el
controlador de subestación que en el caso particular se realiza a través del protocolo IEC
61850. Para esta validación se configuro un IED en el laboratorio de pruebas con la misma
configuración de uno de los equipos de la subestación, por otra parte se simulo con una
maquina virtual el controlador de subestación donde se cargo la parametrización y base de
datos del sistema; para la conexión a la red se utilizo un switch donde se asigno un puerto
mirror para espiar la comunicación entre el controlador de subestación y el IED.
Los resultados obtenidos se pueden observar en la Figura 59, donde se evidencia la
ausencia de mecanismos de encriptación y donde resulta facil identificar la información
operativa que se transmite por la red de control y protección, donde si se llegase a penetrar
es posible realizar modificaciones en el funcionamiento de los activos secundarios y por
consiguiente afectar los activos promarios del sistema de transmisión de energía eléctrica.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 166
Figura 59. Prueba de laboratorio, interpretación de trama IED para el caso de estudio. Fuente: Elaboración propia.
Un segundo análisis a los protocolos de las tecnologias de operación del caso de estudio,
se realizo a la comunicación entre el controlador de subestación y el centro de control del
agente, donde se utiliza el protocolo IEC 60870-5-104. Para esta validación se simulo en
maquinas virtuales el controlador de subestación y el sistema Scada donde se cargo la
parametrización y la base de datos del sistema; para la conexión a la red se utilizo un switch
donde se asigno un puerto mirror para espiar la comunicación entre los dos sistemas.
Como resultado se tiene que la comunicación hacia el centro de control tampoco es cifrada
como se muestra en la Figura 60, revelando una vulnerabilidad fuerte dado que esta
información fluye hacia fuera del perimetro de seguridad fisica de la subestación y puede
estar expuesta en la insfraestructura de comunicaciones que utiliza para transmitir la
señalización hasta el centro de control del agente.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 167
Figura 60. Prueba de laboratorio, interpretación de trama controlador de subestación para el caso de estudio.
Fuente: Elaboración propia.
Hasta la presente, las pruebas se han limitado a espiar he interpretar la información que se
transmite en el sistema. Ahora bien, continuando con la metodología de validar las zonas
de seguridad configuradas con sus respectivas políticas de seguridad y reglas, la siguiente
fase de pruebas se basa en obtener acceso a los equipos del sistema y en lo posible
mantenerlo vigente.
Atendiendo a estas consideraciones, se realiza un descubrimiento de la red con ayuda de
las IP identificadas en el proceso de verificación de protocolos descrita en los párrafos
anteriores, en este punto inicialmente se utilizo un mecanismo manual para determinar s
las direcciones IP eran validas y respondian en la red de control y protección de la
subestación. En la Figura 61 se presenta la respuesta positiva de los 7 dispositivos
escaneados durante la prueba pasiva.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 168
Figura 61. Prueba de ping equipos identificados en prueba pasiva para el caso de estudio. Fuente: Elaboración propia.
Al obtener respuesta positiva de los equipos se identifico la red interna de la subestación,
por consiguiente se utilizo el código mostrado en la Figura 62 para el descubrimiento de la
red del sistema, lo anterior con ayuda de la ejecución del script con kali linux.
Figura 62. Código de descubrimiento de red con ping. Fuente: Elaboración propia.
Frente a esta situación real, fue posible identificar la mayoría de los dispositivos de la red
de control y protección sin tener la información previa y simplemente realizando pruebas de
escaneo de descubrimiento de red. En la Tabla 25 se presentan los equipos descubiertos
y espiados por SNMP en la red de comunicaciones del caso de estudio.
Tabla 25. Equipos descubiertos y espiados en la red de comunicaciones del caso de estudio. Fuente: Elaboración propia.
IP IDENTIFICADA NOMBRE IED GATEWAY SUBREDTIEMPO
P ING
VERSION
SNMPDESCRIPCION TIPO EQUIPO MAC
LINK
CANAL 1
LINK
CANAL 2PROTOCOLO
SERVIDOR
SNTPSERIAL REFERENCIA
XX.X.XXX.612D2_R02_F003
XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.54.01.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025962 C53207A 602B110 1
XX.X.XXX.622D2_R02_F004
XX.X.XXX.1 255.255.255.0 1 ms V3 SIPROTEC 5 sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1802072804 C53207A 602B110 2
XX.X.XXX.632D3_R03_F003
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025956 C53207A 602B110 1
XX.X.XXX.642D3_R03_F004
XX.X.XXX.1 255.255.255.0 1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D3/SIP098EFFCF9400 09 8E FF CF 94 Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.652D4_R04_F003
XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025963 C53207A 602B110 1
XX.X.XXX.662D4_R04_F004
XX.X.XXX.1 255.255.255.0 <1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D4/SIP098EFFCE2F00 09 8E FF CE 2F Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.672D5_R05_F003
XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1512061443 C53207A 602B110 1
XX.X.XXX.682D5_R05_F004
XX.X.XXX.1 255.255.255.0 1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D5/SIP098EFFCE3200 09 8E FF CE 32 Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.692D6_R06_F003
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025942 C53207A 602B110 1
XX.X.XXX.702D7_R07_F003
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.54.01.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025950 C53207A 602B110 1
XX.X.XXX.712D7_R07_F004
XX.X.XXX.1 255.255.255.0 2 ms V3 SIPROTEC 5 sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1802072821 C53207A 602B110 2
XX.X.XXX.722D9_R09_F003
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1510048742 C53207A 602B110 1
XX.X.XXX.732D9_R09_F004
XX.X.XXX.1 255.255.255.0 1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D9/SIP098EFFCF9800 09 8E FF CF 98 Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.742D10_R10_F00
3 XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025964 C53207A 602B110 1
XX.X.XXX.752D10_R10_F00
4 XX.X.XXX.1 255.255.255.0 1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D10/SIP098EFFCE3000 09 8E FF CE 30 Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.762D12_R12_F00
3 XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025965 C53207A 602B110 1
XX.X.XXX.772D12_R12_F00
4 XX.X.XXX.1 255.255.255.0 <1 ms V2
SIPROTEC4 EN100_O V04.29.01_01
Ed2
EN100_O
F004_D12/SIP098EFFCE2D00 09 8E FF CE 2D Up Up HSR XX.X.XXX.161 N/E N/E
XX.X.XXX.121 2D2_w02_D001 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025966 C53207A 602B110 1
XX.X.XXX.122 2D3_w03_D001 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410061244 C53207A 602B110 1
XX.X.XXX.123 2D4_w04_D001 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410061221 C53207A 602B110 1
XX.X.XXX.1242D5_W05_D001
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410061235 C53207A 602B110 1
XX.X.XXX.1252D6_W06_D001
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039613 C53207A 602B110 1
XX.X.XXX.1262D7_W07_D001
XX.X.XXX.1 255.255.255.0 2 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410061223 C53207A 602B110 1
XX.X.XXX.1272D9_W09_D001
XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410061228 C53207A 602B110 1
XX.X.XXX.1282D10_W10_D00
1 XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025930 C53207A 602B110 1
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica “EVULCIB”, estudio de caso subestación
eléctrica de 230kV ubicada en la ciudad de Bogotá-Colombia.
Página | 170
IP IDENTIFICADA NOMBRE IED GATEWAY SUBREDTIEMPO
PING
VERSION
SNMPDESCRIPCION TIPO EQUIPO MAC
LINK
CANAL 1
LINK
CANAL 2PROTOCOLO
SERVIDOR
SNTPSERIAL REFERENCIA
XX.X.XXX.1292D12_W12_D00
1 XX.X.XXX.1 255.255.255.0 1 ms V3
SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025927 C53207A 602B110 1
XX.X.XXX.130 2D2_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039612 C53207A 602B110 1
XX.X.XXX.131 2D3_S1_D011 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039618 C53207A 602B110 1
XX.X.XXX.132 2D4_S1_D011 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039616 C53207A 602B110 1
XX.X.XXX.133 2D5_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039619 C53207A 602B110 1
XX.X.XXX.134 2D6_S1_D011 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025949 C53207A 602B110 1
XX.X.XXX.135 2D7_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039622 C53207A 602B110 1
XX.X.XXX.136 2D9_S1_D011 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025960 C53207A 602B110 1
XX.X.XXX.137 2D10_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410039615 C53207A 602B110 1
XX.X.XXX.138 2D12_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware
(FW) V07.31.03.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1512061343 C53207A 602B110 1
Posteriormente, con el tiempo de respuesta y el TTL se detectaron los dispositivos que
tienen sistemas operativos, por lo evidenciado los que son IED’s cuentan con un TTL de 64
y los que son equipos de computo cuentan con un TTL de 127 (ver Figura 61), con este
análisis basico se escaneo los servicios abiertos de los equipos dentro de la red con la
ayuda de Nmap de Kali linux como se muestra en la Figura .
Figura 63. Escaneo de servicios abiertos equipos de cómputo caso de estudio. Fuente: Elaboración propia.
A partir de los resultados obtenidos se identifico disponible el servicio de escritorio remoto
en algunos equipos de computo de la subestación, por lo que se realizaron ataques de
fuerza bruta para identificar credenciales RDP y de esta forma entrar al sistema de control
y proteccion. En la Figura 64 se observa la prueba realizada y fue posible obtener las
credenciales de uno de los equipos instalados detectando posible patrón en las
credenciales (ver Figura 65).
Figura 64. Ataque de fuerza bruta para identificar credenciales RDP equipos caso de estudio. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 172
Figura 65. Ataque de fuerza bruta con detección de patrón en las credenciales de equipos de cómputo del caso de estudio. Fuente: Elaboración propia.
Con esto se logro ingresar con el acceso remoto a la IHM de la subestación, teniendo
acceso de monitoreo a la subestación como se presenta en la Figura 66, sin embargo la
aplicación solicitaba una clave adicional para la operación de control del sistema, la cual no
fue posible identificar.
Figura 66. Ataque de fuerza bruta credenciales RDP de la IHM del caso de estudio. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 173
Como se observo en la Tabla 25, desde los IED’s fue posible reconocer la dirección IP del
enrutador de la subestación, por lo que la prueba siguiente fue intentar ingresar al router
firewall de la subestación, donde luego de reconocer la marca del equipo y buscando en los
manuales del equipo se encontro que las claves por defecto de fabrica permitian el ingreso,
con lo cual la intrusión se logro a profundida luego de estar dentro de las instalaciones
fisicas de la subestación.
Entrando al router firewall de la subestación se detecto las politicas, enrutamientos y vlans
configuradas para el funcionamiento del sistema como lo muestra las Figuras 67, 68 y 69
respectivamente. Todo lo anterior dado que en este caso el autor conocia al detalle la
manera en que se configuran este tipo de dispositivos.
Figura 67. Descubrimiento de las políticas firewall del caso de estudio. Fuente: Elaboración propia.
Figura 68. Descubrimiento del enrutamiento del caso de estudio. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 174
Figura 69. Descubrimiento de las Vlans firewall del caso de estudio. Fuente: Elaboración propia.
Adicionamente se logro identificar la conexión fisica de cada uno de los puertos del router
firewall como se presenta en la Tabla 26, donde se observan puertos de reserva y
disponibles para cualquier dispositivo que se conecte al puerto de manera fisica.
Tabla 26. Puertos identificados en el Router Firewall del caso de estudio. Fuente: Elaboración propia.
PUERTO ROUTER DESTINO
LM1/1 RESERVA
LM1/2 104 SU1
LM1/3 Gestion CYP
LM1/4 104 SU2
LM1/5 Gestion -RF y SVC
LM1/6 RESERVA
LM2/1 RESERVA
LM2/2 RESERVA
LM2/3 RESERVA
LM2/4 RESERVA
LM2/5 RESERVA
LM2/6 RESERVA
LM3/1 SDH - P1 VIDEO
LM3/2 SDH Corporativa
LM3/3 SDH - TELEFONO
LM3/4 SDH - CCT
LM4/1 Gestion -RF y SVC
LM4/2 SDH - Gestion CYP
LM4/3 SDH - Teleprotección - Gestion
LM4/4 SDH - Gestion CYP
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 175
Posteriormente, con las rutas configuradas fue posible identificar direccionamiento IP de
equipos de borde remotos y donde fue posible ingresar desde el router local a través de
SSH como lo muestra la Figura 70 y donde funcionaron las mismas credenciales de fabrica
que traen los equipos de comunicaciones.
Figura 70. Ingreso equipo de comunicación remoto desde el Router local del caso de estudio. Fuente: Elaboración propia.
Con las pruebas realizadas hasta el momento y de acuerdo a la propuesta metodologica se
evidencia que el sistema no garantiza un funcionamiento seguro, detectando varias
vulnerabilidades.
Continuando la guia se evalua el comportamiento de la red y de las aplicaciones bajo los
escenarios de la lista de amenazas definidas y vigentes, encontrando las vulnerabilidades
presentadas en las Figura 71 en los servidores de los controladores de subestación e IHM’s,
donde se detecta que los equipos no tienen las actualizaciones del sistema operativo.
Figura 71. Vulnerabilidades de sistemas operativos del caso de estudio. Fuente: Elaboración propia.
Para identificar vulnerabilidades de los dispositivos de OT se realizo la verificación del
sotfware instalado y versiones actuales, donde se encontro que existian dos
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 176
vulnerabilidades de negación de servicio encontradas por el fabricante como se describe
en la Figura 72.
Figura 72. Vulnerabilidades de dispositivos OT instalados en el caso de estudio. Fuente: Elaboración propia.
Como parte de la metodología esta realizar la prueba del comportamiento del equipo bajo
la vulnerabilidad detectada, para lo cual se realizo un laboratorio en donde se replico la
configuración de uno de los IED’s afectados de la subestación y se encontro que fue posible
realizar el exploit en el dispositivo, de la vulnerabilidad reportada como se muestran en la
Figura 73.
Figura 73. Exploit de vulnerabilidades de dispositivos OT instalados en el caso de estudio. Fuente: Elaboración propia.
Otra vulnerabilidad encontrada se evidencio en el sistema de registradores de fallas de la
subestación, a los cuales fue posible ingresar a través del servicio web del dispositivo,
donde la clave de ingreso es la encontrada en los manuales de los equipos y que esta
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 177
disponibles en internet. Como prueba de intrusión se realizo el reset del dispositivo y como
se puede observar en la Figura 74, el exploit fue ejecutado satisfactoriamente.
Figura 74. Exploit de vulnerabilidades de Registradores de Falla en el caso de estudio. Fuente: Elaboración propia.
Del mismo modo, se intento realizar la conexión a los IED’s de la subestación a traves de
otro cliente en IEC 61850, logrando establecer la comunicación verificando incluso las
conexiones actuales como se observa en la Figura 75.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 178
Figura 75. Conexión cliente IEC61850 externo a IED’s del caso de estudio. Fuente: Elaboración propia.
A través de esta conexión establecida se tiene supervisión y control de toda la información
configurada en el IED, se puede forzar la señalización de las protecciones por ejemplo,
enviar hacia el centro de control información del disparo de la protección diferencial de línea
como se presenta en la Figura 76, o enviar hacia el relé de protección la desactivación de
la protección diferencial de línea como se muestra en la Figura 77.
Figura 76. Conexión cliente IEC61850 externo forzando señalización hacia el Centro de Control. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 179
Figura 77. Conexión cliente IEC61850 externo desactivando funciones de protección en el relé. Fuente: Elaboración propia.
Con esta intrusión, ninguno de los equipos existentes en el sistema la detecta, he incluso
la conexión con el equipo existente (controlador de subestación, ver Figura 78), no pierde
conectividad ni presenta intermitencias con lo cual puede mantenerse de manera constante
la conexión sin ser detectada. Se establecieron simultaneamente tres vínculos a los IED’s
del caso de estudio y todas las conexiones fueron validas e indetectables por el sistema de
control y protección, ni por el sistema Scada de la compañia.
Figura 78. Conexión Controlador de Subestación con IED’s de manera simultánea con cliente externo.
Fuente: Elaboración propia.
Aprovechando unos trabajos de mantenimiento en la subestación del caso de estudio y con
el objetivo de ver el impacto que se puede ocasionar con este tipo de intrusión en el sistema
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 180
de control y protección, se realizo a través de una conexión externa en protocolo IEC 61850
a uno de los controladores de bahia de un línea (ver Figura 79), la maniobra de un
seccionador sin que nada lo detectará e impidiera, la prueba se registra en la Figura 80.
Figura 79. Conexión cliente IEC61850 externo ejecutando mando sobre seccionador de barra. Fuente: Elaboración propia.
Figura 80. Ejecución del mando sobre seccionador de barra. Fuente: Elaboración propia.
Para finalizar la evaluación de las aplicaciones y sotfware, en cuanto a la evaluación de los
sistemas de monitoreo en línea del sistema NOC se identifico que la empresa no cuenta
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 181
con sistema de monitoreo en línea de la red de comunicaciones, por lo que se recomienda
a corto plazo implementarlo dado que como se encuentra actualmente el sistema, no es
posible detectar vulnerabilidades ni intrusiones sobre la infraestructura crítica.
Como parte adicional se observo algunas vulnerabilidades fisicas que deben tambien ser
tenidas en cuenta dentro de la valoración y que son evaluadas en los indicadores de
vulnerabilidad del sistema. El primer hallazgo se encuentra en la malla perimetral de la
subestación, donde se encuentra amarrado un pedaso de madera que puede facilitar el
ingreso no autorizado a las instalaciones tal y como se presenta en la Figura 81.
Figura 81. Vulnerabilidad física malla perimetral subestación. Fuente: Elaboración propia.
Dentro de las vulnerabilidades fisicas se identifico que los tableros de control, protección,
medida y comunicaciones no se encuentran con llave (ver Figura 82), en donde un atacante
luego de entran a la subestación puede interrogar los dispositivos por el frontal de los
equipos. En esta prueba fue posible identificar el direccionamiento IP de diferentes
dispositivos y la dirección del Gateway como se observa en la Figura 83.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 182
Figura 82. Vulnerabilidad física tableros sin llave en subestación. Fuente: Elaboración propia.
Figura 83. Vulnerabilidad física identificación de información de IED’s. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 183
6.4 Evaluación de ciber vulnerabilidad
Con referencia a la metodología propuesta, lo siguiente es realizar el cálculo de los dos
indicadores IVO y IVS definidos en este trabajo para diagnosticar el sistema a nivel de ciber
vulnerabilidad.
Sobre la base de las ideas expuestas, para realizar el cálculo del IVO se identifico el
escenario de despacho y demanda reales, que produce el mayor flujo de energía por la
subestación, esto se realizo con ayuda del historico de las señales almacenadas en el
centro de control tal y como se presenta en las Figuras 84-85, y a partir de las simulaciones
en software especializado.
Figura 84. Histórico de Potencia Activa real del caso de estudio. Fuente: Elaboración propia.
Figura 85. Histórico de Potencia Reactiva real del caso de estudio. Fuente: Elaboración propia.
-250
-200
-150
-100
-50
0
50
100
150
Dat
e/Ti
me
1/09
/201
81/
09/2
018
2/09
/201
82/
09/2
018
3/09
/201
84/
09/2
018
5/09
/201
85/
09/2
018
6/09
/201
86/
09/2
018
7/09
/201
87/
09/2
018
8/09
/201
88/
09/2
018
9/09
/201
89/
09/2
018
10/0
9/2
018
10/0
9/2
018
11/0
9/2
018
11/0
9/2
018
12/0
9/2
018
12/0
9/2
018
13/0
9/2
018
13/0
9/2
018
14/0
9/2
018
14/0
9/2
018
15/0
9/2
018
15/0
9/2
018
16/0
9/2
018
16/0
9/2
018
17/0
9/2
018
17/0
9/2
018
18/0
9/2
018
18/0
9/2
018
19/0
9/2
018
19/0
9/2
018
20/0
9/2
018
20/0
9/2
018
21/0
9/2
018
21/0
9/2
018
22/0
9/2
018
22/0
9/2
018
23/0
9/2
018
23/0
9/2
018
24/0
9/2
018
24/0
9/2
018
24/0
9/2
018
25/0
9/2
018
25/0
9/2
018
26/0
9/2
018
27/0
9/2
018
27/0
9/2
018
27/0
9/2
018
28/0
9/2
018
29/0
9/2
018
29/0
9/2
018
30/0
9/2
018
30/0
9/2
018
1/10
/201
81/
10/2
018
2/10
/201
82/
10/2
018
3/10
/201
83/
10/2
018
4/10
/201
84/
10/2
018
5/10
/201
85/
10/2
018
6/10
/201
86/
10/2
018
7/10
/201
87/
10/2
018
8/10
/201
88/
10/2
018
9/10
/201
811
/10
/20
1812
/10
/20
1812
/10
/20
1813
/10
/20
1813
/10
/20
1814
/10
/20
1814
/10
/20
1815
/10
/20
1815
/10
/20
1815
/10
/20
1816
/10
/20
1816
/10
/20
1817
/10
/20
1817
/10
/20
1818
/10
/20
1818
/10
/20
1819
/10
/20
1819
/10
/20
1820
/10
/20
1820
/10
/20
1821
/10
/20
1821
/10
/20
1822
/10
/20
1822
/10
/20
1823
/10
/20
1823
/10
/20
1824
/10
/20
1824
/10
/20
1825
/10
/20
1825
/10
/20
1826
/10
/20
1826
/10
/20
1827
/10
/20
1827
/10
/20
1828
/10
/20
1828
/10
/20
1829
/10
/20
1829
/10
/20
1830
/10
/20
1830
/10
/20
1831
/10
/20
18
PO
TEN
CIA
AC
TIV
A [
MW
]
TIEMPO
Potencia Activa Línea 1 Potencia Activa Línea 2 Potencia Activa Línea 3 Potencia Activa Línea 4
-150
-100
-50
0
50
100
Dat
e/Ti
me
1/09
/201
81/
09/2
018
2/09
/201
82/
09/2
018
3/09
/201
84/
09/2
018
5/09
/201
85/
09/2
018
6/09
/201
86/
09/2
018
7/09
/201
87/
09/2
018
8/09
/201
88/
09/2
018
9/09
/201
89/
09/2
018
10/0
9/2
018
10/0
9/2
018
11/0
9/2
018
11/0
9/2
018
12/0
9/2
018
12/0
9/2
018
13/0
9/2
018
13/0
9/2
018
14/0
9/2
018
14/0
9/2
018
15/0
9/2
018
15/0
9/2
018
16/0
9/2
018
16/0
9/2
018
17/0
9/2
018
17/0
9/2
018
18/0
9/2
018
18/0
9/2
018
19/0
9/2
018
19/0
9/2
018
20/0
9/2
018
20/0
9/2
018
21/0
9/2
018
21/0
9/2
018
22/0
9/2
018
22/0
9/2
018
23/0
9/2
018
23/0
9/2
018
24/0
9/2
018
24/0
9/2
018
24/0
9/2
018
25/0
9/2
018
25/0
9/2
018
26/0
9/2
018
27/0
9/2
018
27/0
9/2
018
27/0
9/2
018
28/0
9/2
018
29/0
9/2
018
29/0
9/2
018
30/0
9/2
018
30/0
9/2
018
1/10
/201
81/
10/2
018
2/10
/201
82/
10/2
018
3/10
/201
83/
10/2
018
4/10
/201
84/
10/2
018
5/10
/201
85/
10/2
018
6/10
/201
86/
10/2
018
7/10
/201
87/
10/2
018
8/10
/201
88/
10/2
018
9/10
/201
811
/10
/20
1812
/10
/20
1812
/10
/20
1813
/10
/20
1813
/10
/20
1814
/10
/20
1814
/10
/20
1815
/10
/20
1815
/10
/20
1815
/10
/20
1816
/10
/20
1816
/10
/20
1817
/10
/20
1817
/10
/20
1818
/10
/20
1818
/10
/20
1819
/10
/20
1819
/10
/20
1820
/10
/20
1820
/10
/20
1821
/10
/20
1821
/10
/20
1822
/10
/20
1822
/10
/20
1823
/10
/20
1823
/10
/20
1824
/10
/20
1824
/10
/20
1825
/10
/20
1825
/10
/20
1826
/10
/20
1826
/10
/20
1827
/10
/20
1827
/10
/20
1828
/10
/20
1828
/10
/20
1829
/10
/20
1829
/10
/20
1830
/10
/20
1830
/10
/20
1831
/10
/20
18
PO
TEN
CIA
REA
CTI
VA
[M
VA
r]
TIEMPO
Potencia Reactiva Línea 1 Potencia Reactiva Línea 2 Potencia Reactiva Línea 3 Potencia Reactiva Línea 4 Potencia Reactiva CompReac
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 184
Como resultado para el caso de estudio, se determinó un escenario en el que se obtuvo
una transferencia de potencia activa de 308,34 MW y 35MVAr de potencia reactiva, tal como
se presenta en la Figura 86.
Figura 86. Escenario de análisis eléctrico para el caso de estudio. Fuente: Elaboración propia.
A partir de este escenario de simulación y de acuerdo a la metodología propuesta, se realiza
la contingencia en el que se apaga la subestación (ataque cibernético exitoso), y como
primera medida se identifican si existen líneas y equipos sobrecargados por el evento.
Figura 87. Escenario con contingencia en el que se apaga la subestación. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 185
En este caso se produce una desviación de voltaje >10% en dos barras de un sistema de
compensación reactiva que se encuentra ubicado en otra subestación del sistema de
transmisión, por lo que se procede a volver a simular la contingencia con la salida de las
barras excedidas.
Figura 88. Escenario con contingencia segunda iteración. Fuente: Elaboración propia.
En este caso, se sobrecargan un transformador de 230/115kV junto con dos líneas de
115kV y dos líneas de 230kV, con esto se continua con la iteración sumandole a la
contingencia anterior la salida de los elementos sobrecargados.
Figura 89. Escenario con contingencia tercera iteración. Fuente: Elaboración propia.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 186
Con la salida de los elementos sobrecargados, la frecuencia no se ve afectada y permanece
la estabilidad en el sistema de transmisión. Sin embargo, bajo la contingencia se detecta
DNA con afectación en dos elementos del sistema de transmisión, el primero un
compensador de reactivos en 230kV y el segundo una subestación adyacente a la evaluada
a 230kV, además la salida de dos líneas de 230kV adicionales a las propias de la
subestación, así como 4 líneas de 115kV.
La potencia no suministrada en el escenario final del evento es de 259,93 MW, donde
aplicando la metodología propuesta se tiene que la demanda no atendía se calcula con la
ecuación [13] y bajo el escenario en que la afectación tiene efecto regional es decir que el
restablecimiento del sistema afectado se estima en dos horas.
𝐷𝑁𝐴[𝑀𝑊ℎ] = 259,93[𝑀𝑊] ∗ 2
𝐷𝑁𝐴[𝑀𝑊ℎ] = 519,86[𝑀𝑊ℎ]
Para calcular la demanda no atendida normalizada, se utiliza en este caso la ecuación [14],
donde se obtiene el siguiente valor:
𝐷𝑁𝐴 ≤ 1000𝑀𝑊ℎ = 0,1 + (0,6 ∗519,86[𝑀𝑊ℎ]
1000 [𝑀𝑊ℎ])
𝐷𝑁𝐴𝑛 = 0,41
Continuando con la metodología propuesta se calcula la pérdida de conectividad (PC), su
cálculo se realiza con la ecuación [2]. Donde en el caso de estudio KL=64 que es el número
de líneas disponibles en el área de influencia antes del ataque y KL'=51 representa el
número de líneas disponibles luego del ataque.
PC = 1 − 51 64⁄
PC = 0,20
El siguiente factor que se debe calcular es la ponderación de subestación (PS), a partir de
los pesos definidos en la Tabla 7 y su posterior normalización para representar el efecto
que tiene afectar la instalación valorada.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 187
𝑃𝑆 = 4 ∗ 300 + 5 ∗ 700
𝑃𝑆 = 4700
En este caso, se utiliza la ecuación [17] para hallar el valor de la ponderación de subestación
normalizada:
𝑃𝑆𝑛 = 0,7 + (0,3 ∗4700
10000)
𝑃𝑆𝑛 = 0,84
Por ultimo, se determina el valor del indicador de vulnerabilidad operativa (IVO), con base
en la ecuación [18].
𝐼𝑉𝑂 = 0,4 ∗ 0,41 + 0,4 ∗ 0,20 + 0,2 ∗ 0,84
𝐼𝑉𝑂 = 0,42
Retomando las pruebas de aplicaciones y redes de comunicaciones realizadas en la
sección 6.3, se utiliza como soporte para determinar el IVS de acuerdo a la metologia
propuesta, acontinuación los resultados obtenidos en la valoracion:
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 188
Tabla 27. Evaluación de los controles de identificación y autenticación caso de estudio. Fuente:
Elaboración propia.
𝐼𝐴𝐶 =(1) ∗ 2 + (3)
16= 0,312
Tabla 28. Evaluación tiempos de respuesta a eventos caso de estudio. Fuente: Elaboración propia.
𝑇𝑅𝐸 =(1) ∗ 2 + (0)
6= 0,333
+: Implementado ±: Parcial -:No existe
Se tiene identificación y autenticación única para
todos los usuarios.X
Se tiene múltiple factor de autenticación para todas
las redes.X
Se realiza gestión de cuentas unificada. X
Se cuenta con Hardware de seguridad para identificar
credenciales mediante procesos de software.X
Se cuenta con identificación y autenticación única
para los accesos inalámbricos.X
Se tiene metodología definida para la generación de
contraseñas.X
Se realiza restricciones en tiempo de vida para las
contraseñas de usuarios.X
Se realiza bloqueos por Intentos de login fallidos. X
CONTROLES DE IDENTIFICACIÓN Y AUTENTICACIÓN (IAC)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se puede tener accesibilidad a logs de todos los
equipos y software.X
Se tiene sistema de monitoreo continuo. X
Se tiene plan de entrenamiento continuo para el
personal, en conciencia de seguridad .X
TIEMPO DE RESPUESTA A EVENTOS (TRE)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 189
Tabla 29. Evaluación de los controles de uso caso de estudio. Fuente: Elaboración propia.
𝑈𝐶 =(2) ∗ 2 + (2)
14= 0,428
Tabla 30. Evaluación de la integridad del sistema caso de estudio. Fuente: Elaboración propia.
+: Implementado ±: Parcial -:No existe
Se tiene aplicación de autorización para todos los
usuarios.X
Se realiza mapeo de permisos por roles. X
Se cuenta con sincronización interna de tiempo para
todos los equipos.X
Se cuenta con sistemas de gestión centralizada. X
Se puede identificar y reportar dispositivos no
autorizados.X
Se usa certificados de seguridad para los accesos
remotos a dispositivos.X
Se puede identificar y reportar personal no
autorizado en las instalaciones físicas.X
CONTROL DE USO (UC)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se usa criptografía para proteger la integridad de los
datos.X
Se usa protección contra código malicioso en los
puntos de entrada y salida.X
Se cuenta con sistema de gestión centralizada para
protección contra código malicioso.X
Se cuenta con mecanismos para verificar
funcionalidades de seguridad.X
Se tiene sistema de notificaciones automáticas sobre
violaciones de integridad.X
INTEGRIDAD DEL SISTEMA (SI)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 190
𝑆𝐼 =(0) ∗ 2 + (0)
10= 0
Tabla 31. Evaluación de la confidencialidad de los datos caso de estudio. Fuente: Elaboración propia.
𝐷𝐶 =(0) ∗ 2 + (2)
8= 0,250
Tabla 32. Evaluación del flujo de datos restringido caso de estudio. Fuente: Elaboración propia.
𝑅𝐷𝐹 =(4) ∗ 2 + (2)
12= 0,833
Tabla 33. Evaluación de la disponibilidad de recurso caso de estudio. Fuente: Elaboración propia.
+: Implementado ±: Parcial -:No existe
Se tiene protección de la confidencialidad de la
información alojada o en tránsito por redes.X
Se tiene protección de la confidencialidad a través de
los límites de las zonas.X
Se usa criptografía para proteger la integridad de los
datos.X
Se realiza purga de recursos de memoria compartida. X
CONFIDENCIALIDAD DE LOS DATOS (DC)
DescripciónImpacto
+: Implementado ±: Parcial -:No existe
Se tiene segmentación física de redes. X
Se tiene aislamiento lógico y físico de redes criticas. X
Se realiza denegar por defecto, permitir por
excepción.X
Se cuenta con sistema de gestión centralizada para el
monitoreo de flujos de datos.X
Se encuentran habilitados los puertos lógicos
utilizados por el sistema y restringidos los demas.X
Se cuenta definidos los anchos de banda de acuerdo
a los servicios que se utilizan. X
FLUJO DE DATOS RESTRINGIDO (RDF)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 191
𝑅𝐴 =(3) ∗ 2 + (1)
18= 0,388
Donde con estos valores normalizados se determina el IVS a partir de la ecuación [26],
𝐼𝑉𝑆 = 1 − [(1
7) ∗ (0,312 + 0,333 + 0,428 + 0 + 0,250 + 0,833 + 0,388)]
𝐼𝑉𝑆 = 0,637
Finalmente la evaluación deteremina que los indicadores finales para diagnostico y
seguimiento de ciber vulnerabilidad son:
𝐼𝑉𝑂 = 0,420 => 42,0%
𝐼𝑉𝑆 = 0,637 => 63,7%
+: Implementado ±: Parcial -:No existe
Se realiza gestión de la carga en las comunicaciones. X
Se tiene política de verificación de backup. X
Se tiene sistema de automatización de backup. X
Se cuenta con sistemas de respaldo de energía. X
Se cuenta con reportes de ajustes de seguridad
actuales legibles.X
Se cuenta con inventario de componentes del
sistemas de control.X
Se realizan pruebas de verificación de configuración
del sistema periodicamente.X
Se cuenta con gestor de actualizaciones e inventario
de versiones.X
Se cuenta con los especialistas para el manejo y
operación de los sistemas de control y protección. X
DISPONIBILIDAD DE RECURSOS (RA)
DescripciónImpacto
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 192
6.5 Análisis de resultados
A partir del indicador de vulnerabilidad operativa y con base en los resultados de la
simulaciones, se observa que con cualquier situación que comprometa la integridad de esta
subestación no sólo pone en riesgo de apagón al suroriente de Bogota, sino por efecto de
fallas en cascada y escenarios de contingencias mayores a N-2 puede comprometer el
suministro de energía eléctrica Nacional.
El valor del indicador IVO del caso de estudio, se determina que está dentro de un valor de
impacto medio, sin embargo al tener simultaneidad de afectación con otra subestación del
área oriental, con una alta probabilidad podría generar un blackout en el país.
Como resultado del indicador de vulnerabilidad del sistema, este se encuentra dentro de un
valor de impacto medio también, sin embargo de las pruebas realizadas se observa puntos
críticos de vulnerabilidades los cuales con seguridad al realizar un exploit podrían afectar
la operación de los activos secundarios y terciarios, comprometiendo directamente a los
activos primarios y por ende al sistema de transmisión nacional.
Con base a la evaluación de vulnerabilidad de los siete requisitos técnicos valorados dentro
de la metodología se observan que las mayores brechas se presentan en la integridad del
sistema, en la confidencialidad de los datos y en los controles de identificación y
autenticación tal como puede verse en la Figura 90.
Por ello se hace necesario realizar un plan de acción para corregir estas vulnerabilidades
encontradas, las cuales a su vez de acuerdo al levantamiento de información realizado es
posible implementar con la tecnología que actualmente se encuentra instalada, donde
según lo observado es tema en la mayoría de los casos de diseño y configuración en los
activos secundarios y terciarios.
Las evidencias presentadas en la sección 6.3 motivan algunas ideas y reflexiones, en
cuanto a que tan expuesto está en realidad el sistema de energía nacional y en la
oportunidad de mejorar e integrar soluciones en el área de ciberseguridad al igual de
visibilizar las inversiones requeridas para garantizar el suministro confiable de energía
eléctrica del país.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 193
Figura 90. Nivel de vulnerabilidad de los siete requisitos técnicos de la metodología para el caso
de estudio. Fuente: Elaboración propia.
En la Tabla 34 se resume las pruebas adicionales realizadas especificamente para
complementar la evaluación de ciber vulnerabilidad efectuada en la sección 6.4 y que hacen
parte del análisis de los resultados elaborado.
Tabla 34. Evaluación de ciber vulnerabilidad caso de estudio. Fuente: Elaboración propia.
Activo Descripción de Ataque realizado
Mecanismo de Seguridad identificado
Nodos de la Red (IED’s, SICAM PAS, IHM, Router/Firewall).
Acceso a un nodo capturando información confidencial.
Control de acceso débil, claves por defecto del fabricante y patrones de claves identificados. Chequeo de integridad a nivel de TCP. Sin chequeo encontrado a nivel de aplicación.
Acceso a ejecución de comandos no autorizados.
Autenticación débil, claves por defecto del fabricante y patrones de calves identificados. Chequeo de integridad.
Modificación de información. (Eventos y maniobras falsas, modificación de la configuración y parametrización).
Control de acceso débil, claves por defecto del fabricante y patrones de calves identificados. Sin embargo, a nivel de IHM no fue posible descubrir las claves asignadas por los operadores de la subestación. Autenticación débil, claves por defecto del fabricante y patrones de claves identificados, es posible establecer conexión con IED’s y modificar la información directamente sin ser detectado. Sistema de control de cambios en el software de aplicación, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.
Ataque de denegación de servicio DoS (Denial Of Service).
Control de acceso débil, claves por defecto del fabricante y patrones de calves identificados.
0
0,2
0,4
0,6
0,8
1IAC
TRE
UC
SIDC
RDF
RA
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 194
Fue posible realizar Exploit de vulnerabilidad en algunos de los IED’s instalados en la subestación del caso de estudio. Redundancia de dispositivos.
Eliminación de información. (Históricos, archivos Comtrade).
Control de acceso débil, claves por defecto del fabricante y patrones de claves identificados. Fue posible eliminar información de IED’s sin ser detectados. Sistema de control de cambios en el software de aplicación, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.
Red LAN.
Acceso a la infraestructura de la red LAN, capturando información confidencial.
Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. Redundancia.
Ataque de denegación de servicio DoS (Denial Of Service) en la infraestructura de la LAN.
Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. No se logró realizar DoS a los Router y Switches del caso de estudio, sin embargo, al encontrar la clave de administrador puede modificarse la configuración y denegar los servicios al administrador original de la red. Redundancia.
Modificación de parámetros de configuración en los equipos de red.
Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. Fue posible encontrar la clave y es posible realizar el cambio de configuración.
Red WAN, red corporativa.
Acceso a la infraestructura de la WAN capturando información confidencial.
Control de acceso. (Lógico y Físico). Independiente (Lógico y Físico) de la red de control, protección y medida. Redundancia.
Ataque de denegación de servicio DoS (Denial Of Service) en la infraestructura de la WAN.
Control de acceso. (Lógico y Físico). No fue posible realizar ataque de DoS.
Modificación de parámetros de configuración en los equipos de red.
Control de acceso. (Lógico y Físico). Sistema de control de cambios, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.
Desde una perspectiva general, en los siguientes párrafos se analiza los aspectos más
relevantes y en los cuales se presentan las oportunidades de mejora de prioridad alta,
conforme al impacto que tendria en el sistema las vulnerabilidades encontradas:
Control de acceso de los IED: Los IED’s de protección y control del sistema, cuentan con
la opción de asignar claves de acuerdo a funciones especificas de cada dispositivo como lo
son cambios de ajustes, descarga de parámetros etc. Sin embargo, las claves se
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 195
encuentran por defecto a las que asigna el fabricante, la cual es facil de conseguir y
vulnerar.
Control de acceso en los equipos de red: Los Switch y Routers tienen claves de usuario,
sin embargo estas hacen parte de las claves por defecto de los equipos, los cuales son facil
de conseguir y vulnerar.
Control de acceso en los computadores y servidores: Los computadores y servidores
se encuentran trabajando en un sólo grupo de trabajo y configurados los usuarios de
administrador y operación, detectando ´patron de claves. Por otro lado, todas la maquinas
y servidores tienen habilitado el acceso remoto de windows, sin embargo esta conexión se
encuentra sin certificados por lo que es vulnerable a ataques.
Control de acceso a las aplicaciones: Las IHM’s cuentan con la configuración de usuarios
los cuales estan personalizados con los permisos otorgados a cada uno, permitiendo un
control riguroso de las maniobras y operaciones que se puedan realizar en la IHM. Sin
embargo, se encontraron usuarios no vigentes en la compañía que aún aparecen
habilitados. Adicionalmente, no se cuenta con una politica de cambio de claves para la
operación del sistema, es decir que desde su puesta en servicio nunca cambian.
En el sistema del controlador de subestación, todas las aplicaciones corren en usuario de
administrador los cuales están ligados a unas claves que son debiles y permitiria el acceso
a la parametrización del programa, permitiendo realizar modificaciones.
Control de cambios: Las aplicaciones cuentan con la posibilidad de control de cambios,
sin embargo no se lleva una trazabilidad de modificaciones, ni se realiza chequeo de
diferencias con configuraciones de línea base.
Como resultado de las pruebas de validación de funcionamiento de los protocolos de
comunicación industrial, se detectaron diferencias entre las bases de datos configuradas
en el Scada con respecto a la configurada en los controladores de la subestación del caso
de estudio.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 196
6.6 Recomendaciones
Dentro de las consultas del manual de los equipos instalados a nivel de controlador de
subestación, se encontro que es posible utilizar una funcionalidad de cifrado. El método de
cifrado usado en el SICAM PAS Secure Communication es basado en un método de
encriptación asimétrico. En este caso el receptor previsto para leer los datos cifrados debe
tener un par de claves que se compone de una clave privada y una clave pública, donde
esta última hace parte del certificado. Cuando un emisor quiere enviar un mensaje a un
receptor, solicita primero el certificado del receptor y luego utilizando la clave pública cifra
el mensaje y lo envía. El receptor descifra el mensaje utilizando su clave privada.
Actualmente, en el sistema evaluado esta funcionalidad se encuentra deshabilitada.
El controlador de subestación adicionalmente cuenta con la funcionalidad de autenticación,
en el que un receptor de un mensaje chequea la identidad del remitente. Cuando la
funcionalidad se activa, la identidad del remitente del mensaje se comprueba antes de que
el mensaje se procese. Actualmente, en el sistema evaluado esta funcionalidad se
encuentra deshabilitada.
Se recomienda definir una politica para la gestión documental técnica y copias de
seguridad, así como desarrollar procedimientos para el manejo de control de cambios.
Se recomenda realizar una validación de las bases de datos configuradas en el Scada y en
los controladores de la subestación. Adicionalmente, generar rutinas periodicas de
monitoreo de integridad y correspondencia de las bases de datos.
Se recomienda asignar claves de acceso a los IED’s diferentes a las que vienen por defecto
y realizar un formato de registro de claves para que personal de la organización encargado
de mantenimiento y operación tenga la documentación necesaria para poder ingresar en el
momento de requerirse y limitarlo a sólo personal autorizado.
Los Switch y Routers tienen disponible la configuración de claves de usuario,
adicionalmente utiliza SSH para la encriptación de password en caso de gestión remota al
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 197
dispositivo. Se recomienda habilitar la funcionalidad dado que se encuentra inactiva.
Adicionalmente, realizar un formato de registro de claves para que personal de la
organización encargado de mantenimiento y operación tenga la documentación necesaria
para poder ingresar en el momento de requerirse y limitarlo a sólo personal autorizado.
Los computadores y servidores tienen habilitado el acceso remoto por RDP, se recomienda
el uso de esta conexión a traves de certificados y monitorear estas conexiones remotas.
Se recomienda crear una polita de gestión de cuentas de usuario para los dispositivos de
OT.
Se sugiere establecer un plan para auditorías de ciberseguridad, periodico y con
indicadores de valoración como los propuestos en este trabajo.
Se recomienda elaborar un marco de referencia para los equipos (línea base, hardening,
actualizaciones, inventario, software permitido), actualemente el documento disponible en
la organización se encuentra desctualizado y con un detalle debil con referente al ámbito
de ciber seguridad.
Se debe establecere la politica y el habito del usos de contraseñas robustas, se detectan
patrones de contraseña y claves por defecto de los fabricantes de los dispositivos.
Se debe establecer un sistema de monitoreo y bloqueo para accesos fallidos, se debe
registrar en los logs, la funcionalidad en los equipos de red actualmente se encuentra
deshabilitada.
Se recomienda la implementación del uso de herramientas para la gestión de claves.
Se recomienda incluir un sistema IDS (Intrusion Detection System) / IPS (Intrusion
Prevention System) junto con el Firewall. Actualmente el sistema no detecta ni previene la
intrusión de usuarios no autorizados.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 198
Se debe configurar los puertos de red para limitar el número de puertos abiertos (tanto
físicos como lógicos) en equipos, elementos de la red y servidores.
Se debe desactivar los puertos físicos, USB y CD en aquellos equipos donde no se requiera
su uso.
Se recomienda de manera prioritaria la implementación de un Centro de Operaciones de
Red (NOC), con el objetivo de brindar visibilidad de la red de OT instalada en toda la
infraestructura de trasnmisión de energía eléctrica. Actualmente, no se cuenta conun
sistema de monitoreo de la red de comunicaciones OT, por lo que no se conoce el trafico
de la red, no se analiza el log de los equipos y no se detecta eventos de la red de
comunicaciones del sistema.
Se sugiere realizar una evaluación periódica del estado de ciber seguridad de los
dispositivos instalados en la infraestructura a nivel de laboratorio, donde se verifiquen e
identifiquen las vulnerabilades como se realizó en la sección 6.3, con el objetivo de generar
un plan de acción de mitigación o solución a las vulnerabilidades encontradas.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 199
7. Conclusiones y Trabajos Futuros
Se construyó el normograma presentado en las Tablas 9 y 10 donde se muestra la
normativa y regulaciones colombianas vigentes orientadas al área de ciberseguridad en
infraestructura crítica y particularmente enfocado a su aplicabilidad en sistemas de
transmisión de energía eléctrica. Se observa adicionalmente como los cambios
tecnológicos van acompañados de los cambios de regulación y la manera en que estas
últimas se adaptan a partir de las amenazas que van naciendo, sin embargo, se detectó
que a nivel de infraestructuras críticas las resoluciones y normativas no van al ritmo en que
se requiere para estar preparados y cubiertos ante ciber ataques.
Se identificaron las instituciones que en Colombia están involucradas en el área de
Ciberseguridad para presentar al lector las posibles formas de actuar ante eventos e
incidentes en el sector eléctrico colombiano.
Se identificó los aspectos técnicos que inciden en el ámbito de ciberseguridad en la
infraestructura de transmisión de energía eléctrica a partir de información disponible, como
encuestas en el sector minero energético colombiano y referencias bibliográficas
consultadas, con las cuales se realizó el diagrama presentado en la Figura 24 donde se
presenta los 9 aspectos técnicos que de acuerdo a la investigación hecha y experiencia del
autor, son las que más afectación tienen en el sistema de transmisión de energía eléctrica
colombiano. Los nueve factores técnicos definidos son: responsabilidad de ciberseguridad
corporativa, sistemas de tecnologías avanzadas, normas y medidas de seguridad,
importancia de datos de aplicación, hardware y software, soluciones de TI en la industria,
operación en tiempo real, nivel adecuado de servicio y por último la interacción humana.
Con ayuda de los mecanismos y metodologías de evaluación de ciberseguridad que se
utilizan a nivel mundial, se definieron algunas características como las propiedades de
ciberseguridad, categorías de riesgo, tipo de riesgo, niveles de impacto y probabilidades de
ocurrencia. Las cuales se aplicaron en la metodología propuesta, tomando de diferentes
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 200
investigaciones aspectos significativos y que aportaron a la construcción de la metodología
de evaluación de vulnerabilidad realizada en éste trabajo.
Se analizaron los mecanismos y metodologías de evaluación de ciberseguridad en varios
países y en Colombia, encontrando que a nivel mundial se han propuesto normas y
recomendaciones que abordan aspectos organizativos y técnicos en el ámbito de
ciberseguridad. Sin embargo, metodologías para la cuantificación de vulnerabilidades no
fue el común de las investigaciones encontradas, en este aspecto en particular se han
profundizado en intrusión y detección de anomalías dirigidas a los sistemas SCADA. No
obstante, investigación orientada a subestaciones inteligentes todavía se encuentra en una
etapa temprana de desarrollo y no se refleja la implementación en los sistemas que
actualmente funcionan por lo menos en Colombia.
En el diseño de la metodología se desarrolló un modelo de funcionamiento del sistema de
transmisión de energía eléctrica desde la perspectiva de ciberseguridad presentado en la
Figura 35, que permitió conocer su funcionamiento y evidenciar los posibles vectores de
vulnerabilidad qué pueden presentarse en el sistema.
Dentro de la construcción de la metodología de evaluación de vulnerabilidad se elaboró la
arquitectura general de comunicación de sistemas de transmisión de energía eléctrica
mostrado en la Figura 36, donde se representan las comunicaciones y enlaces que se
pueden encontrar en sistemas reales, facilitando la comprensión del funcionamiento del
sistema.
Se estableció en la metodología de evaluación de vulnerabilidad, la identificación de tres
tipos de activos para el análisis, activos primarios, activos secundarios y activos terciarios.
Adicionalmente, se definió los posibles activos que se encuentran en los sistemas de
transmisión dependiendo de su topología eléctrica, funcionalidades y servicios tecnológicos
presentes en la instalación.
Se desarrolló el diagrama presentado en la Figura 43 para determinar el esquema de
comunicaciones, protocolos y aplicaciones presentes en el esquema de evaluación,
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 201
facilitando la identificación de puertos lógicos, aplicaciones y enlaces físicos requeridos y
permitidos que deben operar en el sistema en tiempo real.
En este trabajo se realizó una lista propia de vulnerabilidades que se presenta en la Tabla
15 con su respectiva clasificación y caracterización, que a criterio del autor y a partir de un
análisis detallado de los resultados obtenidos en las investigaciones desarrolladas en
(Hopkin, 2017), (Schlegel, Obermeier, & Schneider, 2016), (Santander, 2017), (Maglaras, y
otros, 2018), (Cano, 2017) se construyo con base a las metodologías consultadas, y las
cuales se pueden materializar en el sistema de transmisión de energía eléctrica colombiano.
Se desarrolló el método presentado en la Figura 44 para el proceso de evaluación de
vulnerabilidades de las redes de comunicación y aplicaciones de los sistemas de control,
protección, medida y monitoreo de las redes de transmisión de energía eléctrica, el cual
puede ser implementado en sistemas reales de operación y en escenarios de pruebas
controladas.
Como método de valoración de vulnerabilidad del sistema eléctrico, se elaboró la
metodología para el cálculo del indicador de vulnerabilidad operativa mostrado en la Figura
45, que cuantifica el impacto y los posibles eventos que causa a nivel funcional del sistema
de transmisión de energía eléctrica, la afectación de la subestación valorada.
Se desarrollaron las tablas de valoración para la evaluación de las vulnerabilidades que
permite cuantificar la vulnerabilidad del sistema, con el objeto de evaluar los controles que
permiten indirectamente valorar si el sistema se encuentra preparado y cubierto ante las
amenazas identificadas en la Tabla 15. Esto a partir del estado de los siete requisitos
técnicos en cuanto a vulnerabilidades cibernéticas y con el cálculo de cada una de las
variables definidas en la sección 5.3.
Se diseñó una metodología de evaluación de ciber vulnerabilidad denominada EVULCIB
presentada en la Figura 46, la cual representa la propuesta desarrollada para la evaluación
de ciber vulnerabilidades en sistemas de transmisión de energía eléctrica en operación en
el ámbito de ciberseguridad.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 202
Dentro de las investigaciones realizadas no se encontró relaciones entre el sistema eléctrico
de potencia con los análisis de ciberseguridad y evaluaciones de vulnerabilidad, por lo que
en la metodología desarrollada se definió su relación con la creación de dos indicadores de
evaluación el Indicador de Vulnerabilidad Operativa (IVO) y el Indicador de Vulnerabilidad
del Sistema (IVS), con el propósito de conocer el impacto que tiene el sistema en relación
a las vulnerabilidades asociadas al mismo.
Se diseñaron indicadores de evaluación para el diagnóstico de vulnerabilidades, los cuales
pueden ser utilizados como criterios para la toma de decisiones y gestión de riesgos,
aplicando la metodología a entornos de ejecución en tiempo real y sistemas de operación
reales, representando la evolución en el cierre de brechas en la línea del tiempo que se
defina como plan de acción.
Se realizó la evaluación de la metodología propuesta mediante un estudio de caso en una
subestación ubicada en la ciudad de Bogotá y que hace parte del sistema de transmisión
nacional colombiano, encontrando varias oportunidades de mejoras y determinando la línea
base para futuras evaluaciones de ciber vulnerabilidades.
En el estudio de caso se encontraron varias vulnerabilidades que en su mayoría pueden
ser solucionadas con los equipos y la tecnología que actualmente se encuentran instalados
en el sistema.
En el estudio de caso se evidenció un bajo nivel de conocimiento del personal de las
puestas en servicio por parte de proveedores, en temas de las redes de comunicaciones
en las tecnologías de operación.
En el estudio de caso se demostró la importancia y la necesidad de implementar un NOC,
dado que actualmente no es posible monitorear, detectar ni prevenir ataques cibernéticos
en la infraestructura del agente evaluado.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 203
Se observó en el caso de estudio que las mayores brechas en el ámbito de ciber
vulnerabilidades se presentan en la integridad del sistema, en la confidencialidad de los
datos y en los controles de identificación y autenticación como se muestra en la Figura 90.
Se propone realizar futuras investigaciones en el análisis de vulnerabilidades orientada a
subestaciones inteligentes y digitales.
La metodología desarrollada puede ser utilizada para realizar el diagnóstico del sistema en
operación y generar los indicadores del estado actual del mismo en tiempo real, sirviendo
como línea base para la valoración futura luego de la implementación de los planes de
acción que sean resultado de la aplicación y análisis de la metodología propuesta en este
trabajo.
8. Referencias
(2012). Cyber-Physical Systems (ICCPS), 2012 IEEE/ACM Third International Conference
on.
(2015). Control and Decision Conference (CCDC), 2015 27th Chinese.
A. Nicholson, S. Webber, S. Dyer, T. Patel, & H. Janicke. (2012). SCADAS security in the
light of Cyber-Warfare. Computers & Security, 31(4), págs. 418–436.
Aditya Ashok, Adam Hahn, & Manimaran Govindarasu. (2014). Cyber-physical security of
Wide-Area Monitoring, Protection and Control in a smart grid environment. Journal
of Advanced Research, 5(4), págs. 481–489.
Akdeniz, E., & Bağrıyanık, M. (2015). A new approach for terrorist attack vulnerability
evaluation of power transmission lines.
Alcaraz, C., & Zeadally, S. (2015). Critical infrastructure protection: Requirements and
challenges for the 21st century. International Journal of Critical Infrastructure
Protection, 8, págs. 53–66.
Allianz. (s.f.). Guía de verificación de seguridad cibernética. Obtenido de
https://www.allianz-fuer-
cybersicherheit.de/ACS/DE/Informationspool/CyberSicherheitsCheck/csc.html
Allianz. (s.f.). Semaforo de Vulnerabilidad.
Asensio, S., García, M., Valiente, J., & Zuluaga, D. (2018). Estudio sobre la Ciberseguridad
Industrial en Colombia (2 ed.). Colombia: Centro de Ciberseguridad Industrial,
www.cci-es.org.
B. A. Carreras, D. E. Newman, & I. Dobson. (2012). Determining the Vulnerabilities of the
Power Transmission System.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 205
B. Karabacak, S. Ozkan, & N. Baykal. (2016). Regulatory approaches for cyber security of
critical infrastructures: The case of Turkey. Computer Law & Security Review.
Beyza, J., Yusta, J., Correa, G., & Ruiz, H. (2018). Vulnerability Assessment of a Large
Electrical Grid by New Graph Theory Approach. IEEE Latin America Transactions,
16(2), págs. 527–535.
Bulbul, R., Sapkota, P., Ten, C.-W., Wang, L., & Ginter, A. (2015). Intrusion evaluation of
communication network architectures for power substations. IEEE Transactions on
Power Delivery, 30(3), págs. 1372–1382.
C. S. Cho, W. H. Chung, & S. Y. Kuo. (2016). Cyberphysical Security and Dependability
Analysis of Digital Control Systems in Nuclear Power Plants. IEEE Transactions on
Systems, Man, and Cybernetics: Systems, 46(3), págs. 356–369.
Cano, J. (2017). La ventana de AREM. Una estrategia para anticipar los riesgos y amenazas
en ciberseguridad empresarial. ISACA JOURNAL, 5, págs. 1–5.
Castillo, J. (2018). Estableciendo Zonas y Conductos Según el estándar ISA99/IEC6443.
(Centro de Ciberseguridad Industrial, Productor) Obtenido de https://www.cci-
es.org/documents/10694/613683/Establecimientos+zonas+y+conductos.pdf/a479e
3db-81f4-43c1-b5d1-f9e5f7754bcf
CCOC. (2018). Comando Conjunto Cibernetico. Obtenido de https://www.ccoc.mil.co:
https://www.ccoc.mil.co/quienes_somos_funciones_deberes
CCP. (2018). Centro Cibernético Policial. Obtenido de https://caivirtual.policia.gov.co/:
https://caivirtual.policia.gov.co/
Cheminod, M., Durante, L., & Valenzano, A. (2013). Review of security issues in industrial
networks. (9(1):277-93).
Cherdantseva, Y., Burnap, P., Blyth, A., Eden, P., Jones, K., Soulsby, H., & Stoddart, K.
(2016). A review of cyber security risk assessment methods for 5SCADA6 systems.
Computers & Security, 56, págs. 1–27.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 206
CNO, C. N. (2015). Guía de Ciberseguridad. Acuerdo No 788.
CNO, C. N. (2018). https://www.cno.org.co/. Obtenido de https://www.cno.org.co/:
https://www.cno.org.co/content/quienes-somos
colCERT. (2018). Grupo de Respuesta a Emergencias Cibernéticas de Colombia. Obtenido
de http://www.colcert.gov.co/: http://www.colcert.gov.co/
Congreso, C. (1994). Ley 142. Obtenido de http://www.alcaldiabogota.gov.co:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=2752
Congreso, C. (1994). Ley 143. Obtenido de https://www.minminas.gov.co:
https://www.minminas.gov.co/documents/10180/667537/Ley_143_1994.pdf/c2cfbd
a4-fe12-470e-9d30-67286b9ad17e
Congreso, C. (1999). Ley 527. Obtenido de https://www.procuraduria.gov.co:
https://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/
L-527-99.htm
Congreso, C. (2000). Ley 599. Obtenido de https://www.procuraduria.gov.co:
https://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/
Codigo_Penal_L-599-00.htm
Congreso, C. (2009). Ley 1273. Obtenido de https://www.mintic.gov.co:
https://www.mintic.gov.co/portal/604/articles-3705_documento.pdf
Congreso, C. (2011). Ley 1453. Obtenido de https://mintic.gov.co:
https://mintic.gov.co/portal/604/articles-3709_documento.pdf
Congreso, C. (2013). Ley 1621. Obtenido de http://wsp.presidencia.gov.co:
http://wsp.presidencia.gov.co/Normativa/Leyes/Documents/2013/LEY%201621%2
0DEL%2017%20DE%20ABRIL%20DE%202013.pdf
Correa, G., & Yusta, J. (2014). Structural vulnerability in transmission systems: Cases of
Colombia and Spain. Energy Conversion and Management, 77, págs. 408–418.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 207
Council on Cyber Security. (2015). The Critical Security Controls. 2015, de Council on Cyber
Security.
CRC. (2015). Identificación de las posibles acciones regulatorias a implementar en materia
de Ciberseguridad.
CRC. (2018). Comisión de Regulación de Comunicaciones. Obtenido de
https://www.crcom.gov.co: https://www.crcom.gov.co/es/pagina/la-crc
CRC, C. d. (2011). Resolución 3066. Obtenido de https://www.crcom.gov.co:
https://www.crcom.gov.co/resoluciones/00003066.pdf
CRC, C. d. (2011). Resolución 3067. Obtenido de https://www.crcom.gov.co:
https://www.crcom.gov.co/recursos_user/Normatividad/Normas_Actualizadas/Res_
3067_Act_4807_15.pdf
CREG. (1994). Resolución CREG 055 de 1994. Obtenido de CREG:
http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-1994-
CRG94055
CREG. (1998). Resolución CREG 051 de 1998. Obtenido de CREG:
http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-1998-CREG051-
98#Resolución CREG 051-98 artículo 1?OpenDocument
CREG. (2014). Resolución CREG No. 004. Obtenido de
http://apolo.creg.gov.co/Publicac.nsf/1c09d18d2d5ffb5b05256eee00709c02/98be1
0fa78cdeee205257cf9007cc369?OpenDocument
CREG. (2018). Comisión de Regulación de Energía y Gas. Obtenido de
http://www.creg.gov.co/: http://181.118.158.10/index.php/es/creg/quienes-
somos/funciones
DeSmit, Z., Elhabashy, A., Wells, L., & Camelio, J. (2017). An approach to cyber-physical
vulnerability assessment for intelligent manufacturing systems. Journal of
Manufacturing Systems, 43, págs. 339–351.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 208
DesRuisseaux, D. (2018). Practical Overview of Implementing IEC 62443 Security Levels in
Industrial Control Applications. Schneider Electric White Paper(PN SE-998-
20186845_GMA-US).
Dirección General de la Guardia General de España. (2006). CIBERTERRORISMO.
DNI. (2018). Dirección Nacional de Inteligencia. Obtenido de http://www.dni.gov.co:
http://www.dni.gov.co/index.php?idcategoria=52
DNP. (2011). CONPES 3701. Lineamientos De Política Para Ciberseguridad Y
Ciberdefensa.
Dong-Hoon Shin, Shibo He, & Junshan Zhang. (2014). Robust, Secure, and Cost-Effective
Design for Cyber-Physical Systems. IEEE Intelligent Systems, 29(1), págs. 66–69.
DPN. (2018). Departamento de Planeación Nacional. Obtenido de
https://www.dnp.gov.co/Paginas/inicio.aspx:
https://www.dnp.gov.co/DNP/Paginas/acerca-de-la-entidad.aspx
E. Widl, P. Palensky, P. Siano, & C. Rehtanz. (2014). Guest Editorial Modeling, Simulation,
and Application of Cyber-Physical Energy Systems. IEEE Transactions on Industrial
Informatics, 10(4), págs. 2244–2246.
F. Massacci, R. Ruprai, M. Collinson, & J. Williams. (2016). Economic Impacts of Rules-
versus Risk-Based Cybersecurity Regulations for Critical Infrastructure Providers.
IEEE Cyber Security for the Smart Grid.
Fiscalia. (2018). Fiscalia General de la Nación. Obtenido de https://www.fiscalia.gov.co:
https://www.fiscalia.gov.co/colombia/la-entidad/funciones/
G. Hug, & J. A. Giampapa. (2012). Vulnerability Assessment of AC State Estimation With
Respect to False Data Injection Cyber-Attacks. IEEE Transactions on Smart Grid,
3(3), págs. 1362–1370.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 209
G. N. Ericsson. (2010). Cyber Security and Power System Communication #x2014;Essential
Parts of a Smart Grid Infrastructure. IEEE Transactions on Power Delivery, 25(3),
págs. 1501–1507.
George Loukas. (2015). 4 - Cyber-Physical Attacks on Industrial Control Systems. En G.
Loukas, Cyber-Physical Attacks (págs. 105–144). Boston: Butterworth-Heinemann.
George Loukas. (2015). 5 - Cyber-Physical Attack Steps. En G. Loukas, Cyber-Physical
Attacks (págs. 145–179). Boston: Butterworth-Heinemann.
Hahn, A., & Govindarasu, M. (2011). An evaluation of cybersecurity assessment tools on a
SCADA environment. IEEE Power and Energy Society General Meeting.
Hahn, A., Ashok, A., Sridhar, S., & Govindarasu, M. (2013). Cyber-physical security
testbeds: Architecture, application, and evaluation for smart grid. IEEE Transactions
on Smart Grid, 4(2), págs. 847–855.
Henry, M., & Haimes, Y. (2009). A comprehensive network security risk model for process
control networks. Sciencedirect Risk Anal, 29(2):223248.
Hopkin Paul (Ed.). (2017). Fundamentals of Risk Management (4 ed.). United States: Kogan
Page.
Hopkin, P. (2017). Fundamentals of Risk Management (4 ed.). (Hopkin Paul, Ed.) United
States: Kogan Page.
Hyunguk, Y., & Taeshik, S. (2015). Challenges and research directions for heterogeneous
cyber–physical system based on 5IEC6 61850: Vulnerabilities, security
requirements, and security architecture. Future Generation Computer Systems.
IEEE Grid Vision 2050 Reference Model. (2013). IEEE Grid Vision 2050 Reference Model,
págs. 1–15.
Ijeoma Onyeji, Morgan Bazilian, & Chris Bronk. (2014). Cyber Security and Critical Energy
Infrastructure. The Electricity Journal, 27(2), págs. 52–60.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 210
Infante, C. (2010). Guía para la presentación de proyectos de investigación. Bogotá,
Colombia: Universidad Nacional de Colombia.
ISA, & IEC. (2018). ISA/IEC 62443 Series. (ISA, Productor) Obtenido de International
Society of Automation: https://www.isa.org/isa99/
J, C., D, L., & O, S. (2012). Criterios y consideraciones metodológicas y tecnológicas a tener
en cuenta en el diseño e implementación del protocolo iec 61850 en la
automatización y protección de sistemas de potencia eléctrica. Obtenido de
https://revistas.udistrital.edu.co/ojs/index.php/REDES/article/view/6405
J. D. McDonald. (2003). Substation automation. IED integration and availability of
information. IEEE Power and Energy Magazine, 1(2), págs. 22–31.
J. Liu, Y. Xiao, S. Li, W. Liang, & C. L. P. Chen. (2012). Cyber Security and Privacy Issues
in Smart Grids. IEEE Communications Surveys Tutorials, 14(4), págs. 981–997.
Jacek Jarmakiewicz, Krzysztof Parobczak, & Krzysztof Maślanka. (2017). Cybersecurity
protection for power grid control infrastructures. International Journal of Critical
Infrastructure Protection, 18, págs. 20–33.
K. Bhat, V. Sundarraj, S. Sinha, & A. Kaul. (2013). IEEE Cyber Security for the Smart Grid.
IEEE Cyber Security for the Smart Grid, págs. 1–122.
K. C. Sou, H. Sandberg, & K. H. Johansson. (2012). Detection and identification of data
attacks in power system.
Ley 1341. Ministerio de Tecnologías de la Información y las Comunicaciones. (s.f.).
Li Yang, Xiedong Cao, & Jie Li. (2015). A new cyber security risk evaluation method for oil
and gas 5SCADA6 based on factor state space. Chaos, Solitons & Fractals.
Liu, X., & Li, Z. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE
Transactions on Smart Grid, PP(99), pág. 1.
M. R. Gent, & L. P. Costantini. (2003). Reflections on security [power systems]. IEEE Power
and Energy Magazine, 1(1), págs. 46–52.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 211
Maglaras, L., Kim, K.-H., Janicke, H., Ferrag, M., Stylianos, R., Fragkou, P., . . . Cruz, T.
(2018). Cyber security of critical infrastructures. ICT Express, 4(1), págs. 42–45.
Manuel Domínguez, Miguel A. Prada, Perfecto Reguera, Juan J. Fuertes, Serafín Alonso,
& Antonio Morán. (2017). Cybersecurity training in control systems using real
equipment**This work was supported by the Spanish Secretary of State for
Research, Development and Innovation (Ministry of Economy and Competitivity),
under grant UNLE13-3E-1578 of the National Programme for Fostering Excellence
in Scientific and Technical Research -FEDER funds, and by the Spanish National
Cybersecurity Institute (INCIBE), through the 17th Addendum of the Framework
Agreement between INCIBE and the University of León. IFAC-PapersOnLine, 50(1),
págs. 12179–12184.
Matthew, H., Ryan, M., Kevin, S., & Zaret, R. (2009). Evaluating the risk of cyber attacks on
SCADA systems via Petri net analysis with application to hazardous liquid loading
operations. Technologies for Homeland Security, 2009. HST '09. IEEE Conference
on(10790538).
Mike Burmester, Emmanouil Magkos, & Vassilis Chrissikopoulos. (2012). Modeling security
in cyber–physical systems. International Journal of Critical Infrastructure Protection,
5(3–4), págs. 118–126.
MINDEFENSA. (2012). Resolución 3933. Obtenido de
https://normativa.colpensiones.gov.co:
https://normativa.colpensiones.gov.co/colpens/docs/resolucion_mindefensa_3933_
2013.htm
MINDEFENSA. (2015). Ciberseguridad y Ciberdefensa: Una primera aproximación. 2015,
de Ministerio de Defensa Nacional de Colombia.
MINDEFENSA. (2018). https://www.mindefensa.gov.co. Obtenido de
https://www.mindefensa.gov.co:
https://www.mindefensa.gov.co/irj/portal/Mindefensa/contenido?NavigationTarget=
navurl://1494c44e2596646d35f4060084fd9b02
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 212
MININTERIOR. (2018). https://www.mininterior.gov.co/. Obtenido de
https://www.mininterior.gov.co/: https://www.mininterior.gov.co/el-
ministerio/funciones-y-deberes
MINMINAS. (2018). https://www.minminas.gov.co/. Obtenido de
https://www.minminas.gov.co/: https://www.minminas.gov.co/mision-y-vision
MINTIC. (2018). https://www.mintic.gov.co/portal/604/w3-channel.html. Obtenido de
https://www.mintic.gov.co/portal/604/w3-channel.html:
https://www.mintic.gov.co/portal/604/w3-propertyvalue-540.html
MINTIC. (2018). Resoluciòn 2007. Obtenido de https://normograma.mintic.gov.co:
https://normograma.mintic.gov.co/mintic/docs/r_mtic_2007_2018.pdf
Naiara Moreira, Elías Molina, Jesús Lázaro, Eduardo Jacob, & Armando Astarloa. (2016).
Cyber-security in substation automation systems. Renewable and Sustainable
Energy Reviews, 54, págs. 1552–1562.
NCCIC - National Cybersecurity and Communications Integration Center. (2016). ICS-CERT
Annual Assessment Report. Obtenido de ICS-CERT Annual Assessment
ReportIndustrial Control Systems Cyber Emergency Response Team: https://ics-
cert.us-
cert.gov/sites/default/files/Annual_Reports/FY2016_Industrial_Control_Systems_A
ssessment_Summary_Report_S508C.pdf
NCCIC - National Cybersecurity and Communications Integration Center. (2018). ICS-CERT
Monitor. Obtenido de https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-
CERT_Monitor_Nov-Dec2017_S508C.pdf
NCCIC - National Cybersecurity and Communications Integration Center. (s.f.). Definicion
de Actores Cirminales. Obtenido de https://ics-cert.us-cert.gov/content/cyber-threat-
source-descriptions
NERC, C. (2018). North American Electric Reliability Corporation (NERC), Critical
Infrastructure Protection (CIP) Standards.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 213
NIST. (2015). Guide to Industrial Control Systems (ICS) Security. Special Publication 800-
82, SP 800-82 Rev. 2 (May 2015)., Rev. 2. National Institute of Standards and
Technology.
Patel S, Graham J, & Ralston P. (2008). Quantitatively assessing the vulnerability of critical
information systems: a new method for evaluating security enhancements.
International Journal of Information Management, 28(6), págs. 483–491.
Pathan, A.-S. K. (2014). The state of the art in intrusion prevention and detection. CRC
press.
Plan de expansión de referencia Generación - Transmisión 2016-2030. (s.f.).
Plan de Expansión de Referencia Generación - Transmisión 2017-2031. (2018).
Presidencia, R. d. (2012). Decreto 2758. Obtenido de http://www.funcionpublica.gov.co:
http://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=67870
R. Schainker, J. Douglas, & T. Kropp. (2006). Electric utility responses to grid security
issues. IEEE Power and Energy Magazine, 4(2), págs. 30–37.
Ravi Akella, Han Tang, & Bruce M. McMillin. (2010). Analysis of information flow security in
cyber–physical systems. International Journal of Critical Infrastructure Protection,
3(3–4), págs. 157–173.
Resolución CREG 082 de 2002. (2002). Obtenido de CREG:
http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-2002-CREG082-
2002
S. M. Amin. (2010). Electricity infrastructure security: Toward reliable, resilient and secure
cyber-physical power and energy systems.
S. Peisert, & J. Margulies. (2014). Closing the Gap on Securing Energy Sector Control
Systems [Guest editors’ introduction]. IEEE Security Privacy, 12(6), págs. 13–14.
S. Sridhar, A. Hahn, & M. Govindarasu. (2012). Cyber-2013;Physical System Security for
the Electric Power Grid. Proceedings of the IEEE, 100(1), págs. 210–224.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 214
Santander, M. (2017). Entendiendo los sistemas SCADA. Boletin CIBERESPACIO, 1(1),
págs. 32–39.
Schlegel, R., Obermeier, S., & Schneider, J. (2016). A security evaluation of IEC 62351.
Sciencedirect.
Siemens. (2016). Ciber Security Siemens.
Song J, Lee J, Lee C, Kwon K, & Lee D. (2012). A cyber security risk assessment for the
design of I&C Systems in nuclear power plants. Korean Nuclear Society, 44(8), págs.
919–928.
Ten, C.-W. b., Govindarasu, M. b., & Liu, C.-C. b. (2007). Cybersecurity for electric power
control and automation systems. Conference Proceedings - IEEE International
Conference on Systems, Man and Cybernetics.
Ten, C.-W., Manimaran, G., & Liu, C.-C. (2010). Cybersecurity for critical infrastructures:
Attack and defense modeling. IEEE Transactions on Systems, Man, and Cybernetics
Part A:Systems and Humans, 40(4), págs. 853–865.
Thomson. (2015). High Integrity Systems and Safety Management in Hazardous Industries.
Butterworth-Heinemann.
UPME. (2018). Unidad de Planeación Minero Energética. Obtenido de
http://www1.upme.gov.co:
http://www1.upme.gov.co/Entornoinstitucional/NuestraEntidad/Paginas/Quienes-
Somos.aspx
V. Ananda Kumar, Krishan K. Pandey, & Devendra Kumar Punia. (2014). Cyber security
threats in the power sector: Need for a domain specific regulatory framework in India.
Energy Policy, 65, págs. 126–133.
V. Urias, B. Van Leeuwen, & B. Richardson. (2012). Supervisory Command and Data
Acquisition (SCADA) system cyber security analysis using a live, virtual, and
constructive (LVC) testbed.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 215
Woo, P., & Kim, B. (2014). A Study on Quantitative Methodology to Assess Cyber Security
Risk of SCADA Systems. Advanced Materials Research, 960-961, págs. 1602–
1611.
X. Liu and M. Shahidehpour and Z. Li and X. Liu and Y. Cao and Z. Li. (2017). Power System
Risk Assessment in Cyber Attacks Considering the Role of Protection Systems.
IEEE Transactions on Smart Grid, 8(2).
X. Liu, & Z. Li. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE
Transactions on Smart Grid, PP(99), pág. 1.
X. Liu, & Z. Li. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE
Transactions on Smart Grid, PP(99), pág. 1.
X. Wei, J. Zhao, T. Huang, & E. Bompard. (2018). A Novel Cascading Faults Graph Based
Transmission Network Vulnerability Assessment Method. IEEE Transactions on
Power Systems, 33(3), págs. 2995–3000.
Yang, Y., Xu, H. Q., Gao, L., Yuan, B., McLaughlin, K., & Sezer, S. (2017). Multidimensional
Intrusion Detection System for IEC 61850-Based SCADA Networks. IEEE
Transactions on Power Delivery, 32(2), págs. 1068–1078.
Yu, J., Mao, A., & Guo, Z. (2006). Vulnerability assessment of cyber security in power
industry. IEEE Power systems conference and exposition, Article number 4076075,
Pages 2200-2205.
Zhang, Y., Wang, L. b., Xiang, Y. b., & Ten, C.-W. (2015). Power System Reliability
Evaluation With SCADA Cybersecurity Considerations. IEEE Transactions on Smart
Grid, 6(4), págs. 1707–1721.
Zhu, Y., Yan, J., Tang, Y., Sun, L., & He, H. (2015). Joint Substation-Transmission Line
Vulnerability Assessment Against the Smart Grid. IEEE Transactions on Information
Forensics and Security, 10(5), págs. 1010–1024.
Zio, E. (2016). Challenges in the vulnerability and risk analysis of critical infrastructures.
ELSEVIER.
Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica
“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-
Colombia.
Página | 216