Los sistemas SCADA (Supervisory Control and Data Acquisition, por sus siglas en inglés) son sistemas de control industrial utilizados para automatizar procesos industriales complejos, detectar y corregir problemas, y medir tiempos. Pueden utilizarse en las organizaciones para la gestión del agua, la generación de energía o incluso en el proceso de elaboración de algún producto.

Por ello, se debe evaluar de forma constante la seguridad de los sistemas para identificar posibles brechas y reforzar el entorno de seguridad de toda aquella infraestructura que es crítica para el negocio de las organizaciones.

Antes de realizar una prueba de seguridad sobre estos sistemas, debe considerarse lo siguiente:
– Entender el propósito: Básicamente es conocer la misión del sistema SCADA e identificar los procesos críticos.
– Entender la arquitectura de red y del sistema SCADA: Es importante conocer los elementos que interactúan en el sistema, así como los flujos de comunicación.
– Exploración de la red: Las actividades de reconocimiento de la información tecnológica sobre los sistemas deben realizarse con cuidado porque podría afectarse la disponibilidad de algún proceso o servicio y traducirse, por ejemplo, en pérdidas financieras al impactar la producción.
– Uso de una maqueta: Es indispensable tener un entorno de pruebas lo más parecido a los sistemas en producción para no causar una afectación en los sistemas SCADA, así como tener identificados los modelos de los PLC (Programmable Logic Controller, por sus siglas en ingles) y los protocolos de comunicación utilizados, como por ejemplo NP3, ModBus, IEC 60870 y BACnet.

En pruebas de penetración a sistemas SCADA, se han identificado fallas de seguridad como la falta de segmentación sobre los servicios que están disponibles, el uso de contraseñas débiles o predeterminadas, así como la falta de actualización y/o ausencia de parches de seguridad que ponen en un riesgo eminente la CIA (Confidentiality, Integrity and Availability, por sus siglas en ingles) de la información manejada por los sistemas SCADA.

El impacto por tener los sistemas SCADA comprometidos puede afectar indudablemente los objetivos y la misión de las organizaciones e incluso la seguridad nacional de un estado, como el que ocasionó el virus informático conocido como Stuxnet.