Es ya un hecho que el momento actual y las próximas décadas son y serán claves en la evolución de la sociedad y del estado de la Tierra, determinando si esta es o no capaz de soportar la gran carga que supone la población humana. A día de hoy, los indicadores son más que preocupantes, y continúan empeorando constantemente.
Ante estos cambios, resulta indispensable la creación de políticas orientadas a la reducción de emisiones de gases de efecto invernadero (GEI), fijando unos objetivos claros desde este momento hasta 2050. En este ámbito, la ruta establecida por el Gobierno de España en la Estrategia de Descarbonización a Largo Plazo (ELP 2050) permitirá reducir un 90% las GEI a 2050 con respecto a 1990, teniendo en cuenta que es de esperar que el 10% restante sea absorbido por los sumideros de carbono.
Dentro de todos los objetivos definidos para lograr la mencionada descarbonización, la movilidad juega un papel clave, por lo que se hace totalmente imprescindible aunar fuerzas e impulsar cambios en lo que a movilidad se refiere. A pesar de depender, a día de hoy y en gran medida, de los combustibles fósiles, la movilidad sostenible pasa por fomentar la utilización de vehículos eléctricos y transportes y combustibles alternativos, así como por intentar reconducir en cierto modo las costumbres de los ciudadanos en lo relativo a los desplazamientos.
El número de desplazamientos en un día medio laborable superaron los 123 millones en 2007, según la encuesta de movilidad de las personas residentes en España 2006-07 de Movilia. Aproximadamente un 83% de la población realiza al menos un desplazamiento en día laborable y, de estos, más de un 16% (20,3 millones) correspondieron a viajes de ida al trabajo, teniendo que añadir en este caso también el viaje de vuelta. Así pues, y tomando como base el estudio Movilia mencionado anteriormente (estos datos, por tanto, no tienen en cuenta los efectos de las crisis económicas posteriores a la realización del estudio, ni por supuesto de la pandemia), el número de desplazamientos in itinere nacionales en un día medio laborable era en 2006-07 de unos 37 millones sobre el total de 123 millones (casi una tercera parte), realizándose aproximadamente un 63% de los mismos en vehículo privado, como indica el proyecto E-Cosmos.
A tenor de los datos anteriores, puede deducirse que la movilidad de los trabajadores/as tiene, en España, un peso muy elevado sobre el conjunto de la movilidad colectiva, según datos del Observatorio del Transporte y la Logística en España, lo cual tiene como consecuencia un elevado impacto ambiental, social y económico derivados en gran medida de los desplazamientos realizados en medios de transporte ineficientes y contaminantes, como es el automóvil privado.
Por otra parte, desplazarse en automóvil privado para ir y volver del trabajo (o durante la jornada laboral) es un factor de riesgo para la salud, dado que los accidentes de tráfico se han convertido en la primera causa de muerte por accidente laboral en España. De hecho, en España, los accidentes laborales de tráfico (in itinere + durante la jornada laboral) constituyeron un 11,6% del total de accidentes de trabajo con baja, según el Ministerio de Trabajo, Migraciones y Seguridad Social, Gobierno de España. El tiempo de descanso que se pierde para evitar los atascos diarios, habituales en las grandes ciudades, soportar el estrés que conlleva la conducción en horas punta o conducir con la preocupación de llegar tarde al trabajo o no poder estacionar el vehículo incrementan el riesgo de accidente al volante.
Para solucionar toda esta problemática se hace enormemente necesario establecer una muy buena colaboración entre las empresas, las entidades públicas y los proveedores de servicios de movilidad. La constitución de vías de colaboración entre todas estas entidades hará posible la generación de planes de movilidad sostenible para el personal reales y efectivos, que tengan en cuenta las necesidades de sus plantillas y que además deriven en actuaciones reales y provechosas que hagan posible una drástica reducción de los desplazamientos en vehículo privado.
Dada la enorme necesidad que en este momento existe respecto a la consecución de una movilidad cada vez más sostenible, desde el centro tecnológico CARTIF colaboramos con diversas entidades con un objetivo común: desarrollar planes de movilidad sostenible. En este ámbito, trabajamos muy activamente con varias empresas con el principal objetivo de lograr hacer más sostenibles los desplazamientos in itinere de sus empleados, trabajando para ello conjuntamente con todos los agentes implicados.
Es responsabilidad de todos intentar dar el salto y contribuir activamente a la descarbonización del planeta, así que… luchemos todos juntos para intentar que las nuevas generaciones puedan desarrollarse en las mismas (o incluso mejores) condiciones que lo hicimos nosotros desde el punto de vista medioambiental.
CARTIF posee el conocimiento para acompañar a las entidades que lo deseen en el camino a la descarbonización del planeta, no solo en lo relativo a planes de movilidad sostenible, sino también en relación a otras muchas medidas que pueden tomarse al respecto. Es ahora o nunca…
El cambio climático es una realidad cada vez más visible en nuestro planeta y que afecta a millones de personas en todo el mundo. Estos cambios en el clima, son claramente reconocibles por el aumento de las temperaturas, la disminución de los recursos hídricos, el aumento del nivel del mar o eventos de precipitación cada vez más irregulares y torrenciales. Las consecuencias, efectos e impactos ocasionados por estos cambios en la climatología son cada día más frecuentes y relevantes, causando daños materiales de gran magnitud y provocando desplazamientos de la población al hacer inhabitables las áreas en las que vivían, siendo ejemplos muy claros las sequías extremas, las inundaciones o la desertificación. En nuestro día a día, podemos ver como se manifiestan estos cambios en el clima. Un claro ejemplo es el invierno que acaba de comenzar con temperaturas medias más suaves de lo normal y temperaturas máximas inusualmente elevadas para la época del año.
En este contexto de cambio climático, el termómetro sigue batiendo récords de aumento y se estima que en España las temperaturas medias están aumentando en torno a 0,3ºC por década, lo cual nos da una idea del elevado ritmo de calentamiento al que se está viendo sometido nuestro país y en general el planeta. Además, hay que tener en cuenta que, aunque logremos reducir las emisiones causantes del cambio climático tratando de evitar las consecuencias que este ocasiona, las tendencias de cambio reflejadas en las variables climáticas se mantendrán en las próximas décadas debido a la inercia del sistema climático. Ante una perspectiva tan negativa, es necesario hacernos la siguiente pregunta: ¿ cómo podemos contribuir a mitigar y reducir los impactos del cambio climático o adaptarnos a ellos generando territorios más resilientes?
Para ayudarnos en esta lucha, tienen una importancia vital las estrategias de mitigación y adaptación. Las estrategias de mitigación persiguen reducir las emisiones de gases de efecto invernadero a la atmósfera, que son, en última instancia, el alimento del cambio climático antropogénico. Por su parte, las estrategias de adaptación, persiguen limitar los riesgos derivados del cambio del clima, reduciendo nuestras vulnerabilidades. Ambas estrategias son complementarias de tal modo que, si no tenemos en cuenta la mitigación, la capacidad de adaptación se puede ver fácilmente desbordada y desarrollar una adaptación que no sea baja en emisiones carece de sentido.
Pero y ¿ qué podemos hacer como ciudadanos? Nosotros podemos contribuir con pequeñas medidas como el reciclaje, el uso del transporte público o la bicicleta, el comercio de proximidad que minimiza el transporte, los productos ecológicos y sostenibles…, todas ellas ayudan a reducir las emisiones de gases de efecto invernadero. Sin embargo, la adaptación requiere de grandes respuestas que generalmente deben ser promovidas por las administraciones u organismos que se encarguen de la gestión del territorio. Por lo tanto, no debemos pasar por alto que la lucha frente al cambio climático debe ser un esfuerzo de todos (ciudadanos, administraciones, empresas, etc.) integrando el mayor número posible de agentes y cubriendo un enfoque multisectorial y sistémico que no pierda de vista la perspectiva social del problema.
Bajo esta perspectiva de cambio climático y para promover su adaptación, la Unión Europea ha lanzado la Misión de Adaptación al Cambio Climático que pretende fomentar y apoyar la transición hacia la resiliencia en Europa a nivel de los individuos, las ciudades y las regiones, tanto en los sectores privados como públicos como economía, energía, sociedad, etc. Su objetivo principal es apoyar, al menos, a 150 regiones y comunidades europeas hacia la resiliencia climática en 2030. Para ello, la misión ayudará a las regiones y comunidades a entender mejor, prepararse y gestionar sus riesgos climáticos, buscar oportunidades, así como facilitar la implementación de soluciones innovadoras y resilientes proporcionando información sobre las distintas fuentes adicionales de inversión.
De forma complementaria y para dar respuesta a las necesidades de adaptación generadas por los cambios en el clima, es necesario dotar a las entidades de un marco común que garantice una homogeneidad de criterios en la concepción del cambio climático. En este sentido, la acción pública frente al cambio climático en España, se coordina y organiza a través del Plan Nacional de Adaptación al Cambio Climático (PNACC), que establece el marco de referencia y coordinación nacional para las iniciativas y actividades de evaluación de impactos, vulnerabilidad y adaptación. Tiene como principal objetivo evitar o reducir los daños presentes y futuros derivados y construir una economía y una sociedad más resilientes.
Este plan cubre las necesidad a nivel nacional estableciendo las bases para el desarrollo de estrategias más detalladas a nivel regional o municipal que ayuden a los territorios en la consecución de sus objetivos mediante la implementación de líneas prioritarias de acción frente a los impactos ocasionados por el cambio climático. Como punto de partida de toda estrategia de adaptación, se requiere conocer en detalle cómo serán las variables climáticas (temperatura, precipitación, viento, etc.) actuales y futuras de cara a poder evaluar la vulnerabilidad de nuestro territorio y promover medidas que consigan hacerlo más resiliente frente a los impactos climáticos. Como punto de partida, el visor de escenarios climáticos de AdapteCCa desarrollado por el Ministerio de Agricultura, Pesca y Alimentación (MAPAMA) en coordinación con la Oficina Española de Cambio Climático (OECC) y la Agencia Estatal de Meteorología (AEMET) junto con el Atlas Interactivo del IPCC nos aportan datos relevantes para comprender el clima futuro mediante diferentes proyecciones climáticas. Toda la información que recopilan, permite obtener una idea de la magnitud de los cambios en el clima futuro y permite establecer la línea base para la evaluación de la vulnerabilidad y riesgo, así como para la definición de medidas de actuación para cada uno de los sectores prioritarios identificados en cada territorio. Finalmente, la implementación de las medidas identificadas y seleccionadas, debe llevar asociada un sistema de monitorización y seguimiento que permita evaluar la consecución de los objetivos de adaptación propuestos.
Desde CARTIF, trabajamos para ayudar a las diferentes administraciones públicas en el desarrollo de planes y estrategias de adaptación frente al cambio climático. Hay que destacar los proyectos en los que trabajamos recientemente junto a GEOCYL Consultoría S.L. en el desarrollo de las estrategias de adaptación al cambio climático del municipio de Valladolid (Proyecto EACC_Val) y de la Comunidad Autónoma de Extremadura (Proyecto EACC_Extremadura).
Además. el proyectoRethinkActionque coordina CARTIF, permitirá anteponernos a los efectos generados por las medidas de adaptación y mitigación mediante el desarrollo de modelos de evaluación integrada que permitan la evaluación de dichas medidas en regiones climáticas relevantes de Europa.
Inteligencia Artificial, Machine Learning, Deep Learning, Dispositivos Inteligentes…,- términos con los que constantemente nos bombardean en los medios de comunicación haciéndonos creer que estas tecnologías son capaces de hacer cualquier cosa y resolver cualquier problema al que nos enfrentemos. ¡¡Nada más lejos de la realidad!!
Según la Comisión Europea1, «los sistemas de inteligencia artificial (IA) son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y decidiendo la acción o acciones óptimas que deben llevar a cabo para lograr el objetivo establecido»
La IA engloba múltiples enfoques y técnicas entre las que se encuentran el aprendizaje automático, el razonamiento automático y la robótica. Dentro de ellas centraremos nuestra reflexión en el aprendizaje automático a partir de datos, y más concretamente en el Análisis Inteligente de los Datos orientado a extraer información y conocimiento que nos ayude a tomar decisiones. Se trata de esos datos (históricos o en continuo) que son almacenados por las empresas a lo largo del tiempo y que muchas veces no son puestos en valor. Esos datos que reflejan la realidad de una actividad en concreto y que nos van a permitir crear modelos estadísticos y matemáticos (en forma de reglas y/o algoritmos) que contienen información acerca de cómo es la realidad, de cómo son las cosas tal y como ocurren en la actualidad. ¿Cuáles son entonces los actores principales que intervienen en cómo «cocinar» los datos para obtener información relevante? Los datos, que serán nuestros «ingredientes»; los algoritmos, capaces de procesar esos datos, que serán nuestras «recetas»; los informáticos y matemáticos, que serán los «jefes de cocina» capaces de mezclar correctamente los datos y los algoritmos; y los expertos de dominio, que serán nuestros «catadores» particulares y cuyo cometido será validar los resultados obtenidos.
En primer lugar los datos, esos datos a partir de los cuales queremos extraer información con la que generar modelos o hacer predicciones. Mediante un proceso de aprendizaje continuo de prueba y error, basado en analizar cómo fueron las cosas en el pasado, que tendencias había, que patrones se repetían, etc. se pueden generar modelos y realizar predicciones que serán tan «buenas» como lo son los datos. No es cuestión de cantidad de datos, sino de su calidad. ¿Qué significa eso exactamente? Significa que si a un sistema de IA le enseñamos a multiplicar (dándole ejemplos de multiplicaciones correctas) sabrá hacer esa tarea (multiplicar) pero nunca sabrá restar o dividir. Y que si le damos ejemplos ‘incorrectos’ (3*2=9 en lugar de 3*2=6) aprenderá a multiplicar, pero de forma errónea. Necesitamos por tanto que los datos, ingredientes fundamentales de nuestra receta, estén bien organizados, sean de calidad y podamos confiar en ellos (deben ser relevantes).
Por otro lado están los algoritmos de IA, nuestras «recetas» que nos dicen cómo mezclar correctamente los «ingredientes», como utilizar los datos disponibles para intentar resolver nuestro problema. Son algoritmos que nos permiten construir sistemas informáticos que emulan la inteligencia humana a la hora de automatizar tareas. Sin embargo no todos los algoritmos sirven para resolver cualquier tipo de problema. ¿Qué hay entonces en el «interior» de estos algoritmos? Se trata principalmente de fórmulas matemáticas y estadísticas propuestas hace décadas y cuyas bases han avanzado poco en los últimos años, pero que son ahora más efectivos gracias, no solo al aumento en la cantidad de datos que pueden analizar, sino también al aumento en la potencia de cálculo de los ordenadores, que está permitiendo realizar cálculos mucho más complejos, en menos tiempo y a bajo coste. Sin embargo, aptitudes como la intuición, la creatividad o la consciencia son habilidades humanas que (de momento) no hemos conseguido transferir a una máquina de forma efectiva. Serán, por tanto, – nuestros «jefes de cocina» y nuestros «catadores» los encargados de aportar esos factores humanos en nuestra particular «cocina».
Es por ello que no todos los problemas se pueden resolver utilizando IA ¿Por qué? Porque ni los datos son capaces de «hablar» por si solos, ni son «portadores» de la verdad absoluta, ni los algoritmos son «videntes» capaces de adivinar lo impredecible. Lo que realmente saben hacer los datos y los algoritmos es contestar a las preguntas que les planteamos tomando como base el pasado, siempre y cuando las preguntas planteadas sean las adecuadas. Tras el fallo de una máquina, ¿ cómo se relacionan matemáticamente los datos proporcionados por los sensores que monitorizan la máquina con el fallo producido? Cuando se analiza una imagen, ¿ cómo de parecida es a las imágenes que se han analizado previamente? Cuando se le hace una pregunta a un asistente virtual, ¿ qué respuesta se ha dado más habitualmente en el pasado a esa misma pregunta? Se trata, por tanto, de interrogar a los datos de la forma correcta para que nos revelen la información que queremos.
A lo largo del último siglo la IA ha logrado sobrevivir a varios ‘inventos’ tecnológicos con escasez de financiación e investigación, provocados principalmente por el entusiasmo descontrolado que se puso en la tecnología los años previos2. Ha llegado al momento de «aprender» de nuestros datos históricos y no volver a cometer los mismos erros. Reconozcámosle a la IA las capacidades que realmente tiene y dejemos a los magos de su capacidad de hacer realidad lo imposible. Solo de esta forma la IA entrará en una primavera perpetua.
El sector energético está experimentando una profunda transformación para dar respuesta a la necesidad de luchar contra el cambio climático y así contribuir a la sostenibilidad de la vida en nuestro planeta. Esto se está articulando a través de la llamada «Transición Energética», que implica dos grandes transformaciones en la red eléctrica. Por un lado, la tradicional generación centralizada se está viendo reemplazada por un número creciente de plantas de generación renovable distribuidas y situadas más cerca del consumidor final. Además, está aumentando el número de «autoconsumidores«, es decir, consumidores capaces de producir energía renovable, principalmente fotovoltaica, para su propio uso. En segundo lugar, se está asistiendo a un crecimiento de la demanda de energía eléctrica, con nuevas necesidades como la del vehículo eléctrico o la climatización de edificios.
Todo ello redunda en una mayor complejidad de la red eléctrica, especialmente la de distribución, pero también la de transmisión, porque el flujo de energía eléctrica ya no es unidireccional, sino bidireccional. Se hace imprescindible disponer de un sistema de gestión más flexible que aporte mayor eficacia al transporte y distribución de la energía eléctrica. Asimismo, los operadores de red necesitan nuevas tecnologías y herramientas para garantizar un servicio fiable y de calidad. Estos cambios, que ya forman parte del presente, son posibles gracias a la evolución de las redes eléctricas tradicionales hacia las redes inteligentes, también conocidas como «smart grids»
El concepto smart grid se refiere a una nueva característica de la red eléctrica: además de transportar energía, transporta datos. Para lograrlo son necesarias tecnologías digitales que faciliten la comunicación bidireccional entre el usuario y la red, herramientas informáticas y domóticas para la gestión de la flexibilidad de la demanda y los recursos distribuidos de generación y almacenamiento, así como la tecnología y equipamientos necesarios capaces de dar respuesta a la volátil generación renovable.
Una de las amenazas para garantizar el suministro adecuado y de calidad a los diferentes actores de la red de media y baja tensión son las averías. Es necesario disponer de los medios necesarios para localizarlas rápidamente, dando continuidad al suministro tras una reconfiguración de la red, siempre que esta sea útil para aliviar los efectos de la avería, en el tiempo más breve posible.
Existen dos índices para medir la calidad de suministro en un sistema eléctrico: el SAIDI (System Average Interruption Duration Index) y el SAIFI (System Average Interruption Frequency Index). En el índice SAIFI se tiene en cuenta el número de indisponibilidades por usuario, mientras que en el índice SAIDI se tiene en cuenta el tiempo acumulado de no disponibilidad. Estas indisponibilidades se generan como consecuencia de varios tipos de defectos entre los cuales los más frecuentes son los defectos de tierra y de fase, siendo los primeros los más repetitivos.
Cuando se produce un defecto a tierra en una red de distribución de media tensión, el interruptor automático de una de las salidas de la estación de transformación de alta a media tensión disparará por medio de la protección de defecto a tierra.
Posteriormente, y para descartar que el defecto sea transitorio, actuará la funcionalidad de reenganche, cerrando el interruptor. Si el defecto persiste, se volverá a producir el disparo hasta agotar el número de reenganches previsto. Si el defecto es permanente, la parte afectada de la red quedará sin servicio y habrá que localizar el defecto y reconfigurar la red para poder seguir dando servicio al mayor número de usuarios posible.
Tradicionalmente, tras la detección de un defecto permanente por parte de los equipos de telecontrol, es posible realizar una operación de reconfiguración a distancia desde el centro de control. Esta operación es llevada a cabo por un operador, siguiendo un protocolo definido y puede llevar varios minutos en el mejor de los casos.
Una red moderna y automatizada permitirá que este protocolo se realice sin la intervención del operador, de forma automática entre los equipos de telecontrol. A esta característica de la red se la conoce como self-healing, y permite que la red se configure de forma autónoma ante un defecto permanente, sin la intervención manual del centro de control. Esto acelera notablemente el tiempo de restablecimiento del servicio de suministro eléctrico.
CARTIF ha desarrollado, en el marco del proyecto INTERPRETER (H2020, GA#864360), una herramienta de ayuda dirigida a operadores de redes de media y baja tensión. Esta herramienta, conocida como GCOSH-TOOL, ayuda a evaluar distintos escenarios mediante la aplicación de distintos protocolos de actuación ante la aparición de uno o varios defectos en la red. Su funcionamiento se basa en proponer una secuencia de problemas de optimización con diferentes restricciones y funciones objetivo, lo que permite calcular la potencia que deberá ser entregada a cada cliente asegurando que se satisface la demanda. Para ello, será necesaria una reconfiguración de la red que permitirá asegurar el suministro eléctrico a la mayor cantidad posible de usuarios en el escenario escogido por el operador en función de objetivos técnicos y económicos.
Las redes inteligentes del futuro tendrán mayor flexibilidad y fiabilidad que las tradicionales y proporcionarán una mayor calidad de suministro de energía eléctrica a los usuarios. Estos estarán conectados en tiempo real, recibiendo y aportando información que les permitirá optimizar su propio consumo eléctrico y mejorar el funcionamiento del sistema global (gestión activa de la demanda). Por otro lado, la tendencia hacia la generación distribuida de fuentes renovables lleva a una estructura en forma de microrredes interconectadas entre sí que tendrán la capacidad de reconfigurarse de manera automática ante cualquier avería. La rápida evolución de la tecnología está permitiendo que estos cambios se produzcan muy deprisa, de modo que la llamada transición energética se está convirtiendo en una realidad, y ya disponemos de la infraestructura necesaria para reducir las emisiones de CO2, contribuyendo así a frenar el cambio climático.
Como ya comentamos en nuestro anterior post, las redes OT (Operation Technology) de las empresas no están exentas de sufrir ataques informáticos. Hasta hoy son múltiples los ataques sufridos por empresas industriales desde que se produjera en 2010 el primer ciberataque que tuviera repercusión directa en el mundo físico1, incidentes de seguridad que afectan a un amplio abanico de entidades que abarca desde grandes tecnológicas hasta proveedoras de productos finales2. Todas las infraestructuras industriales, y no solo las infraestructuras críticas, están en el punto de mira de los ciberdelincuentes o crackers, en los que el sector OT es en cierta forma «negligente», ya que casi el 90%de las vulnerabilidades y vectores de ataques presentes en un sistema industrial son identificables y explotables utilizando estrategias ampliamente conocidas por los atacantes, siendo el 71% de riesgo alto o crítico al poder paralizar parcial o totalmente la actividad de la empresa3.
Ante el panorama esbozado cabe hacerse una serie de preguntas ¿existen herramientas apropiadas y adaptadas a estos entornos OT? ¿pueden los expertos en ciberseguridad proteger el ámbito OT de la industria? La detección de las vulnerabilidades que afectan a los recursos asociados a las redes OT, elementos clave en la automatización de las plantas industriales, se presenta como una etapa de obligada presencia en cualquier test de penetración. Una vez que las vulnerabilidades han sido identificadas será posible tomar las medidas preventivas necesarias, adaptando las soluciones ya existentes y las buenas prácticas bien conocidas del entorno IT al mundo OT, y no realizando un traslado directo de las mismas.
Algunos intentos de adaptación a nivel de estándares son la IEC 62443, basada en el estándar ISA 99 y que establece el marco de referencia internacional de ciberseguridad en sistemas industriales, o la ISO/IEC 27019:2013, que proporciona principios rectores para la gestión de seguridad de la información aplicada a sistemas de control de procesos. En cuanto a herramientas concretas encontramos, entre otras, la plataforma ControlThings que es una distribución Linux específica para encontrar vulnerabilidades en sistemas de control industrial, sin olvidarnos de herramientas como las de inventariado de activos, diseñadas para poder ser aplicadas en entornos OT4 y entre las que se pueden citar IND de Cisco, eyesight de ForeScout (éstas últimas de pago) o GRASSMARLIN que, siendo open source, mapea de forma masiva la red y muestra visualmente la topología de los SCI/SCADA presentes en ésta. Aspectos susceptibles de ser atacados en un entorno OT de manera específica se pueden encontrar en bases de datos como la de MITTRE-ATT&CK.
Sin embargo, estos intentos de estandarización no son suficientes y se hace imprescindible seguir avanzando en distintos frentes apoyando iniciativas como las siguientes;
Permitir que los expertos del entorno OT tomen la iniciativa y aprendan a protegerse. Formarles en la forma correcta de configurar los dispositivos propios de estas redes, haciendo dicha configuración más simple para no expertos en IT y evitando así la posibilidad de realizar configuraciones erróneas por desconocimiento (simplificar la seguridad).
Mejorar la adaptación de las soluciones SIEM (Security Information and Event Management) a las redes OT, para que sean menos intrusivas que las actuales y aprendan a identificar patrones propios de las redes industriales, permitiendo una identificación temprana de situaciones anómalas .
Poner en prácticas nuevas formas de ciber proteger los sistemas industriales, no centradas en la actualización continua del software y/o la realización periódica de inversiones6.
Hasta no hace mucho, los sistemas OT han vivido desconectados del mundo exterior y por ello, con una falsa sensación de seguridad. Sin embargo la protección de estos entornos OT debe ser priorizada, así como la creación de nuevos perfiles profesionales en ciberseguridad capaces de entender las necesidades y particularidades de los entornos OT.
Robos de identidad y datos de usuario, ransomware, phising, pharming o ataques de denegación de servicio, son términos que escuchamos cada vez más en los medios de comunicación1,2,3,4. El mundo hiperconectado en el que vivimos hace que las empresas como entidades productivas estén cada vez más expuestas a ser objeto de un delito cibernético5,6,7. Las campañas existentes para concienciar en ciberseguridad son muy diversas pero, ¿ cómo pueden las empresas blindarse ante todas estas amenazas sin llegar a comprometer sus objetivos finales de negocio?
Tradicionalmente la orquestación de la ciberseguridad en entornos industriales ha sido delegada casi en exclusiva al departamento IT de las empresas, que han centrado su trabajo en proteger las redes ofimáticas, aplicando estándares y normativas bien conocidas como: ISO/IEC 27001, ISO/IEC 15408, o la ISO/IEC 19790. Para estos equipos expertos en ciberseguridad, «no hay mejor defensa que un buen ataque». Esta frase del general chino Sun Tzu (autor de la obra «El Arte de la Guerra», considerada una obra maestra sobre la estrategia) subyace en el fondo de los conocidos como test de penetración (o pentesting). Los test de penetración son básicamente un conjunto de ataques simulados dirigidos a un sistema informático con la única finalidad de detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas 8. ¿Y por qué son tan importantes estos test? Porque diversos estudios muestran que la mayoría de los ataques aprovechan vulnerabilidades ya conocidas y recogidas en bases de datos como las de CVE,OWASP o NIST que por diversas razones no son corregidas 9,10.
Dentro del sector IT algunas de las metodologías y marcos de auditorías de seguridad más conocidos para hacer pentesting son: Open Source Security Testing Methodology Manual (OSSTMM), Information Systems Security Assessment Framework (ISSAF), Open Web Application Security Project (OWASP), y Penetration Testing Execution Standard (PTES). Cada una de estas metodologías adopta una estrategia diferente para las pruebas de penetración en función del tipo de aplicativo a auditar (móvil nativo, web, infraestructura, …), siendo en este sentido complementarias.
A nivel más práctico, los equipos de IT disponen de una gran cantidad de herramientas para realizar estos test, tanto gratuitas y/o de código abierto como comerciales. Algunas de las más conocidas son: Metasploit, Community Edition, Nessus, Edición personal, Saint, Nmap, Netcat,Burp Suite, John the Ripper o Wireshark. La mayor parte de estas herramientas viene ya pre-instaladas en distribuciones específicas para realizar test de penetración como son Kali Linux, BlackArch Linux o Parrot Security.
Sin embargo, las redes ofimáticas a cargo del departamento IT no son las únicas existentes en una empresa industrial. Hoy en día cada vez son más los recursos utilizados en la producción (PLC, SCADA, …), normalmente interconectados por buses de campo compatibles con el protocolo TCP/IP de Internet, como por ejemplo PROFIENT o MODBUS TCP. Desde ellos, gracias a la función de enrutado disponible en PLC´ s de diversas marcas, es posible acceder mediante pasarelas (gateways) a segmentos de otros buses de campo a los que anteriormente no se podía acceder desde el exterior, como, por ejemplo, PROFIBUS11 . Esta interconexión entre las redes IT (Information Technology) y OT (Operation Technology), tan necesaria al hablar de Industria 4.0, aumenta las posibilidades que tiene la industria de ser objeto de ciberataque.
En la próxima entrega, hablaremos de cómo podemos defendernos de tal amenaza…
