metodología para evaluación de ciber vulnerabilidad en...

Metodología para evaluación de ciber

vulnerabilidad en sistemas de transmisión de

energía eléctrica “EVULCIB”, estudio de caso

subestación eléctrica de 230kV ubicada en la

ciudad de Bogotá-Colombia.

Autor

Juan Carlos Carreño Pérez

Tutor

Álvaro Espinel Ortega. PhD

Universidad Distrital Francisco José De Caldas

Maestría en Ciencias de la Información y las Comunicaciones

Énfasis en Teleinformática

Bogotá, Colombia

julio de 2019

Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica

“EVULCIB”, estudio de caso subestación eléctrica de 230kV ubicada en la ciudad de Bogotá-

Colombia.

Página | 2

NOTA JURADOS

______CINCO PUNTO CERO (5.0)_______

____________________________________

____________________________________

____________________________________

___PHD. OCTAVIO SALCEDO PARRA____

Jurado 1

___PHD. EDWIN RIVAS TRUJILLO_______

Jurado 2

Bogotá D.C., 21 de junio del 2019



Colombia.

Página | 3

Agradecimientos

Un agradecimiento muy especial a mi familia por su apoyo, por el tiempo sacrificado,

por su confianza, y por estar siempre en cada logro y tropiezo de la vida. Con una

buena actitud, con sus consejos que día a día me llenan de fuerzas y más ganas de

seguir imponiéndome nuevos retos.

El autor reconoce la colaboración del profesor Álvaro Espinel Ortega, PhD, tutor del

presente trabajo, por su dedicación y orientación en todas las fases del proyecto.

.



Colombia.

Página | 4

Contenido

Lista de Tablas .................................................................................................................. 6

Lista de Figuras ................................................................................................................. 8

Resumen ......................................................................................................................... 12

Palabras Clave ................................................................................................................ 12

Introducción ..................................................................................................................... 13

Glosario ........................................................................................................................... 15

1. Problema de Investigación ........................................................................................ 18

1.1 Planteamiento del Problema .............................................................................. 18

1.2 Formulación del Problema ................................................................................. 19

1.3 Sistematización del Problema ............................................................................ 19

1.4 Objetivo General ................................................................................................ 20

1.5 Objetivos Específicos ........................................................................................ 20

1.6 Justificación ....................................................................................................... 20

1.7 Impacto y Resultados Esperados ...................................................................... 24

2. Marco de Referencia ................................................................................................ 25

2.1 Marco Teórico .................................................................................................... 25

2.2 Marco Conceptual.............................................................................................. 32

3. Estado del Arte ......................................................................................................... 34

4. Identificación de Factores Técnicos y Normativos .................................................... 92

5. Diseño y Construcción de la Metodología Propuesta para la Evaluación de Ciber

Vulnerabilidad en Sistemas de Transmisión de Energía Eléctrica EVULCIB .................. 114

5.1 Identificación de activos ................................................................................... 115

5.2 Definición de Requerimientos Funcionales y No Funcionales .......................... 128

5.3 Propuesta metodológica de evaluación ........................................................... 141



Colombia.

Página | 5

6. Estudio de Caso Aplicado con la Metodología EVULCIB ........................................ 153

6.1 Selección del sistema de estudio ..................................................................... 154

6.2 Caracterización del sistema de estudio ............................................................ 155

6.3 Aplicación de la metodología propuesta .......................................................... 159

6.4 Evaluación de ciber vulnerabilidad ................................................................... 183

6.5 Análisis de resultados ...................................................................................... 192

6.6 Recomendaciones ........................................................................................... 196

7. Conclusiones y Trabajos Futuros ............................................................................ 199

8. Referencias ............................................................................................................ 204



Colombia.

Página | 6

Lista de Tablas

Tabla 1. Distribución del nivel de seguridad. Fuente: (Akdeniz & Bağrıyanık, 2015). ....... 58

Tabla 2. Distribución del nivel de criticidad social. Fuente: (Akdeniz & Bağrıyanık, 2015).

........................................................................................................................................ 58

Tabla 3. Definiciones de probabilidades. Fuente: Adaptado de (Hopkin, 2017) ............... 72

Tabla 4. Definiciones de impacto. Fuente: Adaptado de (Hopkin, 2017) .......................... 72

Tabla 5. CIP-010-2 Evaluaciones de Vulnerabilidad. Fuente: (NERC, 2018) ................... 78

Tabla 6. CIP-010-2 Niveles de Severidad de Violación. Fuente: (NERC, 2018) ............... 79

Tabla 7. Método de ponderación. Fuente: adaptado de (NERC, 2018) ........................... 82

Tabla 8. Niveles de seguridad especificados en la IEC 62443. Fuente: (DesRuisseaux,

2018) ............................................................................................................................... 86

Tabla 9. Normograma de regulación y normativa aplicable. ............................................ 92

Tabla 10. Normograma de aplicabilidad en las propiedades de seguridad de la información.

........................................................................................................................................ 95

Tabla 11. Entidades involucradas .................................................................................... 96

Tabla 12. Servicios y puertos asociados. Fuente: Elaboración propia. .......................... 131

Tabla 13. Categorías de vulnerabilidades. Fuente: (NCCIC - National Cybersecurity and

Communications Integration Center, 2016). ................................................................... 135

Tabla 14. Principales categorías de vulnerabilidades al 2018. Fuente: (NCCIC - National

Cybersecurity and Communications Integration Center, 2018) ...................................... 136

Tabla 15. Lista de vulnerabilidades metodología y su respectiva clasificación. Fuente:

Elaboración propia ......................................................................................................... 138

Tabla 16. Método para evaluar los controles de identificación y autenticación. Fuente:

Elaboración propia. ........................................................................................................ 146

Tabla 17. Método para evaluar tiempos de respuesta a eventos. Fuente: Elaboración

propia. ........................................................................................................................... 147

Tabla 18. Método para evaluar los controles de uso. Fuente: Elaboración propia. ........ 147

Tabla 19. Método para evaluar la integridad del sistema. Fuente: Elaboración propia. .. 148

Tabla 20. Método para evaluar la confidencialidad de los datos. Fuente: Elaboración propia.

...................................................................................................................................... 148



Colombia.

Página | 7

Tabla 21. Método para evaluar el flujo de datos restringido. Fuente: Elaboración propia.

...................................................................................................................................... 149

Tabla 22. Método para evaluar la disponibilidad de recurso. Fuente: Elaboración propia.

...................................................................................................................................... 149

Tabla 23. Método para evaluar las amenazas identificadas. Fuente: Elaboración propia.

...................................................................................................................................... 151


...................................................................................................................................... 162

Tabla 25. Equipos descubiertos y espiados en la red de comunicaciones del caso de

estudio. Fuente: Elaboración propia. .............................................................................. 169

Tabla 26. Puertos identificados en el Router Firewall del caso de estudio. .................... 174

Tabla 27. Evaluación de los controles de identificación y autenticación caso de estudio.

Fuente: Elaboración propia. ........................................................................................... 188

Tabla 28. Evaluación tiempos de respuesta a eventos caso de estudio. Fuente: Elaboración

propia. ........................................................................................................................... 188

Tabla 29. Evaluación de los controles de uso caso de estudio. Fuente: Elaboración propia.

...................................................................................................................................... 189

Tabla 30. Evaluación de la integridad del sistema caso de estudio. Fuente: Elaboración

propia. ........................................................................................................................... 189

Tabla 31. Evaluación de la confidencialidad de los datos caso de estudio. Fuente:

Elaboración propia. ........................................................................................................ 190

Tabla 32. Evaluación del flujo de datos restringido caso de estudio. Fuente: Elaboración

propia. ........................................................................................................................... 190

Tabla 33. Evaluación de la disponibilidad de recurso caso de estudio. Fuente: Elaboración

propia. ........................................................................................................................... 190

Tabla 34. Evaluación de ciber vulnerabilidad caso de estudio. Fuente: Elaboración propia.

...................................................................................................................................... 193



Colombia.

Página | 8

Lista de Figuras

Figura 1. Sistema de transmisión nacional visión 2030. .................................................. 22

Figura 2. Diagrama unifilar sistema de transmisión nacional visión 2030. ....................... 23

Figura 3. Etapa de análisis de mecanismos de evaluación. ............................................ 34

Figura 4. Grafo de interdependencias de componentes Topología IEEE 30. .................. 43

Figura 5. Ejemplo de intersección Ciber/Humana dentro del sistema. ............................. 50

Figura 6. Esquema del enfoque de evaluación de vulnerabilidad propuesto en (DeSmit,

Elhabashy, Wells, & Camelio, 2017). ............................................................................... 51

Figura 7. Ejemplo de mapa de intersección de vulnerabilidades. .................................... 53

Figura 8. Ejemplo de árbol de decisión de análisis de vulnerabilidades. ......................... 54

Figura 9. Ventana de AREM. .......................................................................................... 59

Figura 10. Metodología de cálculo de índice de severidad operativa. ............................. 66

Figura 11. Proceso de gestión de riesgo. ........................................................................ 69

Figura 12. Elementos de la IEC 62443. ........................................................................... 85

Figura 13. Elementos de la IEC 62443. ........................................................................... 86

Figura 14. Etapa de identificación de los factores. .......................................................... 92

Figura 15. Diagrama institucional y su interacción en el ámbito de Ciberseguridad. ..... 100

Figura 16. Responsables de Ciberseguridad. ............................................................... 101

Figura 17. Sensibilización de responsables del negocio. .............................................. 102

Figura 18. Análisis de riesgos en sistemas de control y automatización industriales. .... 102

Figura 19. Segmentación y protección de redes de automatización. ............................. 103

Figura 20. Dispositivos de redes de automatización conectados a Internet. .................. 104

Figura 21. Acceso remoto. ............................................................................................ 104

Figura 22. Normas utilizadas en la Seguridad Cibernética Industrial. ............................ 105

Figura 23. Medidas de Seguridad Cibernética Industrial utilizadas. ............................... 106

Figura 24. Factores técnicos que inciden en el ámbito de ciberseguridad. .................... 110

Figura 25. Factor técnico interacción humana. .............................................................. 111

Figura 26. Factor técnico nivel adecuado de servicio. ................................................... 111

Figura 27. Factor técnico nivel adecuado de servicio. ................................................... 111

Figura 28. Factor técnico soluciones de TI en la industria. ............................................ 111



Colombia.

Página | 9

Figura 29. Factor técnico hardware y software. ............................................................. 112

Figura 30. Factor técnico importancia de datos de aplicación. ...................................... 112

Figura 31. Factor técnico normas y medidas de seguridad. .......................................... 112

Figura 32. Factor técnico sistemas de tecnologías avanzadas. ..................................... 112

Figura 33. Factor técnico responsabilidad de ciberseguridad corporativa. .................... 113

Figura 34. Etapa de diseño de metodología de evaluación. .......................................... 114

Figura 35. Modelo del funcionamiento desde la perspectiva de ciberseguridad. ........... 117

Figura 36. Esquema de arquitectura de comunicaciones en sistemas de transmisión. . 119

Figura 37. Activos primarios subestación barra sencilla en sistemas de transmisión. ... 125

Figura 38. Activos primarios subestación doble barra en sistemas de transmisión. ...... 125

Figura 39. Activos primarios subestación doble barra + transferencia en sistemas de

transmisión. ................................................................................................................... 126

Figura 40. Activos primarios subestación interruptor y medio en sistemas de transmisión.

...................................................................................................................................... 126

Figura 41. Activos secundarios que pueden afectar los activos primarios del sistema de

transmisión. ................................................................................................................... 127

Figura 42. Activos terciarios que pueden afectar los activos primarios del sistema de

transmisión de manera indirecta. ................................................................................... 128

Figura 43. Esquema de comunicaciones, protocolos y aplicaciones en la operación del

sistema de transmisión. ................................................................................................. 130

Figura 44. Proceso de evaluación propuesto para las redes de comunicación y

aplicaciones. .................................................................................................................. 140

Figura 45. Método para el cálculo del indicador de vulnerabilidad operativa. ................ 143

Figura 46. Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión

de energía eléctrica (EVULCIB). Fuente: Elaboración propia. ........................................ 152

Figura 47. Etapa de verificación de la metodología de evaluación. ............................... 153

Figura 48. Sistema seleccionado para el estudio de caso. ............................................ 154

Figura 49. Identificación de activos primarios estudio de caso. ..................................... 155

Figura 50. Arquitectura de red e identificación de activos secundarios y terciarios estudio

de caso. ......................................................................................................................... 158

Figura 51. Identificación de protocolos y aplicaciones del caso de estudio. .................. 159

Figura 52. Escaneo de protocolo IEC 61850 del caso de estudio.................................. 161



Colombia.

Página | 10

Figura 53. Escaneo de protocolo SNMP del caso de estudio. ....................................... 161

Figura 54. Escaneo de protocolo de redundancia controlador del caso de estudio. ...... 161

Figura 55. Protocolo de pruebas IED para el caso de estudio. ...................................... 163

Figura 56. Prueba de entradas binarias IED para el caso de estudio. ........................... 164

Figura 57. Prueba de Salidas binarias IED para el caso de estudio. ............................. 164

Figura 58. Prueba de entradas análogas IED para el caso de estudio. ......................... 165

Figura 59. Prueba de laboratorio, interpretación de trama IED para el caso de estudio. 166

Figura 60. Prueba de laboratorio, interpretación de trama controlador de subestación para

el caso de estudio. ......................................................................................................... 167

Figura 61. Prueba de ping equipos identificados en prueba pasiva para el caso de estudio.

...................................................................................................................................... 168

Figura 62. Código de descubrimiento de red con ping. ................................................. 168

Figura 63. Escaneo de servicios abiertos equipos de cómputo caso de estudio. .......... 171

Figura 64. Ataque de fuerza bruta para identificar credenciales RDP equipos caso de

estudio. .......................................................................................................................... 171

Figura 65. Ataque de fuerza bruta con detección de patrón en las credenciales de equipos

de cómputo del caso de estudio. ................................................................................... 172

Figura 66. Ataque de fuerza bruta credenciales RDP de la IHM del caso de estudio. ... 172

Figura 67. Descubrimiento de las políticas firewall del caso de estudio......................... 173

Figura 68. Descubrimiento del enrutamiento del caso de estudio.................................. 173

Figura 69. Descubrimiento de las Vlans firewall del caso de estudio. ............................ 174

Figura 70. Ingreso equipo de comunicación remoto desde el Router local del caso de

estudio. .......................................................................................................................... 175

Figura 71. Vulnerabilidades de sistemas operativos del caso de estudio. ..................... 175

Figura 72. Vulnerabilidades de dispositivos OT instalados en el caso de estudio. ........ 176

Figura 73. Exploit de vulnerabilidades de dispositivos OT instalados en el caso de estudio.

...................................................................................................................................... 176

Figura 74. Exploit de vulnerabilidades de Registradores de Falla en el caso de estudio.

...................................................................................................................................... 177

Figura 75. Conexión cliente IEC61850 externo a IED’s del caso de estudio. ................ 178

Figura 76. Conexión cliente IEC61850 externo forzando señalización hacia el Centro de

Control. .......................................................................................................................... 178



Colombia.

Página | 11

Figura 77. Conexión cliente IEC61850 externo desactivando funciones de protección en el

relé. ............................................................................................................................... 179

Figura 78. Conexión Controlador de Subestación con IED’s de manera simultánea con

cliente externo. .............................................................................................................. 179

Figura 79. Conexión cliente IEC61850 externo ejecutando mando sobre seccionador de

barra. ............................................................................................................................. 180

Figura 80. Ejecución del mando sobre seccionador de barra. ....................................... 180

Figura 81. Vulnerabilidad física malla perimetral subestación. ...................................... 181

Figura 82. Vulnerabilidad física tableros sin llave en subestación. ................................ 182

Figura 83. Vulnerabilidad física identificación de información de IED’s. ........................ 182

Figura 84. Histórico de Potencia Activa real del caso de estudio................................... 183

Figura 85. Histórico de Potencia Reactiva real del caso de estudio. ............................. 183

Figura 86. Escenario de análisis eléctrico para el caso de estudio. ............................... 184

Figura 87. Escenario con contingencia en el que se apaga la subestación. .................. 184

Figura 88. Escenario con contingencia segunda iteración. ............................................ 185

Figura 89. Escenario con contingencia tercera iteración. .............................................. 185

Figura 90. Nivel de vulnerabilidad de los siete requisitos técnicos de la metodología para el

caso de estudio. ............................................................................................................. 193



Colombia.

Página | 12

Resumen

La incorporación de tecnologías de información y comunicación en los sistemas de control,

supervisión, medida y protección de la infraestructura eléctrica ha generado que el sector

energético presente una vulnerabilidad a nivel de seguridad informática, de tal manera que

si se dieran ataques cibernéticos podrían afectar el suministro de energía para la comunidad

en general.

En este trabajo de grado se propone un método para la evaluación de la vulnerabilidad en

sistemas de transmisión de energía eléctrica en el ámbito de ciberseguridad. A partir del

análisis de la normativa, regulaciones, guías de buenas prácticas y vulnerabilidades

relacionadas con la seguridad informática específicamente para la infraestructura eléctrica

de Colombia.

Con base en los resultados obtenidos en esta investigación se aplicó la metodología

desarrollada, para evaluar la ciber vulnerabilidad de una subestación eléctrica de 230kV del

sistema de transmisión nacional colombiano ubicada en la ciudad de Bogotá, mostrando un

diagnóstico del sistema y determinando el grado de exposición de esta.

Con la metodología propuesta en esta investigación se podrá tener una guía de evaluación,

que fortalecerá las capacidades del sector energético en el ámbito de ciberseguridad y

facilitará la ejecución de un diagnóstico en sistemas eléctricos semejantes al estudio de

caso presentado.

Palabras Clave

Automatización, Protecciones Eléctricas, Ciberseguridad, IC (Infraestructura Crítica),

Sistemas de Potencia, TIC (Tecnologías de la Información y las Telecomunicaciones), TO

(Tecnologías de Operación), Vulnerabilidad.



Colombia.

Página | 13

Introducción

El presente proyecto está orientado al sector energético y en particular a sistemas de

potencia eléctrica, que básicamente se puede definir como un conjunto de componentes

interrelacionados que permiten suministrar energía eléctrica a un usuario o punto de carga,

realizando un proceso que comienza en la producción de energía y termina en la entrada

de servicio de los consumidores (CREG, 2014). Este proceso en Colombia está conformado

por cuatro etapas que constituyen en conjunto el sistema de potencia eléctrica nacional,

generación, transmisión, distribución y comercialización. Para el caso de esta investigación

nos centraremos en la infraestructura de transmisión de energía eléctrica.

El sistema eléctrico es parte fundamental para el desarrollo económico y social de un país

y se ha convertido en una prioridad para el bienestar de las personas, debido a que se

requiere para hospitales, centros educativos y labores diarias como refrigeración de

alimentos, calentadores, iluminación y tecnología. De acuerdo con lo anterior, se requiere

de todos los mecanismos necesarios para mantener la continuidad del servicio de energía

eléctrica y prevenir apagones que puedan afectar estos aspectos, teniendo en cuenta que

dependiendo de la magnitud puede resultar caótico, produciendo pérdidas de vidas

humanas, desabastecimiento de alimentos e incluso desorden público.

Al incorporar las tecnologías de información y la comunicación (TIC), en los sistemas de

control, supervisión y protección de la infraestructura eléctrica, se crea una vulnerabilidad a

nivel de seguridad informática, en la cual un agente inescrupuloso pueda generar ataques

cibernéticos que ocasionen pérdidas de suministro de energía o fallas en el sistema

eléctrico. Por estas razones, es de vital importancia que se vinculen metodologías y

mecanismos que permita que el sistema eléctrico esté preparado para dichos ataques

cibernéticos y para evitar que los mismos produzcan daños en la operación del sistema.

Algunos países como por ejemplo los Estados Unidos de Norte América han desarrollado

planes de ciberseguridad, los cuales están alineados con las buenas prácticas de la

industria y normativas que se han creado como guías de implementación. Entre las más

conocidas se encuentran las normas NERC CIP. (NERC, 2018), los veinte (20) controles



Colombia.

Página | 14

críticos del Consejo de la Ciberseguridad (Council on Cyber Security, 2015), y como

iniciativa en Colombia la guía de Ciberseguridad del CNO aprobada en el Acuerdo 788

(CNO, 2015).

Con el objeto de obtener un diagnóstico acertado que permita tener mayores herramientas

para la implementación de planes de ciberseguridad, en este proyecto de grado se realizó

una propuesta metodológica para la evaluación de ciber vulnerabilidad en el sistema de

transmisión de energía eléctrica, llamado EVULCIB que significa evaluación de

vulnerabilidad cibernética y que podrá ser implementado por los diferentes agentes del

sector energético para identificar sus debilidades y virtudes en este ámbito, permitiendo

tener un diagnóstico del estado en el que se encuentra su sistema eléctrico.



Colombia.

Página | 15

Glosario

Activos de Conexión

Son aquellos activos que se requieren para que un generador, un usuario u otro

transportador, se conecten físicamente al Sistema de Transmisión Nacional, a un Sistema

de Transmisión Regional, o a un Sistema de Distribución Local. Siempre que estos activos

sean usados exclusivamente por el generador, el usuario o el transportador que se conecta,

no se considerarán parte del Sistema respectivo. (CREG, CREG – Resolución CREG No,

1998).

Sistema de Transmisión Nacional (STN).

Es el sistema interconectado de transmisión de energía eléctrica compuesto por el conjunto

de líneas, con sus correspondientes módulos de conexión, que operan a tensiones iguales

o superiores a 220 kV. (CREG, CREG – Resolución CREG No, 1998).

Sistema Interconectado Nacional (SIN).

Es el sistema compuesto por los siguientes elementos conectados entre sí: las plantas y

equipos de generación, la red de interconexión, las redes regionales e interregionales de

transmisión, las redes de distribución, y las cargas eléctricas de los usuarios. (CREG, CREG

– Resolución CREG No, 1998)

Transmisor Nacional (TN).

Persona jurídica que opera y transporta energía eléctrica en el Sistema de Transmisión

Nacional o que ha constituido una empresa cuyo objeto es el desarrollo de dichas

actividades. (CREG, CREG – Resolución CREG No, 1998).

Unidad Constructiva (UC).

Elementos que conforman un sistema de transporte eléctrico, constituido por Líneas (km) y

Módulos típicos (Unidad). (CREG, CREG – Resolución CREG No, 1998)



Colombia.

Página | 16

Niveles de Tensión

Los sistemas de Transmisión Regional y/o Distribución Local se clasifican por niveles, en

función de la tensión nominal de operación, según la siguiente definición presentada por la

comisión de regulación de energía y gas (CREG 2002 – Resolución CREG No.082, 2002):

Nivel 4: Sistemas con tensión nominal mayor o igual a 57.5kV y menor a 220kV.

Nivel 3: Sistemas con tensión nominal mayor o igual a 30kV y menor de 57.5kV.

Nivel 2: Sistemas con tensión nominal mayor o igual a 1kV y menor de 30kV.

Nivel 1: Sistemas con tensión nominal menor a 1 kV.

Ciberterrorismo

Desde la Dirección General de la Guardia General de España, considera que se debe

entender por ciberterrorismo el empleo de las TIC, por parte de grupos terroristas para la

consecución de sus objetivos; utilizando Internet como instrumento de comisión del delito o

como acción del delito (Dirección General de la Guardia General de España, 2006).

Otra definición relevante es la dada por Dan Verton. (2003). El ciberterrorismo es la

ejecución de un ataque sorpresa por parte de un grupo (o persona) terrorista, extranjero

subnacional, con objetivo político, utilizando tecnología informática e Internet para paralizar

o desactivar las infraestructuras electrónicas y físicas de una nación, provocando de este

modo la pérdida de servicios críticos, como energía eléctrica, sistemas de emergencia

telefónica, servicio telefónico, sistemas bancarios, Internet y otros muchos.

Análisis de Seguridad

El propósito de un análisis de seguridad es identificar las posibles amenazas de un sistema

identificando los recursos cibernéticos críticos. Existen numerosos esquemas para la

identificación de diversos aspectos para la seguridad de la información y de la red. Estos

esquemas pueden ser separados en dos categorías principales, la primera es la

identificación de acuerdo con la perspectiva de un defensor y la segunda desde el punto de

vista de un atacante. (NERC, 2018).

Perspectiva de un defensor: El análisis en la perspectiva de un defensor del sistema,

consiste en examinar los requerimientos de seguridad, esto lleva a establecer una política



Colombia.

Página | 17

de seguridad que, a su vez, requiere de mecanismos para poder cumplir con este propósito.

La aplicabilidad de estas políticas de seguridad depende de los mecanismos usados los

cuales deben ser seleccionados de manera que no se vea comprometido el rendimiento del

sistema.

Perspectiva de un atacante: El otro método para el análisis de seguridad es más efectivo

que el primero, a causa de que el atacante es el motivado a realizar este tipo de infiltración.

Si el diseño de seguridad se basa en esta perspectiva el contexto es más realista y se podrá

predecir el comportamiento de un ataque real al sistema.

Ciberdefensa

Capacidad del Estado para prevenir y contrarrestar toda amenaza o incidente de naturaleza

cibernética que afecte la soberanía nacional. (DNP, 2011).

Ciberseguridad

Capacidad del estado para minimizar el nivel de riesgo al que están expuestos sus

ciudadanos, ante amenazas o incidentes de naturaleza cibernética (DNP, 2011).

TIC (Tecnologías de la Información y las Comunicaciones)

Conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes

y medios; que permiten la compilación, procesamiento, almacenamiento, transmisión de

información como voz, datos, texto, video e imágenes. (MINTIC – Ley 1341. Ministerio de

Tecnologías).



Colombia.

Página | 18

1. Problema de Investigación

1.1 Planteamiento del Problema

Debido al avance de los sistemas de comunicaciones y tecnologías electrónicas, se ha

promulgado durante los últimos 18 años la implementación de estos beneficios tecnológicos

a los sistemas de potencia abarcando toda la cadena productiva de energía eléctrica, es

decir, generación, transmisión, distribución, comercialización e incluso en proyectos de

generación distribuida, con el propósito de brindar confiabilidad, selectividad y controlar de

manera centralizada la información y gestión de todas las variables eléctricas.

Anteriormente en los sistemas eléctricos, las únicas fallas que podrían producir una pérdida

del suministro de energía eran las ocasionadas por descargas atmosféricas, sobrecargas

de los circuitos o fallas en los activos del sistema como conductores, transformadores,

interruptores, bujes entre otros. Ahora, con la integración de redes de comunicación a

sistemas energéticos, a estos imprevistos se suman problemas de seguridad cibernética

como lo son la seguridad e integridad de la información, así como el control de acceso para

la manipulación de los dispositivos de maniobras del sistema eléctrico.

Actualmente en el país, una de las principales barreras que se tienen para la

implementación de mecanismos de ciberseguridad, es que no se cuenta con una

metodología definida que permitan una evaluación de la vulnerabilidad del sistema eléctrico,

con lo que facilitaría la toma de decisión para implementación de políticas de seguridad,

infraestructura requerida, aprovechamiento de tecnología existente, niveles de exposición

de los activos y niveles de impacto sobre el sistema. Dando una sólida justificación para la

inversión en proyectos de ciberseguridad en la infraestructura eléctrica considerada crítica

para la nación.



Colombia.

Página | 19

1.2 Formulación del Problema

La investigación contemporánea ha identificado la necesidad de proteger los sistemas

SCADA (Supervisory Control And Data Acquisition) de infraestructura crítica, como lo es el

sistema de energía eléctrica. Estas informaciones son dispares y no proporcionan una

visión coherente de las amenazas y los riesgos resultantes de la tendencia a integrar estos

sistemas (A. Nicholson, S. Webber, S. Dyer, T. Patel, & H. Janicke, 2012). Lo anterior es

posible mitigar utilizando técnicas adecuadas, a partir de un diagnóstico acertado del estado

de vulnerabilidad del sistema. Contribuyendo en buscar una solución a este problema se

plantea la siguiente pregunta: ¿Cómo establecer una metodología de evaluación de ciber

vulnerabilidad en los sistemas de transmisión de energía eléctrica, que integre tecnologías,

arquitecturas y buenas prácticas con base a las necesidades actuales de ciberseguridad?

1.3 Sistematización del Problema

¿Cómo identificar si el sistema de transmisión de energía eléctrica esta vulnerable ante

ataques cibernéticos?

¿Cómo determinar el nivel de impacto que tiene determinado activo dentro del sistema de

transmisión eléctrico nacional?

¿Cómo se puede evaluar a través del tiempo el sistema de ciberseguridad de la

infraestructura de transmisión de energía eléctrica?



Colombia.

Página | 20

1.4 Objetivo General

Proponer e implementar una metodología para evaluación de ciber vulnerabilidad en

sistemas de transmisión de energía eléctrica, en el ámbito de ciberseguridad aplicado al

entorno colombiano.

1.5 Objetivos Específicos

▪ Identificar los factores tanto técnicos como normativos, que inciden en el ámbito de

ciberseguridad de la infraestructura de transmisión eléctrica en Colombia.

▪ Analizar los mecanismos o metodologías de evaluación de ciberseguridad que se

utilizan a nivel mundial y definir las prácticas que aplicarían al entorno colombiano,

como objetivo se establece el estudio para tres países.

▪ Diseñar una metodología de evaluación de ciber vulnerabilidad, para sistemas de

transmisión de energía eléctrica en el ámbito de ciberseguridad.

▪ Evaluar la metodología propuesta mediante un estudio de caso de una subestación

del sistema de transmisión nacional colombiano a nivel de ciber vulnerabilidad.

1.6 Justificación

En Colombia se está desarrollando constantemente proyectos de expansión de energía

eléctrica como se presentan en las Figuras 1 y 2, con proyección al 2030 (UPME 2016 –

Plan de expansión de referencia), en los cuales se están vinculando tecnologías modernas

que implementan tendencias IP y específicamente aplicaciones con IEC 61850,

adicionalmente a esto, se realizan modernizaciones de sistemas existentes contemplando

el cambio de plataforma y migrando a sistemas inteligentes, automatizando procesos e

integrando gestión energética. Por lo tanto, se requiere establecer una metodología que

brinde a las empresas del sector los mecanismos necesarios para tener un sistema seguro.

Con base en este nuevo aspecto que puede ocasionar fallas y daños en la infraestructura

eléctrica, y evaluando la situación actual del país en cuanto al tema de seguridad y

condición social, se evalúa que existe gran probabilidad a que se organicen ataques

cibernéticos al sistema energético. Como es bien conocido, hasta el momento en Colombia



Colombia.

Página | 21

sólo se han presentado ataques a la infraestructura eléctrica con derribamiento de torres,

sin embargo, de darse un ataque cibernético podría afectar el suministro de energía del

país y desencadenar una condición muy crítica para la nación.

Con estos argumentos, se necesita que los sistemas energéticos y en el caso particular de

estudio, el sistema de transmisión de energía eléctrica cuente con mecanismos adecuados

para prevenir y estar preparados para ataque cibernéticos que pretendan poner en riesgo

el suministro de energía del país.

Sin embargo, a pesar de que el tema está tomando auge a nivel mundial, no existe un

modelo especifico y definido para la evaluación de ciber vulnerabilidad que permita y facilite

la toma de decisión, en cuanto a la implementación de sistemas de seguridad y buenas

prácticas, he incluso las empresas del sector no saben el estado actual de su condición en

este aspecto y si en verdad están expuestos o no a un ataque cibernético.



Colombia.

Página | 22

Figura 1. Sistema de transmisión nacional visión 2030. Fuente: (UPME 2016 – Plan de expansión de referencia)



Colombia.

Página | 23

Figura 2. Diagrama unifilar sistema de transmisión nacional visión 2030. Fuente: (UPME 2016 – Plan de expansión de referencia)



Colombia.

Página | 24

1.7 Impacto y Resultados Esperados

Fortalecer las capacidades de las empresas del sector energético colombiano en el ámbito

de la ciberseguridad para su infraestructura crítica, y contribuir al país en el desarrollo de

metodologías para evaluar las posibles vulnerabilidades realizando un diagnóstico y de esa

manera estar preparados en caso de ataques cibernéticos que quieran comprometer el

bienestar de la nación.

El resultado esperado era la entrega de una propuesta metodológica para la evaluación de

ciber vulnerabilidad que pudiera ser aplicada a la infraestructura de transmisión eléctrica

del país, proporcionando un diagnóstico del estado actual del sistema particular que se

quiera analizar.



Colombia.

Página | 25

2. Marco de Referencia

2.1 Marco Teórico

Durante los últimos años la difusión e implementación de las tecnologías de la información

y las comunicaciones (TIC) ha producido un fenómeno con profunda influencia política,

social y económica aportando aspectos positivos como por ejemplo la globalización del

conocimiento.

A pesar de este desarrollo significativo e importante creado por la humanidad, también está

siendo utilizado para satisfacer los ilícitos intereses de individuos y grupos faltos de

escrúpulos que han visto en las TIC una oportunidad para saciar sus oscuros intereses.

(Dirección General de la Guardia General de España, 2006).

Sin lugar a dudas los Estados Unidos de América, han sido los más damnificados con el

terrorismo y por ende son pioneros en seguridad y ciberterrorismo, intensificando sus

estudios y aplicaciones desde que la organización terrorista Al Qaeda cometió los atentados

del 11-S de 2001, con lo que todas las miradas se han vuelto hacia este entorno y han

identificado el sin fin de posibilidades que los terroristas pueden optar para generar ataques

a su nación.

A pesar de esto, Estados Unidos no ha sido el único interesado en el tema ya que estos

grupos islámicos han atacado múltiples países, otro caso muy conocido fue el ataque

terrorista del 11-M del 2004 que causo casi dos centenares de víctimas mortales en España.

En el 2007, el gobierno de Estonia sufrió el que es considerado el mayor ataque cibernético

de la historia, en el cual se vio afectados la presidencia y varias agencias gubernamentales.

El país quedo completamente desconectado y sin servicios bancarios, internet y fluido

eléctrico por varios días. Este ataque desató una gran crisis que requirió la intervención de

la comunidad internacional y alertó a la Organización del Tratado del Atlántico Norte

(OTAN), la cual, en agosto de 2008, puso en marcha el Centro de Excelencia para la

Cooperación en Ciber Defensa (CCD), con el fin de proteger a sus miembros de este tipo



Colombia.

Página | 26

de ataques y entrenar a personal militar, investigar técnicas de defensa electrónica y

desarrollar un marco legal para ejercer esta actividad. (MINDEFENSA, 2015).

Varios episodios de interrupciones repentinas en el servicio eléctrico que cubren grandes

áreas geográficas han tenido un profundo impacto en los sectores económicos y sociales

de los países afectados. Algunos incidentes de blackout se refieren a eventos en Canadá y

los EE. UU. (Agosto de 2003), Alemania, Bélgica, Italia, Francia, España y los Países Bajos

(noviembre de 2006), Brasil (noviembre de 2009), así como actos de terrorismo a corto

plazo en ciertos activos de infraestructuras eléctricas, como los experimentados en

Colombia (1998-2003) (Correa & Yusta, 2014).

Otro ataque informático de relevancia es el ocurrido en el 2009 en Estados Unidos, donde

hackers robaron información ultra secreta del Joint Strike Fighter o F-35 (el proyecto de un

sistema de armas más costoso en la historia de Estados Unidos), en el mismo año,

perpetuaron otro ataque donde deshabilitaron las páginas web del Departamento del

Tesoro y de Estado, de la Comisión Federal de Comercio, del Pentágono y de la Casa

Blanca. (MINDEFENSA, 2015).

Específicamente en el ámbito que nos interesa en el presente proyecto, en julio de 2010, el

Stuxnet worm que atacó las instalaciones nucleares iraníes es el ataque de malware más

famoso para dañar directamente una infraestructura industrial; en diciembre de 2015, un

ciberataque intencional coordinado a través del malware BlackEnergy fue directamente

responsable de los cortes de energía para al menos 80,000 clientes en el oeste de Ucrania.

El incidente fue el primero con corte de energía conocido causado por un ataque

cibernético. Stuxnet y BlackEnergy han demostrado que la "seguridad por oscuridad" ya no

es un esquema adecuado para las infraestructuras críticas (Yang, y otros, 2017).

Con los avances en las redes y las tecnologías de Internet, los ciberataques en los sistemas

físicos se están convirtiendo en un fenómeno en crecimiento. Quizás el ciberataque más

conocido en un sistema físico fue el virus "Stuxnet". Entre finales de 2009 y principios de

2010, Stuxnet pretendía destruir hasta 1000 centrífugas de alta velocidad iraníes utilizadas

para el enriquecimiento de uranio. Específicamente, los períodos de vida de estas

centrifugadoras se redujeron significativamente al cambiar periódicamente sus velocidades

de rotación. Este ataque fue exitoso porque fue capaz de mostrar lecturas de equipos



Colombia.

Página | 27

engañosas (las lecturas indicaron que no había problemas) para los operadores (DeSmit,

Elhabashy, Wells, & Camelio, 2017).

Ejemplos de otros ciberataques son bastante numerosos y se expanden en una variedad

de campos. Los ciberataques recientes incluyen la violación de datos de Yahoo! de 2016,

la piratería de Sony Pictures Entertainment en noviembre de 2014, entre otros (DeSmit,


Ahora bien, Colombia también ha sido objeto de ataques. Un caso por resaltar fue el

ocurrido durante el primer semestre de 2011, cuando el grupo “hacktivista” autodenominado

Anonymous atacó a los portales de la Presidencia de la República, el Senado de la

República, Gobierno en Línea y de los Ministerios del Interior y Justicia, Cultura y Defensa,

dejando fuera de servicio sus páginas web por varias horas. Este ataque se dio en protesta

al Proyecto de Ley “por el cual se regula la responsabilidad por las infracciones al derecho

de autor y los derechos conexos en Internet”. Este grupo ha atacado indistintamente

entidades públicas y privadas, entre las que se cuentan PayPal, el banco suizo Post

Finance, MasterCard, Visa y páginas web del gobierno suizo. (DNP, 2011).

Una definición muy acertada sobre el tema es la realizada por Dan Verton. (2003). El

ciberterrorismo es la ejecución de un ataque sorpresa por parte de un grupo (o persona)

terrorista, extranjero subnacional, con objetivo político, utilizando tecnología informática e

Internet para paralizar o desactivar las infraestructuras electrónicas y físicas de una nación,

provocando de este modo la pérdida de servicios críticos, como energía eléctrica, sistemas

de emergencia telefónica, servicio telefónico, sistemas bancarios, Internet y otros muchos.

A nivel mundial existen varios grupos terroristas potencialmente activos que pueden en

determinada medida producir ataques informáticos, la lista de organizaciones terroristas

extranjeras más conocido es el realizado por el Departamento de Estado de los Estados

Unidos, en el cual, para el caso colombiano se vinculan a las disidencias Fuerzas Armadas

revolucionarias de Colombia (FARC) y al Ejército de Liberación Nacional (ELN).

Sin embargo, estos no son los únicos grupos potenciales para generar ataques en nuestro

país, también existen grupos organizados de delincuencia y narcotráfico que podrían tener

interés en perpetuar ataques a la nación.



Colombia.

Página | 28

En la actualidad, los gobiernos estatales consideran la seguridad del suministro de energía

como uno de los objetivos principales de sus políticas energéticas, involucrando esfuerzos

institucionales en la protección de la seguridad nacional, las actividades económicas, la

salud pública, entre otros. Este hecho evidencia la estrecha relación entre la seguridad

global de las infraestructuras eléctricas y otros sectores críticos de infraestructura de la

economía (Correa & Yusta, 2014).

Un SCADA (por sus siglas en inglés "Supervisory Control and Data Acquisition") es un

sistema de tipo ICS (Industrial Control System). Un ICS controla procesos en el sector

industrial y en sectores de infraestructura crítica, denominada mundialmente como CNI

(Critical National Infrastructure). Esta lista de infraestructura crítica depende del País y es

formada generalmente por nueve sectores: Energía, Alimentos, Agua, Transporte,

Comunicaciones, Servicios de Emergencia, Atención Medica, Servicios Financieros y

Gubernamentales. Hoy en día, los SCADA son ampliamente usados en instalaciones de

fabricación de acero, química, telecomunicaciones, entre otros sectores (Cherdantseva, y

otros, 2016).

Los sistemas SCADA a diferencia de otros ICS son sistemas que (1) supervisa y controla

los activos distribuidos en grandes áreas geográficas, y (2) usa equipamiento de control

especifico como MTU (Master Terminal Unit), RTU (Remote Terminal Unit) o Gateway para

la transmisión de información hacia el SCADA. Inicialmente, los sistemas SCADA son

usados en transmisión de potencia, gasoducto y sistemas de control de distribución de agua

(Cherdantseva, y otros, 2016).

En 2004, el National Institute of Standards and Technology (NIST), publico el documento

titulado perfil del sistema de protección en sistemas de control industrial, el cual cubre los

riesgos y objetivos de los sistemas SCADA. En 2007, el presidente de los Estados Unidos

conformo la junta de protección de la infraestructura crítica y el departamento de Energía

para mejorar la seguridad de sus redes SCADA, publicando el folleto con 21 pasos para

mejorar la seguridad cibernética en las redes SCADA. En el 2008, el Centre for Protection

of National Infrastructure (CPNI), produce el documento “Guía de Buenas Prácticas para

Procesos de Control y Seguridad de SCADA”, encapsulando las mejores prácticas de

seguridad. La guía se actualizó en el 2011. Por otro lado, en el 2013 la Agencia de la Unión

Europea para seguridad en redes y la Información (ENISA), dio a conocer las



Colombia.

Página | 29

recomendaciones de seguridad de sistemas SCADA en Europa. (Cherdantseva, y otros,

2016)

En la actualidad la NERC (NERC, 2018), trabaja activamente en el desarrollo de normativas

abarcando muchos aspectos de la seguridad Cibernética.

Por otro lado, la regulación de las infraestructuras críticas ha sido varias veces discutida

durante mas una década. Sin embargo, sigue siendo un tema polémico para la academia y

los gobiernos. La estricta intervención gubernamental y los esfuerzos en las regulaciones

no son consideradas como una opción adecuada por el mundo académico y los gobiernos

de los países desarrollados. En estos países, hay una serie de estudios académicos que

proponen modelos de gestión de la seguridad para infraestructura crítica. Estos artículos se

centran en la importancia de la cooperación y la innovación, en lugar de enfatizar en la

importancia de las regulaciones (B. Karabacak, S. Ozkan, & N. Baykal, 2016). Este aspecto

toma mayor relevancia cuando en países como el nuestro, la regulación es parte

fundamental para justificar inversiones, y más teniendo en cuenta que el sector de energía

eléctrica se basa en mercados regulados, donde el costo pagado al proveedor del servicio

es bajo un esquema estipulado por la CREG (Comisión de Regulación de Energía y Gas).

Basado en la regulación y si en verdad es requerida o no, un estudio fundamentado en un

modelo de economía de la ciberseguridad revela que, dependiendo de la combinación de

incentivos, los operadores dejarán de invertir en evaluación de riesgos y sólo se

preocuparán por el cumplimiento (y viceversa), lo que sugiere que presionar por más reglas

podría tener consecuencias no deseadas (F. Massacci, R. Ruprai, M. Collinson, & J.

Williams, 2016).

Ahora, los sistemas SCADA modernos son altamente sofisticados, complejos y basados en

sistemas de tecnologías avanzadas. Esta creciente sofisticación y modernización, así como

su funcionamiento continuo, en tiempo real distribuido, con arquitecturas multicomponente,

hace que esta evolución permita también el crecimiento de las amenazas informáticas en

los sistemas SCADA. El cual, en el caso particular de esta investigación, se utiliza para la

supervisión y control de sistemas de transmisión de energía eléctrica.



Colombia.

Página | 30

Las ciber vulnerabilidades involucran tres componentes principales: ordenadores,

comunicaciones y el sistema de potencia eléctrico. Los ataques pueden estar dirigidos a

sistemas específicos, subsistemas y a varios lugares simultáneamente de forma remota,

haciendo de estos componentes altamente interdependientes. El nivel de seguridad

entonces, indica la gravedad de los daños que podrían tener si hay una penetración en el

sistema de potencia. (Ten, Govindarasu, & Liu, 2007).

Con base en estos aspectos mencionados se hace necesario conocer el impacto que podría

tener un ataque en el sistema de potencia eléctrico. Hay varias estrategias como la que se

menciona en (Ten, Manimaran, & Liu, 2010), donde se propone una metodología para el

análisis de impacto que busca analizar el comportamiento de la intrusión y evaluar las

consecuencias de un ciberataque por ejemplo aun sistema SCADA. El método propuesto

se utiliza para evaluar la vulnerabilidad de las redes de ordenadores y los sistemas de

energía, y posiblemente la pérdida de carga en un sistema de energía como resultado de

un ciberataque.

Una ciberseguridad comprometida en un sistema SCADA puede causar graves daños al

sistema de alimentación de energía, el ataque puede ser capaz de realizar acciones de

encendido y apagado de equipos que conducen a una pérdida de carga o daños en

dispositivos del sistema. Esto es particularmente problemático si el ataque puede penetrar

en la red de centro de control SCADA que está conectado a las subestaciones del sistema

de potencia (Ten, Manimaran, & Liu, 2010). Los pasos de la metodología analizada en el

documento referenciado son los siguientes:

1. Cybernet: Red que incorpora combinaciones de escenarios de intrusión en el

sistema SCADA. El Cybernet captura la configuración del sistema, la autenticación,

el modelo de servidor de seguridad, y el modelo de usuario / contraseña. Las tasas

de transición de la Cybernet se obtienen mediante el análisis estadístico de los

registros del sistema. El análisis de estado estacionario de Cybernet proporciona la

probabilidad de intrusiones para cada escenario.

2. Simulación del flujo de potencia: El comportamiento en estado estacionario de un

sistema de energía bajo un ciberataque puede ser estudiado mediante modelos de

intrusión y simulaciones de flujo de potencia. Esta evaluación de un sistema de



Colombia.

Página | 31

potencia bajo ciberataques puede llevarse a cabo mediante el aislamiento de los

subsistemas comprometidos. La falla obtenida de la solución del flujo de potencia

es una indicación de que tan grande es el impacto, y si puede conducir a un colapso

del sistema de alimentación. El impacto de aislamiento de una subestación en el

sistema global se mide por un factor de impacto correspondiente a la subestación.

3. Cálculo del índice de vulnerabilidad: El índice de vulnerabilidad de un escenario se

calcula como el producto de la probabilidad de intrusión en estado estacionario para

el escenario (que se obtiene a través del análisis Cybernet) y el factor de impacto

del componente (obtenida a través de la simulación del flujo de potencia). El máximo

entre los índices de vulnerabilidad de escenarios evaluados se utiliza como el índice

de vulnerabilidad del sistema.

4. Mejoras de seguridad: mejorar la seguridad cibernética del sistema SCADA basado

en los resultados de evaluación de la vulnerabilidad con las tecnologías disponibles.

Esta mejora puede producir diferentes probabilidades que serán utilizadas en un

análisis cuantitativo.

En este escenario en el que contemplamos al sector energético como infraestructura crítica,

el cual a su vez es tecnológicamente y estructuralmente evolutiva (y cada vez más

interdependiente), surgen preocupaciones comprensibles por su vulnerabilidad y riesgo, es

decir, por el peligro de que (Zio, 2016):

• Las capacidades del sistema asignadas y actuales no pueden ser adecuadas para

soportar las crecientes demandas en escenarios de mayor integración y

desregulación del mercado.

• Los márgenes de seguridad diseñados preventivamente pueden no ser suficientes

para hacer frente a las condiciones esperadas y, sobre todo, inesperadas que llegan

a los sistemas.

Estos aspectos son difíciles de analizar, ya que, debido a la complejidad de la misma

infraestructura crítica, los comportamientos emergentes pueden surgir a partir de la

respuesta colectiva de los diferentes componentes elementales, en formas difíciles de

predecir y manejar (Zio, 2016). Como resultado, existen grandes incertidumbres en la



Colombia.

Página | 32

caracterización de los escenarios de falla, lo que requiere de un análisis de ciber

vulnerabilidad y de evaluación de sus propiedades elásticas, para asegurar su protección y

resiliencia.

2.2 Marco Conceptual

El presente proyecto está orientado al sector energético y en particular a sistemas de

potencia eléctrica, que básicamente se puede definir como un conjunto de etapas

interrelacionadas que permiten suministrar energía eléctrica a un usuario o punto de carga,

realizando un proceso que comienza en la generación de energía y termina en la entrada

de servicio de los consumidores en donde se miden los consumos.

Este proceso en Colombia está conformado por cuatro etapas que constituyen en conjunto

el sistema de potencia eléctrico nacional (CREG, CREG 1994 – Resolución CREG 055 de

1994, 1994) que a continuación serán descritas:

• Etapa de Generación de Energía Eléctrica: Proceso mediante el cual se

obtiene energía eléctrica a partir de alguna otra forma de energía.

• Etapa de Transmisión de Energía Eléctrica: Transferencia de grandes

bloques de energía eléctrica, desde las centrales de generación hasta las aéreas de

consumo.

• Etapa de Distribución de Energía Eléctrica: Transferencia de energía

eléctrica a los consumidores, dentro de un área específica.

• Etapa de Comercialización de Energía Eléctrica: Es la actividad de comprar

grandes cantidades de energía a los productores para venderla a los usuarios o a

otras empresas del sector, está relacionada con lectura de medidores y facturación.

Teniendo claro cada una de las etapas de la cadena productiva de la energía eléctrica y en

busca de integrar un sistema de gestión de seguridad a esta infraestructura, para la

realización de este proyecto es necesario tener claro algunos conceptos que permitan

sustentar teóricamente este trabajo. Por lo tanto, es pertinente definir algunos parámetros

y variables que se tienen en cuenta en su elaboración y así mismo los componentes que lo

conforman, a continuación, se mencionan algunos términos considerados para tal fin.



Colombia.

Página | 33



Colombia.

Página | 34

3. Estado del Arte

En esta etapa del proyecto se analizan los mecanismos y metodologías de evaluación de

Ciberseguridad en los sistemas eléctricos, que se realizan a nivel mundial y se definen

algunas de las prácticas que aplicarían al entorno colombiano. Para este aspecto se realizó

el estudio en algunos países, de donde se analizó las metodologías que aplicaban y de qué

manera se adaptaban al entorno de transmisión de energía eléctrica.

La metodología de desarrollo utilizada en esta fase se muestra a continuación:

Figura 3. Etapa de análisis de mecanismos de evaluación. Fuente: Elaboración propia.

Las infraestructuras críticas juegan un papel vital en el apoyo a la sociedad moderna. La

fiabilidad, el rendimiento, la operación continua, la seguridad, el mantenimiento y la

protección de infraestructuras críticas son prioridades nacionales para los países de todo el

mundo. (Alcaraz & Zeadally, 2015).

La Unión Europea (UE), a través de su Programa Europeo para la Protección de

Infraestructuras Críticas (EPCIP, European Programme for Critical Infrastructure

Protection), también enfatiza la importancia de la protección de infraestructuras críticas para

todos sus estados miembros y sus ciudadanos. Según el EPCIP, las infraestructuras críticas

se clasifican de la siguiente manera:

Mecanismos o metodologías de

otros países.

Identificación de diferencias y semejanzas.

Identificación de factores que aplican

al sistema de transmisión de

energía.

Definición de las prácticas aplicables al

STN colombiano.



Colombia.

Página | 35

• Energía.

• Tecnologías de la Información y las Comunicaciones.

• Agua.

• Agricultura, Salud Público.

• Sistema Financiero.

• Administración Civil.

• Seguridad Pública y de Orden Legal.

• Sistemas de Transporte

• Industria Química.

• Industria Nuclear.

• Espacio.

• Servicios de Investigación.

Las conexiones entre los sectores de infraestructura críticas producen relaciones de

interdependencia especiales. Las relaciones expresan el hecho de que una infraestructura

crítica podría depender de productos y servicios proporcionados por otra infraestructura

crítica, y la segunda infraestructura crítica también puede depender de los productos y

servicios proporcionados por la primera infraestructura crítica. Estas interdependencias

podrían desencadenar efectos de cascada en múltiples infraestructuras críticas cuando una

infraestructura crítica se interrumpe, daña o destruye (Alcaraz & Zeadally, 2015).

En (CRC, Comisión de Regulación de Comunicaciones 2015 – Identificación de las posibles

acciones, 2015) se presenta un análisis de la información vigente en temas de

Ciberseguridad a nivel internacional, con el fin de plantear posibles líneas de acción en la

materia para la Comisión de Regulación de Comunicaciones de Colombia. Dentro de las

experiencias recopiladas en este documento, se incluyeron por su avance e impacto las

siguientes en el presente trabajo de investigación:

Unión Europea

En el año 2013 la Comisión Europea publicó el documento titulado “Estrategia de

Ciberseguridad de la Unión Europea: Un Ciberespacio Abierto, Seguro y Protegido”



Colombia.

Página | 36

, que aborda de manera general el problema de la Ciberseguridad (CRC, 2015). En

el caso de la Unión Europea oriento a los estados miembros hacia la adopción de

prácticas para la gestión de riesgos en las administraciones públicas y para los

operadores de servicios financieros, de transportes, servicios de energía y para los

prestadores de servicios que operen con información sensible de los usuarios.

Dentro de las medidas adoptadas las empresas de los sectores críticos concretos

antes citados y las administraciones públicas evaluan los riesgos a que se enfrentan

y establecen medidas adecuadas y proporcionadas para garantizar la seguridad de

la Información y redes. Estas empresas notifican a las autoridades competentes

todos los incidentes que supongan un peligro grave para el funcionamiento de sus

redes, sistemas de información y comprometan de forma significativa la continuidad

de los servicios críticos y el suministro de mercancías (CRC, 2015).

En varios países de la Unión Europea se exige la acreditación de seguridad de

sistemas informáticos en operación, en el cual se definen los procedimientos a

seguir para una buena práctica de gestión, todo ello de acuerdo a la norma ISO

27001 (CRC, 2015).

Estados Unidos

Para el caso de los Estados Unidos la seguridad nacional y económica del país

depende en gran medida del funcionamiento fiable de su infraestructura crítica, es

por ello que en el año 2008 fue lanzada la Iniciativa Integral Nacional de

Ciberseguridad (CNCI), que para el tema particular de análisis establecio una línea

de defensa contra las amenazas inmediatas, mediante la creación o mejora de la

conciencia compartida de vulnerabilidades de la red, las amenazas y eventos dentro

del Gobierno Federal, y en última instancia con sectores estatales, locales y los

socios del sector privado, teniendo como objeto actuar con rapidez para reducir

vulnerabilidades actuales y prevenir intrusiones (CRC, 2015).

En cuanto a temas particulares para la industria TI y los equipos terminales, respecto

a seguridad, se han adoptado certificaciones expedidas por instancias como la NIAP



Colombia.

Página | 37

(National Information Assurance Partnership), la cual es una iniciativa del gobierno

de Estados Unidos para identificar las necesidades de pruebas de seguridad tanto

de consumidores como de productores de tecnologías de la información, la cual es

operada por la NSA (National Security Agency) y fue el resultado de un esfuerzo

conjunto entre la NSA y el NIST (National Institute of Standards and Technology) de

los Estados Unidos. Esta certificación proporciona un conjunto común de requisitos

funcionales para los productos de TI (Tecnologías de la Información) y combinan

criterios de los sistemas de evaluación de seguridad de Estados Unidos, Canadá y

Europa, que a su vez fueron adoptados por la ISO (International Organization for

Standardization) bajo la serie de normas ISO/IEC 15408 (CRC, 2015).

Las redes eléctricas en Estados Unidos han estado desarrollándose durante más de

un siglo, convirtiendose en sistemas extremadamente complejos con más de 55.000

subestaciones y cerca de 500.000 kilómetros de líneas de transmisión.

Investigaciones frecuentemente se refieren a subestaciones como nodos y a líneas

de transmisión como enlaces, investigando las vulnerabilidades del sistema desde

estas dos perspectivas (Zhu, Yan, Tang, Sun, & He, 2015).

Los Estados Unidos y algunas provincias de Canadá también aplican las normas o

estándares de NERC-CIP versión 6 (North American Electric Reliability Corporation

Critical Infrastructure Protection) en los sistemas de energía. El incumplimiento

puede dar lugar a sanciones financieras (CRC, 2015).

Australia

Australia en el 2009 creó la Estrategia de Ciberseguridad en la que estableció las

prioridades estratégicas del gobierno para asegurar la infraestructura de información

nacional y reunió dos iniciativas: el CERT (Computer Emergency Response Team)

Australia y el CSOC (Cyber Security Operations Centre) (CRC, 2015).

El ente regulador ACMA (Australian Communications and Media Authority)

desarrolló la iniciativa de seguridad en Internet australiana, el cual reúne datos de



Colombia.

Página | 38

varias fuentes en computadores que presentan alguna desviación en su

comportamiento dentro de las redes de Internet del país y a partir de estos datos, el

ACMA provee reportes diarios y con sugerencias sobre la forma de solucionar la

anomalía detectada (CRC, 2015). Como dato adicional en Australia es ilegal que

cualquier persona u organización utilice y controle remotamente el computador de

otra persona sin su consentimiento.

En (Hopkin Paul, 2017) se define cuatro aspectos que pueden ser afectados por una

amenaza o riesgo determinado dentro de una organización. Para el caso particular de las

amenazas de los ciber activos del sistema de transmisión y teniendo en cuenta esta

definición tenemos los impactos globales que se pueden llegar a presentar:

✓ Financiero: La empresa podría no ser capaz de transportar la energía eléctrica y

pagar compensaciones por incumplimientos de contratos o por energía no

suministrada.

✓ Infraestructura: La empresa podría perder activos por los daños ante la

materialización de riesgos y realizar inversiones de alto costo para cumplir con las

obligaciones adquiridas como transmisor de energía eléctrica. Además, podría tener

afectación en seres vivos, llegando a tener pérdidas humanas o afectaciones

ambientales por ataques de ciberseguridad efectivos.

✓ Reputación: La empresa podría ser intervenida por la superintendencia de servicios

públicos domiciliarios debido a una reputación degradada dado a ataques exitosos

de ciberseguridad.

✓ Mercado: El sector energético podría buscar otro proveedor de electricidad o

castigar con los valores remunerados al agente transmisor, por la afectación del

servicio de energía eléctrica debidas a ataques cibernéticos.

Como parte de la revisión de diferentes metodologías utilizadas a nivel mundial, a

continuación se muestran algunas investigaciones realizadas en el ámbito de

Ciberseguridad y análisis de vulnerabilidades en infraestructuras críticas:



Colombia.

Página | 39

• En la metodología utilizada en (Song J, Lee J, Lee C, Kwon K, & Lee D., 2012) se

describe seis pasos que deben llevarse a cabo para realizar una evaluación de

riesgos de seguridad cibernética durante el diseño del sistema y componentes:

1. Identificación del sistema y modelado de seguridad cibernética.

2. Análisis de activos y de impacto.

3. Análisis de amenazas.

4. Análisis de vulnerabilidad

5. Diseño de control de seguridad.

6. Prueba de penetración.

En cuanto al análisis de vulnerabilidad, en este trabajo se recomienda utilizar una

lista existente de vulnerabilidades y adaptarlas a las características específicas del

sistema bajo análisis.

• En (Woo & Kim, 2014) se propone una metodología para la evaluación cuantitativa

del riesgo de seguridad cibernética en los sistemas SCADA basada en el flujo de

potencia óptimo y el seguimiento del flujo de potencia.

Para la cuantificación de vulnerabilidades, primero, se define el impacto de cada

amenaza para cada componente. Luego, se asigna un índice de vulnerabilidad a

cada componente del sistema. El índice de vulnerabilidad de un componente se

basa en datos históricos, cuando estos están disponibles, y en las características

de seguridad del componente. Para la cuantificación de amenazas, se asigna un

índice ponderado normalizado a cada tipo de amenaza para cada componente del

sistema SCADA. Se basa en la aplicabilidad del tratamiento al componente, con el

índice de vulnerabilidad y la capacidad de daño. El valor del activo se calcula en

función del costo de interrupción.

El flujo de potencia óptimo se estima como un costo mínimo de generación de

energía para todos los generadores bajo restricciones de generadores y

capacidades de línea. El método de seguimiento de flujo de potencia, se basa en la

teoría de grafos, se utiliza para examinar las interdependencias entre generadores



Colombia.

Página | 40

y terminales de carga con el fin de calcular el costo de interrupción para cada

componente de un sistema SCADA.

Finalmente, el riesgo se calcula en términos monetarios como un producto de las

probabilidades de una amenaza y vulnerabilidad, y el costo de un activo.

• En la investigación realizada en (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling

of Cyber Attacks, 2015), se desarrolla una metodología para el análisis de impacto

de una subestación eléctrica y sus líneas asociadas, considerando parametros de

ataques y sus correlaciones con las conexiones fisicas del sistema de transmisión

de energía eléctrica.

Varios metodos son utilizados para evaluar las probabilidades de acceso ilegal, los

cuales incluyen cadenas de Markov, redes Petri y metodos basados en redes

Bayesianas (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling of Cyber Attacks,

2015).

En este artículo se hace enfasis en analizar la respuesta del sistema de protección

local de la subestación ante ciber ataques. Se evalúa los Ni parametros de ajuste

del esquema de protecciones eléctricas de la subestación y líneas de trasnmisión y

se asume una capacidad de atacante el cual es definido como el porcentaje de

parametros que el atancante puede modificar, evaluando el número y las

combinaciones de parametros modificables, al igual de su indicador de impacto

sobre el sistema de transmisión.

• En (Yang, y otros, 2017) se propone un modelo de sistema de detección de intrusión

(IDS) orientado a ciber seguridad de subestaciones eléctricas basadas en IEC

61850. El IDS propuesto integra el conocimiento físico, las especificaciones del

protocolo y los comportamientos lógicos para proporcionar una solución integral y

efectiva que pueda mitigar varios ciberataques.



Colombia.

Página | 41

Se han propuesto muchas investigaciones en intrusión y detección de anomalías

dirigidas a los sistemas SCADA. Sin embargo, la investigación sobre IDS orientado

a subestaciones inteligentes con IEC 61850 todavía se encuentra en una etapa

temprana de desarrollo (Yang, y otros, 2017). Un IDS basado en reglas para un IED

con IEC 61850 generalmente se obtienen a partir de datos experimentales basados

en ciberataques simulados sin considerar la especificación del protocolo. El enfoque

de la lista negra (blacklist) propuesta en algunos IDS muestra la detección efectiva

de ataques conocidos. Sin embargo, las listas negras generalmente no son efectivas

contra amenazas desconocidas o vulnerabilidades no descubiertas, también

llamadas ataques de día cero.

Basado en ciberataques relacionados recientes como Havex, Stuxnet y

BlackEnergy, la motivación para la IDS de red es detectar comportamientos

específicos del SCADA llevados a cabo por un intruso que ya se ha afianzado en la

red debido a una interfaz de máquina humana infectada (HMI), computadora portátil

de ingeniería o un vector inicial similar. Estas infecciones iniciales suelen explotar

las vulnerabilidades del software de TI no relacionadas con el sistema de control

central.

El enfoque de IDS propuesto en (Yang, y otros, 2017) consta de cuatro dimensiones:

1. Detección de control de acceso: Es un tipo de estrategia de control de acceso

que incluye direcciones de control de acceso medio (MAC) en la capa

Ethernet, direcciones IP en la capa de red y puertos en la capa de transporte.

2. Detección de lista blanca de protocolo: Se refiere a las capas 2-7 en términos

del modelo OSI y trata de identificar los protocolos de redes de

subestaciones inteligentes que deben operar.

3. Detección basada en modelos: El enfoque analiza los archivos SCD y el

contenido de tráfico IEC 61850 normal, define modelos de comportamiento

normales y correctos utilizando un análisis de protocolo en profundidad y

compara los perfiles de comportamientos benignos con el tráfico observado

para identificar desviaciones anómalas.



Colombia.

Página | 42

4. Detección basada en múltiples parámetros: La idea central de la detección

es identificar las posibles amenazas contra el SCADA, que resultan de un

uso indebido interno no intencionado o ataques maliciosos externos

mediante el control de los parámetros más sensibles desde el punto de vista

operativo de una subestación eléctrica. Se basa en la integridad de los datos,

compara valores desde todos los puntos de información.

La clave para este trabajo es el uso novedoso de la información de configuración

del archivo SCD, para configurar automáticamente el IDS desplegado en la

subestación donde está instalado el IDS.

• En el trabajo realizado en (Zhu, Yan, Tang, Sun, & He, 2015), se diseña una nueva

métrica llamada gráfico de interdependencia de componentes, para presentar las

relaciones entre nodos críticos y enlaces desde la perspectiva del atacante.

Adicionalmente, se realiza simulaciones adoptando el sistema propuesto en la IEEE

30, el cual es utilizado como punto de referencia para los análisis realizados. El

sistema de potencia analizado cuenta con 30 nodos y 41 enlaces, que en total

suman 71 componentes de red analizados. Las combinaciones de nodos y enlaces

son destacados en la investigación realizada, por que de esta radica la importancia

para la investigación de vulnerabilidades y las estrategias de ataques en el sistema

de transmisión de energía, identificando y generando un gráfico de

interdependencias de componentes.

En este trabajo se representa la red de influencia como H, donde H = {N,L} , donde

N es el grupo de Nodos (subestaciones del área de influencia) y L es el número de

enlaces (líneas de transmisión del área de influencia). Los nodos son clasificados

en tres grupos, nodos de generación NG, nodos de demanda ND y nodos de

transmisión NT. Adicionalmente, se definen las siguientes constantes KN, KL, KNG,

KND, los cuales representan el número de nodos, enlaces, nodos de generación y

nodos de demanda respectivamente.



Colombia.

Página | 43

En sistemas de potencia, la energía es transmitida desde nodos de generación

hasta nodos de demanda. Por lo tanto, cada nodo puede causar cambio en los

enlaces del sistema eléctrico. Sin embargo, dentro de la red eléctrica siempre existe

un limite de flujo de potencia, que en el caso de (Zhu, Yan, Tang, Sun, & He, 2015)

se denomina Pmax. Finalmente, la capacidad de la red CRT es usada en la

metodología para evaluar como el sistema puede suplir la energía ante los

diferentes eventos que puedan ocurrir en el sistema de potencia.

La metodología se basa en grafos, el cual luego del análisis de varias

combinaciones, se visualiza una red con nodos que representan los componentes

del sistema y enlaces que representan las interdependencias entre dos

componentes, adicionalmente en el gráfico el color y el tamaño de la fuente

representa la criticidad tanto del nodo como del enlace correspondiente, tal como se

muestra en la Figura 4.

Figura 4. Grafo de interdependencias de componentes Topología IEEE 30. Fuente: (Zhu, Yan, Tang, Sun, & He, 2015).

Para la simulación propuesta en esta metodología se tienen en cuenta los siguientes

conceptos definidos (Zhu, Yan, Tang, Sun, & He, 2015):



Colombia.

Página | 44

✓ Carga: En este documento representa la potencia transferida por cada línea de

transmisión, se demona carga inicial a la potencia trasmitida antes del ataque o

de pérdida del elemento.

✓ Tolerancia del sistema: Dentro del modelo eléctrico se debe conocer y definir la

capacidad de cada línea de transmisión y subestación. Esta capacidad

generalmente esta dada proporcionalmente a una carga inicial. Esta

proporcionalidad es la tolerancia del sistema.

✓ Sobre Carga: Es cuando alguno elemento del sistema de potencia excede su

capacidad.

Como medida de valoración en (Zhu, Yan, Tang, Sun, & He, 2015), se adoptan dos

medidas para evaluar el daño causado por el ataque. La medida principal es el

porcentaje de caída en la capacidad de la red (PCR), que se define como:

PCR = (CRT − CRT′) CRT⁄ [1]

Donde CRT representa la capacidad de la red antes del ataque y CRT' representa

la capacidad de la red después del ataque. Es importante tener en cuenta que las

fallas en cascada ocurren precisamente cuando la carga de una subestación o línea

de transmisión excede esta capacidad, la cual es calculada en (Zhu, Yan, Tang,

Sun, & He, 2015) por el multiplo de la tolerancia del sistema con respecto a la carga

base o inicial.

La segunda medida es la pérdida de conectividad (PL), que se define como:

PL = 1 − KL′ KL⁄ [2]

Donde KL es el número de líneas disponibles antes del ataque y KL' representa el

número de líneas disponibles luego del ataque.



Colombia.

Página | 45

• Otra investigación encontrada, donde se calculan metricas de ciberseguridad es en

(Yu, Mao, & Guo, 2006), en donde se propone un índice de vulnerabilidad para

sistemas de potencia dado por:

Ic= ∑ P(Ej)×P(ELj Ej⁄ )×Lj(ELj)j∈N [3]

Donde:

P(Ej) : Probabilidad de la ocurrencia del evento Ej.

P(ELj/Ej) : Probabilidad de afectación del sistema de potencia

ELj : Resultado del evento de ciber seguridad Ej.

Lj : Pérdidas causadas por la afectación ELj.

• Uno de los trabajos que aporto un referente importante para la investigación

realizada es (Cherdantseva, y otros, 2016), donde se describe un estado del arte

detallado sobre las diferentes metodologías para la valoración del riesgo y que

contribuye a la identificación de las vulnerabilidades del sistema. A continuación se

describen aspectos relevantes de las metodologías presentadas y que de una u otra

forma contribuyeron a la propuesta realizada en el presente trabajo.

En (Cherdantseva, y otros, 2016) se referencia el método de dos índices para la

evaluación cuantitativa de la vulnerabilidad de los sistemas de información críticos.

El método desarrollado en (Patel S, Graham J, & Ralston P., 2008), es basado en

una vulnerabilidad argumentada en estructura de arbol con dos índices, nombrados

índice de impacto de la amenza y índice de ciber vulnerabilidad.

1. El índice de impacto de la amenza representa el efecto financiero de una

amenaza cibernética, entre más grande es el indicador mayor es el impacto.

Se mide en la escala de 0 a 100.

2. El índice de ciber vulnerabilidad representa la vulnerabilidad de un sistema

con respecto a un ciberataque. Un sistema más vulnerable tiene un índice

más alto. Se mide en la escala de 0 a 100.



Colombia.

Página | 46

El método requiere seis pasos para su ejecución:

1. Desarrollo del diagrama de árbol desde su nivel base, identificando las

vulnerabilidades para un sistema determinado.

2. Construcción de una tabla de análisis de efectos y cálculo de los valores del

índice de impacto de la amenaza.

3. Asignación y reorganización en el diagrama de árbol de los valores de índice

de impacto de amenaza.

4. Cálculo de los valores del índice de vulnerabilidad cibernética.

5. Asignación y reorganización en el diagrama de árbol con los valores del

índice de vulnerabilidad cibernética.

6. Reproducción de los pasos 2-5 para un sistema de seguridad mejorada y la

comparación de resultados.

En este artículo, las pérdidas financieras causadas por los ataques fueron estimadas

entrevistando ingenieros, gerentes, operadores y contadores del caso de estudio.

Otro estudio referenciado en (Cherdantseva, y otros, 2016), es la evaluación del

riesgo de ciberataques en los sistemas SCADA, a través del análisis de redes de

Petri. La metodología propuesta en (Henry & Haimes, 2009), es identificar los

posibles modos de falla del proceso con las consecuencias correspondientes, a

partir de ellos, esos modos de falla se separan y se determinan cuales puede

conducir a una falla de alto impacto del proceso. Luego, se identifican los recursos

que necesita un atacante para cometer un ataque.

El modelo de riesgo de seguridad de red (NSRM Network Security Risk Model), es

un gráfico dirigido que representa un ataque. En el gráfico, los nodos representan

los componentes de un sistema y las conexiones indican los enlaces a través de los

cuales un componente puede influir en otro. El NSRM presenta los siguientes pasos

(Henry & Haimes, 2009):



Colombia.

Página | 47

1. Identificar las métricas de riesgo específicas del sistema. En el ejemplo

presentado en el caso de estudio, el riesgo se mide en términos de los

galones de flujo perdido de petróleo crudo por día.

2. Descomponer una infraestructura controlada en un modelo jerárquico.

3. Caracterizar los modos y efectos de falla del proceso.

4. Especificar el funcionamiento del proceso y los modos de interrupción del

proceso.

5. Construir un escenario de ataque. Cada escenario de ataque se caracteriza

por los objetivos del atacante, el tipo de atacante y los puntos de acceso.

6. Caracterizar la estructura de seguridad de red.

7. Descomponer la red de control en los componentes de la red y los enlaces

entre ellos.

8. Definir los modos de interrupción del proceso y los requisitos de recursos en

términos de acceso a los componentes para cada escenario de ataque.

En esta investigación se observa que debido a la falta de datos estadísticos y debido

a las particularidades de los sistemas individuales, los expertos deben participar en

la estimación de los parámetros involucrados en el cálculo.

Otro referenciamiento presentado en (Cherdantseva, y otros, 2016), es la evaluación

del riesgo de seguridad cibernética en centrales nucleares desarrollado en (Song J,

Lee J, Lee C, Kwon K, & Lee D., 2012). La metodología describe seis pasos que

deben llevarse a cabo para realizar una evaluación de riesgos de seguridad

cibernética, durante el diseño del sistema y componentes:

1. Identificación del sistema y modelado de seguridad cibernética.

2. Análisis de activos y de impacto.

3. Análisis de amenazas.

4. Análisis de vulnerabilidad

5. Diseño de control de seguridad.

6. Prueba de penetración.



Colombia.

Página | 48

En cuanto al análisis de vulnerabilidad, en este trabajo se recomienda utilizar una

lista existente de vulnerabilidades y adaptarlas a las características específicas del

sistema bajo análisis.

Por ultimo, se menciona la metodología cuantitativa para evaluar el riesgo de

seguridad cibernética de los sistemas SCADA realizada en (Woo & Kim, 2014). Este

documento propone una metodología para la evaluación cuantitativa del riesgo de

seguridad cibernética en los sistemas SCADA basada en el flujo de potencia óptimo

y el seguimiento del flujo de potencia.

Para la cuantificación de vulnerabilidades, primero, se define el impacto de cada

amenaza para cada componente. Luego, se asigna un índice de vulnerabilidad a

cada componente del sistema. El índice de vulnerabilidad de un componente se

basa en datos históricos, cuando estos están disponibles, y en las características

de seguridad del componente. Para la cuantificación de amenazas, se asigna un

índice ponderado normalizado a cada tipo de amenaza para cada componente del

sistema SCADA. Se basa en la aplicabilidad del tratamiento al componente, con el

índice de vulnerabilidad y la capacidad de daño, el valor del activo se cálcula en

función del costo de interrupción.

El flujo de potencia óptimo se estima como un costo mínimo de generación de

energía para todos los generadores bajo restricciones de generadores y

capacidades de línea. El método de seguimiento de flujo de potencia, se basa en la

teoría de grafos, se utiliza para examinar las interdependencias entre generadores

y terminales de carga con el fin de calcular el costo de interrupción para cada

componente de un sistema SCADA.

Finalmente, el riesgo se cálcula en términos monetarios como un producto de las

probabilidades de una amenaza y vulnerabilidad, y el costo de un activo.

• En el caso de la metodología propuesta en (Matthew, Ryan, Kevin, & Zaret, 2009),

se identifican los posibles modos de falla del proceso con las consecuencias



Colombia.

Página | 49

correspondientes, a partir de ellos, esos modos de falla se separan y se determinan

cuales puede conducir a una falla de alto impacto del proceso. Luego, se identifican

los recursos que necesita un atacante para cometer el ataque. Finalmente, con esta

valoración se realiza una ponderación se presenta el análisis de vulnerabilidad del

sistema.

• Basándose en un extenso análisis de fallas, en (Alcaraz & Zeadally, 2015) se han

propuesto una taxonomía de amenazas que se basa en la noción de causa y efecto.

La taxonomía utiliza vectores de eventos y vectores de efectos para definir la

motivación de una amenaza, la metodología aplicada para crear una amenaza y los

efectos resultantes. Un vector de evento describe el agente de amenaza, la

motivación, el objetivo y el método o la técnica utilizada para lograr el objetivo. Por

el contrario, un vector de efectos describe los impactos en la infraestructura, los

servicios y el sector afectados, además de la causa.

También se hace enfasis en la importancia de considerar el nivel de dependencia

entre recursos, componentes del sistema, funcionalidades y servicios. Cuando el

nivel de dependencia es alto y un componente exhibe un comportamiento anómalo,

existe la posibilidad de que todo el sistema y sus servicios se vean afectados y los

efectos puedan caer en cascada hacia otras infraestructuras críticas. En tales

situaciones, es de suma importancia estar al tanto de cuatro factores: el alcance del

efecto, su magnitud, propagación y recuperación.

Desde la perspectiva más general en (Alcaraz & Zeadally, 2015), se recomienda

que el acceso externo a los recursos del sistema debe asegurarse mediante

firewalls, zonas desmilitarizadas (DMZ), sistemas de detección de intrusos (IDS -

intrusion detection systems) , sistemas de prevención de intrusiones (IPS - intrusion

prevention systems) y software antivirus.

• Con referencia al tema de evaluación de vulnerabilidades en (DeSmit, Elhabashy,

Wells, & Camelio, 2017), se proporciona un enfoque para identificar

sistemáticamente las vulnerabilidades ciberfísicas y analizar su impacto potencial



Colombia.

Página | 50

en los sistemas de fabricación inteligentes. El enfoque propuesto emplea el mapeo

de intersecciones para identificar vulnerabilidades ciberfísicas en la fabricación. Se

presenta un análisis de impacto de vulnerabilidad ciberfísica utilizando árboles de

decisión y proporciona una escala de semáforo entre niveles bajos, medios y altos

de vulnerabilidades ciberfísicas para cada proceso de producción. La escala de

semáforo permite interpretar los resultados de la evaluación de una manera intuitiva.

El enfoque propuesto es el primero de un protocolo de seguridad ciberfísica de cinco

pasos: identificación y evaluación de vulnerabilidades, protección, detección de

ataques, estrategia de respuesta y protocolo de recuperación; propuesto por el

Instituto Nacional de Estándares y Tecnología (NIST).

El enfoque de evaluación de vulnerabilidad es basado en la idea de que las

vulnerabilidades en los sistemas ocurren en las intersecciones de entidades

cibernéticas, físicas, ciberfísicas y humanas que se incorporan en un proceso

determinado. En la Figura 5 se puede ver una representación visual de cómo estas

entidades y vulnerabilidades interactúan dentro del espacio de vulnerabilidad, donde

las intersecciones deberían dar como resultado una transformación esperada. Sin

embargo, la transformación real podría diferir de la esperada. Esta transformación

actuaría como entrada en la próxima intersección y este procedimiento continuaría

a través de cada intersección en el proceso o funcionamiento del sistema.

Figura 5. Ejemplo de intersección Ciber/Humana dentro del sistema. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).

CIBER ENTIDAD

ENTIDAD HUMANA

INTERSECCIÓN

TRANSFORMACIÓN ESPERADA

TRANSFORMACIÓN ACTUAL

ESPACIO DE VULNERABILIDAD



Colombia.

Página | 51

El enfoque propuesto comienza con el mapeo de intersecciones y el análisis del

impacto de la vulnerabilidad en cada nodo de intersección, como se muestra en la

Figura 6. Sin embargo, primero se necesita una mejor comprensión del flujo del

proceso, la transición de datos / conocimiento y los requisitos de recursos para el

funcionamiento del sistema.

Figura 6. Esquema del enfoque de evaluación de vulnerabilidad propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017).

Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).

Para un análisis completo, se deben crear mapas de procesos y mapas de

intersecciones posteriores para cada parte del sistema garantizando que todas las

intersecciones estén incluidas. Después de eso, se realizá un análisis de impacto

de vulnerabilidad en cada nodo de intersección de acuerdo con un conjunto de

métricas específicas. Como resultado del enfoque, se pone a disposición de la

empresa como una visión general de las vulnerabilidades ciberfísicas existentes en

el sistema.

Ahora bien, para el proceso del mapeo de intersección, el primer paso del enfoque

de evaluación propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017), es

rastrear los cuatro tipos de entidades diferentes a lo largo de todo el proceso de

producción o funcionamiento del sistema. Para este propósito, los mapas de

intersección se usan para identificar cada entidad a medida que avanza a través del

proceso, creando una cadena de entidades relacionadas que podrían rastrearse

fácilmente. Las cuatro entidades enumeradas a continuación son: cibernéticas,

físicas, ciberfísicas y humanas.

✓ La entidad cibernética se utiliza para el procesamiento previo, el

almacenamiento, la transferencia, la administración o el procesamiento posterior

PROCESO DE MAPEO

MAPEO DE INTERSECCIONES

ANÁLISIS DE IMPACTO DE

VULNERABILIDADES

PERSPECTIVA GENERAL DE

VULNERABILIDADES CIBER-FÍSICAS

ENFOQUE DE EVALUACIÓN DE VULNERABILIDAD



Colombia.

Página | 52

de la información digital. Los ejemplos de entidades cibernéticas incluyen:

sistemas de planificación de necesidades de materiales (MRP), plataformas de

gestión del ciclo de vida (PLM), sistemas de planificación de recursos

empresariales (ERP), sistemas de gestión de datos, software de minería de

datos y sistemas de informe de control o inspección de calidad.

✓ Una entidad física es aquella que es de naturaleza tangible y cuyo papel en el

sistema no está completamente gobernado por sistemas automatizados. Los

ejemplos de entidades físicas incluyen: piezas fabricadas, máquinas operadas

manualmente, materiales crudos o intermedios y equipos de inspección

operados manualmente.

✓ Las entidades ciberfísicas se definen como cualquier entidad compuesta de

elementos cibernéticos y físicos que interactúan de manera autónoma, con o sin

supervisión humana. Los ejemplos de entidades ciberfísicas incluyen: máquinas

de Control Numérico Computarizado (CNC), Máquinas de Medición de

Coordenadas (CMM), sistemas de adquisición de datos (DAQ), impresoras 3D y

redes SCADA.

✓ Por ultimo, en el espacio de vulnerabilidad, un humano se define como cualquier

persona que tiene la oportunidad de interactuar con otras entidades dentro del

sistema. Entre los ejemplos de entidades humanas se incluyen: personal de

soporte de tecnología de la información (TI), diseñadores, ingenieros de

mantenimiento, maquinistas, operadores, ingenieros de calidad, ingenieros de

operación y visitantes.

La propuesta metodológica para los mapas de intersección, es que las entradas son

codificadas por colores para identificar posteriormente las tendencias o niveles de

significancia que ocurren dentro de tipos específicos de entradas. Como se presenta

en la Figura 7, el verde representa una entidad física en el sistema, el azul

representa un componente cibernético, el violeta representa un componente

ciberfísico y finalmente el rojo representa una entidad humana.



Colombia.

Página | 53

Figura 7. Ejemplo de mapa de intersección de vulnerabilidades. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).

Por lo tanto, el mapeo de intersección es el primer paso del enfoque, donde todas

las interacciones presentes en los mapas de proceso se convierten en

intersecciones. Luego del mapeo de intersección, el análisis del impacto de la

vulnerabilidad evalúa cinco métricas utilizando diferentes árboles de decisión.

Para el análisis de impacto de vulnerabilidad se tienen en cuenta los siguientes

aspectos:

✓ Pérdida de información: la información pérdida o modificada durante la

finalización de un nodo.

✓ Inconsistencia: El nivel de variabilidad de intersección, que puede ocurrir debido

a cambios de operador, nuevas herramientas, configuraciones de máquina, etc.

✓ Frecuencia relativa: la cantidad de veces que se repite una intersección exacta

durante el funcionamiento. Esta métrica se refiere a la intersección específica

recurrente con detalles idénticos.

✓ Tiempo hasta la detección: la cantidad de tiempo transcurrido entre una

perturbación del nodo y su posible detección.

✓ Falta de madurez: la cantidad de tiempo que una intersección no ha estado en

operación. En el caso de las entidades humanas, podría considerarse como la

falta de experiencia o confianza; ya que se espera que un operario novato sea



Colombia.

Página | 54

menos experto que uno que ha estado operando el sistema durante diez años,

por ejemplo.

Se debe tener en cuenta que cada métrica se clasificará en baja, media o alta; de

una manera similar a una escala de semáforo para permitir al analista interpretar

fácilmente los resultados del enfoque de evaluación (DeSmit, Elhabashy, Wells, &

Camelio, 2017). Los valores bajos representan un impacto de baja vulnerabilidad y

una intersección más segura que una que recibe un valor más alto. Los árboles de

decisión para cada una de estas métricas se crean para permitir una evaluación fácil

de repetir. Cada árbol de decisión para una métrica plantea una pregunta (o un

conjunto de preguntas); es al responder a estas diferentes preguntas que se

determina el nivel de impacto de las vulnerabilidades ciberfísicas, tal como se

presenta en el ejemplo de la Figura 8.

Por último, el resultado del enfoque propuesto es proporcionar una visión general

de las vulnerabilidades ciberfísicas existentes en las instalaciones.

Figura 8. Ejemplo de árbol de decisión de análisis de vulnerabilidades. Fuente: Tomado de (DeSmit, Elhabashy, Wells, & Camelio, 2017).

• Otras investigaciones consultadas desarrollan un proceso de tres pasos para la

evaluación de vulnerabilidad cibernética y métodos de análisis de riesgos para

sistemas ciberfísicos. El primer paso consiste en comprender la estructura

organizacional. Segundo, la organización determina los modos de falla e identifica



Colombia.

Página | 55

posibles consecuencias. Por último, la organización implementa mejoras. El

problema principal de este enfoque es la falta de claridad sobre cómo identificar

correctamente las vulnerabilidades (DeSmit, Elhabashy, Wells, & Camelio, 2017).

• De acuerdo al estudio realizado en (Akdeniz & Bağrıyanık, 2015), se presenta una

medida para la evaluación de vulnerabilidad de ataque en líneas de transmisión de

energía usando el sistema de prueba de confiabilidad IEEE.

En la literatura, varios estudios discuten el tema de vulnerabilidad del sistema de

energía como un problema de ataque terrorista en la forma de una optimización

binivel, que se enfoca principalmente en los impactos finales en la red eléctrica,

como lo es la pérdida de energía (PE) o pérdida de generación (PG) (Akdeniz &

Bağrıyanık, 2015). Sin embargo, los criterios de selección de los objetivos se basan

principalmente en el nivel de flujo de potencia (es decir, seleccionar la potencia

máxima transferida / líneas cargadas) que es casi independiente de los factores

físicos y ambientales del sistema de transmisión en sí. Además, el comportamiento

de actuación de los ataques terroristas debe tomarse en consideración en términos

de la distribución de la capacidad de la fuerza de trabajo y el nivel intelectual del

conocimiento del sistema.

En este estudio, se presenta una medida de vulnerabilidad para las líneas y

subestaciones del sistemas de transmisión. Se menciona que por lo general, el

ranking de vulnerabilidades para ataques terroristas de líneas de transmisión esta

compuesto por dos componentes principales, uno proviene de las características

físicas del sistema y el otro se debe al nivel de importancia de las subestaciones

conectadas. Para el cálculo del índice de ataque terrorista para líneas, se usa la

suma del nivel de aperturas de líneas y la vulnerabilidad de las subestaciones

directamente conectadas. Además, se tiene en cuenta la longitud relativa de las

líneas, la distancia de separación vertical relativa a tierra de las líneas y la capacidad

de MVA de la línea individual. De manera similar para las barras de las

subestaciones, se tiene en cuenta el nivel de protección, el nivel de criticidad social

y el porcentaje de generación y consumo de energía de las barras conectadas por



Colombia.

Página | 56

la línea individual. Los detalles de cálculo de la vulnerabilidad general de ataque

terrorista de líneas, VTA,l, se describen a continuación (Akdeniz & Bağrıyanık,

2015):

𝑉𝑇𝐴, 𝑙 = 𝑉𝑂𝑃. 𝑙 + 𝑉𝑇𝐴, 𝑏𝑢𝑠 [4]

𝑉𝑃𝑂, 𝑙 = 𝑊𝑙𝑙, 𝑙 ∗ 𝑊𝑣𝑐𝑑, 𝑙 ∗ 𝑊𝑐𝑎𝑝, 𝑙 [5]

𝑉𝑇𝐴, 𝑏𝑢𝑠 = 𝑉𝑡𝑎, 𝑖 ∗ 𝑉𝑡𝑎, 𝑗 [6]

𝑉𝑡𝑎, 𝑖 = 𝑊𝑝𝑙, 𝑖 ∗ 𝑊𝑠𝑐, 𝑖 ∗ 𝑊𝑠𝑖𝑧𝑒, 𝑖 [7]

𝑊𝑙𝑙, 𝑙 =𝐿𝑙

𝐿𝑚𝑎𝑥 [8]

𝑊𝑣𝑐𝑑, 𝑙 =𝐷𝑣𝑙1

𝐷𝑣𝑙2 [9]

𝑊𝑐𝑎𝑝, 𝑙 =𝑀𝑉𝐴𝑙

𝑀𝑉𝐴 𝑚𝑎𝑥 [10]

𝑊𝑠𝑖𝑧𝑒, 𝑖 =𝐶𝑖

𝐶𝑡𝑜𝑡+

𝐺𝑖

𝐺𝑡𝑜𝑡 [11]

𝑊𝑝𝑙, 𝑖 = 1 − 𝑊𝑠𝑙, 𝑖 [12]

Donde:

𝐿𝑙 = Longitud de la línea

𝐿𝑚𝑎𝑥 = la longitud de la línea más larga

𝐷𝑣𝑙1 & 𝐷𝑣𝑙2 = Distancia vertical al suelo para diferentes niveles de voltaje

𝐶𝑖 = Consumo del bus i

𝐶𝑡𝑜𝑡 = Consumo total

𝐺𝑖 = Generación del bus

𝐺𝑡𝑜𝑡 = Generación total

𝑀𝑉𝐴𝑙 = Capacidad de la línea l

𝑀𝑉𝐴 𝑚𝑎𝑥 = Capacidad maxima de la línea

𝑊𝑙𝑙, 𝑙 = Relación de longitud de línea relativa de la línea l

𝑊𝑣𝑐𝑑, 𝑙 = Distancia relativa entre la distancia vertical de la línea l y el suelo

𝑊𝑐𝑎𝑝, 𝑙 = Capacidad relativa en MVA de la línea l

𝑊𝑠𝑖𝑧𝑒, 𝑖 = Generación de energía y nivel de consumo del bus i.

𝑊𝑝𝑙, 𝑖 = Nivel de protección del bus i

𝑊𝑠𝑙, 𝑖 = Nivel de seguridad del bus i



Colombia.

Página | 57

𝑊𝑠𝑐, 𝑖 = Impacto de la criticidad social del bus i

𝑉𝑃𝑂, 𝑙 = Nivel de apertura física de la línea l

𝑉𝑡𝑎, 𝑖 = NIvel de vulnerabilidad de ataque terrorista en el bus i

𝑉𝑇𝐴, 𝑏𝑢𝑠 = Componente de ataque terrorista con l línea y i buses

𝑉𝑇𝐴, 𝑙 = Vulnerabilidad total del ataque terrorista de la línea l

Con base en la anteriro expresión en (Akdeniz & Bağrıyanık, 2015), se define que

el nivel de protección del bus equivalente, Wpl, se considera complementario al valor

del nivel de seguridad del bus individual Wsl definidos en la Tabla 1. El factor Wsc

se define en grados de impacto de los factores de criticidad social mostrados en la

Tabla 2.



Colombia.

Página | 58

Tabla 1. Distribución del nivel de seguridad. Fuente: (Akdeniz & Bağrıyanık, 2015).

Tabla 2. Distribución del nivel de criticidad social. Fuente: (Akdeniz & Bağrıyanık, 2015).

En términos de la metodología clásica de evaluación de vulnerabilidades del sistema

eléctrico, las características eléctricas del sistema son los parámetros principales a

los que el estado del sistema depende. Sin embargo, sólo teniendo en cuenta estos

parámetros puede no ser suficiente para un análisis de vulnerabilidad completo. Por

lo tanto, los parámetros no operacionales y otros problemas sociológicos a los que

los sistemas de potencia están sujetos deben incluirse en el modelo de análisis de

vulnerabilidad.

Si bien el análisis de vulnerabilidad fuera de línea puede orientar las inversiones y

los planes de prioridad de mantenimiento, el análisis de vulnerabilidad en línea

brinda asistencia a los despachadores de carga para optimizar las acciones de

control de frecuencia de carga del sistema y mejorar los niveles de supervivencia

después de fallas que afectan una amplia área del sistema eléctrico (Akdeniz &

Bağrıyanık, 2015). De acuerdo con la naturaleza de la ocurrencia de la perturbación,

los riesgos que pueden estimarse a partir de los datos históricos se consideran

riesgos probabilísticos, mientras que las amenazas que pueden suceder y que no

tienen datos estadísticos deben evaluarse.

Orden Nivel de seguridad Descripción Grado

6 Extremo Completamente seguro 1,0-0,8

5 Mayor Área protegida y segura, alarmada 0,8-0,6

4 Moderado Área segura 0,6-0,4

3 Menor Barreras complejas, patrullas de seguridad, videovigilancia 0,4-0,2

2 Muy bajo Barreras desbloqueadas y no complejas <0,2

1 cero Completamente abierto, sin control, sin barreras 0

Orden Nivel de seguridad Grado

4 Severo 1,0

3 Mayor 0,8

2 Moderado 0,5

1 Menor 0,2



Colombia.

Página | 59

• Una estrategia para anticipar los riesgos y amenazas en ciberseguridad empresarial

es propuesto en (Cano, 2017), dentro del estudio para el análisis de vulnerabilidades

propuesto en este documento, se presenta como necesario comprender en detalle

la incertidumbre estructural del entorno.

La metodología propuesta en (Cano, 2017) se denomina ventana de AREM

(Amenaza y Riesgos Emergentes) desarrollado para la actualización continua de la

gestión de riesgos, enteniendo el riesgo como factor clave en la toma de decisiones.

La herramienta apalanca los retos de anticipación y defensa de las organizaciones

ante riesgos, que no sólo tiene en cuenta amenazas conocidas, sino latentes,

focales y emergentes.

Esta herramienta presentada en la Figura 9, establece un nuevo tratamiento en la

gestión de riesgos introduciendo las posibilidades como elemento clave dentro de

los análisis de los riesgos propios del sector analizado.

Figura 9. Ventana de AREM. Fuente: Tomado de (Cano, 2017).

Donde los riesgos conocidos, son aquellos que son parte de la práctica tradicional

de la aplicación de los estándares de gestión de riesgos. Para determinarlo es a

Lo que conoce

la organización

Lo que desconoce

la organización

Lo que conoce

el entorno

Amenazas y

riesgos

conocidos

Amenazas y

riesgos

latentes

Lo que

desconoce

el entorno

Amenazas

y riesgos

focalizados

Amenazas

y riesgos

emergentes



Colombia.

Página | 60

través de la identificación de si se ha conversado o comunicado dentro de la

organización y se conoce de su existencia (Cano, 2017).

Los riesgos latentes, son aquellos que se sabe que están en el entorno y no son

conocidos por la organización. Los analistas de riesgos entrenados saben qué forma

tienen, cómo se pueden materializar, pero no se cuenta a la fecha con controles

específicos para su tratamiento. Se define si se ha enterado de que tal amenaza

existe y que no sabe si la organización tiene alguna estrategia de mitigación (Cano,

2017).

Los riesgos focales, representa aquellos que son conocidos por la organización y

desconocidos por el entorno, dado que sólo afecta a una industria particular, por lo

que es clave contar con estadísticas o información confiable de la dinámica del

mismo en dicha industria. se clasifica en este cuadrante si la amenaza ya se a visto

o materializado en la industria particular a la que pertenece la empresa (Cano,

2017).

Por ultimo los riesgos emergentes, configuran un escenario de posibilidades y

oportunidades para concretar acciones contrarias contra la organización desde

diferentes aproximaciones. Es decir, nunca se habia escuchado de tal amenaza

(Cano, 2017).

Todo este análisis enfocados principalmente a la capacidad de explorar y reconocer

nuevos vectores de ataque de forma previa, en determinado ambiente empresarial

que en el caso particular de la investigación seria en el sistema de transmisión de

energía eléctrica.

Con el resultado de la valoración de vulnerabilidad, se comunica a las partes

interesadas la vista sistémica de las vulnerabilidades que se tienen identificadas a

la fecha y que son relevantes para la gestión de la organización en el contexto de

ciberseguridad.



Colombia.

Página | 61

• La estrategia metodológica utilizada en (Correa & Yusta, 2014) para la evaluación

estructural de la vulnerabilidad en redes de transmisión de energía de alto voltaje,

es basada en la combinación de modelos de flujo de potencia e índices estadísticos

de grafos de libre escala, también conocida como teoría de redes complejas. Por lo

tanto, se estudian escenarios de riesgo basados en eventos que pueden

desencadenar fallas en cascada dentro de un sistema de potencia.

La teoría de grafos constituye un área de conocimiento relativamente nueva en la

que es posible estudiar las interdependencias entre los sistemas de infraestructura

críticas, específicamente la red eléctrica de potencia. En este trabajo, los autores

aplican un método basado en el modelado de la teoría de grafos (teoría de redes

complejas), que permite una representación más simple de las infraestructuras

eléctricas, mediante el análisis de su robustez cuando se interrumpe. Esto implica

el estudio de la vulnerabilidad debido a los efectos de ciertos riesgos y amenazas

que afectan el funcionamiento normal de la red eléctrica.

El modelado de sistemas de energía eléctrica con redes complejas, implica el

estudio de los eventos que desencadenan fallas en cascada y la desconexión de los

consumidores. La metodología explicada en esta sección podría ser particularmente

útil como un mecanismo para explicar eventos como apagones o blackouts.

Como propuesta para representar topología de red, las redes eléctricas se pueden

asemejar a grafos de libre escala, lo que permite la representación de la mayoría de

los activos que conforman la red eléctrica. Algunos investigadores simplifican esa

representación como una red compleja donde las subestaciones se especifican

como nodos y las líneas eléctricas se esbozan como enlaces. Dicha representación

es bastante simple, pero incompleta, ya que muchos activos importantes en la red

eléctrica no pueden tenerse debidamente en cuenta en la evaluación de

vulnerabilidad estructural, como lo son las torres de transmisión, los

transformadores, los centros de generación, los consumidores de carga, los

condensadores y otros activos. En (Correa & Yusta, 2014), la modelación topológica

busca una representación más realista del sistema de potencia como un grafo de



Colombia.

Página | 62

libre escala, donde el conjunto de torres que sostienen las líneas eléctricas también

se considera como un nodo en el gráfico. Se tiene una consideración similar para el

conjunto de transformadores y bancos de condensadores.

Luego de la representación topológica se utiliza tres conceptos fundamentales para

realizar la evaluación de vulnerabilidad de la estructura de transmisión (Correa &

Yusta, 2014):

1. Eficiencia geodésica: Este indicador es la estimación de la eficiencia con la que

se intercambia información dentro de una red. Se supone que el flujo entre dos

nodos debe pasar a través de la distancia geodésica más corta. En un sistema

de energía eléctrica, una baja eficiencia geodésica significa que el flujo de

electricidad debe fluir a través de un mayor número de nodos y, por lo tanto,

puede aumentar los problemas de capacidad o sobrecargas de las líneas.

2. El índice promedio de vulnerabilidad geodésica: está directamente relacionado

con la eficiencia geodésica y permite mejores mediciones en el rendimiento de

la red cuando se somete a eventos de contingencia. El índice varía entre cero y

uno. Cuanto mayor es el valor del índice de vulnerabilidad, mayor es el impacto

en la red debido a problemas de congestión y fallas en cascada, ya que algunas

rutas geodésicas se interrumpen y, por lo tanto, la energía eléctrica debe fluir a

través de más o otros caminos. Esto es consistente con la fragmentación de la

red y el aislamiento de cargas de potencia en el sistema. Por lo tanto, el índice

de vulnerabilidad geodésica se puede medir como una función de la fracción de

nodos eliminados.

3. Impacto en la conectividad de la red: El estudio de fallas en cascada requiere el

cálculo del rendimiento del sistema de potencia a través de la estimación de las

cargas que permanecen conectadas bajo eventos de contingencia. Un índice

completo que permite la estimación de cargas desconectadas en fallas en

cascada corresponde a la pérdida de carga. Entonces, se establece el deslastre

de carga como una estimación de la potencia aparente total que permanece



Colombia.

Página | 63

conectada en eventos de fallas en cascada. Este índice es apropiado para

estimar el rendimiento estructural de la red, mostrando el porcentaje de

demanda no suministrada en una red en particular.

Como se presenta en (Beyza, Yusta, Correa, & Ruiz, 2018) donde se utiliza la misma

metodología, partiendo de un sistema que opera en condiciones estables (caso

base) se desarrolla un modelo dinámico de fallas en cascada. Esto se realiza

mediante iteraciones sucesivas en las que se van eliminando nodos del grafo, lo que

implica el cálculo de contingencias N-1 de una red eléctrica que cambia

constantemente su topología después de cada eliminación de un nodo. Cada

remoción de nodo está asociada con una nueva contingencia y, por tanto, con una

iteración en el proceso de desintegración de la red. La eliminación de un nodo

implica también la eliminación de todos los enlaces del grafo conectados a él. El

análisis de vulnerabilidad estructural se realiza mediante el cálculo del índice de

vulnerabilidad geodésica en función de la cantidad de nodos que quedan aislados.

Finalmente, en (Correa & Yusta, 2014) se aplico la metodología a las redes

eléctricas de dos países modelandolas como redes complejas (Sistema de

transmisión de Colombia y España) cuya topología se define de acuerdo con la

estructura existente en el año 2014. Adiconalmente, en (Beyza, Yusta, Correa, &

Ruiz, 2018) se utilizo la misma metodología para el análisis de la red de transmisión

de Mexico.

Algo de resaltar de esta metodología propuesta, es que se involucra la

representación de activos como nodos (subestaciones, torres eléctricas,

transformadores, barras de conexión, etc.) y enlaces (líneas aéreas, subterráneas,

etc.), independientemente de las distancias físicas o los parámetros eléctricos

(impedancias de línea, regulación de voltaje, pérdida de potencia, etc.) en la red.

Una vez que se ha logrado la representación mediante grafos, la vulnerabilidad

estructural del sistema eléctrico se evalúa según tres casos en las redes de

transmisión:



Colombia.

Página | 64

✓ Caso base: consiste en la evaluación de la vulnerabilidad en el estado actual

de la red.

✓ Caso planes de robustez: La evaluación de vulnerabilidad se realiza teniendo

en cuenta los planes para mejorar la robustez del sistema, sólo considera el

efecto de construir nuevas líneas de transmisión, sin agregar nuevas

subestaciones.

✓ Caso planes de expansión: consiste en evaluar la vulnerabilidad de los

planes de expansión de la red existente, según lo estipulado en los períodos

de planificación de las redes de transmisión. Considera el efecto de la

construcción de nuevas líneas de transmisión y la adición de nuevas

subestaciones en la red eléctrica.

Los resultados presentados en (Beyza, Yusta, Correa, & Ruiz, 2018) y en (Correa &

Yusta, 2014), muestran que las redes son mucho más resistentes a los escenarios

que involucran riesgos de errores aleatorios (desastres naturales, fallas técnicas,

errores humanos, etc.) que a aquellas amenazas relacionadas con actos maliciosos

(vandalismo, terrorismo, ciberataques). Los planes de expansión muestran una

mayor vulnerabilidad del sistema, esto se puede explicar porque la expansión de la

red de transmisión implica la construcción de una infraestructura más grande pero

menos compacta, teniendo unos nodos altamente conectados y con gran cantidad

de enlaces a otros nodos.

La tolerancia a los errores aleatorios se refiere a los daños en los sistemas de

infraestructura desencadenados por contingencias aleatorias, se ha demostrado

que este tipo de fallas en cascada puede provocar el colapso del servicio de red

(blackouts) cuando se aísla hasta el 20% de los nodos del sistema (Correa & Yusta,

2014).

Para el caso de la tolerancia a ataques deliberados que se relaciona con los

objetivos en la red que el atacante elige de manera determinista y que en cierta



Colombia.

Página | 65

medida pueden ser los más importantes, ya sea por su grado nodal o por su grado

de intermediación, se ha demostrado que los ataques deliberados pueden causar

blackouts de la red cuando se aísla desde el 2-5% de los nodos en el sistema

(Correa & Yusta, 2014).

• Dentro del marco de identificar la vulnerabilidad en sistemas de trasnmisión de

energía eléctrica , en Colombia se desarrolló una metodología para evaluar el

impacto de las subestaciones eléctricas dentro del sistema de transmisión nacional

y el cual se denomino como el índice de severidad operativo.

En el plan de expansión 2017-2031 se presenta una metodología de la UPME para

la evaluación de impacto de subestaciones eléctricas, teniendo en cuenta dos

indicadores llamados ISO (Índice de Severidad Operativos) y IRCS (Índice de

Riesgo para la Configuración de la Subestación), los cuales evaluan la seguridad y

riesgo de una subestación (UPME, 2018). La metodología presenta la forma de

calcular los dos indicadores, estableciendo luego la relación entre ellas y

determinando finalmente la necesidad o no de realizar una reconfiguración de la

topología de la subestación.

En este caso particular mostrado en (UPME, 2018), se aplica la metodología para

analizar el cambio de configuración de la subestación Mocoa ubicada en el sur de

Colombia. Sin embargo, para el tema abordado en esta investigación sólo

tomaremos como aporte para el presente trabajo el cálculo del Índice de Severidad

Operativa.

Para el calcular el ISO se utiliza el esquema presentado en la Figura 10, en primera

instancia se establece para cada periodo de demanda el escenario operativo en el

cual la subestación redistribuye grandes flujos de energía. Se entenderá como

grandes flujos de energía aquellos que son superiores al máximo flujo que es capaz

de redistribuir la subestación, sin generar eventos de demanda no atendida (UPME,

2018). Posteriormente se simula la pérdida de la subestación y se modela de

manera simplificada la pérdida de otros elementos (cascada), si se presentan



Colombia.

Página | 66

violaciones en el Sistema. Subsecuentemente se cálcula la potencia no

suministrada asociada a la pérdida de la subestación, como también el tiempo medio

de restablecimiento en función de la magnitud de la falla. Si el evento es de magnitud

nacional se asumen cuatro (4) horas. Si la demanda no atendida sólo compromete

un área operativa, se consideran dos (2) horas.

Figura 10. Metodología de cálculo de índice de severidad operativa. Fuente: Adaptado de (UPME, 2018).

Paralelamente al procedimiento descrito se establece la probabilidad de tener

grandes flujos de energía por la subestación. Para ello se utiliza la información

histórica del despacho real o una simulación del modelo energético SDDP

(Programación Dinámica Dual y Estocástica), finalmente se calcula la severidad

como el producto de la potencia no suministrada, el tiempo medio de

Para la subestación i definidaen el listado del Plan deExpansión

Inicio

i=1,17,1

Se establece la severidad

Establecer el escenario dedespacho y demanda queimplican grandes flujos deenergía por la subestación i.

Simular la contingencia de lasubestación i.

Simular la “cascada” asociadaa la contingencia.

Determinar el tiempo mediode restablecimiento enfunción de la magnitud delevento.

Cuantificar la probabilidadde este escenario.

Calcular la Potencia NoSuministrada asociada a lafalla de la subestación i.



Colombia.

Página | 67

restablecimiento y la probabilidad del escenario anteriormente descrito (UPME,

2018).

• La investigación realizada en (Hyunguk & Taeshik, 2015), menciona que de acuerdo

a la revisión hecha por ellos, no se tienen estudios sobre los tipos de nuevas

vulnerabilidades de seguridad y los requisitos de seguridad que se requieren en un

entorno de protocolo heterogéneo basado en IEC 61850. En este documento, se

examina la red eléctrica en Korea y analiza las vulnerabilidades de seguridad, los

requisitos de seguridad, y arquitecturas de seguridad en dicho entorno.

Las comunicaciones en las subestaciones son basadas en IEC 61850, entre las

subestaciones y el Centro de Control del sistema de control de potencia de Korea,

se usan los protocolos IEC 61850, DNP3 y IEC 61970.

Cuando se conectan protocolos heterogéneos, como en este caso, un punto de

conversión de protocolo es requerido y se convierte en un punto de ruptura de la

seguridad de extremo a extremo, en este punto se basa la metodología propuesta

en (Hyunguk & Taeshik, 2015). Por lo que determinan que las amenazas de

seguridad que pueden ocurrir en un entorno donde se conectan protocolos

heterogéneos basados en IEC 61850, se clasifican en seis tipos: Vulnerabilidad de

protocolo, asignación inadecuada de protocolos, mapeo de servicio de seguridad

incorrecta, herramienta de configuración insegura, sistema Gateway inseguro y

debilidad de diseño de red, a continuación se presenta una descripción más

detallada:

1. Vulnerabilidades del protocolo: En un entorno en el que se conectan

protocolos heterogéneos, las vulnerabilidades de cada protocolo pueden

extenderse a otras secciones de protocolo. Al conectar dos protocolos, si las

técnicas de seguridad, como el cifrado o la autenticación, se aplican sólo a

una sección de protocolo, la otra sección de protocolo cuyas vulnerabilidades

están expuestas puede ser atacada mediante suplantación y falsificación de

mensajes.



Colombia.

Página | 68

2. Asignación inadecuada de protocolo: Ocurre cuando el mapeo de protocolos

se realiza incorrectamente debido a una falla de cumplimiento con respecto

a estándares relacionados, o debido a un error humano durante el mapeo de

objetos de datos y servicios al conectar protocolos heterogéneos, con lo que

el significado del mensaje original puede dañarse.

3. Mapeo de servicios de seguridad incorrectos: Al usar la función de seguridad

de cada protocolo en un entorno en el que se conectan protocolos

heterogéneos, el objeto debe estar correlacionado para proteger el nivel de

seguridad, el objeto de autenticación y los elementos de control de acceso.

4. Herramienta de configuración insegura: Cuando se conectan protocolos

heterogéneos, comienza un procedimiento para preajustar la información de

mapeo de dos protocolos. En este momento, la información de mapeo se

genera utilizando una herramienta de configuración de software. Si la

verificación de confiabilidad de la información de tales herramientas de

configuración es imposible, existe el riesgo de que se inserten códigos

maliciosos en las herramientas de configuración o que la información pueda

ser fabricada por una herramienta de configuración no válida insertada en el

gateway.

5. Sistema Gateway inseguro: El riesgo de fabricación o falsificación de

información de mapeo de protocolo es una de las vulnerabilidades de

seguridad que pueden ocurrir en los Gateway conectados. Si no hay forma

de verificar la integridad de la información utilizada en el proceso de

conversión de protocolo, este tipo de información de asignación puede ser

fácilmente falsificada o fabricada por un atacante.

6. Debilidad del diseño de red: Las vulnerabilidades en una configuración de

red del sistema de control pueden ocurrir de manera similar a las

vulnerabilidades en un entorno de red de TI general. Las vulnerabilidades

típicas incluyen la inexistencia de una DMZ, la inexistencia de un



Colombia.

Página | 69

cortafuegos, la configuración incorrecta del cortafuegos y la inexistencia de

IDS de red.

Finalmente la metodología evalua el sistema de potencia en estas 6 categorías y

propone una arquitectura de seis capas de seguridad, las cuales estan asociada

directamente a cada categoria. Cada capa proporciona diferentes funciones de

seguridad necesarias para la defensa en profundidad.

Por otro lado, algunas investigaciones se han centrado en la valoración de riesgo para

determinar que tan vulnerable se encuentra alguna infrastructura crítica, el proceso de

gestión de riesgos, tal como se adoptó en ISO 31000: 2009 (E) (ISO, 2009) e ISO / IEC

27005: 2011 (ISO, 2011), se muestra en la Figura 11.

Figura 11. Proceso de gestión de riesgo. Fuente: Adaptado de (Cherdantseva, y otros, 2016).

La ISO 31000 del 2009 proporciona las siguientes definiciones para la gestión de riesgos y

la evaluación de riesgos:

Gestión de riesgos: "actividades coordinadas para dirigir y controlar una organización con

respecto al riesgo" (ISO, 2009, Def. 2.2). Evaluación de riesgos: "proceso general de

identificación de riesgos, análisis de riesgos y evaluación de riesgos" (ISO, 2009, Definición

2.2), donde la identificación de riesgos es el "proceso de búsqueda, reconocimiento y

Establecimiento del Contexto

Identificación de Riesgos

Análisis de Riesgos

Evaluación de Riesgos

Tratamiento de Riesgos

Valoración de Riesgos

Co

mu

nic

ació

n y

Co

nsu

lta

Mo

nit

ore

o y

Rev

isió

n



Colombia.

Página | 70

descripción de riesgos" (ISO, 2009, Def. 2.15). El análisis de riesgos es el "proceso para

comprender la naturaleza del riesgo y determinar el nivel de riesgo" (ISO, 2009, Def. 2.21)

y la evaluación de riesgos es el "proceso de comparación de los resultados del análisis de

riesgos con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable

o tolerable "(ISO, 2009, Def. 2.24).

Los riesgos que son naturalmente definidos, estan basados en los estándares disponibles

a la fecha como lo son ISO 31000 o AS/NZ 4360 (Cano, 2017).

Sin embargo, una evaluación de vulnerabilidad presenta un marco común para evaluar y

cuantificar el impacto que una vulnerabilidad puede tener en un sistema; no debe

confundirse con el análisis de riesgos. Un enfoque tradicional de análisis de riesgos implica

una auditoría de investigación para verificar la presencia de sistemas de seguridad y validar

su utilidad. Juntos, las evaluaciones de vulnerabilidad y los informes de análisis de riesgos

permiten a una organización ver su posición de seguridad en un momento dado (DeSmit,


La valoración del riesgo es una parte importante de las mejores practicas en la

administración del riesgo en infraestructuras críticas y sistemas SCADA. La valoración del

riesgo responde a las siguientes tres preguntas (Cheminod, Durante, & Valenzano, 2013):

✓ ¿Que puede salir mal?

✓ ¿Cual es la probabilidad de que pueda salir mal?

✓ ¿Cuales son sus consecuencias?

La construcción de la administración del riesgo, puede basarse sobre la valoración de riesgo

respondiendo a otras tres preguntas (Cheminod, Durante, & Valenzano, 2013):

✓ ¿Que se puede hacer y que opciones están disponibles?

✓ ¿Cuales son las compensaciones asociadas en términos de todos los costos,

beneficios y riesgos?



Colombia.

Página | 71

✓ ¿Cuales son los impactos de las decisiones actuales de su administración sobre las

opciones futuras?

De acuerdo a (Hopkin, 2017), los riesgos se pueden dividir en cuatro categorías:

✓ Riesgos de cumplimiento: Categoría de riesgo asociada a la gestión de obligaciones

mandatorias.

✓ Riesgos de Peligro: Categoría de riesgo que está asociada con la gestión de riesgos

o riesgos puros (los efectos de los riesgos de peligro deben mitigarse).

✓ Riesgos de control: Categoría de riesgo asociada a la gestión de la incertidumbre.

✓ Riesgos de oportunidad: Categoría de riesgo que está asociada con los beneficios

de las oportunidades especulativas.

Cuando un riesgo ha sido reconocido como significativo, la organización debe calificarlo

para poder identificar los riesgos significativos prioritarios (Hopkin, 2017). Para esto se

deberá establecer las medidas de la probabilidad de riesgo y el impacto del riesgo que se

utilizarán. La Tabla 3 proporciona una lista típica de definiciones en relación con la

probabilidad de riesgo y la Tabla 4 establece definiciones de impacto que generalmente se

usan. En ambos casos, se proporcionan cuatro definiciones diferentes, lo que evitará que

las personas que realicen un ejercicio de calificación de riesgo tiendan a elegir la opción del

medio. La cantidad de opciones disponibles dependerá de la naturaleza, tamaño y

complejidad del sistema o la organización.



Colombia.

Página | 72

Tabla 3. Definiciones de probabilidades. Fuente: Adaptado de (Hopkin, 2017)

Tabla 4. Definiciones de impacto. Fuente: Adaptado de (Hopkin, 2017)

Probabilidad Frecuencia

Improbable

Se puede esperar razonablemente que ocurra,

pero solo ha ocurrido 2 o 3 veces durante 10 años

en esta organización u organizaciones similares.

Posible

Ha ocurrido en esta organización más de 3 veces

en los últimos 10 años u ocurre regularmente en

organizaciones similares, o se considera que tiene

una probabilidad razonable de ocurrir en los

próximos años.

Probable

Ocurrieron más de 7 veces durante 10 años en esta

organización o en otras organizaciones similares, o

las circunstancias son tales que es probable que

suceda en los próximos años.

Casi seguro

Ha ocurrido 9 o 10 veces en los últimos 10 años en

esta organización, o han surgido circunstancias

que casi con certeza harán que suceda.

Descripción Definición

Menor

Sin impacto en la infraestructura ni afectación de

personas; pequeña reducción de la reputación en

el corto plazo; ninguna violación de la ley; pérdida

económica insignificante que puede ser

restaurada.

Moderado

Impacto temporal menor en la infraestructura o en

la salud de personas; pequeña reducción de la

reputación que puede influenciar la confianza por

un corto tiempo; violación de la ley que resulta en

una advertencia; pequeña pérdida económica que

puede ser restaurada.

Mayor

Grave impacto en la infraestructura o en la salud de

personas; pérdida grave de reputación que influirá

en la confianza y el respeto durante mucho tiempo;

violación de la ley que resulta; gran pérdida

económica que no puede ser restaurada.

Severo

Muerte o reducción permanente de la salud de

personas o perdida total de la infraestructura ;

pérdida grave de reputación que es devastadora

para la confianza; grave violación de la ley; pérdida

económica considerable que no puede ser

restaurada.



Colombia.

Página | 73

Por lo tanto, el riesgo necesita ser descrito y medido, las consecuencias pueden medirsen

en términos de pérdida, daños, lesiones etc., y su incertidumbre, en términos de

probabilidades, tal como lo presentado en las tablas anteriores.

El análisis de riesgos ha sido investigado en una amplia área de aplicaciones con el

proposito de revelar e identificar modos de fallas potenciales y peligros en nuestro sistema

y en su operación. En términos generales y basado con el SRA (Society for Risk Analysis),

el riesgo describe las potenciales consecuencias generadas desde la operación y

actividades del sistema y su incertidumbre asociada. Las consecuencias son

frecuentemente vistas en relación a algunos valores de referencia (valores planeados,

objetivos, indicadores etc.) y centradas normalmente en las consecuencias negativas e

indeseables (Zio, 2016).

La valoración del riesgo en sistemas SCADA debera ayudar a priorizar (1) los componentes

de un sistema en términos de su importancia para la correcta operación del sistema o en

términos de su nivel de vulnerabilidad para un ataque, y (2) amenazas términos del peligro

que plantea y su probabilidad (Cherdantseva, y otros, 2016).

Hay tres tipos de eventos en un ataque: evento de ataque, evento de detección y evento de

mitigación. El costo de un ataque es el costo de las consecuencias de los eventos dado por

un ataque con el mínimo costo y está restringido por el presupuesto de un atacante


El enfoque actual en Colombia tiene como objetivo preservar la seguridad en lugar de

gestionar los riesgos, pero un enfoque basado en la gestión de riesgos permite obtener

grandes beneficios de un entorno digital para lograr la prosperidad económica y social

(CRC, 2015).

A nivel mundial se han propuesto normas y recomendaciones que abordan aspectos

organizativos y técnicos en el ámbito de seguridad. Los estándares representativos para

sistemas de información y sistemas de comunicaciones por ejemplo SCADA, incluyen las

NIST 800-53, NISTIR 7628 para redes inteligentes, IEC 62351, WirelessHART e



Colombia.

Página | 74

ISA100.11a. Los estándares tradicionales, que también son útiles, incluyen ISA 99-1 e ISA

99-2, ISO 17799, ISO 27001 , ISO 27002, ISO 19791, entre otros. Además de estos

estándares, las organizaciones también usan recomendaciones y directrices para sistemas

de control críticos alineando sus modelos comerciales con un marco de protección eficaz,

entre estos se encuentran la NERC CIP-2, GAO-04-140T, IEEE 1402 (seguridad física de

subestaciones de energía) y API 1164 (Alcaraz & Zeadally, 2015).

La ISO 27001 es otro de los estándar internacional utilizado para la seguridad de la

información (Information technology - Security techniques - Information security

management systems - Requirements), aprobado y públicado como estándar internacional

en octubre de 2005 por International Organization for Standardization y por la comisión

International Electrotechnical Commission. Este estándar especifica los requisitos

necesarios para implementar, mantener y mejorar un (SGSI) Sistema de Gestión de la

Seguridad de la Información (CRC, 2015).

Entre los diferentes esfuerzos en mejorar la seguridad de infraestructuras críticas, se creo

el estándar IEC 62351 destinado a mejorar la seguridad en los sistemas de automatización

en el dominio de los sistema de potencia. El estándar IEC 62351 aborda la seguridad de la

información para las operaciones de control de sistemas de potencia, y el objetivo general

es preservar las propiedades de confidencialidad, integridad, disponibilidad y no repudio en

el sistema, principalmente a través de la introducción de mecanismos de autenticación. El

estándar se divide en diez partes diferentes que abordan diferentes áreas (Schlegel,

Obermeier, & Schneider, 2016).

En 2004, el National Institute of Standards andTechnology (NIST), publico el documento

titulado perfil del sistema de protección en sistemas de control industrial, el cual cubre los

riesgos y objetivos de los sistemas SCADA. En 2007, el presidente de los estados unidos

conformo la junta de protección de la infraestructura crítica y el departamento de Energía

para mejorar la seguridad de sus redes SCADA, publicando el folleto con 21 pasos para

mejorar la seguridad cibernética en las redes SCADA (Cherdantseva, y otros, 2016).



Colombia.

Página | 75

El marco de seguridad cibernética del NIST se desarrolló en respuesta a una orden

ejecutiva que designo al NIST proceder en la implementación de un marco de

ciberseguridad que ayudará a las industrias de Estado Unidos a fortalecer su infraestructura

para ser más resistentes a los ciberataques. El marco se enfoca principalmente en los

desafíos cibernéticos, es decir, en cuestiones de propiedad intelectual, dejando sin

respuesta las preguntas relacionadas con las vulnerabilidades ciberfísicas (DeSmit,


En el 2008, el Center for Protection of National Infrastructure (CPNI), produce el documento

Guia de Buenas Practicas para Procesos de Control y Seguridad de SCADA, encapsulando

las mejores practicas de seguridad. La guia se actualizo en el 2011. Por otro lado en el

2013, la Agencia de la Unión Europea para seguridad en redes y la Información (ENISA),

dio a conocer las recomendaciones de seguridad de sistemas SCADA en Europa


En el caso particular de interes del presente trabajo de investigación, las normas estudiadas

para entender la forma en que pueda desarrollarse una metodología de evaluación de

vulnerabilidades a los sistemas de transmisión de enérgia eléctrica, son la North American

Electric Reliability Corporation (NERC), Critical Infrastructure Protection (CIP) Standards y

la IEC 62443 Series of Standards. En los siguientes párrafos se presentan los apartados

más importantes y que sirvieron de fundamento para el desarrollo de la propuesta realizada

en el acápite 5.

Una de las motivaciones de verificar estos dos estándar es por la iniciativa del comité

tecnológico del Consejo Nacional de Operación el cual realizó un estudio de las normas

aplicables a la industria eléctrica para mitigar los riesgos de ciberseguridad en el sector y

en el Sistema Interconectado Nacional, concluyendo en el documento (CNO, 2015), que la

mejor referencia de aplicación es la Norma NERC CIP para tecnologías de activos críticos

y con base en esta norma, se elaboró la guía de Ciberseguridad orientada a la protección

de los activos del SIN Colombiano.



Colombia.

Página | 76

Las partes estudiadas del estándar NERC CIP por su aplicabilidad en el tema desarrollado

en el presente documento, son las parte CIP-010-2 “Cyber Security — Configuration

Change Management and Vulnerability Assessments” y la CIP-014-2 “Physical Security”.

Las normas CIP esta estructurada en tablas, cada una tiene una columna "Sistema

aplicable" para definir mejor el alcance de los sistemas a los que un requisito específico

ubicado en la fila de la tabla aplica. La NERC CIP adaptó este concepto del marco de

gestión de riesgos del Instituto Nacional de Estándares y Tecnología (NIST) como una

forma de aplicar requisitos más apropiadamente basado en las características de impacto

y conectividad. De acuedo a lo expuesto hasta el momento, se presenta a continuación los

puntos relevantes de cada parte:

NERC CIP-010-2

El estándar CIP-010 existe como parte de un conjunto de estándares CIP

relacionados con la seguridad cibernética, que requieren la identificación y

categorización inicial del BES (Bulk Electric System), ciber sistemas que requieren

un nivel mínimo de controles organizacionales, operacionales y de procedimientos

para mitigar el riesgo del sistema. En el CIP-010-2 definido como administración del

cambio de configuración y evaluaciones de vulnerabilidad, se especifican los

requerimientos para la evaluación de vulnerabilidades. Las siguientes convenciones

se usan en las columna de aplicabilidad (NERC, 2018):

• Ciber sistemas de alto impacto: se aplica a ciber sistemas categorizados

como de alto impacto según los procesos de identificación y categorización

CIP-002-5.1.

• Ciber sistemas de impacto medio: Se aplica a ciber sistemas categorizado

como de impacto medio de acuerdo con los procesos de identificación y

categorización CIP-002-5.1.

• Sistemas de monitoreo o control de acceso electrónico (EACMS - Electronic

Access Control or Monitoring Systems): se aplica a cada sistema de

monitoreo o control de acceso electrónico asociado con un ciber sistema de

alto o medio impacto. Los ejemplos pueden incluir, pero no están limitados a



Colombia.

Página | 77

firewalls, servidores de autenticación, sistemas de monitoreo y alerta de

registros.

• Sistemas de control de acceso físico (PACS - Physical Access Control

Systems): se aplica a cada sistema de control de acceso físico asociado con

ciber sistemas con conectividad enrutable externa.

• Ciber activos protegidos (PCA - Protected Cyber Assets): se aplica a cada

ciber activo protegido asociado con un ciber sistema.

Dentro de los requerimientos presentados en el CIP-010-2 y que se vinculan dentro

de la metodología propuesta en el presente trabajo, tenemos que se deberá

implementar procesos documentados que colectivamente incluyan cada una de las

partes de requisitos aplicables en la evaluación de vulnerabilidad presentada en la

Tabla 5. El cumplimiento de estos requerimientos a su vez son evaluados de

acuerdo a lo presentado en la Tabla 6 y son tenidos en cuenta en la valoración de

vulnerabilidad final del sistema.

Adicionalmente en el NERC el CIP-010-2, se dan algunas pautas para realizar la

evaluación de vulnerabilidad de papel, la evaluación de vulneranilidad activa, la

configuración de línea base y el entorno de pruebas para el desarrollo de la

valoración de vulnerabilidad. En este aspecto para el proyecto se vincularon los

siguientes aspectos dentro de la metodólogia propuesta en el acápite 5.



Colombia.

Página | 78

Tabla 5. CIP-010-2 Evaluaciones de Vulnerabilidad. Fuente: (NERC, 2018)

Parte Sistema Aplicable Requerimiento Medidas

3.1 Ciber sistemas de alto impacto:

1. EACMS.

2. PACS.

3. PAC.

Ciber sistemas de medio impacto:

1. EACMS.

2. PACS.

3. PAC.

Al menos una vez cada 15 meses

calendario, realice una valoración de

vulnerabilidad.

Los ejemplos de evidencia pueden

incluir, pero no están limitados a:

* Un documento que enumera la fecha de

la evaluación (realizada al menos una vez

cada 15 meses calendario), los controles

evaluados para cada ciber sistema junto

con el método de evaluación; ó

* Un documento que enumera la fecha de

la evaluación y el resultado o reporte de

las herramientas utilizadas para realizar la

evaluación.

3.2 Ciber sistemas de alto impacto. Cuando sea técnicamente posible, al

menos una vez cada 36 meses

calendario:

* Realice una evaluación de

vulnerabilidad activa en un entorno de

prueba, o realice una evaluación de

vulnerabilidad activa en un entorno de

producción, donde se realice la prueba

controlada de manera que minimice

los efectos adversos.

* Documente los resultados de la

prueba y si se utilizó un entorno de

prueba, identifique las diferencias con

el entorno de producción.

Un ejemplo de evidencia puede incluir,

pero no se limita a:

* un documento que enumera la fecha de

la evaluación (realizada al menos una vez

cada 36 meses calendario), el resultado

de las herramientas utilizadas para

realizar la evaluación y una lista de

diferencias entre entornos de producción

y prueba con descripciones de cómo se

tuvieron en cuenta las diferencias al

realizar la evaluación.


1. EACMS.

2. PAC.

Antes de agregar un nuevo ciber activo

a un entorno de producción, realice

una evaluación de vulnerabilidad

activa del nuevo dispositivo (excepto

en circunstancias como reemplazos

del mismo tipo de ciber activos), con

una configuración de línea base que

modele una configuración existente.



* un documento que enumera la fecha de

la evaluación (realizada antes de la

puesta en servicio del nuevo ciber activo)

y el resultado de las herramientas

utilizadas para realizar la evaluación.


1. EACMS.

2. PACS.

3. PAC.

Ciber sistemas de medio impacto:

1. EACMS.

2. PACS.

3. PAC.

Documente los resultados de las

evaluaciones realizadas de acuerdo

con las Partes 3.1, 3.2, 3.3 y el plan de

acción para subsanar o mitigar las

vulnerabilidades identificadas en las

evaluaciones, incluida la fecha

planificada para completar el plan de

acción y el estado de ejecución de

cualquier acción de mitigación.



* un documento que enumera los

resultados, revisión o evaluación, una

lista de elementos de acción, fechas de

finalización documentadas para el plan

de acción y registros del estado de los

elementos de acción ( como minutos de

una reunión de estado, actualizaciones

en un sistema de orden de trabajo o una

hoja de cálculo que rastrea los elementos

de acción).

CIP-010-2 Evaluaciones de Vulnerabilidad



Colombia.

Página | 79

Tabla 6. CIP-010-2 Niveles de Severidad de Violación. Fuente: (NERC, 2018)

Acciones para la evaluación de vulnerabilidad de papel (frecuencia de 15 meses)

(NERC, 2018):

1. Descubrimiento de red: una revisión de la conectividad de red para identificar

todos los puntos de acceso electrónico al perímetro de seguridad electrónica.

2. Puertos de red e identificación de servicio: una revisión para verificar que

todos los puertos y servicios habilitados tengan una justificación adecuada.

3. Revisión de vulnerabilidades: una revisión de conjuntos de reglas de

seguridad y configuraciones que incluyen controles para cuentas

predeterminadas, contraseñas y gestión de red.

Menor Moderado Mayor Severo

La entidad responsable ha

implementado uno o más

procesos documentados de

evaluación de

vulnerabilidades para cada

uno de sus ciber sistemas

aplicables, pero ha

realizado una evaluación de

vulnerabilidad mayor de 15

meses, pero menor de 18

meses, desde la última

evaluación.




evaluación de



aplicables, pero ha





evaluación.




evaluación de



aplicables, pero ha





evaluación.

La entidad responsable no ha

implementado ningún procesos de

evaluación de vulnerabilidad de sus ciber

sistemas aplicables.


implementado uno o más procesos

documentados de evaluación de

vulnerabilidades para cada uno de sus

ciber sistemas aplicables, pero ha


vulnerabilidad mayor a 24 meses desde

la última evaluación en uno de sus

sistemas.



procesos de evaluación de

vulnerabilidades activos

documentados para

sistemas aplicables, pero ha


vulnerabilidad activa mayor

a 36 meses, pero menor de

39 meses, desde la última

evaluación activa en uno de

sus ciber sistemas.





documentados para







sus ciber sistemas.





documentados para







sus ciber sistemas.


implementado y documentado uno o

más procesos de evaluación de

vulnerabilidad para cada uno de sus ciber

sistemas aplicables, pero no realizó la

evaluación de vulnerabilidad activa de

una manera que modele una

configuración de línea base existente de

sus sistemas.


implementado y documentado uno o

más procesos de evaluación de

vulnerabilidad para cada uno de sus ciber

sistemas aplicables, pero no ha

documentado los resultados de las

evaluaciones de vulnerabilidad, ni los

planes de acción para subsanar o mitigar

las vulnerabilidades identificadas en las

evaluaciones, la fecha planificada de

finalización del plan de acción y el estado

de ejecución de los planes de mitigación.

Niveles de Severidad de Violación (CIP-010-2)Horizonte de

Tiempo

Planificación a

largo plazo y

planificación de

operaciones.



Colombia.

Página | 80

4. Revisión inalámbrica: identificación de tipos comunes de redes inalámbricas

(como 802.11a / b / g / n) y una revisión de sus controles si se utilizan de

algún modo para las comunicaciones de los ciber activos.

Acciones para la evaluación de vulnerabilidad activa (frecuencia de 36 meses)

(NERC, 2018):

1. Descubrimiento de red: uso de herramientas de software para descubrir

dispositivos activos e identificar rutas de comunicación para verificar que la

arquitectura de red descubierta coincida con la arquitectura documentada.

2. Identificación de servicio y puertos de red: uso de herramientas de

descubrimiento activo (como Nmap) para descubrir puertos y servicios

abiertos.

3. Escaneo de vulnerabilidades: uso de una herramienta de escaneo de

vulnerabilidades para identificar puertos y servicios accesibles en la red junto

con la identificación de vulnerabilidades conocidas asociadas con los

servicios que se ejecutan en esos puertos.

4. Escaneo inalámbrico: uso de una herramienta de escaneo inalámbrico para

descubrir señales inalámbricas y redes en el perímetro físico de un ciber

sistema. Sirve para identificar dispositivos inalámbricos no autorizados

dentro del alcance de la herramienta de escaneo inalámbrico.

El concepto de establecer una configuración de línea de base de ciber activos tiene

como objetivo proporcionar claridad sobre el lenguaje de requisitos. La modificación

de cualquier elemento dentro de la configuración de referencia de un ciber activo

proporciona el mecanismo desencadenante para cuando las entidades deben

aplicar los procesos de gestión de cambios (NERC, 2018). Las configuraciones

básicas definidos en CIP-010-2 constan de cinco elementos diferentes:

1. Sistema operativo / Firmware

2. Software disponible comercialmente o Software de aplicación de código

abierto.

3. Software personalizado.



Colombia.

Página | 81

4. Identificación de puerto accesible de red lógica.

5. Parches de seguridad.

Donde se debe asegurarse que sólo las aplicaciones de software que se

determinaron necesarias para el uso del ciber activo se incluyan en la configuración

de referencia. Si un dispositivo específico necesita comunicarse con otro dispositivo

fuera de la red, las comunicaciones deben limitarse sólo a los dispositivos que

necesitan comunicarse según el requisito, esos puertos que son accesibles deben

incluirse en la línea de base. Los parches de seguridad aplicados incluirían todos

los parches históricos y actuales que se han aplicado al activo cibernético (NERC,

2018).

En relación con el entorno de prueba del centro de control (o entorno de producción

donde la prueba se realiza de una manera que minimice los efectos adversos) debe

modelar la configuración de referencia, pero puede tener un conjunto diferente de

componentes. El entorno de prueba puede tener el mismo sistema operativo,

parches de seguridad, puertos accesibles en red y software, pero tiene tanto la base

de datos como los servicios ejecutándose en un único componente en lugar de

varios componentes (NERC, 2018).

Además, se debe tener en cuenta que siempre que se mencione un entorno de

prueba (o entorno de producción donde la prueba se realiza de una manera que

minimice los efectos adversos), el objetivo es "modelar" la configuración de

referencia y no duplicarla exactamente.

NERC CIP-014-2

Por otra parte el estándar CIP-014-2 tiene como proposito identificar y proteger las

subestaciones de transmisión y sus centros de control primario asociados, que si se

vuelven inoperables o fallan como resultado de un ataque físico podrían resultar en

inestabilidad del sistema eléctrico, separación incontrolada o desconexión en

cascada.



Colombia.

Página | 82

Dentro del estándar y como parte de la aplicación que se implemento dentro del

proyecto se utilíza el método de ponderación para la evaluación inicial de impacto

del sistema, que adaptando lo presentado en la CIP-014-2, consiste en las

instalaciones de transmisión que operan a más de 100 kV, donde la subestación

está conectada a tres o más subestaciones de transmisión y tiene un "valor

agregado total" superior a 3000 de acuerdo con la Tabla 7. Donde el "valor

ponderado agregado" para una subestación individual se determina sumando el

"valor de peso por línea" para cada línea de transmisión entrante y saliente

conectada a otra subestación de transmisión. Adicionalmente, tambien se tendra en

cuenta instalaciones de transmisión que son identificadas por su coordinador de

confiabilidad, coordinador de planificación o planificador de transmisión como

críticas para la sistema y sus contingencias asociadas (NERC, 2018).

Tabla 7. Método de ponderación. Fuente: adaptado de (NERC, 2018)

Por otra parte tomando como buena practica del estandar, cada propietario del

sistema de transmisión deberá realizar esta evaluación inicial del riesgo en sus

subestaciones de transmisión (existentes y planificadas para estar en servicio dentro

de una ventana de 24 meses), al menos una vez cada 30 meses calendario luego

que identificó en su evaluación de riesgos anterior una o más subestaciones de

transmisión que, si se volvieran inoperables o fallan, podrían provocar inestabilidad

del sistema, separación incontrolada o desconexiones en cascada. En otros casos

se debera realizar una vez cada 60 meses.

Como se menciona en CIP-014-2 (NERC, 2018), se debe periodicamente estar

revisando el historial previo de ataques a instalaciones similares teniendo en cuenta

la frecuencia, la proximidad geográfica y la gravedad o impacto de los eventos

Tensión de Línea Valor de Peso por Línea

100kV a 199kV 300

200kV a 299kV 700

300kV a 499kV 1300

>= 500kV 1500



Colombia.

Página | 83

relacionados con la seguridad física en el pasado. Obteniendo información de los

avisos de inteligencia o amenaza recibidos de fuentes como la policía, la

Organización de Confiabilidad Eléctrica (ERO - Electric Reliability Organization) y el

Centro de Intercambio de Información y Análisis de Información del Sector Eléctrico

(ES-ISAC - Electricity Sector Information Sharing and Analysis Center).

El agente de transmisión deberá realizar una evaluación de riesgos, que consiste en

un análisis de transmisión mediante estudios técnicos, experiencia técnica,

experiencia operativa y juicio experimentado de que la pérdida de dicha instalación

tendría un impacto crítico en el funcionamiento del sistema de transmisión que

puedan provocar inestabilidad, separación incontrolada o desconexión en cascada

del STN.

De acuerdo a lo anterior, el criterio definido es a través del análisis de flujo de

potencia teniendo en cuenta las siguientes variables (NERC, 2018):

1. Sobrecargas térmicas más allá de los limites de emergencia de la

instalaciones.

2. Desviación de voltaje superior a ± 10%;

3. Colapso de tensión y desconexiones en cascada.

4. Desviación de frecuencia.

Este análisis debe realizarse por lo menos cada 30 meses o antes si existe cambios

en la topologia de la red de transmisión en la zona de influencia.

Las amenazas y vulnerabilidades pueden variar de una instalación a otra en función

de una serie de factores que incluyen, entre otros, la ubicación, la función, las

protecciones de seguridad existentes, el tamaño y si es compartida con otros

agentes.

Para llevar a cabo una evaluación de vulnerabilidad, el propietario de la instalación

puede ser la mejor fuente para determinar vulnerabilidades específicas del sitio, sin



Colombia.

Página | 84

embargo las amenazas actuales y en evolución pueden ser mejor determinadas por

comunidades de inteligencia o entidades de seguridad gubernamental (NERC,

2018).

Por otra parte, el estándar IEC 62443 esta enfocado a la defensa en profundidad de los

sistemas de control industrial, extendiendo la seguridad a otros ámbitos desde los

fabricantes hasta los operadores, a continuación los aspectos que se tienen en cuenta para

la propuesta metodológica realizada en el presente trabajo.

IEC 62443

La serie de estándares IEC 62443 ha sido desarrollada conjuntamente por el comité

ISA99 y Comité Técnico IEC 65 Grupo de Trabajo 10 (TC65WG10), para abordar la

necesidad de diseñar robustez y resilencia en ciberseguridad en los sistemas de

control de automatización industrial IACS (Industrial Automation Control Systems).

Los sistemas incluyen, pero no están limitados a (ISA & IEC, 2018):

• Sistemas de hardware y software tales como DCS (Distributed Control

System), PLC (Programmable Logic Controller), SCADA, redes de sensores

electronicos, sistemas de monitoreo y diagnóstico.

• Interfaces internas, humanas, de red o máquina asociadas que se utilizan

para proporcionar funciones de control, seguridad y operaciones de

fabricación de procesos continuos, por lotes, discretos y de otro tipo.

El objetivo de la aplicación de la IEC 62443 es mejorar la seguridad, disponibilidad,

integridad y confidencialidad de los componentes o sistemas utilizados para la

automatización y el control industrial, y proporcionar criterios para la adquisición e

implementación de sistemas seguros de automatización y control. El cumplimiento

de los requisitos de la serie 62443 tiene como objetivo mejorar la seguridad

electrónica y ayudar a identificar y abordar vulnerabilidades, reduciendo el riesgo de

comprometer la información confidencial o causar degradación o falla del equipo

(hardware y software) (ISA & IEC, 2018).



Colombia.

Página | 85

El contenido del estándar está dirigido a los responsables del diseño,

implementación o administración de los sistemas de control y automatización

industrial. Los elementos del estándar IEC 62443 se presentan en la Figura 12.

Figura 12. Elementos de la IEC 62443. Fuente: Adaptado de (ISA & IEC, 2018).

Para el caso particular del proyecto, en el estándar IEC 62443-3-2 se aborda la

evaluación de riesgos de seguridad y el diseño del sistema para las IACS. En

(DesRuisseaux, 2018) se abordará cómo el estándar IEC 62443 se puede aplicar a

los sistemas de control industrial y que acciones se pueden realizar para mitigar las

amenazas cibernéticas.

El estándar IEC 62443 introduce el concepto de niveles de seguridad garantizados,

la especificación define una serie de requisitos diseñados para asociar la seguridad

del sistema a uno de los cuatro niveles definidos. En la Tabla 8, se presenta un

resumen de cada nivel junto con una caracterización del tipo de atacante que el nivel

de seguridad está diseñado para afrontar.

Conceptos y modelosGlosario de términos

y abreviaturas

Métricas de conformidad de

seguridad del sistema

Ciclo de vida seguridad de los IACS

y casos de uso

Requerimientos para un sistema de

gestión de seguridad

Niveles de protección de IACS

Gestión de parches en el entorno IACS

Requisitos para los proveedores de IACS

Guía de implementación para

el propietario del activo

Tecnologías de seguridad para IACS

Diseño de sistemas y evaluación de riesgos

de seguridad

requisitos del sistema de seguridad

y niveles de seguridad

Requisitos de seguridad en el Ciclo de vida del producto

desarrollado

Requisitos de seguridad técnica

para componentes IACS

GEN

ERA

LP

OLÍ

TIC

AS

Y

PR

OC

EDIM

IEN

TOS

SIST

EMA

CO

MP

ON

ENTE

S



Colombia.

Página | 86

Tabla 8. Niveles de seguridad especificados en la IEC 62443. Fuente: (DesRuisseaux, 2018)

El estándar ISA99/IEC62443 define los niveles de seguridad de la siguiente manera:

“Los Niveles de Seguridad (SL, por sus siglas en idioma inglés) proveen una

aproximación cualitativa para la Ciberseguridad de una determinada zona. Al ser un

método cualitativo, la definición de niveles de seguridad sirve para comparar y

gestionar la seguridad de diferentes zonas dentro de una organización” (Castillo,

2018).

En el estándar se propone una descomposición en zonas y conductos, donde la

valoración tiene como objetivo identificar y clasificar los riesgos para cada zona, en

función de las amenazas, vulnerabilidades y consecuencias. Permitiendo asignar a

cada zona un nivel de seguridad correspondiente, tal como se presenta en la Figura

13.

Figura 13. Elementos de la IEC 62443.

Nivel de seguridad Objetivo Habilidades Motivación Método Recursos

SL1Violaciones casuales

o coincidentes

Sin habilidades de

ataqueEquivocación No instencional Individual

SL2 Cibercrimen, Hacker Genérico Bajo SimpleBajo (individual

aislado)

SL3 Hacktivista, TerroristaSistemas de Control

Industrial específicosModerado

Sofisticado

(Ataque)

Moderado (Grupo

de hackers)

SL4 Estado nacionalSistemas de Control

Industrial específicosAlto

Sofisticado

(Ataque)

Extendido (Equipo

multidisciplinario)

Sin Impacto Menor Mayor Severo

AltoRiesgo Medio

SL2

Riesgo Alto

SL3

Riesgo Muy Alto

SL4

Riesgo Muy Alto

SL4

MedioRiesgo Medio

SL2

Riesgo Alto

SL3

Riesgo Muy Alto

SL4

Riesgo Muy Alto

SL4

BajoRiesgo Bajo

SL1

Riesgo Medio

SL2

Riesgo Medio

SL2

Riesgo Alto

SL3

Muy BajoRiesgo Bajo

SL1

Riesgo Bajo

SL1

Riesgo Medio

SL2

Riesgo Alto

SL3

Pro

bab

ilid

ad

Nivel de Riesgo y

Correspondiente SL

Criticidad de Consecuencias



Colombia.

Página | 87

Fuente: Adaptado de (ISA & IEC, 2018).

Con estos niveles de seguridad SL (Security Level), se evalúan cada una de las

zonas de seguridad asignadas utilizando los 7 requisitos funcionales establecidos

por el estándar IEC 62443 (ISA & IEC, 2018):

RF1 - Control de Identificación y Autenticación. (IAC)

RF2 - Control de Usuarios. (UC)

RF3 - Integridad de Datos. (SI)

RF4 - Confidencialidad de Datos. (DC)

RF5 - Flujos de Datos Restringido. (RDF)

RF6 - Respuesta Oportuna al Evento. (TRE)

RF7 - Disponibilidad de Recursos. (RA)

Dentro del estándar IEC 62443 se fundamenta el análisis en el establecimiento de

zonas y conductos. Las zonas pueden ser una agrupación de activos

independientes, un grupo de subzonas o una combinación de ambos. A su vez, las

zonas poseen atributos de herencia, lo cual significa que las zonas “hijas” (o

subzonas) deben cumplir con todos los requisitos de seguridad de su zona “padre”.

Cada zona definida debe contener un documento en el cual se describe, entre otros,

el alcance de la zona, su nivel de seguridad, la estructura organizacional a la cual

pertenece y sus responsabilidades, los riesgos asociados a la zona, la estrategia de

seguridad adoptada y los tipos de actividades que son permitidas dentro de ella etc

(Castillo, 2018).

Una zona posee sus propias vulnerabilidades, y se encuentra expuesta a un

determinado número de amenazas. Es por ello que realizar un análisis de

vulnerabilidades periódicamente sobre ellas (o sobre el proceso industrial completo)

resulta de vital importancia para identificar potenciales amenazas que provoquen

que los activos industriales no cumplan con sus objetivos de negocio (Castillo,

2018).



Colombia.

Página | 88

Por su parte, los “conductos” son zonas particulares que se aplican a procesos de

comunicación específicos proporcionando funciones de seguridad que permiten a

dos zonas comunicarse de manera segura.Toda comunicación entre diferentes

zonas ha de realizarse a través de un conducto. Los conductos pueden ser

pensados como los “tubos” que unen diferentes zonas o bien que son utilizados para

unir componentes dentro de una misma zona (Castillo, 2018).

Los conductos se utilizan como uno de los principales “inputs” para determinar las

amenazas a las cuales se encuentra expuesta una zona. Identificando con claridad

los conductos podremos conocer cuáles son los puntos de acceso que la zona

posee, y analizar si pueden convertirse en un potencial vector de ataque (Castillo,

2018).

Un vector puede ser utilizado para representar los requisitos de ciberseguridad para

una zona, conducto o sistema de forma más representativa que un único valor y

asociado a un nivel de seguridad especifico dado el requisito tecnico particular.

Ejemplo: La ZonaDMZ=[3323001] (Castillo, 2018).

Algunos criterios para la definición de zonas propuestos en el estándar

ISA99/IEC62443 son (Castillo, 2018):

3. Los activos de sistemas de información de negocio (TI) y sistemas de control

industrial (OT) deben ser agrupados en Zonas separadas.

4. Los activos o dispositivos que se conectan temporalmente al sistema deben

ser separados en Zonas distintas.

5. Las comunicaciones inalámbricas deben ubicarse en una o más zonas

separadas de las comunicaciones cableadas.

6. Los activos identificados como Sistemas Instrumentados de Seguridad (SIS)

deben ser separados en Zonas distintas.



Colombia.

Página | 89

El estándar IEC 62443 establece una guía de como implementar medidas de

protección contra incidentes de ciberseguridad soportada en los niveles de

seguridad que ella define. En consecuencia, en la metodología se utilizan estas

medidas pero como método de evaluación de vulnerabilidades, es decir que se

determina el estado y nivel de los siete requisitos técnicos en cuanto

vulnerabilidades ciberneticas.

En la actualidad grandes esfuerzos se han desarrollado para minimizar las ciber

vulnerabilidades en los sistemas de potencia (Liu & Li, 2015).

La mayoría de los estudios de vulnerabilidad se llevan a cabo después de la ocurrencia de

eventos de alto impacto (por ejemplo, un apagón generalizado) que determinan las causas

de los eventos de falla en cascada dentro de una red eléctrica específica. Dichos estudios

se logran a través del análisis estructural de la vulnerabilidad en las redes de transmisión

de energía, lo que requiere metodologías bien establecidas que puedan orientar a la mejora

en la toma de decisiones sobre la prevención y recuperación de las interrupciones en la red

eléctrica. Por ejemplo, los estudios de contingencia N-1 y N-t se encuentran entre los

criterios más utilizados en la industria de la energía (Correa & Yusta, 2014).

De acuerdo a lo anterior, el mapa de las propiedades de seguridad de la información que

formarán parte de la metodología propuesta en este trabajo y que se utilizará como parte

del análisis que de acuerdo a las definiciones de la ISO 27000 se definen como (Schlegel,

Obermeier, & Schneider, 2016):

✓ Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a ella.

✓ Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos

de procesamiento.



Colombia.

Página | 90

✓ Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con ella cada vez que se requiera.

✓ No-repudio: Se previene la negación de la autoría de una acción que tuvo lugar o

reclamar la autoría de una acción que no se llevó a cabo. Es decir imposibilidad de

identificar un atacante.

En comparación con la seguridad física de las subestaciones convencionales y la

ciberseguridad para las redes de IT, faltan investigaciones sobre la detección de intrusos

para las subestaciones basadas en IEC 61850. En particular, la literatura publicada carece

de validación de soluciones usando datos de subestaciones eléctricas reales (Yang, y otros,

2017).

Algunas de las herramientas comunes se crean en las instituciones de investigación, como

la Evaluación de Vulnerabilidades y Amenazas Operacionalmente Crítica de Activos de la

Universidad Carnegie Mellon OCTAVE (Operationally Critical Threat, Asset, and

Vulnerability Evaluation). Otros se crean a partir de agencias gubernamentales y federales,

como la herramienta de evaluación FFIEC (Federal Financial Institutions Examination

Council’s) y el marco de seguridad cibernética del NIST (DeSmit, Elhabashy, Wells, &

Camelio, 2017).

La evaluación de OCTAVE se esfuerza por ayudar a las organizaciones a alinear sus

actividades de seguridad con los objetivos generales de la organización. Este enfoque

utiliza un equipo multidisciplinario dentro de la organización para completar una serie de

preguntas relacionadas con activos basadas en encuestas para evaluar los niveles actuales

de ciberseguridad dentro de la organización.

La herramienta de evaluación de ciberseguridad FFIEC actúa más como una guía de

referencia para el nivel de seguridad de una organización contra los ataques cibernéticos y

puede repetirse según sea necesario para evaluar el progreso. La herramienta FFIEC se

enfoca en definir y evaluar los riesgos de ciberseguridad que una organización puede



Colombia.

Página | 91

experimentar y reúne a los miembros de la junta y los accionistas para acordar el nivel de

seguridad y riesgo en el que la compañía está dispuesta a incurrir.

Adicionalmente a los software mencionados, existen herramientas gratuitas que se utilizan

para realizar pruebas y monitoriar a nivel de seguridad informática los sistemas y redes de

comunicaciones. Entre estos se encuentra Kali Linux, el cual es una distribución GNU/Linux

basada en Debian que agrupa alrededor de 300 herramientas y aplicaciones relacionadas

con seguridad informática y la cual fue utilizada paa la evaluación realizada en el estudio

de caso realizado en este trabajo.



Colombia.

Página | 92

4. Identificación de Factores Técnicos y Normativos

La elaboración del proyecto se desarrolló de acuerdo con un esquema estructurado que

abarcó en esta fase la revisión de la normativa y políticas de Colombia, buenas prácticas

en el área de Ciberseguridad, políticas internacionales y atributos particulares del estado

actual en la infraestructura eléctrica de Colombia, identificando los factores tanto técnicos

como normativos que inciden en el ámbito de ciberseguridad.

En la Figura 14 se presenta la parte metodológica implementada en esta etapa del proyecto:

Figura 14. Etapa de identificación de los factores. Fuente: Elaboración propia.

A partir de la revisión realizada, en la Tabla 9 se describe la regulación y normativa

colombiana que de alguna manera se aplica al tema central de Ciberseguridad. En esta

revisión se observa como ha venido tomando interés los aspectos relacionados con los

delitos cibernéticos y el manejo de la información, dando como resultado la definición y

crecimiento de normativas desde el año 2000. Sin embargo, para el tema particular del

sector eléctrico colombiano hasta el 2015 se hizo el primer acercamiento para dar los

fundamentos en la creación de normativa y cuya iniciativa estuvo a cargo del CNO. A pesar

de que el país lleva relativamente poco tiempo abordando este tema de manera profunda,

se resalta que a nivel gubernamental y empresas tanto públicas como privadas se está

empezando a generar conciencia en el área de Ciberseguridad.

Tabla 9. Normograma de regulación y normativa aplicable.

Investigación, estudio y

recopilación de información.

Identificación de requerimientos.

Normativa aplicable.

Especificación de los aspectos técnicos y normativos para la

metodología propuesta.



Colombia.

Página | 93

Tipo Código Fecha Tema

Ley 142 1994

Conocida como la ley de servicios públicos domiciliarios, donde presenta el papel de las personas prestadoras de servicios públicos, muestra los procedimientos administrativos, la contratación, las normas especiales para algunos servicios y la legislación en lo que refiere a servicios públicos. (Congreso, Ley 142, 1994)

Ley 143 1994 Conocida como la ley eléctrica en la que se establece el régimen de las actividades de generación, interconexión, transmisión, distribución y comercialización de electricidad. (Congreso, Ley 143, 1994)

Ley 527 1999

Comercio Electrónico - Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. (Congreso, Ley 527, 1999)

Ley 599 2000

Por la cual se expide el Código Penal. En esta se mantuvo la estructura del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas indirectamente con el delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Se tipificó el “Acceso abusivo a un sistema informático”, (Congreso, Ley 599, 2000).

Ley 1273 2009

Delitos Cibernéticos - Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. (Congreso, Ley 1273, 2009)

Ley 1453 2011

Estatuto de seguridad ciudadana - El Art. 236 establece que cuando el fiscal tenga motivos razonables, para inferir que el indicado o imputado está transmitiendo o manipulando datos a través de las redes de telecomunicaciones, ordenará a la policía la retención, aprehensión o recuperación de dicha información, equipos terminales, dispositivos o servidores que pueda haber utilizado cualquier medio de almacenamiento físico o virtual, análogo o digital, para que expertos en informática forense, descubran, recojan, analicen y custodien la información que recuperen; lo anterior con el fin de obtener elementos materiales probatorios y evidencia física o realizar la captura del indiciado, imputado o condenado. (Congreso, Ley 1453, 2011)

Resolución CRC

3066 2011 Régimen integral de protección de los derechos de los usuarios de los servicios de comunicaciones. (CRC C. d., 2011)



Colombia.

Página | 94

CONPES 3701 2011

Establece los lineamientos de política para la Ciberseguridad y Ciberdefensa, orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que puedan afectar significativamente al país. Definió en Colombia la estrategia del Gobierno Nacional y la Fuerza Pública, en materia de Ciberseguridad y Ciberdefensa. (DNP, 2011)

Resolución CRC

3067 2011 Principios de confidencialidad, protección de los datos personales, inviolabilidad de las comunicaciones, seguridad de la información y prevención de fraudes. (CRC C. d., 2011)

Decreto 2758 2012

Se reestructura la organización del Ministerio de Defensa, en el sentido de asignar al despacho del viceministro la función de formular políticas y estrategias en materia de Ciberseguridad y Ciberdefensa. Adicionalmente le encarga a la Dirección de Seguridad Pública y de Infraestructura, la función de implementar políticas y programas que mantengan la seguridad pública y protejan la infraestructura, así como hacerle seguimiento a la gestión relacionada con el riesgo cibernético en el sector defensa y diseñar el plan estratégico sectorial en materia de Ciberseguridad y Ciberdefensa. (Presidencia, 2012)

Resolución 3933 2013

Creó el Grupo colCERT y asignó funciones a la dependencia de la Dirección de Seguridad Pública y de Infraestructura del Ministerio de Defensa Nacional, respecto a promover el desarrollo de capacidades locales/sectoriales para la gestión operativa de los incidentes de Ciberseguridad y Ciberdefensa en las infraestructuras críticas nacionales, el sector privado y la sociedad civil. (MINDEFENSA, Resolución 3933, 2012)

Ley 1621 2013

Marco jurídico para desempeño de funciones de los organismos de inteligencia y contrainteligencia– Protección a las bases de datos. Esta Ley tiene por objeto fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir adecuadamente con su misión constitucional y legal, así mismo esta Ley establece los límites y fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control, supervisión y la regulación de la protección a las bases de datos. (Congreso, Ley 1621, 2013)

Acuerdo CNO

788 2015

Por el cual se presenta y se aprueba la Guía de Ciberseguridad. El comité tecnológico del Consejo Nacional de Operación realizó un estudio de las normas aplicables a la industria eléctrica para mitigar los riesgos de Ciberseguridad en el sector y en el Sistema Interconectado Nacional y concluyó que la mejor referencia de aplicación es la Norma NERC CIP para tecnologías de activos críticos y con base en esta norma, se elaboró la guía de Ciberseguridad orientada a la protección de los activos del SIN. (CNO, 2015)

Resolución 2007 2018

Por la cual se actualiza la política de tratamiento de Datos Personales del MINTIC. El objetivo principal de la presente política es establecer los lineamientos para garantizar el adecuado cumplimiento de lo dispuesto en la Ley 1581 de 2012 y en el decreto 1074 de 2015, (MINTIC, https://www.mintic.gov.co/portal/604/w3-channel.html, 2018)



Colombia.

Página | 95

Con el propósito de relacionar la normativa identificada con cada una de los tópicos de

seguridad de la información aplicada a la infraestructura crítica de energía eléctrica, se

desarrolló la Tabla 10 donde se presenta el normograma asociando los aspectos relevantes

que cubre dentro de las cuatro propiedades definidas.

Tabla 10. Normograma de aplicabilidad en las propiedades de seguridad de la información.

Otro de los análisis fue conocer las entidades involucradas en el área de Ciberseguridad

para entender posibles formas de actuar ante eventos e incidentes en el sector eléctrico

colombiano. En la Tabla 11 se presentan las entidades y su intervención en el ámbito de

Ciberseguridad.

Disponibilidad Integridad No-repudio Confidencialidad

Ley 142 de 1994 X

Ley 143 de 1994 X

Ley 527 de 1999 X X

Ley 599 de 2000 X

Ley 1273 de 2009 X X

Ley 1453 de 2011 X

Resolución CRC 3066 de 2011 X

CONPES 3701 de 2011 X X

Resolución CRC 3067 de 2011 X

Decreto 2758 de 2012 X X

Resolución 3933 de 2013 X X

Ley 1621 de 2013 X X

Acuerdo CNO 788 de 2015 X X X

Resolución 2007 de 2018 X X

Propiedad de seguridad de la información en sistemas eléctricosNorma



Colombia.

Página | 96

Tabla 11. Entidades involucradas

Entidad Función Aplicabilidad en el Ámbito de

Ciberseguridad

Comisión de Regulación de Energía y Gas

(CREG)

Tienen la función de regular los monopolios en la prestación de los servicios públicos. Preparar proyectos de ley para someter a la consideración del gobierno, y recomendarle la adopción de los decretos reglamentarios que se necesiten. Someter a su regulación, a la vigilancia de la Superintendencia y a las normas que esta Ley contiene en materia de tarifas, de información y de actos y contratos. (CREG, Comisión de Regulación de Energía y Gas, 2018)

Regular el servicio de energía eléctrica en todo el territorio nacional. Comenzó a establecer políticas en cuanto a protección de datos y encriptación en el código de medida y se espera futuras regulaciones para el resto de los sistemas que hacen parte del sistema interconectado nacional.

Unidad de Planeación Minero Energética. (UPME)

Realiza la planeación integral del sector minero energético mediante evaluaciones, diagnósticos de la oferta - demanda de los recursos y elaboración de planes indicativos, como apoyo al MINMINAS y los decisores de inversión. Apoyar al MIMINAS y otras entidades en la realización de las convocatorias del STN, evaluación de proyectos de cobertura, emisión de conceptos para otorgar incentivos, cálculo de precios base para liquidación de regalías, entre otros. (UPME, 2018)

Planeación energética de los recursos renovables y no renovables. Actualmente se encuentra desarrollando estudios junto con la Universidad Nacional de Colombia en cuanto Interoperabilidad, Ciberseguridad y Gobernanza de Datos en el Proyecto AMI 4.0.

Ministerio de Minas

y Energía (MINMINAS)

Es una entidad pública de carácter nacional del nivel superior ejecutivo central, cuya responsabilidad es la de administrar los recursos naturales no renovables del país asegurando su mejor y mayor utilización; la orientación en el uso y regulación de los mismos, garantizando su abastecimiento y velando por la protección de los recursos naturales del medio ambiente con el fin de garantizar su conservación, restauración y el desarrollo sostenible, de conformidad con los criterios de evaluación, seguimiento y manejo ambiental, señalados por la autoridad ambiental competente. (MINMINAS, 2018)

Elabora máximo cada cinco años un plan de expansión de cobertura de electricidad, determinando inversiones públicas que deben realizarse e inversiones privadas que se deben estimular.



Colombia.

Página | 97

Consejo Nacional de Operación.

(CNO).

El Consejo Nacional de Operación del sector eléctrico, creado por la Ley 143 de 1994 en su artículo 36, es un organismo privado que tiene como función principal acordar los aspectos técnicos para garantizar que la operación del Sistema Interconectado Nacional sea segura, confiable y económica y ser el ejecutor del Reglamento de Operación. (CNO, https://www.cno.org.co/, 2018)

Desarrolló y aprobó la guía de ciberseguridad para el Sistema Interconectado Nacional.

Ministerio de Interior y de Justicia.

(MININTERIOR)

Es el responsable de coordinar la atención integral del Estado a los asuntos políticos, para el fortalecimiento de nuestra democracia, y de la justicia, para proteger los derechos fundamentales de los ciudadanos. Así mismo, formula, coordina, evalúa y promueve las políticas de conservación del orden público en coordinación con el Ministro de Defensa Nacional, así como las encaminadas a la descentralización, ordenamiento y autonomía territorial, desarrollo institucional y las relaciones políticas y de orden público entre la Nación y las entidades territoriales. (MININTERIOR, 2018)

Destina recurso humano con conocimientos técnicos y/o jurídicos en el tema de seguridad de la información y Ciberseguridad, para apoyar la ejecución de actividades del colCERT. Adelantar las iniciativas tendientes a expedir o reformar las leyes que sean necesarias, así como reglamentar aquellas a que haya lugar, en aras de garantizar el marco normativo adecuado para la Ciberseguridad, la Ciberdefensa y la seguridad de la información.

Ministerio de Defensa Nacional.

(MINDEFENSA)

Participar en la definición, desarrollo y ejecución de las políticas de defensa y seguridad nacionales, para garantizar la soberanía nacional, la independencia, la integridad territorial y el orden constitucional, el mantenimiento de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y para asegurar que los habitantes de Colombia convivan en paz. (MINDEFENSA, https://www.mindefensa.gov.co, 2018)

Realiza en coordinación con MINTIC estudios en seguridad de la información, así como la identificación de la infraestructura crítica nacional. Implementa gradualmente asignaturas en seguridad de la información, Ciberdefensa y Ciberseguridad (teórico-prácticas), en las escuelas de formación y de capacitación de oficiales y suboficiales.

Ministerio de Tecnologías de la Información y las Comunicaciones.

(MINTIC)

El Ministerio de Tecnologías de la Información y las Comunicaciones, según la Ley 1341 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones. (MINTIC,

Destina recurso humano con conocimientos técnicos y/o jurídicos en el tema de seguridad de la información y Ciberseguridad, para apoyar la ejecución de actividades del colCERT. Emite un documento con las directrices en temas de seguridad de la información basada en



Colombia.

Página | 98

https://www.mintic.gov.co/portal/604/w3-channel.html, 2018)

estándares internacionales, que deberán ser implementadas por las entidades del sector público.

Departamento Nacional de Planeación.

(DNP)

El DNP es una entidad eminentemente técnica que impulsa la implantación de una visión estratégica del país en los campos social, económico y ambiental, a través del diseño, la orientación y evaluación de las políticas públicas colombianas, el manejo y asignación de la inversión pública y la concreción de estas en planes, programas y proyectos del Gobierno. (DPN, 2018)

Aprueba los lineamientos de Política para el desarrollo e impulso de la estrategia de Ciberseguridad y la Ciberdefensa, presentados en el CONPES 3701.

Comisión de Regulación de

Telecomunicaciones (CRC)

La Comisión de Regulación de Comunicaciones es el órgano encargado de promover la competencia, evitar el abuso de posición dominante y regular los mercados de las redes y los servicios de comunicaciones; con el fin que la prestación de los servicios sea económicamente eficiente, y refleje altos niveles de calidad. (CRC, Comisión de Regulación de Comunicaciones, 2018)

La Comisión de Regulación de Comunicaciones da al Gobierno Nacional recomendaciones para la creación de una Estrategia Nacional de Ciberseguridad y a su vez proporciona instrumentos idóneos para la colaboración y cooperación entre el gobierno y todos los niveles del sector privado. (CRC, 2015)

Grupo de Respuesta a Emergencias Cibernéticas de

Colombia (ColCERT)

El Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT, tiene como responsabilidad central la coordinación de la Ciberseguridad y Ciberdefensa Nacional, la cual estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del Ministerio de Defensa Nacional. Su propósito principal será la coordinación de las acciones necesarias para la protección de la infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten o comprometan la seguridad y defensa nacional. (colCERT, 2018)

Coordinar y asesorar a los CSIRT's (Computer Incident Response Team) y entidades tanto del nivel público, como privado y de la sociedad civil para responder ante incidentes informáticos. Apoya a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las comunicaciones. Desarrolla y promueve procedimientos, protocolos y guías de buenas prácticas y recomendaciones de Ciberdefensa y Ciberseguridad para las infraestructuras críticas de la Nación en conjunto con los agentes correspondientes y vela por su implementación y cumplimiento. (colCERT, 2018).

Fiscalía General de la Nación.

Corresponde a la Fiscalía General de la Nación, de oficio o mediante denuncia o querella, investigar los delitos y acusar a los presuntos

Diseña e implementa planes de capacitación sobre temas de investigación y judicialización de delitos informáticos, para policía



Colombia.

Página | 99

infractores ante los juzgados y tribunales competentes. Se exceptúan los delitos cometidos por miembros de la Fuerza Pública en servicio activo y en relación con el mismo servicio. (Fiscalia, 2018)

judicial, jueces y fiscales. (CRC, 2015)

Centro Cibernético Policial

Es una unidad de la Policía Nacional encargada de la atención en línea policial. (CCP, 2018)

Encargada del reporte de incidentes y delitos informáticos, además de asesorar a diferentes organismos en temas de Ciberseguridad y atender judicialmente los incidentes (CCP, 2018)

Comando Conjunto Cibernético

El Comando Conjunto Cibernético se desempeña como unidad élite en aspectos relacionados con la Ciberseguridad y Ciberdefensa, incluida la protección de las Infraestructuras Críticas Cibernéticas Nacionales, desarrollando operaciones militares en el ciberespacio para defender la soberanía, la independencia, la integridad territorial y el orden constitucional, contribuyendo a generar un ambiente de paz, seguridad y defensa nacional. (CCOC, 2018)

Fortalece las capacidades técnicas y operativas del país que permiten afrontar las amenazas informáticas y los ataques cibernéticos, a través de la ejecución de medidas de defensa a nivel de hardware y/o software y la implementación de protocolos de Ciberdefensa. Defiende la infraestructura crítica y minimiza los riesgos informáticos asociados con la información estratégica del país, así como reforzar la protección de los sistemas informáticos de la Fuerza Pública de Colombia. (CCOC, 2018)

Dirección Nacional de Inteligencia

La Dirección Nacional de Inteligencia tiene como objeto desarrollar actividades de inteligencia estratégica y contrainteligencia para proteger los derechos y libertades de los ciudadanos y de las personas residentes en Colombia, prevenir y contrarrestar amenazas internas o externas contra la vigencia del régimen democrático, el orden constitucional y legal, la seguridad y la defensa nacional. (DNI, 2018)

Contrarrestar en el ámbito nacional o internacional las capacidades y actividades de personas, organizaciones o gobiernos extranjeros que puedan representar un riesgo o una amenaza para la seguridad nacional. (DNI, 2018)

En la Figura 15 se presenta la interacción intersectorial que actualmente se esta dando

entre las entidades con respecto al tema de Ciberseguridad y Ciberdefensa en Colombia

particularmente en la infraestructura crítica de energía eléctrica, donde se observa la

importancia en este aspecto a nivel de estado y el interés por generar una estrategia al

cierre de brechas.



Colombia.

Página | 100

Figura 15. Diagrama institucional y su interacción en el ámbito de Ciberseguridad. Fuente: Elaboración propia.

A pesar de todo el esfuerzo de las entidades gubernamentales en adelantar este tipo de

procesos, es necesario tener en cuenta el siguiente apartado mencionado en (Asensio,

García, Valiente, & Zuluaga, 2018) "Es importante advertir que limitarse a mantener el grado

de inversión en ciberseguridad en el mínimo que permite el cumplimiento legislativo implica

que nuestros niveles de protección estarán muy por debajo del estándar necesario para

hacer frente a los peligros actuales. Las leyes y normativas de los Estados son siempre

lentas- lo cual es especialmente visible en temas técnicos complejos y alejados de los

legisladores como la Ciberseguridad Industrial- y la evolución tecnológica y la de los

ciberdelincentes muy rápida y con alta dedicación”.

Un estudio importante que sirvio de guía para identificar factores técnicos claves que

actualmente influyen en el ámbito de ciberseguridad, es el realizado por el centro de

ciberseguridad industrial (CCI), en el que se encuestaron 35 empresas industriales. Entre

ellas se encuentran las empresas que tienen mayor impacto en la economía colombiana y

que incluyen al sector eléctrico, tecnologías de la información, organizaciones del sistema

financiero y al sector minero.

Co

mu

nic

ació

n T

ran

sve

rsal

Co

mu

nic

ació

n T

ran

sver

sal

ColaboraciónActiva

ColaboraciónActiva

Colaboración ActivaInfraestructura Crítica



Colombia.

Página | 101

Dentro de los resultados arrojados en el estudio presentado en (Asensio, García, Valiente,

& Zuluaga, 2018), se encuentra que ninguna de las entidades encuestadas concentra la

responsabilidad de ciberseguridad en un único departamento. Aunque el dato más

relevante que arroja el estudio es el alto número de organizaciones que aún no se han

enfrentado a la realidad actual, y no han definido esta responsabilidad como se presenta

en la Figura 16. Lo que supone que no se la está dotando del compromiso, presupuesto y

mecanismos precisos para asegurar que se llevan a cabo las medidas necesarias. Sin

embargo, a pesar de no ser una unidad organizativa como tal dentro de las estructuras de

las empresas, un gran número de encuestados ha marcado entre sus respuestas, la

aplicación directa de esta responsabilidad sobre el CISO (Chief Information Security

Officer).

Figura 16. Responsables de Ciberseguridad. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

Otro de los datos importantes arrojados por (Asensio, García, Valiente, & Zuluaga, 2018),

es el grado de sensibilización con las normas y riesgos de la seguridad de las redes

industriales como se presenta en la Figura 17, en donde el 33% de ellas afirman estar muy

poco sensibilizados frente a estos riegos, lo que se convierte directamente en una

vulnerabilidad a nivel organizacional.

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

Departamento TI Departamento TO Oficial de SeguridadInformática



Colombia.

Página | 102

Figura 17. Sensibilización de responsables del negocio. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

En cuanto a la pregunta realizada en (Asensio, García, Valiente, & Zuluaga, 2018) acerca

de si, ¿Su empresa ha realizado evaluaciones del nivel de riesgo de los sistemas de

automatización y control?, se arrojaron los resultados mostrados en la Figura 18,

destacándose que cerca de un 45% de los encuestados declara haber llevado a cabo algún

tipo de evaluaciones como: técnicas sobre las redes, análisis de vulnerabilidad, de

segmentación, test de intrusión y normativas, al amparo de distintas normas y estándares

como NERC-CIP, IEC 62443, entre otras. Un 13,79% no han realizado ningun tipo de

evaluación de riesgos y por lo tanto no saben a las consecuencias que se enfrentan.

Figura 18. Análisis de riesgos en sistemas de control y automatización industriales. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

17%

46%

33%

4%

Bastante

Normal

Muy Poco

No se

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

Se h

a re

aliz

ado

eva

luac

ión

org

aniz

ativ

a(p

olít

icas

, pro

ced

imie

nto

s)

Se h

a re

aliz

ado

eva

luac

ión

téc

nic

a(s

egm

enta

ció

n, t

est

de

intr

usi

ón

)

Se h

a re

aliz

ado

eva

luac

ión

no

rmat

iva

(NER

C-C

IP, I

EC 6

24

43

,GC

I, IS

O..

.)

No

he

mo

s h

ech

o n

ingu

na

eval

uac

ión

del

rie

sgo

No

sé

ISO

27

00

5

Otr

o



Colombia.

Página | 103

Del análisis realizado en (Asensio, García, Valiente, & Zuluaga, 2018), dentro los aspectos

técnicos identificados por los autores se encuentran las conexiones de redes, accesos

remotos, uso de normas y medidas de ciberseguridad industrial. Para entender y justificar

los puntos que finalmente se utilizaron como base para la identificación final de los aspectos

técnicos que influyen en el ámbito de Ciberseguridad y que se definieron en el presente

trabajo de grado, se extraen los siguientes puntos relevantes de la encuesta realizada:

¿Las redes de automatización de su empresa están segmentadas y protegidas?

Figura 19. Segmentación y protección de redes de automatización. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

En la Figura 19 se observa que el 10% de las empresas encuestadas mantiene sus redes

industriales y corporativas directamente conectadas, lo que representa un enorme riesgo

de incidencias de seguridad.

¿Su red industrial posee dispositivos conectados a Internet, independientemente de los

mecanismos de protección aplicados?

35%

20%

31%

10%4%

La red corporativa e industrial estánsegmentadas por un dispositivo de filtrado (Ej:firewall)La red industrial está total y físicamente aisladade la red corporativa /ofimática

La red industrial tiene distintos niveles desegmentación con dispositivos de filtrado (Ej:firewall)La red corporativa e industrial estánconectadas directamente mediante switch owifiNo sé



Colombia.

Página | 104

Figura 20. Dispositivos de redes de automatización conectados a Internet. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

De la Figura 20 se concluye que un alto porcentaje de compañias cerca del 15%,

manifiestan desconocer si disponen de dispositivos conectados a internet, eso evidencia

que no se conocen el 100% de su infraestructura.

¿Su red industrial posee accesos remotos?

Figura 21. Acceso remoto. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

Como se presenta en la Figura 21 se observa que cerca del 76% utiliza el acceso remoto

hacia los dispositivos de automatización y control industrial, ya sea para gestión remota o

como soporte y mantenimiento por parte de los proveedores de IT y OT.

¿Qué normas se utilizan en el ámbito de la Ciberseguridad Industrial de su empresa?

35%

25%

25%

15%

Sí, permanentemente conectado a internet

Sí, solo conexión temporal por petición

No

No sé

24%

52%

10%

14%

Sí, permanentemente

Sí, solo conexión temporal por petición

No

No sé



Colombia.

Página | 105

Figura 22. Normas utilizadas en la Seguridad Cibernética Industrial. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

La mayor parte de las empresas encuestadas utilizan normas para el establecimiento de la

Ciberseguridad Industrial, en la Figura 22 se muestran las normas utilizadas como guías.

¿Qué medidas de Seguridad industrial ya ha implantado su empresa?

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

ISO

27

001

Leye

s d

e p

rote

cció

n d

e d

ato

sp

erso

nal

es

Ley

de

pro

tecc

ión

de

infr

aest

ruct

ura

s cr

ític

as

NER

C C

IP

Fam

ilia

IEC

624

43

(An

tigu

aIS

A9

9)

ISO

22

301

/ B

S 2

5999

SGC

I (Si

stem

a d

e ge

stió

n d

e la

cib

erse

guri

dad

ind

ust

rial

de

CC

I)

ISO

27

019

a n

ivel

de

cib

erse

guri

dad

NIS

T 8

00-8

2

Otr

o

NIS

T 8

00-5

3

Nin

gun

a



Colombia.

Página | 106

Figura 23. Medidas de Seguridad Cibernética Industrial utilizadas. Fuente: Adaptado de (Asensio, García, Valiente, & Zuluaga, 2018).

Como se observa en la Figura 23 la mayoría de las compañias encuestadas afirman tener

implementado algún tipo de medida de Ciberseguridad Industrial. Dentro de las más

comunes se encuentran las copias de seguridad, antivirus, IDS (Intrusión Detection

Systems) / IPS (Intrusion Prevention Systems), Firewalls, politicas y procedimientos.

Por otro lado, las vulnerabilidades en hardware y software pueden explotarse para producir

cambios no planificados en los servicios ofrecidos y desviaciones del comportamiento

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Backup/Copias de seguridad

Antivirus

IDS/IPS

Firewalls convencionales

Políticas y Procedimientos Documentados

Gestión de Respuesta a Incidentes

Auditorías de seguridad internas

Comunicaciones cifradas

Gestión de Continuidad de negocio

Gestión de Recuperación ante desastres

Auditorías de seguridad externas

Arquitectura de Red documentada

SIEM (Gestión de eventos e información de sistemas)

Firewalls industriales

Correlación de eventos

Whitelisting

Gestión de identidades

Acuerdos de nivel de servicio en Ciberseguridad

Gestión de seguridad en la cadena de suministro

Gateways unidireccionales

Control de aplicaciones industriales

Ciberseguridad Gestionada

Ninguna de las anteriores



Colombia.

Página | 107

normal. Las fallas resultantes se pueden clasificar como fallas internas y fallas externas.

Una falla interna corresponde a cambios anómalos dentro de un sistema y una falla externa

se debe a interacciones que se originan fuera de un sistema como fenómenos naturales,

acciones maliciosas y accidentes (Alcaraz & Zeadally, 2015).

Las Infraestructuras Críticas IC son expuestas a varios tipos de peligros, como riesgos

naturales, incremento de la demanda, cambio climático, ataques intencionales,

envejecimiento de componentes y fallas (Zio, 2016). Por esta razón, su protección es de

gran importancia para las naciones, requiriendo modelamiento de sus componentes bajo

diferentes amenazas y analizando sus riesgos y vulnerabilidades a nivel de sistema.

En los ultimos años, los esfuerzos se han centrado en la habilidad de las IC en adaptarse y

recuperarse rápidamente desde los efectos de un evento disruptivo, generando una nueva

cultura de respuesta ante fallas (Zio, 2016). Como consecuencia, los sistemas no sólo

deben ser confiables sino además ser capaces de recuperarse desde eventos de falla a

nivel del sistema, es decir retornar rápidamente a la operación normal después de ocurrido

un evento disruptivo sobre el sistema. Con base en lo expuesto anteriormente, se genera

el concepto de resilencia el cual hoy en día es considerado un atributo fundamental para

las IC que se debe garantizar por diseño, operación y mantenimiento.

Para tener un nivel adecuado de servicio, se debe garantizar una vulnerabilidad aceptable

dentro del sistema eléctrico. Como se presenta en (Akdeniz & Bağrıyanık, 2015), resulta

que el análisis de vulnerabilidad del sistema de energía no es sólo un análisis técnico en

términos de contingencia y estabilidad, sino que también tiene algunas características

ambientales y sociológicas adicionales que deben incluirse en la solución óptima ante un

evento en el sistema.

Existe una gran diferencia en las características de los sistemas IT que conocemos, con

respecto a los sistemas de control industrial ICS, entre los cuales se resaltan los riesgos

como sus prioridades. Algunos de estos son, los riesgos significativos en la salud y

seguridad de las vidas humanas, daños ambientales y efectos financieros, pérdidas de

producción e impactos negativos en la economía de la nación (NIST, 2015).



Colombia.

Página | 108

Los ICS tiene diferentes requerimientos de rendimiento y confiabilidad, adicionalmente

utiliza sistemas operativos y aplicaciones que pueden ser considerados no convencionales

para las áreas típicas en entornos de red de IT. Inicialmente, las ICS tenían poca semejanza

con los sistemas de TI, ya que eran sistemas aislados que ejecutaban protocolos de control

propietarios que utilizaban hardware y software especializados. Sin embargo, los

dispositivos Ethernet y de Protocolo de Internet (IP), ampliamente disponibles y de bajo

costo, ahora están reemplazando a las tecnologías patentadas más antiguas, lo que

aumenta la posibilidad de vulnerabilidades e incidentes de ciberseguridad en los ambientes

industriales y en el caso particular en los sitemas de energía eléctrica.

Debido a que las ICS está adoptando soluciones de TI para promover la conectividad

corporativa y las capacidades de acceso remoto, están siendo diseñadas e implementadas

usando computadoras estándar de la industria, sistemas operativos (OS) y protocolos de

red, empezando a parecerse cada día más a los sistemas de TI (NIST, 2015). Ahora, si bien

las soluciones de seguridad se han diseñado para hacer frente a problemas de seguridad

en los sistemas de TI típicos, se deben tomar precauciones especiales al introducir estas

mismas soluciones en los entornos de ICS. En algunos casos, se necesitan nuevas

soluciones de seguridad que se adapten al entorno industrial.

Algunos sistemas requieren respuestas fiables y deterministas, para la mayoría de las ICS

el tiempo de respuesta automatizado o la respuesta del sistema con la interacción humana

es muy crítico. Este tipo de infraestructuras se basan en sistemas operativos en tiempo real,

donde el tiempo real se refiere a los requisitos de puntualidad y rendimiento. Las

interrupciones inesperadas de los sistemas que controlan los procesos industriales no son

aceptables, generalmente las interrupciones deben ser planificadas y programadas con

semanas de anticipación (NIST, 2015).

La operación y cada acción de los sistemas SCADA y en general todo el conjunto que

compone la supervisión y control de los sistemas de transmisión de energía eléctrica son

manejados en tiempos críticos y considerados como infraestructuras críticas.



Colombia.

Página | 109

Ahora, los sistemas SCADA modernos son altamente sofisticado, complejos y basado en

sistemas de tecnologías avanzadas (Cherdantseva, y otros, 2016). Esta creciente

sofisticación y modernización, así como su funcionamiento continuo, en tiempo real

distribuido , con arquitecturas multi-componente, hace que esta evolución permita tambien

el crecimiento de las amenazas informáticas a los sistemas SCADA .

El daño de los datos de aplicación en el sistema SCADA puede introducir riesgos

inesperados a la operación y control del sistema de potencia (X. Liu and M. Shahidehpour

and Z. Li and X. Liu and Y. Cao and Z. Li, 2017). Ciber atacantes, que estan familiarizados

con la sintaxis y semánticas de los sistemas de computación, pueden encontrar

vulnerabilidades en los sistemas de comunicaciones del sistema de potencia e infectar con

código mailicioso los controladores y relés de protección, logrando por ejemplo remover el

control del sistema de potencia y enviar comandos indeseados produciendo fallas en

cascada, demanda no atendida, blackout, entre otras consecuencias.

Los ciber ataques toma ventaja de las vulnerabilidades del sistema de potencia, para

controlar maliciosamente de manera local o remota el sistema a través de métodos no

convencionales.

En este escenario en el que contemplamos al sector energético como infraestructura crítica,

el cual a su vez es tecnológicamente y estructuralmente evolutiva (y cada vez más

interdependiente), surgen preocupaciones comprensibles por su vulnerabilidad y riesgo, es

decir, por el peligro de que: (1) las capacidades del sistema asignadas y actuales no pueden

ser adecuadas para soportar las crecientes demandas en escenarios de mayor integración

y desregulación del mercado, y que (2) los márgenes de seguridad diseñados

preventivamente pueden no ser suficientes para hacer frente a las tensiones esperadas y

sobre todo, inesperadas que llegan a los sistemas (Zio, 2016).

Otro factor identificado dentro de la revisión técnica es el humano, el cual juega un papel

trascendental en la seguridad cibernética de los sistemas SCADA e ICS. La supervisión

humana, la complicada arquitectura del software y el proceso de desarrollo son las

características de los sistemas SCADA que exacerban el papel del factor humano. Un



Colombia.

Página | 110

seguimiento y vigilancia continua de este aspecto, ayuda con la prevención de errores

humanos que pueden dar como resultado ataques no intencionales y prevención de

posibles ataques de ingeniería social internos y externos (Cherdantseva, y otros, 2016).

Un tema adicional dentro de la identificación de los aspectos técnicos, es remitirnos a una

de las conclusiones realizadas en (Asensio, García, Valiente, & Zuluaga, 2018), en donde

resaltan que una de las razones principales para incorporar la ciberseguridad dentro de las

compañias encuestadas fue la respuesta a incidentes. Esto indica que se han producido en

los últimos años incidentes de impacto considerable que están obligando a las empresas y

a las entidades gubernamentales a adoptar medidas para mitigar los efectos que puedan

ocasionar un ataque cibernético.

Con base en lo expuesto en el presente acápite, en la Figura 24 se muestran los nueve

factores técnicos identificados que inciden en el ámbito de ciberseguridad de la

infraestructura de transmisión eléctrica y que en el contexto de Colombia aplican e

intervienen de una manera significativa. Los aspectos técnicos expuestos sirvieron como

conceptos fundamentales para el desarrollo y la propuesta metodológica realizada en el

presente trabajo y que se presenta en detalle en los siguientes capítulos.

Figura 24. Factores técnicos que inciden en el ámbito de ciberseguridad. Fuente: Elaboración propia.



Colombia.

Página | 111

Figura 25. Factor técnico interacción humana. Fuente: Elaboración propia.

Figura 26. Factor técnico nivel adecuado de servicio. Fuente: Elaboración propia.

Figura 27. Factor técnico nivel adecuado de servicio. Fuente: Elaboración propia.

Figura 28. Factor técnico soluciones de TI en la industria. Fuente: Elaboración propia.



Colombia.

Página | 112

Figura 29. Factor técnico hardware y software. Fuente: Elaboración propia.

Figura 30. Factor técnico importancia de datos de aplicación. Fuente: Elaboración propia.

Figura 31. Factor técnico normas y medidas de seguridad. Fuente: Elaboración propia.

Figura 32. Factor técnico sistemas de tecnologías avanzadas. Fuente: Elaboración propia.



Colombia.

Página | 113

Figura 33. Factor técnico responsabilidad de ciberseguridad corporativa. Fuente: Elaboración propia.



Colombia.

Página | 114

5. Diseño y Construcción de la Metodología Propuesta para la

Evaluación de Ciber Vulnerabilidad en Sistemas de

Transmisión de Energía Eléctrica EVULCIB

A partir de la información recopilada y analizada en los anteriores acápites, se continúo con

la fase de construcción de la metodología de evaluación de ciber vulnerabilidad, para la

cual se siguió el método presentado en la Figura 34.

Figura 34. Etapa de diseño de metodología de evaluación. Fuente: Elaboración propia.

La metodología es llamada EVULCIB que significa evaluación de vulnerabilidad cibernética,

la cual esta orienatada a presentar un diagnóstico del sistema eléctrico evaluado por medio

de dos indicadopres definidos en este acápite y que permite realizar el seguimiento al cierre

de brechas y oportunidades de mejoras enfocadas al área de ciberseguridad.

Identificación de activos

• En este subprocesos se definen todos loscomponentes que se involucra a nivel deinfraestructura, operación y mantenimiento delsistema de transmisión de energía.

Definición de requerimientos

funcionales y no funcionales

• Se analizan, se estudian y se definen losmecanismos para la evaluación de software,redes de comunicación, administración deusuarios y cuentas, monitoreo, equiposeléctricos y los componentes que seidentifiquen, en el que su falla representeperdida del suministro de energía.

Propuesta metodología de

evaluación

• Desarrollo de unametodología deevaluación de cibervulnerabilidad parainfraestructura eléctricadel STN.



Colombia.

Página | 115

5.1 Identificación de activos

De acuerdo a lo propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017), como primer

paso, las empresas deben comprender cómo sus sistemas podrían verse comprometidos

por ataques ciberfísicos. Sin embargo, antes de esto se debe tener claridad de la manera

en que funciona el sistema para determinar todos los posibles vectores de ataque, al que

nuestro sistema se puede ver expuesto.

Con el proposito de entender el funcionamiento del sistema de transmisión de energía

eléctrica, en términos generales una subestación cuenta con cuatro niveles jerárquicos de

operación.

✓ Nivel 0: Patio en el caso de subestaciones aisladas en aire y GIS en el caso de

subestaciones encapsuladas aisladas en SF6.

✓ Nivel 1: Controlador de Bahía / Selectores de respaldo (mímicos de operación de

emergencia para control de equipos de patio).

✓ Nivel 2: Estación de Operación y Gateway o Controladores de subestación.

✓ Nivel 3: Centros de Control.

La filosofía de operación establece que si un nivel jerárquico está habilitado para operación,

los niveles superiores a éste se encontrarán bloqueados. De esta forma, si el nivel 0 se

encuentra habilitado, no se podrá operar desde los niveles 1, 2 y 3. De igual manera para

los niveles superiores.

Los sistemas de automatización y protección de las subestaciones eléctricas del STN

colombiano, están basados en su mayoría por un equipo de control de subestación de Nivel

2, por su parte, los sistemas de control y protección de bahías de Nivel 1, son realizadas

por sistemas numéricos programables e integradas en el mundo de la tecnología de las

comunicaciones.

El sistema de automatización y protección de las subestaciones de transmisión de energía

cumple de manera integral con las siguientes tareas:



Colombia.

Página | 116

✓ Adquisición y distribución de la información en tiempo real.

✓ Señalización local (Nivel 1 y Nivel 2).

✓ Señalización remota (Nivel 3).

✓ Supervisión.

✓ Control local y remoto.

✓ Control con enclavamientos.

✓ Control bajo secuencias de mando.

✓ Protección eléctrica de la bahía.

✓ Selectividad de la operación de protecciones eléctricas de la subestación.

✓ Conexión decentralizada ó centralizada mediante protocolos de comunicación con

dispositivos de protección eléctrica, controladores de bahía y estaciones esclavas.

✓ Registro y archivo de la información del proceso.

Por la manera modular en que en la actualidad se diseñan las subestaciones eléctricas de

transmisión, el sistema de automatización y protección es escalable y expandible en la

medida que se puede implementar en un rango amplio de tipos, tamaños, con diferentes

aplicaciones y requerimientos, permitiendo adaptarce a la medida de las necesidades que

el sistema de transmisión lo vaya necesitando.

Por su parte, estos sistemas digitales se integra a la tecnología de las comunicaciones IT

aprovechando las ventajas actuales, sus desarrollos y todas sus posibilidades futuras.

Mediante las posibilidades de comunicación del sistema de automatización y protección es

posible crear los enlaces necesarios para el intercambio de información dentro del sistema

y con los centros de control de nivel superior, IED (Intelligent Electronic Device),

controladores de bahía y otros dispositivos o sistemas.

Con la intención de representar el funcionamiento y los elementos principales que

componenen el sistema de transmisión de energía eléctrica desde la perspectiva de

ciberseguridad, en la Figura 35. se muestra un modelo de funcionamiento en donde se

proporciona la estructura del sistema utlizada en la metodología propuesta en este trabajo.



Colombia.

Página | 117

Figura 35. Modelo del funcionamiento desde la perspectiva de ciberseguridad. Fuente: Elaboración propia.

Dado el desarrollo de las tecnologias utilizadas en la industria y en las cuales se adoptaron

los desarrollos alcanzados por decadas en las redes de comunicaciones, las empresas han

visto la evolución de las arquitecturas de sus redes que a su vez producen modificaciones

en la estructura para adoptar medidas oportunas con la finalidad de garantizar seguridad y

continuidad del negocio (Asensio, García, Valiente, & Zuluaga, 2018).

Con la intención de dar una descripción de los diferentes componentes que intervienen en

el sistema de control, protección y medida en la transmisión de energía eléctrica, la

arquitectura de comunicaciones de este tipo de sistemas esta formada por uno o más

centros de control y un número de dispositivos de campo como RTU (Remote Terminal

Unit), IED (Intelligent Electronic Device), PLC (Programmable Logic Controller), Gateway

(Controladores basados en sotfware y sistemas operativos), conectados por una

• Analítica, Inteligencia Artificial, Algoritmos,Predicción, Estabilidad del Sistema, Proyección deDemanda, despacho de Generación.

Inteligencia Operacional

• Scada, ERP , MRP, Software de Gestión, Monitoreo,Sincrofasores, Ondas Viajeras, Estimación deestados, Simuladores eléctricos.

Sistemas

•Protocolos de comunicación, Medios Físicos (FO, OndaPortadora, Radio, Microondas, Satélite, GPRS), EquiposFísicos (SDH, PDH, Routers, MPLS, DWDM, GPON).

Comunicaciones

• Lógicas de Automatismos, Algoritmos de ProtecciónEléctrica, Supervisión, Control, Registro de Eventos,Almacenamiento de Comtrade, Auto diagnósticos.

Procesamiento

• Protocolos de Comunicación, Medios Físicos (FibraÓptica, SFTP, Seriales RS232-RS485)

Transporte de Información

•Gateway, RTU (Remote Terminal Unit), IED,Controladores, Protecciones, Teleprotecciones,Registradores de Fallas, PMU, Routers, Switches, RedBox.

Dispositivos y Componentes Inteligentes

• Sensores, BI/BO/AI Controladores, BI/BO/AIProtecciones, BI/BO/AI RTU, Transductores, Maletasde Pruebas, Mediciones Indirectas.

Enlace de Datos Físicos

• Equipos de Potencia (Interruptores, Seccionadores,Transformadores, CT’s, PT’s, Descargadores etc.),Líneas de Transmisión, Torres, Merging Unit.

Elementos Físicos

MODELO DE FUNCIONAMIENTO

SER

VIC

IOS

REM

OTO

S SE

RV

ICIO

S LO

CA

LES

2

1

3

4

5

6

7

8

NIVEL 0

NIVEL 1

NIVEL 2

NIVEL 3



Colombia.

Página | 118

infraestructura de comunicaciones. Estos dispositivos reciben información desde los

componentes de campo y convierten esta información en datos digitales, los cuales a su

vez son enviados a los centros de control, tambien son capaces de recibir comandos

digitales desde los centros de control y manejar grupos de alarmas y ajustes de variables

de campo (Cherdantseva, y otros, 2016).

Las RTU, PLC y Gateway son dispositivos digitales que monitorean sensores y variables

de campo, con las cuales toman decisiones basadas en programas de control realizadas

por el usuario con lo que dependiendo de estas controlan valvulas, interruptores, tiristores,

IGBTs entre otros. Dentro de la arquitectura de control la mayoría de instalaciones cuenta

con una Interface Hombre Maquina IHM, que permite almacenar, controlar y operar de

manera local el sistema a partir de una interface grafica y despliegues de operación.

Por otra parte, las IHM proporcionan un sistema de supervisión y control centralizado para

numerosas entradas y salidas de proceso. Estan diseñadas para recopilar información de

campo, transferirla a un centro informático central y mostrar la información al operador

gráfica o textualmente (Santander, 2017).

La comunicación se basa en el intercambio de mensajes entre los dispositivos maestros o

clientes, con los dispositivos de control esclavos o servidores los cuales envían información

y aceptan intrucciones de operación que transmiten hacia los elementos de campo


Dentro de este marco y tomando las funcionalidades definidas anteriormente, las mismas

están fisicamente soportadas en arquitecturas de comunicaciones que se resumen en el

esquema presentado en la Figura 36, este diagrama se desarrollo con el objeto de

representar las comunicaciones y enlaces de los casos más comunes que podemos

encontrar en un sistema de transmisión de energía eléctrica.



Colombia.

Página | 119

Figura 36. Esquema de arquitectura de comunicaciones en sistemas de transmisión. Fuente: Elaboración propia.

Uno de los tipos más importantes de infraestructura de información crítica son los sistemas

de control industrial (ICS) que supervisan y controlan procesos en infraestructuras

industriales tales como sistemas de generación de energía, sistemas de distribución y

transmisión eléctrica, sistemas de tratamiento de agua, oleoductos y gasoductos, plantas

químicas y refinerías (Alcaraz & Zeadally, 2015). Estos sistemas incorporan arquitecturas

de comunicaciones como la presentada en la Figura 36, para conectar centros de control a

subestaciones remotas ubicadas en las infraestructuras que se controlan. Las

CENTRO NACIONAL DE DESPACHOServidores y Bases de Datos

Servidores y Bases de Datos

Sistemas de MonitoreoSCADA

Sistemas de Gestión

Sistemas de Adquisición

RED WAN

SDH MPLS / ETH GPRS

RED WAN

PLP OP

MÚLTIPLES REDES

SATELITAL

Diferenciales de Línea y Tele protecciones

Router/Firewall

MÚLTIPLES REDES

SW VideoSW CorporativaSW Voz IPSW GestiónSW Control & Protección

REDES CONTROL, PROTECCIÓN, GESTIÓN

RED GESTIÓN

RED BUS DE PROCESO

MÚLTIPLES REDES

Sistemas de Control, Gateway, RTU, PLC. IHM, PC Gestión,Servidores

Registradores,PMU

Relés de Protección Maletas de Prueba

Merging Unit, CT Ópticos Maletas de Prueba

SER

VIC

IOS

LOC

ALE

SSE

RV

ICIO

S R

EMO

TOS



Colombia.

Página | 120

subestaciones incorporan sistemas automatizados llamados unidades terminales remotas

(RTU), Gateway o controladores de subestación, que alojan sensores para recopilar y

enviar datos de estado al centro de control y actuadores para realizar acciones de control

(Alcaraz & Zeadally, 2015).

Teniendo en cuenta la importancia del sector energético, se necesita una tecnología

principal para asegurar la coordinación de todos los componentes de la tecnología de

operación (OT) desde un único centro, la cual se denomina sistemas de supervisión y

adquisición de datos (SCADA). Los sistemas SCADA deben brindar alta disponibilidad y

integridad de la información. En el caso particular del sector de energía su importancia esta

dada en el garantizar el suministro de energía eléctrica a toda la población y a diferentes

industrias (Santander, 2017).

Las tecnologías de la información y las comunicaciones desempeñan un papel crucial en la

conectividad y el control de los sistemas críticos. La interconexión de redes ofrece

importantes beneficios operacionales con respecto al control de supervisión y la adquisición

de datos. Los beneficios incluyen conectividad global, flexibilidad y difusión de datos desde

cualquier lugar y en cualquier momento a través de protocolos de comunicaciones basados

en IP e interfaces web (Alcaraz & Zeadally, 2015).

Las protocolos que se manejan en la infraestructura de red sobre los sistemas de

transmisión energía eléctrica generalmente son basados en TCP/IP, DeviceNet, ControlNet,

PROFIBUS, MODBUS, DNP3, IEC61850, IEC61870-5-104, IEC61870-5-101 Serial,

IEC61870-5-103 Serial (Cherdantseva, y otros, 2016).

Dentro de las comunicaciones más comunes que encontramos en subestaciones eléctricas

de transmisión con centros de control de nivel superior se tienen los siguientes protocolos:

IEC 60870-5-101 Serial, IEC 60870-5-104, DNP V3.00, OPC Server, IEC61850 Server,

ICCP.

Para las comunicaciones internas de la subestación con IED, RTU, PLC, relés de protección

y controladores de Bahía usualmente se usan los siguientes protocolos: IEC 61850,

Profibus, IEC 60870-5-101 Serial, IEC 60870-5-103 Serial, IEC 60870-5-104, DNP V3.00,

Modbus, OPC Client y algunos otros proptocolos propietarios.



Colombia.

Página | 121

Adicionalmente, el uso extensivo del protocolo TCP/IP permite la integración de los

protocolos de comunicación que se usan con las tecnologías IT, como por ejemplo la

utilización de los protocolos SNTP, ICMP, SNMP, RSTP entre otros.

Con respecto a los requerimientos del sistema, para las conexiones físicas en la

infraestructura de comunicaciones se implementan interfaces en RS232, RS485, E1,

Ethernet en 10/100Mbps e incluso ya se tienen soluciones en Gbps, donde en los diferentes

caso se utilizan por lo general cables tipo Coaxial, SFTP o Fibra Óptica.

De acuerdo a lo expuesto hasta el momento y teniendo en cuenta un factor adicional a los

enunciados anteriormente, se tiene que generalmente existe una interacción entre sistemas

de control y protección con otras redes como la red corporativa (conectada a internet),

VozIP, Stream, sistemas de realidad aumentada y Video Vigilancia.

En el momento de explicar la metodología utilizada en este trabajo, se hace necesario

mencionar que las actuales implementaciones a nivel mundial en cuanto a los sistemas de

control y protección se realizan con el estándar IEC 61850. Este protocolo fue desarrollado

por el IEC TC 57 (Power Systems Management and Associated Information Exchange) el

cual publicó la norma IEC 61850 Edition 1 en 2005, la cual fue aceptada por las compañías

eléctricas de todo el mundo a un ritmo notablemente rápido. Este estándar fue desarrollado

originalmente para comunicaciones en sistemas de automatización de subestaciones y

dada su evolución, sus áreas de aplicación se extendieron a sistemas de energía

hidroeléctrica, sistemas de energía eólica y sistemas de energía distribuida (Hyunguk &

Taeshik, 2015).

El IEC 61850 está diseñado para soportar el modelado de información orientada a objetos

y la autodescripción. Estas diferencias fundamentales entre IEC 61850 y otros protocolos

resultan en algunos problemas para armonizar la interoperabilidad con estos mismos, lo

que finalmente pueden causar en algunos casos vulnerabilidades de seguridad (Hyunguk

& Taeshik, 2015).

En efecto, el protocolo IEC 61850 debe trabajar en armonía con otros estándares de

comunicación utilizados en arquitecturas típicas de subestaciones y centros de control. Sin

embargo, no se han realizado estudios sobre los tipos de nuevas vulnerabilidades de

seguridad y las exigencias de seguridad requeridas en un entorno en el que IEC 61850 y



Colombia.

Página | 122

protocolos heterogéneos están vinculados (Hyunguk & Taeshik, 2015). Solamente se tienen

algunos aspectos de seguridad de IEC 61850 especificados en el estándar IEC 62351 parte

3.

Al establecer la norma IEC 61850 la posibilidad de realizar una comunicación a nivel de

proceso y campo (comunicación entre el nivel 0 y nivel 1), permite un mayor control del

sistema y una disminución considerable en el cableado eléctrico, enviando toda la

información requerida en los IEDs por comunicaciones. Su implementación es cuidadosa,

debido a que se tienen que seguir conservando las prestaciones operativas convencionales

de los sistemas eléctricos clásicos como lo es tiempos de operación, seguridad,

redundancia y confiabilidad (J, D, & O, 2012).

Existen tres protocolos de comunicación para transmitir el modelo de información IEC

61850: MMS (Manufacturing Message Specification), GOOSE (Generic Object Oriented

Substation Event) y SMV (Sampled Measured Values). MMS se usa para la mayoría de la

información operativa que no es de tiempo crítico. GOOSE se utiliza para información de

tiempo crítico como disparos, enclavamientos y bloqueos. SV se utiliza para la información

de voltaje y muestra de corriente (Hyunguk & Taeshik, 2015). El protocolo MMS se aplica

en el nivel de la estación según el modelo cliente / servidor, que se ejecuta en redes TCP /

IP. Los protocolos GOOSE y SMV se basan en el mecanismo de publicación / suscripción

en la red de área local (LAN) de la subestación mediante Ethernet conmutada de alta

velocidad (Yang, y otros, 2017).

En este trabajo se limita la aplicación de la metodología al sistema de transmisión, cuyo

objetivo es transportar energía eléctrica a través del sistema interconectado nacional (SIN)

entre los sitios de generación y las subestaciones de distribución, para lo cual se utilizan

subestaciones y líneas de transmisión. En Colombia el SIN tiene alrededor de 233

subestaciones de transmisión y con más de 24.000 kilómetros de líneas de transmisión

(Santander, 2017).

Los sistemas de potencia funcionan frecuentemente cerca de los limites operacionales

debido al incremento de la demanda de electricidad, donde pequeños disturbios en la red

pueden producir disparos y efectos de mayor escala como Blackouts. De manera general,

los Blackouts resultan de fallas en cascada en el sistema de transmisón de energía, los



Colombia.

Página | 123

disparos de fallas en cascada son multiples y principalmente incluyen casos aleatorios y

ataques maliciosos (Zhu, Yan, Tang, Sun, & He, 2015).

Un grupo terrorista es probable que destruya fisicamente un transformador y líneas de

transmisión para causar salidas de potencia en una red de eléctrica. En cambio un grupo

de hackers puede inyectar remotamente datos falsos para deshabilitar plantas de

generación y líneas de transmisión, las cuales pueden producir fallas en cascadas en la red

de transmisión (Zhu, Yan, Tang, Sun, & He, 2015).

En trabajos existentes, las investigaciones de ataques sobre redes eléctricas se aborda

principalmente desde tres puntos de análisis: desarrollo de modelos de fallas en cascada,

desarrollo de métricas, selección de nodos y enlaces objetivos. Por su parte, los modelos

de fallas en cascada incluye tres categorías, modelos topológicos, modelo de flujos de

potencia y modelos hibridos.

En el caso particular del sistema de transmisión de energía eléctrica los diseños se realizan

para que funcionen por largos periodos tiempo, alrededor de 25 a 30 años, esto a través de

rutinas de mantenimiento, reacondicionamientos y integración de nuevas tecnologías (Zio,

2016).

En este trabajo se considera como infraestructura crítica (IC) las redes de transmisión de

energía eléctrica. Estas redes a su vez se definen como sistemas complejos debido a la

multiples interacciones entre sus componentes, dadas por el diseño que esta orientado a

brindar un rendimiento óptimo, una operación confiable y una funcionalidad segura. El

problema radica en que los metodos clasicos de análisis de vulnerabilidad y evaluación del

riesgo,no puede abarcar la complejidad de la IC (estructura y dinamismo; topología y

funcionalidad, estatica y dinamica).

Esta complejidad dificulta el análisis de una falla o mal funcionamiento, comportamientos

emergentes pueden surgir a nivel de sistema por una respuesta colectiva de componentes

fundamentales, que se traduce en la incapacidad de predecir y administrar un evento en el

sistema. Como consecuencia existe una mayor incertidumbre en la caracterización de

escenarios de falla de la infraestructura crítica (Zio, 2016).



Colombia.

Página | 124

La estructura compleja hace referencia a la heterogeniedad, la cual se refiere a las

diferencias en los elementos, sus interconexiones y roles dentro de la estructura del

sistema, frecuentemente con alta conectividad hacia los elementos del nucleo y baja

conectividad hacia los nodos perisfericos (Zio, 2016).

La complejidad dinámica se manifiesta mediante eventos inesperados en el

comportamiento del sistema, en respuesta a cambios locales en el entorno y a las

condiciones operacionales de sus componentes. El sistema eléctrico de potencia a

mostrado dentro sus antecedentes a nivel mundial comportamientos emergentes, en donde

fallas locales han producido efectos envolventes inesperados transformándose en fallas en

cascada sobre todo el sistema (Zio, 2016).

Para la identificación de activos críticos dentro del sistema, se utilizo el método de

identificarlos dando respuestas a las siguientes preguntas:

¿Cuales son sus componentes críticos que si fallan causarian grandes consecuencias?

¿Cuales son los mecanismos de propagación en toda la infraestructura crítica?

¿Cuales son los eventos iniciales locales que pueden evolucionar a fallas en cascada

globales?

Dentro de este orden de ideas, la definición de los componentes eléctricos del sistema de

transmisión de energía se define en dos grandes grupos, subestaciones eléctricas y las

líneas de transmisión que conectan las subestaciones a todo el resto de la cadena

energética.

En consecuencia, a nivel sistemico eléctrico los activos que se pueden ver afectados son

subestaciones y líneas de transmisión, por lo tanto la identificación de los activos que en

este trabajo se denomina activos primarios son, por un lado, la propia línea de transmisión

y por otro, los elementos que constituyen una unidad constructiva que abarca dentro de

esté un conjunto de elementos y equipos utilizados para dirigir el flujo de energía, lo que se

denomina como grupo subestación eléctrica.

La definición de estos activos primarios dependen de la configuración de la subestación,

esta hace referencia al arreglo de equipos electromecánicos consecutivos de un patio de



Colombia.

Página | 125

conexión, que se traducen en la manera en que permite su operación con diferentes grados

de confiabilidad, seguridad y flexibilidad.

Por consiguiente, los activos utilizados en el presente trabajo se definen en las Figuras 37,

38, 39 y 40, en donde se muestra la tipificación de los activos primarios para las

configuraciones de subestaciones existentes en Colombia, y que a su vez son identificados

como los elementos del sistema de transmisión que pueden versen afectados ante un

ataque de cualquier índole y origen.

Figura 37. Activos primarios subestación barra sencilla en sistemas de transmisión. Fuente: Elaboración propia.

Figura 38. Activos primarios subestación doble barra en sistemas de transmisión. Fuente: Elaboración propia.

BARRA 1(1)

(2)LÍNEA 3LÍNEA 2LÍNEA 1

LÍNEA 1 LÍNEA 2 LÍNEA 3

ACOPLADOR DE BARRAS

LÍNEA 4

LÍNEA 7 LÍNEA 9 LÍNEA 10 LÍNEA 11LÍNEA 8

LÍNEA 5

LÍNEA 6

BARRA 1

BARRA 2

(1)

(2)

(3)

(4)



Colombia.

Página | 126

Figura 39. Activos primarios subestación doble barra + transferencia en sistemas de transmisión. Fuente: Elaboración propia.

Figura 40. Activos primarios subestación interruptor y medio en sistemas de transmisión. Fuente: Elaboración propia.

LÍNEA 1 LÍNEA 2 LÍNEA 3

ACOPLADOR DE BARRAS

LÍNEA 4

LÍNEA 7 LÍNEA 9 LÍNEA 10 LÍNEA 11LÍNEA 8

LÍNEA 5

LÍNEA 6

BARRA 1

BARRA 2

(1)

(2)

(3)

(4)

(6)(3)BARRA 2

(1)

LÍNEA 2

LÍNEA 1

CORTE A

CORTE B

CORTE C

BARRA 1

DIAMETRO 1

LÍNEA 2

LÍNEA 1

CORTE A

CORTE B

CORTE C

LÍNEA 2

LÍNEA 1

CORTE A

CORTE B

CORTE C

DIAMETRO 2 DIAMETRO 3

(2)

(4)

(5)



Colombia.

Página | 127

Identificando estos activos primarios, se definen los activos secundarios que pueden afectar

el activo primario, entendiéndose afectar como no permitir el flujo de energía a través de él,

en condiciones del sistema en el que deberia admitirlo. Los activos secundarios, para cada

activo primario se presentan en la Figura 41, los cuales fueron definidos a partir del modelo

funcional y del esquema de arquitectura desarrollado al inicio de esta sección, y teniendo

en cuenta que por su funcionalidad afectan directamente el activo primario de nuestro

sistema de transmisión de energía.

Figura 41. Activos secundarios que pueden afectar los activos primarios del sistema de transmisión.

Fuente: Elaboración propia.

Estos activos secundarios al ser conectados directamente a redes de comunicaciones y

sistemas de información, que en conjunto permiten la toma de decisión ante eventos y

contingencias sobre el sistema de transmisión, pueden ser afectados por otros, a los que

en este documento denominamos activos terciarios dado que por medio de estos se pueden

alterar, manipular y eliminar información relevante, modificando los resultados que se

obtienen en lo que en el modelo de funcionamiento del sistema desarrollado se definió como

las capas de sistemas y inteligencia operacional. En la Figura 42 se presentan los activos

terciarios y la manera indirecta en la que puede afectar el funcionamiento de un activo

primario.



Colombia.

Página | 128

Figura 42. Activos terciarios que pueden afectar los activos primarios del sistema de transmisión de manera indirecta.


5.2 Definición de Requerimientos Funcionales y No Funcionales

Las infraestructuras a gran escala, son sistemas que funcionan interdependientemente para

producir y distribuir servicios esenciales (como la energía, agua, datos, transporte, servicios

financieros y salud). Es denominada crítica si su incapacida o destruccíon tiene impacto

significativo sobre la salud, seguridad, economía y bienestar social. (Council Derecive

2008/114/EC).

Como un resultado, las redes de potencia eléctrica son consideradas entre las más

importantes en la infraestructura crítica, definida como tal en el European Programme for

Critical Infrastructure Protection.

En varios casos de fallas a nivel de sistema, se producen por pequeñas perturbaciones que

en cascada produce consecuencias a gran escala. Por lo que un análisis de vulnerabilidad

y una evaluación de sus propiedades resilentes son vitales para asegurar la protección de

un sistema en el ámbito de ciberseguridad (Zio, 2016).

En particular las redes eléctricas son fuertemente heterogenea debida a su arquitectura en

forma de jerarquia en rama, donde la producción de energía es conectada desde los

generadores a través de redes de transmisión de alto voltaje y subestaciones eléctricas



Colombia.

Página | 129

hasta las redes de distribución para uso de los consumidores finales. En este sentido, la

vulnerabilidad y el riesgo, con la fuerte hetereogeniedad de los elementos y el gran número

de conexiones de las redes eléctricas, se traduce en una alta sensibilidad para ataques

directos sobre el sistema (Zio, 2016). De ahí que se requiere un análisis de ciber

vulnerabilidad y la evaluación de sus propiedades elásticas, para asegurar su protección y

resiliencia.

Como parte fundamental para definir los mecanismos que se utilizarán para la valoración

de vulnerabilidades del sistema, se requiere identificar las conexiones y protocolos que se

utilizan para el flujo de información y que permite el funcionamiento normal del sistema de

transmisión de energía.

En el apartado 5.1 se mencionaron los principales protocolos, se definió el modelo de

funcionamiento y se identificaron los diferentes tipos de activos que podemos encontrar.

Sin embargo, todos estos componentes realizan una determinada comunicación con otros

componentes que permiten que el sistema opere de acuerdo a como fue diseñado y a la

función central que en el caso particular es transmitir energía eléctrica. En relación a lo

expuesto, en la Figura 43 se plasmo de manera esquemática las posibles comunicaciones,

protocolos y aplicaciones que se presentan en la operación normal del sistema de

transmisión.

En este sentido, uno de los puntos más relevantes de la evaluación hace referencia a que

el sistema valorado realice una gestión de red de comunicación segura, para lo cual será

necesario identificar y conocer como se gestionan todas aquellas conexiones abiertas y

directas desde una red externa (internet, red corporativa, voz IP, Video) hacia y desde la

red del sistema de control, protección y medida. Lo que permite tener perímetros de

seguridad y demarcando claramente las zonas de seguridad en cuanto a comunicaciones.

Por lo tanto, dentro de la configuración de los equipos es necesario tener presente los

puertos que estarán funcionando en el sistema, sus restricciones requeridas y los servicios

que se necesiten habilitar. En la Tabla 12 se presenta los puertos que se utilizan de acuerdo

a lo mostrado en la Figura 43.



Colombia.

Página | 130

Figura 43. Esquema de comunicaciones, protocolos y aplicaciones en la operación del sistema de transmisión.


Con la implementación de la norma IEC 61850 y dado los requerimientos de disponibilidad

y tiempos de transmisión de información necesarios para el correcto funcionamiento del

sistema eléctrico, se tienen definidas algunas topologías de red particulares que no son las

que normalmente se utilizan en infraestructura TI y para las cuales se requiere entender

que el diseño de comunicaciones para las redes OT, utiliza algunos mecanismos para que

la red sea robusta a fallas y en lo posible sin tiempos de conmutación. Aunque la norma

IEC 61850 no descarta el uso de redes a través del protocolo STP (Spanning Tree Protocol)

y RSTP (Rapid Spanning Tree Protocol), ni enlaces duales radiales como lo propuso en su

primera edición, si fundamenta en su segunda edición, lograr mitigar tiempos de

conmutación y poder aumentar la probabilidad de determinismo en la red, para lo cual anexa

a estos métodos el uso de la norma IEC 62439-3 Clausulas 4 y 5 que hacen énfasis en los

protocolos PRP (Parallel Redundancy Protocol) y HSR (High-availability Seamless

UI User Interface

SDM Source Data Management

DMS Distribution Management System

DTS Dispatcher Training Simulator

HIS Historical Information System

SC Supervisory Control

PA Power Applications

XPS Expert System

ADM Archives HIS Administration

GIS Geographic Information System

TCI Telecommunication Interface

IFS Independent Frint-End System

CA Communication Applications

DW Display Wall

LAN Local Area Network

HMI Human Machine Interface

RTU Remote Terminal Unit

MED Medidor

SER Servidor

IED Intelligent Electronic Device

PMU Phasor Measurement Unit

CS Controlador de Subestación

SM Sistema de Monitoreo

PLC Programmable Logic Controller

MP Maletas de Prueba

87L Diferencial de Línea

TP Teleprotección

REG Registrador de Fallas

MU Merging Unit

CDB Conexión a Bases de Datos

PP Protocolo Propietario

PTP Precision Time Protocol

NTP Network Time Protocol

CENTRO NACIONAL DE DESPACHO

UI

DW

CA

SDM

ADMIFS

DMS

XPSTCI

DTS

PA

GIS

HIS SC

CDB OPC

FTPPP

CENTRO CONTROL DE TRANSMISIÓN

UI

DW

CA

SDM

ADMIFS

DMS

XPSTCI

DTS

PA

GIS

HIS SC

CDBOPC

FTPPP

SUBESTACIONES TRANSMISIÓN CONVENCIONALES

HMI RTU RELÉS MED

LAN

CDBOPCPP

RS485 RS232

DNP3 MODBUS IEC101IEC104 IEC103

SUBESTACIONES TRANSMISIÓN ACTUALES

HMI

MED

MU

SER

MPREG

IED

PLCTP

PMU

SM

87L

RTU CS

CDB IEC61850

IEC104

OPC

HTTPSNTP

ICCP

HTTPS

TCP/IPSERIAL

TCP/IP

IEC 60870-5-104 IEC 61850IEC 60870-5-101

LAN

LAN

LAN

LAN

PTP



Colombia.

Página | 131

Redundancy) respectivamente. Siendo estos dos ultimos las soluciones de topología de red

que se estan implementando en la mayoría de las subestaciones actuales.

Tabla 12. Servicios y puertos asociados. Fuente: Elaboración propia.

En consecuencia a lo expuesto hasta el momento, el mecanismo de evaluación para el caso

de redes de comunicación y software, se basa en primera medida en verificar que cada

protocolo de comunicación y aplicación del sistema funcione tal como se diseño, lo cual

representará la línea base para la evaluación de ciber vulnerabilidad, por lo que en esta

etapa se requiere de un conocimiento especializado dado que los dispositivos y redes a

pesar de implementar funciones de TI, son soluciones y desarrollos tecnológicos

especificos para la operación del sistema energético.

Como segunda medida se propone verificar que la información que se transmite a través

de los protocolos de comunicación de las tecnologías de operación, sean cifradas, es decir

que se tengan mecanismos para brindar seguridad de la información.

Servicio Protocolo Puerto

IEC 60870-5-104 TCP 2404 - 2405

OPC TCP 135

OPC XML DA TCP 8081

Modbus TCP 502

DNP 3.0 TCP 20000

IEC 61850 Server TCP 102

Propietario Registradores TCP 4847

NTP UDP 123

Remote Server TCP 7912

Propietario IHM TCP 10501 - 10502

Propietario Gestion Siemens TCP 508-509

Propietario Gestion ABB TCP 5555 - 5556

IPSec UDP 500

PTP IEEE 1588 UDP 319 - 320

HTTPS TCP 443

ICCP TCP 102

SNMP UDP 161

FTP TCP 20 - 21

SSH TCP 22



Colombia.

Página | 132

Luego de las etapas ya mencionada, se validará las zonas de seguridad configuradas con

sus respectivas políticas de seguridad y reglas, de tal manera que se garantice un

funcionamiento de la red de comunicación de control, protección y medida segura. De esta

manera se valida que se tengan claramente demarcados los perímetros de seguridad.

Otra etapa prioritaria es identificar y validar si la red de comunicaciones y las aplicaciones

que funcionan en ella, estan preparadas para ciber ataques conocidos tanto en la industria

eléctrica, como en el área de TI. Es por esto que en los siguientes párrafos se presenta

unas referencias que para la metodología propuesta se tendran en cuenta en la evalución

de ciber vulnerabilidad.

Como se menciona en (Maglaras, y otros, 2018), los agentes de guerra cibernética,

ciberdelincuentes y ciberterroristas tienen un amplio arsenal de armas para usar en sus

búsquedas. Estos difieren considerablemente en términos del nivel de compromiso

requerido por el perpetrador, la sofisticación de la herramienta, los mecanismos de

protección y muchos otros factores. Sin embargo, lograr la ciberseguridad requiere que las

personas, las empresas y las agencias gubernamentales se aseguren de estar preparadas

y puedan defender sus propios datos y redes de cualquier forma.

Los métodos más comunes de ciber ataques se enumeran y se describen brevemente a

continuación (Maglaras, y otros, 2018):

• Sitio web malicioso: trabaja explotando la manera en que funcionan los

navegadores web de modo que el software perjudicial se descargue en la

computadora del usuario.

• Virus: programas que operan sin ser vistos ni detectados en una computadora u

otro hardware para influir en la manera en que funciona el sistema operativo del

dispositivo.

• Trojan Horse: Es un programa que, como un virus, existe para influir en la manera

en que funciona un componente de hardware o un programa de software, pero que

se disfraza para parecer un programa útil que el usuario afectado instala a sabiendas

en su sistema o dispositivo.



Colombia.

Página | 133

• Gusano (worm): un tipo de virus que puede replicarse en un sistema infectado sin

ninguna acción humana.

• Spyware: programas que se instalan en un sistema o dispositivo sin el conocimiento

del usuario con el fin de recopilar información y transmitirla al origen del ataque.

• Keystroke Logger (keylogger): programas o dispositivos físicos que registran cada

tecla presionada por el usuario en sucesión ordenada.

• Malware: un nombre genérico para cualquier programa que intente comprometer,

interrumpir o robar desde un dispositivo o sistema (también conocido como código

malicioso o software malicioso).

• Ataque de denegación de servicio (DOS) / denegación de servicio distribuido

(DDOS): impide el acceso o el uso de un sitio web o sistema de gestión de la

información.

• Bot: una computadora que ha sido tomada por un atacante de forma remota, casi

exclusivamente a través de su conexión a Internet, con fines nefastos (generalmente

para ataques DDOS).

• Hack: un ingreso exitoso a un sistema de información o computadora usando

medios nefastos.

• Phishing: un método utilizado por hackers informáticos para obtener la información

de identificación y contraseña de un objetivo involuntario que generalmente implica

el uso de ingeniería social.

• Spoofing: un método que se utiliza a menudo en los esquemas de phishing en el

que un hackers informático puede enmascarar su propia dirección de correo

electrónico para parecerse a una en la que confía su objetivo.

• Intoxicación DNS (o Spoofing DNS): una forma de hacking en la que el hacker

informático puede desviar el tráfico de un sitio web legítimo al suyo, lo que les da

acceso a todos los datos que los usuarios normalmente proporcionarían al

propietario legítimo del sitio web.

• Exploit: un error o una vulnerabilidad desconocida en el software o sistema que le

permite a un hacker ingresar.

• Clickjacking: un método de hacking en el que el hacker informático engaña a un

objetivo, para que haga clic en algo que parece legítimo pero que en realidad lo

dirige a otro sitio web o intenta instalar software malicioso en su computadora.



Colombia.

Página | 134

• Cookies: pequeños paquetes de información que un sitio web almacena en la

computadora de un usuario para rastrear, almacenar y luego devolver información

al sitio web con el fin de comprender la actividad anterior (tanto para sitios web

legítimos como para hacker informáticos).

• Inyección SQL: un método de hacking en el que el hacker informático introduce

código en una interfaz de base de datos u otro programa basado en datos, para

ordenar al programa que envíe toda o parte de la información que el sistema está

almacenando.

• Ingeniería social: métodos que usan medios psicológicos u otros medios no

técnicos para engañar a las víctimas, para que voluntariamente o involuntariamente

entreguen su información personal, incluida la información de inicio de sesión y las

contraseñas.

• Ransomware, ciber ransom y blackmail cibernético: herramientas y acciones en

las que un cibercriminal altera o corrompe los datos en un sistema objetivo y luego

instruye a un individuo a cargo del material específico para que proporcione un pago

de rescate a cambio de la reparación de los datos.

• Rootkit: es un conjunto de software que permite un acceso de privilegio continuo a

una computadora pero que mantiene su presencia activamente oculta al control de

los administradores al corromper el funcionamiento normal del sistema operativo o

de otras aplicaciones.

• USBdriveby: es un pequeño dispositivo basado en un microcontrolador que permite

infectar cualquier ordenador a través de un puerto USB fácilmente, simplemente con

conectar este dispositivo a él.

• Man-in-the-middle: en criptografía, un ataque de intermediario es un ataque en el

que se adquiere la capacidad de leer, insertar y modificar a voluntad.

Las bases de datos públicas, como la de Incidentes de Seguridad Industrial (ISID - Industrial

Security Incident Database) y los informes periódicos publicados por el Equipo de

Respuesta de Emergencia Cibernética del Sistema de Control Industrial (ICS-CERT - Cyber

Emergency Response Team), brindan amplia información sobre las amenazas. Según un

informe del 2012 del ICS-CERT, el número de incidentes en los sectores de infraestructura



Colombia.

Página | 135

crítica aumentó de 9 incidentes en 2009 a 198 en 2011, con un aumento principalmente en

el sector energético y relacionado con los sistemas de control (Alcaraz & Zeadally, 2015).

El equipo de evaluación de ICS-CERT identificaron 700 vulnerabilidades a través de sus 98

evaluaciones NAVV (Network Validation and Verification) y DAR (Design Architecture

Review). Las 30 principales categorías de debilidades, se enumeran en la Tabla 13 y

representan aproximadamente el 79 por ciento de todas las vulnerabilidades identificadas

por el ICS-CERT (NCCIC - National Cybersecurity and Communications Integration Center,

2016).

Tabla 13. Categorías de vulnerabilidades. Fuente: (NCCIC - National Cybersecurity and

Communications Integration Center, 2016).

Adicionalmente, los equipos de evaluación del ICS-CERT identificaron a principio del 2018

a través de su metodología de evaluación, las seis categorías que representaron

aproximadamente el 35 por ciento de las vulnerabilidades totales descubiertas en todos los

ID NIST 800-53 Categorías de debilidad Instancias Porcentaje

1 Protección de límites 94 13,4%

2 Mínima funcionalidad 42 6,0%

3 Identificación y Autenticación (Usuarios Organizacionales) 36 5,1%

4 Control de acceso físico 28 4,0%

5 Revisión de auditoría, análisis e informes 26 3,7%

6 Gestión del autenticador 24 3,4%

7 Bajos privilegios 20 2,9%

8 Asignación de recursos 19 2,7%

9 Gestión de cuentas 17 2,4%

10 Acceso remoto 16 2,3%

11 Entrenamiento en conciencia de seguridad 16 2,3%

12 Plan de seguridad del sistema 15 2,1%

13 Remediación de defectos 15 2,1%

14 Monitoreo del sistema de información 15 2,1%

15 Análisis de impacto de seguridad 14 2,0%

16 Confidencialidad e integridad de la transmisión 13 1,9%

17 Configuración de línea de base 12 1,7%

18 Plan de Contingencia 12 1,7%

19 Copia de seguridad del sistema de información 12 1,7%

20 Principios de ingeniería de seguridad 12 1,7%

21 Inventario de componentes del sistema de información 11 1,6%

22 Uso de dispositivos media 11 1,6%

23 Entrenamiento de seguridad basado en roles 10 1,4%

24 Control de cambio de configuración 10 1,4%

25 Interconexiones del sistema 9 1,3%

26 Configuración de ajustes 9 1,3%

27 Contenido públicamente accesible 8 1,1%

28 Eventos auditados 8 1,1%

29 Plan de respuesta a incidentes 8 1,1%

30 Protección de la información en reposo 8 1,1%



Colombia.

Página | 136

sectores de infraestructuras críticas evaluadas, las cuales se presentan en la Tabla 14

(NCCIC - National Cybersecurity and Communications Integration Center, 2018).

Tabla 14. Principales categorías de vulnerabilidades al 2018. Fuente: (NCCIC - National

Cybersecurity and Communications Integration Center, 2018)

De este modo, en el presente trabajo se realizó una propia lista de vulnerabilidades que a

criterio del autor y con base a lo estudiado, se pueden materializar en el sistema de

transmisión de energía eléctrica. Después de un análisis detallado se construyó la Tabla

15, que representa los resultados obtenidos luego de estudiar y combinar las

investigaciones desarrolladas en (Hopkin, 2017), (Schlegel, Obermeier, & Schneider, 2016),

(Santander, 2017), (Maglaras, y otros, 2018), (Cano, 2017) y presentadas en el acápite 4.

En este sentido, en la metodología propuesta se define realizar la verificación de cómo el

sistema se encuentra preparado para cada una de las 37 amenazas definidas y valoradas.

Es de resaltar, que la Tabla 15 debe ser revisada y actualizada por lo menos cada año o

cada vez que se encuentre o identifique una nueva amenaza, tal y como lo recomienda la

ID NIST 800-53 Categorías de debilidad

1 Protección de límites

2 Identificación y Autenticación (Usuarios Organizacionales)

3 Asignación de recursos

4 Control de acceso físico

5 Gestión de cuentas

6 Mínima funcionalidad

El acceso físico no autorizado a equipos de campo y ubicaciones

brinda una mayor oportunidad para:

* Modifique, elimine o copie maliciosamente programas y firmware

del dispositivo.

* Acceda a la red de los ICS.

* Robar o destrozar activos cibernéticos.

* Agregue dispositivos falsos para capturar y retransmitir el tráfico

de red.

* Comunicaciones de contraseña no segura comprometidas.

* El compromiso de la contraseña podría permitir el acceso de

confianza no autorizado a los sistemas.

* Aumento de vectores para el acceso malicioso a los sistemas

críticos.

* Establecimiento de acceso interno inescrupuloso.

* Actividad no autorizada y no detectada en sistemas críticos.

* Límites más débiles entre ICS (Industrial control systems) y redes

empresariales.

Riesgo

* Falta de responsabilidad y rastreabilidad para las acciones del

usuario, si una cuenta se ve comprometida.

* Mayor dificultad para proteger las cuentas a medida que el

personal abandona la organización, especialmente para usuarios con

acceso de administrador.

* Sin respaldo o personal alternativo para cubrir la posición si la

primaria no puede funcionar.

* Pérdida de conocimiento crítico de los sistemas de control.



Colombia.

Página | 137

(NERC, 2018) y revisando los reportes del (NCCIC - National Cybersecurity and

Communications Integration Center, 2018)

Tabla 15. Lista de vulnerabilidades metodología y su respectiva clasificación. Fuente: Elaboración propia

Amenaza Propiedad Afectada Vulnerabilidad Categoria de riesgo Tipo de Riesgo Impacto Probabilidad

Sitio web malicioso Confidencialidad Protección de límites Riesgos de control Riesgos conocidos Moderado Probable

Virus Confidencialidad Protección de límites Riesgos de peligro Riesgos conocidos Menor Probable

Trojan Horse Integridad Mínima funcionalidad Riesgos de peligro Riesgos conocidos Menor Probable

Gusano (worm) Confidencialidad Mínima funcionalidad Riesgos de peligro Riesgos conocidos Moderado Probable

Spyware Confidencialidad Monitoreo del sistema de información Riesgos de peligro Riesgos emergentes Moderado Probable

Keystroke Logger Confidencialidad Gestión de cuentas Riesgos de control Riesgos conocidos Mayor Probable

Malware Integridad Mínima funcionalidad Riesgos de peligro Riesgos emergentes Mayor Casi seguro

DOS/DDOS Disponibilidad Identificación y Autenticación Riesgos de control Riesgos conocidos Severo Casi seguro

Bot Integridad Acceso remoto Riesgos de control Riesgos conocidos Severo Casi seguro

Hack No-repudio Protección de límites Riesgos de control Riesgos latentes Mayor Probable

Phishing Confidencialidad Identificación y Autenticación Riesgos de control Riesgos focalizados Mayor Probable

Spoofing No-repudio Entrenamiento en conciencia de seguridad Riesgos de control Riesgos emergentes Moderado Probable

Spoofing DNS Confidencialidad Confidencialidad e integridad de la transmisión Riesgos de control Riesgos conocidos Moderado Probable

Exploit Integridad Remediación de defectos Riesgos de control Riesgos emergentes Severo Probable

Clickjacking No-repudio Entrenamiento en conciencia de seguridad Riesgos de control Riesgos conocidos Moderado Casi seguro

Inyección SQL Confidencialidad Monitoreo del sistema de información Riesgos de peligro Riesgos latentes Mayor Probable

Ingeniería social No-repudio Entrenamiento en conciencia de seguridad Riesgos de oportunidad Riesgos focalizados Menor Casi seguro

Ransomware Integridad Protección de la información en reposo Riesgos de peligro Riesgos latentes Mayor Improbable

Ciberterorismo Integridad Control de acceso físico Riesgos de control Riesgos latentes Severo Posible

Ciberespionaje Confidencialidad Confidencialidad e integridad de la transmisión Riesgos de control Riesgos latentes Mayor Improbable

Vulnerabilidades en TO Disponibilidad Mínima funcionalidad Riesgos de oportunidad Riesgos focalizados Severo Probable

Rootkits en PLC Integridad Mínima funcionalidad Riesgos de control Riesgos focalizados Severo Posible

USB Driveby Integridad Uso de dispositivos media Riesgos de peligro Riesgos conocidos Moderado Posible

Man in the middle Integridad Protección de límites Riesgos de peligro Riesgos emergentes Mayor Posible

Suplantación de señales de control Integridad Mínima funcionalidad Riesgos de peligro Riesgos focalizados Severo Posible

Configuraciones inadecuadas Disponibilidad Asignación de recursos Riesgos de control Riesgos conocidos Mayor Probable

Controles de acceso débiles Confidencialidad Bajos privilegios Riesgos de control Riesgos conocidos Mayor Probable

Obsolecencia tecnológica Disponibilidad Análisis de impacto de seguridad Riesgos de peligro Riesgos focalizados Moderado Posible

Convergencia TI TO Disponibilidad Asignación de recursos Riesgos de peligro Riesgos emergentes Mayor Probable

Sistemas no actualizados Integridad Configuración de ajustes Riesgos de control Riesgos focalizados Moderado Probable

Puertos lógicos no controlados Confidencialidad Configuración de ajustes Riesgos de control Riesgos conocidos Moderado Probable

Bajo conocimiento especializado Integridad Asignación de recursos Riesgos de control Riesgos conocidos Menor Probable

Falta de conciencia situacional Disponibilidad Entrenamiento en conciencia de seguridad Riesgos de peligro Riesgos conocidos Moderado Probable

Ataques a sistemas de protecciones Integridad Protección de límites Riesgos de control Riesgos focalizados Severo Posible

Ataques a dispositivos de safety Integridad Protección de límites Riesgos de control Riesgos focalizados Mayor Posible

Ataques a sistemas control y RTUs Integridad Protección de límites Riesgos de control Riesgos focalizados Severo Posible

Ataques a sistemas de comunicaciones Integridad Protección de límites Riesgos de control Riesgos latentes Mayor Probable

Dentro de este marco, uno de los aspectos más influyentes en la vulnerabilidad del sistema

con base a las investigaciones consultadas y que por su importancia se propone realizar un

análisis un poco más detallado, es el control de acceso a cada uno de los dispositivos que

integran el sistema. Los controles de acceso consisten en la configuración de claves de

ingreso a todos los dispositvos que en nuestro caso son los activos secundarios y activos

terciarios, para que sólo usuarios autorizados puedan realizar monitoreo, mantenimientos,

operaciones y modificaciones al sistema.

De acuerdo a los mecanismos definidos en esta sección, en la Figura 44 se presenta el

proceso de evaluación propuesto para las redes de comunicación y aplicaciones que en los

sistemas de control, protección, medida y monitoreo de las redes de transmisión se

implementan.

Como punto final, dentro de los análisis realizados se encontro un factor importante que

deben tener las compañias de electricidad, y es el concepto de resilencia, que denota un

atributo del sistema caracterizado por la habilidad de recuperarse luego de un evento

disruptivo o falla del sistema, tambien definido como el restablecimiento del rendimiento

normal del sistema (Zio, 2016). A pesar de los diversos mecanismos de mitigación, nuestro

sistema nunca estará 100% seguro, es por esta razón que las empresas del sector deben

tener documentado y socializado con sus empleados el plan de contingencias y de

restablecimiento, en caso de que su sistema sea afectado por cualquier tipo de ataque o

falla del propio sistema.



Colombia.

Página | 140

Figura 44. Proceso de evaluación propuesto para las redes de comunicación y aplicaciones. Fuente: Elaboración propia.

Identificación de las conexiones, protocolos yaplicaciones que se utilizan en el sistema.

Verificación de funcionamiento de losprotocolos de comunicación y aplicaciones .

¿Funciona de acuerdo a la línea

base?

Identificar las vulnerabilidades,errores de configuración,desviaciones de acuerdo a la líneabase.

Verificación de la información que se transmitea través de los protocolos de comunicación delas tecnologías de operación.

¿La información es cifrada?

Generar reporte

Identificar las comunicaciones nocifradas.

validar las zonas de seguridad configuradas consus respectivas políticas de seguridad y reglas.

¿Garantiza un funcionamiento

seguro?Identificar las vulnerabilidades.

Evaluar el comportamiento de la red y de lasaplicaciones bajo los escenarios de la lista deamenazas definidas y vigentes.

¿Cumple con los requerimientos?

Evaluar los sistemas de monitoreo en línea delsistema NOC (Network Operation Center).

¿El sistema esta preparado para las

amenazas ?

Identificar las desviaciones delNOC y posibles vulnerabilidades

Inicio

Fin

No

No

No

No

Si

Si

Si

Si

No

Si

Identificar las vulnerabilidades.

Generar reporte

Generar reporte

Generar reporte

Generar reporte



Colombia.

Página | 141

5.3 Propuesta metodológica de evaluación

Para la realización de la propuesta consolidada de evaluación de vulnerabilidad del sistema

de transmisión de energía eléctrica en el ámbito de ciberseguridad, debemos iniciar con su

definición, que de acuerdo al SRA (Society for Risk Analysis), la vulnerabilidad se refiere al

riesgo y al grado en el que el sistema puede ser afectado por una fuente de riesgo o agente.

El concepto de vulnerabilidad visto como propiedad de un sistema global vincula tres

conceptos (Zio, 2016):

1. Grado de pérdida y daño debido al impacto de un riesgo.

2. Grado de exposición al riesgo (Probabilidad y suceptibilidad).

3. Grado de resilencia.

De acuerdo a lo anterior, en este trabajo se utiliza el término de vulnerabilidad como la

propiedad que representa una falla o debilidad en el diseño, implementación, operación y

mantenimiento de la infraestructura de transmisión de energía eléctrica.

En este sentido la vulnerabilidad del sistema de potencia eléctrica se propone ser

especificada en términos de cambio de las características de la red eléctrica, luego de un

ataque sobre un activo (definidos en la sección 5.1), en términos de pérdidas asociadas,

demanda no atendida, tiempo de restablecimiento, fallas del sistema y la severidad

asociada. Para esto, la metodología de análisis propuesta cubre los siguientes aspectos:

➢ La identificación de estructura fisica y lógica que se aborda en las secciones 5.1 y

5.2.

➢ La identificación de peligros y amenazas, definidos en la sección 5.2 Tabla 15.

➢ La identificación delos posibles eventos y secuencia de eventos que pueden causar

daños y pérdidas.

Como resultado de las revisiones mencionadas, el objeto del diagnóstico es la

cuantificación de indicadores que permitan dar al agente una valoración de vulnerabilidad

del sistema y a su vez, seguimiento de cómo se abordan los planes de acción y como



Colombia.

Página | 142

evolucionan las amenazas a través del tiempo. Dentro de este orden de ideas, el primer

indicador que se propone en la metodología es el de vulnerabilidad operativa, que se define

como la manera de cuantificar el impacto y los posibles eventos que causa a nivel funcional

del sistema de transmisión de energía eléctrica, la afectación de la subestación valorada.

En la Figura 45, se presenta el método para el cálculo del indicador de vulnerabilidad

operativa, el cual fue construido a partir de diferentes aportes que se describieron en el

acápite 3.

Como se menciona en (Correa & Yusta, 2014), el análisis de contingencias que conducen

a fallas en cascada en redes eléctricas implica el uso de parámetros que miden la evolución

en la conectividad y la funcionalidad de la red. Esto se realiza mediante iteraciones

sucesivas que representan la eliminación de nodos de la red. Cada eliminación de nodo

está asociada a una contingencia y se considera como un paso de iteración en el

comportmiento de la red. La eliminación de una subestación también implica la eliminación

de todas las líneas conectadas a ellas, y por lo tanto, cambios en el flujo de potencia

correspondientes.

Estos aspectos son difíciles de analizar, ya que, debido a la complejidad de la misma IC,

los comportamientos emergentes pueden surgir a partir de la respuesta colectiva de los

diferentes componentes elementales, en formas difíciles de predecir y manejar. Como

resultado, existen grandes incertidumbres en la caracterización de los escenarios de falla

(Zio, 2016), por lo que en la presente propuesta se parte de condiciones de flujo de potencia

reales con el fin de representar ataques lo mas cercanos a las realidad a partir de un caso

base de despacho y demanda de energía.



Colombia.

Página | 143

Figura 45. Método para el cálculo del indicador de vulnerabilidad operativa. Fuente: Elaboración propia.

Calcular indicador de vulnerabilidad

operativa

Se escoge el escenario de despacho ydemanda real, que produce el mayorflujo de energía por la subestación.

Simular la contingencia de lasubestación.

Simular el escenario con lasalida de las barras afectadas.

¿Hay líneas o equipos

sobrecargados?

No

Si

¿Hay Desviación de voltaje > a ±

10%?

Simular el escenario con lasalida de líneas y equipossobrecargados.

¿La Frecuencia se sale del rango 59.8 - 60.2 Hz?

NoSimular el escenario con lasalida de los generadores yequipos afectados.

Si

Si

No

¿Se genera Demanda No

Atendida?

Inicio

Fin

Calcular la Demanda No Atendida normalizada en el

escenario de simulación.

Calcular valor pérdida de conectividad (Ecu. 2)

Calcular ponderación de la subestación (Tabla 7).

Si

No



Colombia.

Página | 144

Uno de los objetivos del análisis de vulnerabilidad es evaluar las condiciones del sistema y

rastrear la evolución de sus cambios que desencadenan fallas en cascada (Correa & Yusta,

2014).Es por lo anterior que dentro de este método elaborado y propuesto en el presente

trabajo se cuenta con tres aspectos que se definen a continuación:

Demanda No Atendida (DNA): Se cálcula a partir del criterio de la potencia no

suministrada asociado al escenario de simulación tal como lo se propone en (UPME,

2018), pero teniendo en cuenta los tiempos de restablecimiento que pueden darse

en un ataque de tipo cibernético, si el evento es de magnitud nacional se asumen

siete (7) horas. Si la demanda no atendida sólo compromete un área operativa por

ejemplo maximo dos subestaciones o líneas de transmisión, se consideran dos (2)

horas. De este modo, la DNA se calcula como,

𝐷𝑁𝐴[𝑀𝑊ℎ] = 𝑃𝑁𝑆[𝑀𝑊] ∗ 𝑇𝑅 [13]

Donde,

𝑃𝑁𝑆[𝑀𝑊] = 𝑝𝑜𝑡𝑒𝑛𝑐𝑖𝑎 𝑛𝑜 𝑠𝑢𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑑𝑎 𝑎𝑠𝑜𝑐𝑖𝑎𝑑𝑜 𝑎𝑙 𝑒𝑠𝑐𝑒𝑛𝑎𝑟𝑖𝑜 𝑑𝑒 𝑠𝑖𝑚𝑢𝑙𝑎𝑐𝑖ó𝑛

𝑇𝑅 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑒𝑠𝑡𝑖𝑚𝑎𝑑𝑜 𝑑𝑒 𝑟𝑒𝑠𝑡𝑎𝑏𝑙𝑒𝑐𝑖𝑚𝑖𝑒𝑛𝑡

Demanda No Atendida Normalizada (DNAn): Es la manera de representar el

impacto que tendria una subestación o línea de transmisión ante su salida, en la que

por ejemplo la DNA sea baja sin tener un fuerte impacto sobre el STN.

𝐷𝑁𝐴 ≤ 1000𝑀𝑊ℎ = 0,1 + (0,6 ∗𝐷𝑁𝐴 [𝑀𝑊ℎ]

1000 [𝑀𝑊ℎ]) [14]

𝐷𝑁𝐴 > 1000𝑀𝑊ℎ = 0,7 + (0,3 ∗𝐷𝑁𝐴 [𝑀𝑊ℎ]

5000 [𝑀𝑊ℎ]) [15]

Pérdida de Conectividad (PC): Es por medio del cual se visualiza el nivel de

impacto de fallas en cascada producto del ataque que ocasiona exceder las

capacidades de carga de una subestación o línea de transmisión. Para su cálculo



Colombia.

Página | 145

se utiliza la propuesta realizada en (Zhu, Yan, Tang, Sun, & He, 2015) y que se

muestra en la ecuación [2].

Ponderación de Subestación (PS): Se adapta del estándar NERC CIP como se

describió en el acápite 4 para ponderar el impacto del sistema, y consiste en calcular

un valor agregado total a partir de los pesos definidos en la Tabla 7. A diferencia de

lo propuesto en (NERC, 2018), en este caso se realizó una normalización para

representar el efecto que tiene afectar la instalación valorada. Por consiguiente, su

cálculo se realiza de la siguiente manera,

𝑃𝑆𝑛 → 𝑃𝑆 ≤ 3000 (𝐷𝑒 𝑇𝑎𝑏𝑙𝑎 7) = 0,1 + (0,6 ∗𝑃𝑆

3000) [16]

𝑃𝑆𝑛 → 𝑃𝑆 > 3000 (𝐷𝑒 𝑇𝑎𝑏𝑙𝑎 7) = 0,7 + (0,3 ∗𝑃𝑆

10000) [17]

Luego de los cálculos descritos se define la manera de obtener el indicador de

vulnerabilidad operativa (IVO), que a partir de la experiencia y criterio del autor se asigno

unos pesos para cada uno de los aspectos dados anteriormente, los cuales son el producto

de conocer la topología eléctrica del sistema y realizar las simulaciones con las posibles

afectaciones enérgeticas. Dentro de este marco, el indicador de vulnerabilidad operativa se

especifica como,

𝐼𝑉𝑂 = 0,4 ∗ 𝐷𝑁𝐴𝑛 + 0,4 ∗ 𝑃𝐶 + 0,2 ∗ 𝑃𝑆𝑛 [18]

El valor de la ponderación se obtuvo a partir de la experiencia de algunos especialistas

consultados y con el conocimiento adquirido por el autor durante su trayectoria laboral.

Por otro lado, en la actualidad se crea un nuevo paradigma para la ingeniería de seguridad,

la cual proactivemente integra la prevención a partir de tareas de anticipación (imaginar que

se espera), monitoreo ( saber que buscar), tareas de respuesta (saber que hacer y poder

hacerlo), tareas de mitigación de absorción ( amortiguar el impacto negativo del efecto

adverso), tareas de adaptación (hacer un ajuste intencional para atravesar una interrupción)

y recuperación (retornar al estado normal luego de una interrupción) (Zio, 2016).



Colombia.

Página | 146

Como ayuda para estos propositos, el estándar IEC 62443 establece una guía de como

implementar medidas de protección contra incidentes de ciberseguridad fundamentada en

los niveles de seguridad que define y que se presentaron en el acápite 4 del presente

documento. De acuerdo a esto, en la metodología propuesta se utilizan estas medidas pero

como método de evaluación de las vulnerabilidades identificadas en la sección 5.2 y

mostradas en la Tabla 15, a partir del estado de los siete requisitos técnicos en cuanto a

vulnerabilidades ciberneticas definidos en (Castillo, 2018). Por consiguiente, las siguientes

Tablas se desarrollaron con el objeto de evaluar los controles propuestos que permiten

indirectamente valorar si el sistema se encuentra preparado y cubierto ante las amenazas

previamente identificadas.

Las tablas se diseñaron para realizar la valoración del nivel de impacto con respecto al

siguiente esquema:

+: Implementado, ±: Parcial, -:No existe.

Tabla 16. Método para evaluar los controles de identificación y autenticación. Fuente: Elaboración

propia.

+: Implementado ±: Parcial -:No existe

Se tiene identificación y autenticación única para

todos los usuarios.

Se tiene múltiple factor de autenticación para todas

las redes.

Se realiza gestión de cuentas unificada.

Se cuenta con Hardware de seguridad para identificar

credenciales mediante procesos de software.

Se cuenta con identificación y autenticación única

para los accesos inalámbricos.

Se tiene metodología definida para la generación de

contraseñas.

Se realiza restricciones en tiempo de vida para las

contraseñas de usuarios.

Se realiza bloqueos por Intentos de login fallidos.

DescripciónImpacto

CONTROLES DE IDENTIFICACIÓN Y AUTENTICACIÓN (IAC)



Colombia.

Página | 147

Tabla 17. Método para evaluar tiempos de respuesta a eventos. Fuente: Elaboración propia.

Tabla 18. Método para evaluar los controles de uso. Fuente: Elaboración propia.


Se puede tener accesibilidad a logs de todos los

equipos y software.

Se tiene sistema de monitoreo continuo.

Se tiene plan de entrenamiento continuo para el

personal, en conciencia de seguridad .

TIEMPO DE RESPUESTA A EVENTOS (TRE)

DescripciónImpacto


Se tiene aplicación de autorización para todos los

usuarios.

Se realiza mapeo de permisos por roles.

Se cuenta con sincronización interna de tiempo para

todos los equipos.

Se cuenta con sistemas de gestión centralizada.

Se puede identificar y reportar dispositivos no

autorizados.

Se usa certificados de seguridad para los accesos

remotos a dispositivos.

Se puede identificar y reportar personal no

autorizado en las instalaciones físicas.

CONTROL DE USO (UC)

DescripciónImpacto



Colombia.

Página | 148

Tabla 19. Método para evaluar la integridad del sistema. Fuente: Elaboración propia.

Tabla 20. Método para evaluar la confidencialidad de los datos. Fuente: Elaboración propia.


Se usa criptografía para proteger la integridad de los

datos.

Se usa protección contra código malicioso en los

puntos de entrada y salida.

Se cuenta con sistema de gestión centralizada para

protección contra código malicioso.

Se cuenta con mecanismos para verificar

funcionalidades de seguridad.

Se tiene sistema de notificaciones automáticas sobre

violaciones de integridad.

INTEGRIDAD DEL SISTEMA (SI)

DescripciónImpacto


Se tiene protección de la confidencialidad de la

información alojada o en tránsito por redes.

Se tiene protección de la confidencialidad a través de

los límites de las zonas.


datos.

Se realiza purga de recursos de memoria compartida.

CONFIDENCIALIDAD DE LOS DATOS (DC)

DescripciónImpacto



Colombia.

Página | 149

Tabla 21. Método para evaluar el flujo de datos restringido. Fuente: Elaboración propia.

Tabla 22. Método para evaluar la disponibilidad de recurso. Fuente: Elaboración propia.


Se tiene segmentación física de redes.

Se tiene aislamiento lógico y físico de redes criticas.

Se realiza denegar por defecto, permitir por

excepción.

Se cuenta con sistema de gestión centralizada para el

monitoreo de flujos de datos.

Se encuentran habilitados los puertos lógicos

utilizados por el sistema y restringidos los demas.

Se cuenta definidos los anchos de banda de acuerdo

a los servicios que se utilizan.

FLUJO DE DATOS RESTRINGIDO (RDF)

DescripciónImpacto


Se realiza gestión de la carga en las comunicaciones.

Se tiene política de verificación de backup.

Se tiene sistema de automatización de backup.

Se cuenta con sistemas de respaldo de energía.

Se cuenta con reportes de ajustes de seguridad

actuales legibles.

Se cuenta con inventario de componentes del

sistemas de control.

Se realizan pruebas de verificación de configuración

del sistema periodicamente.

Se cuenta con gestor de actualizaciones e inventario

de versiones.

Se cuenta con los especialistas para el manejo y

operación de los sistemas de control y protección.

DISPONIBILIDAD DE RECURSOS (RA)

DescripciónImpacto



Colombia.

Página | 150

En relación con las tablas de evaluación definidas, estas responderán a como el sistema se

encuentra frente a las amenazas identificadas y especialmente a las que tendrían un efecto

de mayor impacto en nuestros activos primarios y finalmente en la infraestructura de de

transmisión de energía. La manera en que se corresponde las tablas de evaluación con

cada una de las amanezas del sistema se presentan en la Tabla 23.

Para cuantificar la evaluación a nivel de sistema, se creo un indicador que se denomina

indicador de vulnerabilidad de sistema (IVS), el cual se determina de la siguiente manera,

𝐼𝐴𝐶 =(#+)∗2+(#±)

16 [19]

𝑇𝑅𝐸 =(#+)∗2+(#±)

6 [20]

𝑈𝐶 =(#+)∗2+(#±)

14 [21]

𝑆𝐼 =(#+)∗2+(#±)

10 [22]

𝐷𝐶 =(#+)∗2+(#±)

8 [23]

𝑅𝐷𝐹 =(#+)∗2+(#±)

12 [24]

𝑅𝐴 =(#+)∗2+(#±)

18 [25]

Donde con estos valores normalizados resultado de la evaluación propuesta en las Tablas

16, 17, 18, 19, 20, 21 y 22, se determina el IVS como se presenta en la ecuación 26.

𝐼𝑉𝑆 = 1 − (1

7∗ 𝐼𝐴𝐶 +

1

7∗ 𝑇𝑅𝐸 +

1

7∗ 𝑈𝐶 +

1

7∗ 𝑆𝐼 +

1

7∗ 𝐷𝐶 +

1

7∗ 𝑅𝐷𝐹 +

1

7∗ 𝑅𝐴) [26]



Colombia.

Página | 151


El objetivo final de la metodología propuesta en este trabajo, es permitirle a los agentes del

sector de transmisión de energía crear una visión global de las vulnerabilidades del sistema

valorado, donde debe operar con prevención, y ejecutar planes de acción para el cierre de

brechas identificadas en cada uno de los ciberactivos propios de su sistema.

Dentro de esta propuesta los dos indicadores definidos se evaluan en una escala que

permite identificar el nivel actual de vulnerabilidad al que se encuentra expuesto y a su vez

el nivel de impacto en el sistema de transmisión de energía que puede tener un ataque

efectivo sobre su infraestructura. Se determinaron los siguientes rangos de valoración para

los indicadores:

Rango Bajo: >=0,3 Rango Medio 0,3> & <=0,7 Rango Alto >0,7

Amenaza Vulnerabilidad Impacto Probabilidad Método Evaluación

Sitio web malicioso Protección de límites Moderado Probable Tabla 18, Tabla 19

Virus Protección de límites Menor Probable Tabla 18, Tabla 19

Trojan Horse Mínima funcionalidad Menor Probable Tabla 18, Tabla 19

Gusano (worm) Mínima funcionalidad Moderado Probable Tabla 18, Tabla 19

Spyware Monitoreo del sistema de información Moderado Probable Tabla 16, Tabla 19, Tabla 20

Keystroke Logger Gestión de cuentas Mayor Probable Tabla 15, Tabla 17

Malware Mínima funcionalidad Mayor Casi seguro Tabla 18, Tabla 19

DOS/DDOS Identificación y Autenticación Severo Casi seguro Tabla 15, Tabla 16, Tabla 17

Bot Acceso remoto Severo Casi seguro Tabla 17, Tabla 18, Tabla 19

Hack Protección de límites Mayor Probable Tabla 15, Tabla 17, Tabla 20

Phishing Identificación y Autenticación Mayor Probable Tabla 15, Tabla 17, Tabla 20

Spoofing Entrenamiento en conciencia de seguridad Moderado Probable Tabla 15, Tabla 16, Tabla 20

Spoofing DNS Confidencialidad e integridad de la transmisión Moderado Probable Tabla 15, Tabla 17, Tabla 20

Exploit Remediación de defectos Severo Probable Tabla 17, Tabla 18, Tabla 19

Clickjacking Entrenamiento en conciencia de seguridad Moderado Casi seguro Tabla 16, Tabla 19, Tabla 21

Inyección SQL Monitoreo del sistema de información Mayor Probable Tabla 16, Tabla 19, Tabla 21

Ingeniería social Entrenamiento en conciencia de seguridad Menor Casi seguro Tabla 16, Tabla 17, Tabla 21

Ransomware Protección de la información en reposo Mayor Improbable Tabla 16, Tabla 17, Tabla 20

Ciberterorismo Control de acceso físico Severo Posible Tabla 17, Tabla 21

Ciberespionaje Confidencialidad e integridad de la transmisión Mayor Improbable Tabla 15, Tabla 16, Tabla 17

Vulnerabilidades en TO Mínima funcionalidad Severo Probable Tabla 20, Tabla 21

Rootkits en PLC Mínima funcionalidad Severo Posible Tabla 20, Tabla 21

USB Driveby Uso de dispositivos media Moderado Posible Tabla 15, Tabla 17, Tabla 20

Man in the middle Protección de límites Mayor Posible Tabla 16, Tabla 18, Tabla 20

Suplantación de señales de control Mínima funcionalidad Severo Posible Tabla 20, Tabla 21

Configuraciones inadecuadas Asignación de recursos Mayor Probable Tabla 20, Tabla 21

Controles de acceso débiles Bajos privilegios Mayor Probable Tabla 15, Tabla 17

Obsolecencia tecnológica Análisis de impacto de seguridad Moderado Posible Tabla 21

Convergencia TI TO Asignación de recursos Mayor Probable Tabla 21

Sistemas no actualizados Configuración de ajustes Moderado Probable Tabla 16, Tabla 21

Puertos lógicos no controlados Configuración de ajustes Moderado Probable Tabla 20

Bajo conocimiento especializado Asignación de recursos Menor Probable Tabla 21

Falta de conciencia situacional Entrenamiento en conciencia de seguridad Moderado Probable Tabla 16, Tabla 21

Ataques a sistemas de protecciones Protección de límites Severo Posible Tabla 17, Tabla 18, Tabla 21

Ataques a dispositivos de safety Protección de límites Mayor Posible Tabla 16, Tabla 17, Tabla 18

Ataques a sistemas control y RTUs Protección de límites Severo Posible Tabla 17, Tabla 18, Tabla 21

Ataques a sistemas de comunicaciones Protección de límites Mayor Probable Tabla 16, Tabla 17, Tabla 18



Colombia.

Página | 152

Finalmente los indicadores deben ser dados en porcentaje dado que representan

probabilidades y se interpretan como el grado de vulnerabilidad del sistema luego del

diagnóstico realizado a partir de la metodología EVULCIB.

A pártir de lo desarrollado en el capítulo 5, la metodología consolidada se resume en la

Figura 46, la cual representa la propuesta realizada para la evaluación de ciber

vulnerabilidad en sistemas de transmisión de energía eléctrica.

Figura 46. Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica (EVULCIB). Fuente: Elaboración propia.

Identificación del sistema eléctrico,niveles de tensión, número de bahías,área de influencia.

Inicio

Fin

Caracterización del sistema de estudio,identificación de activos primarios,secundarios y terciarios,interconexiones, protocolos.

Aplicar metodología de evaluaciónpropuesta para las redes decomunicación y aplicaciones Figura 34,para la lista de vulnerabilidadesactualizada.

Calculo del indicador de vulnerabilidadoperativa IVO de acuerdo a lametodología propuesta.

Calculo del indicador de vulnerabilidadde sistema IVS de acuerdo a lametodología propuesta.

Evaluación de ciber vulnerabilidadconsolidada.

Análisis de resultados yrecomendaciones.



Colombia.

Página | 153

6. Estudio de Caso Aplicado con la Metodología EVULCIB

Como parte del alcance del proyecto en este capítulo se presenta la validación de la

metodología desarrollada, para lo cual se propuso un estudio de caso en el que se realizó

la evaluación de ciber vulnerabilidad, a una subestación del sistema de transmisión nacional

colombiano en el ámbito de ciberseguridad y específicamente en una de las subestaciones

de la ciudad de Bogotá Colombia, que hace parte del circuito anillado de 230kV del área

oriental del país.

Para el caso de la aplicación de la metodología propuesta, se utilizó la metodología

presentada en la Figura 47.

Figura 47. Etapa de verificación de la metodología de evaluación.


Con base a esta estructura definida, a continuación se presenta el detalle de cada una de

las etapas presentadas y la manera que el autor propone realizar la evaluación de ciber

vulnerabilidad para sistemas de transmisión de energía eléctrica.



Colombia.

Página | 154

6.1 Selección del sistema de estudio

El sistema seleccionado es una subestación eléctrica y sus líneas asociadas ubicada en la

ciudad de Bogotá, que cuenta con los niveles de tensión 230/115/11.4 kV y con una

disposición física de dos barrajes en el lado de 230 kV en configuración doble barra, hay

tres bancos de transformadores de 56 MVA, 230 /115 kV, y uno de 56 MVA 230/11.4 kV,

en el lado de 115 kV hay un trasformador de 60 MVA 115/11.4 kV y dos bancos de

condensadores de 75 MVA conectados a la barra principal de 115 kV, la cual tambien es

en configuración doble barra. La subestación esta interconectado a 230 kV con tres

subestaciones: Subestación A, Subestación B, Subestación C esta última en doble circuito,

y hace parte del anillo de la zona oriental del país, contribuyendo con el abastecimiento de

energía eléctrica de Bogotá y parte de los departamentos de Cundinamarca y el Meta.

Adicionalmente, el caso de estudio seleccionado cuenta con un sistema en la barra de

230kV que realiza el control de potencia reactiva, aumento de la capacidad de sobrecarga

del sistema y el control del amortiguamiento de las oscilaciones de potencia, con impacto

en la zona oriental del sistema de transmisión de energía eléctrica del país, específicamente

dando confiabilidad del suministro energético de la ciudad de Bogotá.

Figura 48. Sistema seleccionado para el estudio de caso. Fuente: Elaboración propia.



Colombia.

Página | 155

6.2 Caracterización del sistema de estudio

En primer lugar se debe definir los activos primarios de la subestación seleccionada para la

evaluación, que de acuerdo a la metodología desarrollada se define a partir de unidades

constructivas y en el caso particular de análisis, se identifican para el sistema de transmisión

de energía 12 activos primarios, tal como se presenta en la Figura 49.

Figura 49. Identificación de activos primarios estudio de caso. Fuente: Elaboración propia.

Ahora bien, como se menciono en la sección 5.2 la manera en que se pueden afectar estos

activos primarios, es a través de los activos secundarios y terciarios los cuales pueden ser

victimas de ataques cibernéticos. Es por esto, que la metodología propuesta recomienda

tener claridad de todas las conexiones y dispositivos que hacen parte del sistema de control,

medida, protecciones y comunicaciones del sistema evaluado. De este modo, se realizo un

levantamiento a partir de la ingeniería de detalle existenten y se represento de manera

esquemática los activos secundarios y terciarios, así como las conexiones que existen entre

ellos tal como se representa en la Figura 50.



Colombia.

Página | 156



Colombia.

Página | 157



Colombia.

Página | 158

Figura 50. Arquitectura de red e identificación de activos secundarios y terciarios estudio de caso. Fuente: Elaboración propia.

En total se identificaron 87 activos secundarios y terciarios en el sistema seleccionado,

dentro de esta se encontraron conexiones ethernet y seriales, con interfaces ópticas,

eléctricas (SFTP) y coaxiales. Este análisis, tambien contribuyo a definir inicialmente las



Colombia.

Página | 159

aplicaciones y protocolos de red requeridos para la operación del sistema, observando que

dentro de él funcionan los protocolos de comunicación IEC 61850, IEC 60870-5-104, IEC

60870-5-101, IRIG-B, HSR, PRP, SNMP. Lo que contribuye a obtener el primer punto de la

metodología propuesta para la evaluación de las redes de comunicación y aplicaciones.

Figura 51. Identificación de protocolos y aplicaciones del caso de estudio. Fuente: Elaboración propia.

6.3 Aplicación de la metodología propuesta

Al tener el sistema de transmisión de energía operativo, es muy riesgoso utilizar

herramientas de análisis de seguridad y de ataques, por lo que en caso de realizar la

evaluación en un sistema funcional se recomienda el uso minimo de herramientas de

análisis de seguridad, siendo esto una diferencia marcada entre infraestructuras OT y IT,

UI User Interface

SDM Source Data Management

DMS Distribution Management System

DTS Dispatcher Training Simulator

HIS Historical Information System

SC Supervisory Control

PA Power Applications

XPS Expert System

ADM Archives HIS Administration

GIS Geographic Information System

TCI Telecommunication Interface

IFS Independent Frint-End System

CA Communication Applications

DW Display Wall

LAN Local Area Network

HMI Human Machine Interface

RTU Remote Terminal Unit

MED Medidor

SER Servidor

IED Intelligent Electronic Device

PMU Phasor Measurement Unit

CS Controlador de Subestación

SM Sistema de Monitoreo

PLC Programmable Logic Controller

MP Maletas de Prueba

87L Diferencial de Línea

TP Teleprotección

REG Registrador de Fallas

MU Merging Unit

CDB Conexión a Bases de Datos

PP Protocolo Propietario

PTP Precision Time Protocol

NTP Network Time Protocol

CENTRO NACIONAL DE DESPACHO

CENTRO CONTROL DE TRANSMISIÓN

UI

DW

CA

SDM

ADMIFS

DMS

TCI

DTS

GIS

HIS

SCCDB FTPPP

Bancos 115kV

RTU

RS232

IEC101

SUBESTACIÓN DE TRANSMISIÓN EVALUADA

HMI

MED

REG

IED

TP

PMU

87LCS

CDB IEC61850

HTTPS

ICCP

HTTPS

TCP/IP

TCP/IP

IEC 60870-5-104IE

C6

18

50

LAN

LAN

LAN

TCP/IPNTP

HSR PRP

C. Reactivos 230kV

CS

LAN

IEDSM

PLC

IEC61850IEC104

NTP

IEC

10

4

TCP/IP

IEC

10

1

IRIG B

SNMPIRIG B

SNMP



Colombia.

Página | 160

en la que un error o bloqueo del sistema puede llegar a comprometer vidas humanas,

animales y al medio ambiente.

Dentro de este marco se proponen dos escenarios, el primero, unas pruebas en el sistema

real completamente funcional en el que basicamente se realiza una visión del sistema, por

medio de escuchar tráfico actuando pasivamente dentro de la red, y un segundo escenario

donde se realiza un laboratorio en el que se simula lo mas cercano a la realidad el sistema

pero de manera reducida, para verificar el comportamiento que se tendria ante ataques

reales utilizando herramientas informáticas de seguridad.

De acuerdo al método propuesto para la evaluación de redes de comunicaciones y

aplicaciones se identificó las conexiones , protocolos y aplicaciones que se utilizan en el

sistema tal como se presentan en las Figuras 50 y 51, esta parte puede llamarse tambien

el levantamiento de información operativa. Complementando este paso, se realiza un

reconocimiento de la red a través de un escaneo de la información que transita por la red

de control y protección de la subestación.

Conforme a lo anterior se identifico un puerto de comunicación libre dentro de la red y se

conecto un computador de manera pasiva en forma de escucha de trafico. Con esta prueba

se detectaron varios de los protocolos que funcionan en el sistema y cierto direccionamiento

de red inicial que puede ser facilmente el punto de partida para la intrusión. En las Figuras

52, 53 y 54 se presenta la interpretación de algunas tramas obtenidas, mostrando por

ejemplo que dentro de la red se utilizan los protocolos IEC 61850, SNMP y protocolo

propietario de redundancia de controladores de subestación, respectivamente.

Con la anterior prueba y realizando la intrusión en varios puertos disponibles dentro de la

red de comunicaciones de la subestación, se detectaron los protocolos mostrados en la

Tabla 24, con lo cual se establece el escaneo de funcionamiento del sistema y encontrando

la primera vulnerabilidad sobre la red de comuncaciones, puertos libres y disponibles en

equipos de comunicación, sin bloqueo ni restricciones operativas.



Colombia.

Página | 161

Figura 52. Escaneo de protocolo IEC 61850 del caso de estudio. Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .

Figura 53. Escaneo de protocolo SNMP del caso de estudio. Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .

Figura 54. Escaneo de protocolo de redundancia controlador del caso de estudio.

Fuente: Elaboración propia utilizando Wireshark, https://www.wireshark.org/ .

https://www.wireshark.org/





Colombia.

Página | 162


Continuando con la metodología, el siguiente paso consiste en la verificación de

funcionamiento de los protocolos de comunicación y aplicaciones, para esto se recomienda

compararlo con la línea base tanto en la configuración de equipos, como en los resultados

de las pruebas de las mismas que generalmente son las pruebas de aceptación realizadas

durante el comisionamiento de la subestación.

Lo más importante en este aspecto es validar si el agente propietario del sistema cuenta

con una politica definida para la gestión documental técnica y copias de seguridad, así como

procedimientos para el manejo de control de cambios. En este punto en particular, a pesar

de tener un sistema de gestión documental corporativo, la entidad dueña de la instalación

para el caso de la documentación técnica, actualmente no esta aplicando la politica y se

observa que el control de cambios no es suficiente para llevar la trazabilidad de una línea

base de las configuraciones de los activos secundarios y terciarios de la subestación.

La afirmación anterior se evidencia con la comparación de las configuraciones de la puesta

en servicio de la subestación con las que actualmente tienen cargada los dispositivos,

donde se encontraron diferencias en 15 equipos. En consecuencia, no se sabe si la

Protocolo de red Tipo Puerto

IEC 60870-5-104 TCP 2404 - 2405

IEC 61850 Server TCP 102

Registradores GE TCP 4847

NTP UDP 123

Remote Server TCP 7912

IHM TCP 10501

Redundancia Gateway 10500

Propietario Gestion Siemens TCP 508-509

Propietario Gestion ABB TCP 5555 - 5556

HTTPS TCP 443

HTTP TCP 80

FTP TCP 20 - 21

ICCP TCP 102

SNMP UDP 161

IRIG-B SERIAL P2P

IEC 60870-5-101 SERIAL RS232



Colombia.

Página | 163

discrepancia obedece a un cambio programado o por lo contrario es asociado a un error o

posible modificación por ataque malintecionado.

Para la validación del funcionamiento de los protocolos de comunicación y las señales

programadas en los IED’s se aprovecho las pruebas de mantenimiento preventivo que se

realizan cada 3 años, donde se valido el estado actual del hardware y la configuración de

las señales de los controladores y protecciones de cada una de las bahías de la subestación

analizada, con esto adicionalmente se documento la línea base para futuros análisis de

vulnerabilidad del sistema. En la Figura 55 se presenta el ejemplo del protocolo realizado a

un IED, de este análisis se encontro entre todos los equipos valorados (2) fallas ocultas por

daño propio en el hardware, una salida y una entrada binaria localizada en diferentes IED’s

dentro de la subestación.

Figura 55. Protocolo de pruebas IED para el caso de estudio. Fuente: Elaboración propia.

Asimismo, se realizo la verificación de la señalización de todos los IED’s a los niveles de

control 2 (IHM Local) y 3 (Centro Control del Agente). En las Figura 56, 57 y 58 se presenta



Colombia.

Página | 164

los soportes de prueba de una bahia, donde se valido los resultados tanto con la

configuración actual de los equipos, como con el archivo de pruebas realizado en la puesta

en servicio de la subestación. De este ejercicio se encontro que en el Scada se encontraban

señales programadas que no existian en la subestación, lo cual generaba unas alarmas en

las interrogaciones generales que se realizaban a los controladores de subestación desde

el Scada.

Figura 56. Prueba de entradas binarias IED para el caso de estudio. Fuente: Elaboración propia.

Figura 57. Prueba de Salidas binarias IED para el caso de estudio. Fuente: Elaboración propia.



Colombia.

Página | 165

Figura 58. Prueba de entradas análogas IED para el caso de estudio. Fuente: Elaboración propia.

Siguiendo con la propuesta metodologica se procede a realizar la verificación de la

información que se transmite a través de los protocolos de comunicación de las tecnologías

de operación. El primer análisis se realiza a la comunicación que existe entre los IED’s y el

controlador de subestación que en el caso particular se realiza a través del protocolo IEC

61850. Para esta validación se configuro un IED en el laboratorio de pruebas con la misma

configuración de uno de los equipos de la subestación, por otra parte se simulo con una

maquina virtual el controlador de subestación donde se cargo la parametrización y base de

datos del sistema; para la conexión a la red se utilizo un switch donde se asigno un puerto

mirror para espiar la comunicación entre el controlador de subestación y el IED.

Los resultados obtenidos se pueden observar en la Figura 59, donde se evidencia la

ausencia de mecanismos de encriptación y donde resulta facil identificar la información

operativa que se transmite por la red de control y protección, donde si se llegase a penetrar

es posible realizar modificaciones en el funcionamiento de los activos secundarios y por

consiguiente afectar los activos promarios del sistema de transmisión de energía eléctrica.



Colombia.

Página | 166

Figura 59. Prueba de laboratorio, interpretación de trama IED para el caso de estudio. Fuente: Elaboración propia.

Un segundo análisis a los protocolos de las tecnologias de operación del caso de estudio,

se realizo a la comunicación entre el controlador de subestación y el centro de control del

agente, donde se utiliza el protocolo IEC 60870-5-104. Para esta validación se simulo en

maquinas virtuales el controlador de subestación y el sistema Scada donde se cargo la

parametrización y la base de datos del sistema; para la conexión a la red se utilizo un switch

donde se asigno un puerto mirror para espiar la comunicación entre los dos sistemas.

Como resultado se tiene que la comunicación hacia el centro de control tampoco es cifrada

como se muestra en la Figura 60, revelando una vulnerabilidad fuerte dado que esta

información fluye hacia fuera del perimetro de seguridad fisica de la subestación y puede

estar expuesta en la insfraestructura de comunicaciones que utiliza para transmitir la

señalización hasta el centro de control del agente.



Colombia.

Página | 167

Figura 60. Prueba de laboratorio, interpretación de trama controlador de subestación para el caso de estudio.


Hasta la presente, las pruebas se han limitado a espiar he interpretar la información que se

transmite en el sistema. Ahora bien, continuando con la metodología de validar las zonas

de seguridad configuradas con sus respectivas políticas de seguridad y reglas, la siguiente

fase de pruebas se basa en obtener acceso a los equipos del sistema y en lo posible

mantenerlo vigente.

Atendiendo a estas consideraciones, se realiza un descubrimiento de la red con ayuda de

las IP identificadas en el proceso de verificación de protocolos descrita en los párrafos

anteriores, en este punto inicialmente se utilizo un mecanismo manual para determinar s

las direcciones IP eran validas y respondian en la red de control y protección de la

subestación. En la Figura 61 se presenta la respuesta positiva de los 7 dispositivos

escaneados durante la prueba pasiva.



Colombia.

Página | 168

Figura 61. Prueba de ping equipos identificados en prueba pasiva para el caso de estudio. Fuente: Elaboración propia.

Al obtener respuesta positiva de los equipos se identifico la red interna de la subestación,

por consiguiente se utilizo el código mostrado en la Figura 62 para el descubrimiento de la

red del sistema, lo anterior con ayuda de la ejecución del script con kali linux.

Figura 62. Código de descubrimiento de red con ping. Fuente: Elaboración propia.

Frente a esta situación real, fue posible identificar la mayoría de los dispositivos de la red

de control y protección sin tener la información previa y simplemente realizando pruebas de

escaneo de descubrimiento de red. En la Tabla 25 se presentan los equipos descubiertos

y espiados por SNMP en la red de comunicaciones del caso de estudio.

Tabla 25. Equipos descubiertos y espiados en la red de comunicaciones del caso de estudio. Fuente: Elaboración propia.

IP IDENTIFICADA NOMBRE IED GATEWAY SUBREDTIEMPO

P ING

VERSION

SNMPDESCRIPCION TIPO EQUIPO MAC

LINK

CANAL 1

LINK

CANAL 2PROTOCOLO

SERVIDOR

SNTPSERIAL REFERENCIA

XX.X.XXX.612D2_R02_F003

XX.X.XXX.1 255.255.255.0 2 ms V3

SIPROTEC5 ETH- BB- 2FO Firmware

(FW) V07.54.01.995sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1410025962 C53207A 602B110 1

XX.X.XXX.622D2_R02_F004

XX.X.XXX.1 255.255.255.0 1 ms V3 SIPROTEC 5 sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1802072804 C53207A 602B110 2

XX.X.XXX.632D3_R03_F003

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.642D3_R03_F004

XX.X.XXX.1 255.255.255.0 1 ms V2

SIPROTEC4 EN100_O V04.29.01_01

Ed2

EN100_O

F004_D3/SIP098EFFCF9400 09 8E FF CF 94 Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.652D4_R04_F003

XX.X.XXX.1 255.255.255.0 2 ms V3



XX.X.XXX.662D4_R04_F004

XX.X.XXX.1 255.255.255.0 <1 ms V2


Ed2

EN100_O

F004_D4/SIP098EFFCE2F00 09 8E FF CE 2F Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.672D5_R05_F003

XX.X.XXX.1 255.255.255.0 2 ms V3



XX.X.XXX.682D5_R05_F004

XX.X.XXX.1 255.255.255.0 1 ms V2


Ed2

EN100_O

F004_D5/SIP098EFFCE3200 09 8E FF CE 32 Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.692D6_R06_F003

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.702D7_R07_F003

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.712D7_R07_F004

XX.X.XXX.1 255.255.255.0 2 ms V3 SIPROTEC 5 sip5com 00 00 7A CC 00 14 Up Up HSR XX.X.XXX.161 BF1802072821 C53207A 602B110 2

XX.X.XXX.722D9_R09_F003

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.732D9_R09_F004

XX.X.XXX.1 255.255.255.0 1 ms V2


Ed2

EN100_O

F004_D9/SIP098EFFCF9800 09 8E FF CF 98 Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.742D10_R10_F00

3 XX.X.XXX.1 255.255.255.0 2 ms V3



XX.X.XXX.752D10_R10_F00

4 XX.X.XXX.1 255.255.255.0 1 ms V2


Ed2

EN100_O

F004_D10/SIP098EFFCE3000 09 8E FF CE 30 Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.762D12_R12_F00

3 XX.X.XXX.1 255.255.255.0 2 ms V3



XX.X.XXX.772D12_R12_F00

4 XX.X.XXX.1 255.255.255.0 <1 ms V2


Ed2

EN100_O

F004_D12/SIP098EFFCE2D00 09 8E FF CE 2D Up Up HSR XX.X.XXX.161 N/E N/E

XX.X.XXX.121 2D2_w02_D001 XX.X.XXX.1 255.255.255.0 1 ms V3SIPROTEC5 ETH- BB- 2FO Firmware






XX.X.XXX.1242D5_W05_D001

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.1252D6_W06_D001

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.1262D7_W07_D001

XX.X.XXX.1 255.255.255.0 2 ms V3



XX.X.XXX.1272D9_W09_D001

XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.1282D10_W10_D00

1 XX.X.XXX.1 255.255.255.0 1 ms V3



Metodología para evaluación de ciber vulnerabilidad en sistemas de transmisión de energía eléctrica “EVULCIB”, estudio de caso subestación

eléctrica de 230kV ubicada en la ciudad de Bogotá-Colombia.

Página | 170

IP IDENTIFICADA NOMBRE IED GATEWAY SUBREDTIEMPO

PING

VERSION

SNMPDESCRIPCION TIPO EQUIPO MAC

LINK

CANAL 1

LINK

CANAL 2PROTOCOLO

SERVIDOR

SNTPSERIAL REFERENCIA

XX.X.XXX.1292D12_W12_D00

1 XX.X.XXX.1 255.255.255.0 1 ms V3



XX.X.XXX.130 2D2_S1_D011 XX.X.XXX.1 255.255.255.0 2 ms V3SIPROTEC5 ETH- BB- 2FO Firmware


















Posteriormente, con el tiempo de respuesta y el TTL se detectaron los dispositivos que

tienen sistemas operativos, por lo evidenciado los que son IED’s cuentan con un TTL de 64

y los que son equipos de computo cuentan con un TTL de 127 (ver Figura 61), con este

análisis basico se escaneo los servicios abiertos de los equipos dentro de la red con la

ayuda de Nmap de Kali linux como se muestra en la Figura .

Figura 63. Escaneo de servicios abiertos equipos de cómputo caso de estudio. Fuente: Elaboración propia.

A partir de los resultados obtenidos se identifico disponible el servicio de escritorio remoto

en algunos equipos de computo de la subestación, por lo que se realizaron ataques de

fuerza bruta para identificar credenciales RDP y de esta forma entrar al sistema de control

y proteccion. En la Figura 64 se observa la prueba realizada y fue posible obtener las

credenciales de uno de los equipos instalados detectando posible patrón en las

credenciales (ver Figura 65).

Figura 64. Ataque de fuerza bruta para identificar credenciales RDP equipos caso de estudio. Fuente: Elaboración propia.



Colombia.

Página | 172

Figura 65. Ataque de fuerza bruta con detección de patrón en las credenciales de equipos de cómputo del caso de estudio. Fuente: Elaboración propia.

Con esto se logro ingresar con el acceso remoto a la IHM de la subestación, teniendo

acceso de monitoreo a la subestación como se presenta en la Figura 66, sin embargo la

aplicación solicitaba una clave adicional para la operación de control del sistema, la cual no

fue posible identificar.

Figura 66. Ataque de fuerza bruta credenciales RDP de la IHM del caso de estudio. Fuente: Elaboración propia.



Colombia.

Página | 173

Como se observo en la Tabla 25, desde los IED’s fue posible reconocer la dirección IP del

enrutador de la subestación, por lo que la prueba siguiente fue intentar ingresar al router

firewall de la subestación, donde luego de reconocer la marca del equipo y buscando en los

manuales del equipo se encontro que las claves por defecto de fabrica permitian el ingreso,

con lo cual la intrusión se logro a profundida luego de estar dentro de las instalaciones

fisicas de la subestación.

Entrando al router firewall de la subestación se detecto las politicas, enrutamientos y vlans

configuradas para el funcionamiento del sistema como lo muestra las Figuras 67, 68 y 69

respectivamente. Todo lo anterior dado que en este caso el autor conocia al detalle la

manera en que se configuran este tipo de dispositivos.

Figura 67. Descubrimiento de las políticas firewall del caso de estudio. Fuente: Elaboración propia.

Figura 68. Descubrimiento del enrutamiento del caso de estudio. Fuente: Elaboración propia.



Colombia.

Página | 174

Figura 69. Descubrimiento de las Vlans firewall del caso de estudio. Fuente: Elaboración propia.

Adicionamente se logro identificar la conexión fisica de cada uno de los puertos del router

firewall como se presenta en la Tabla 26, donde se observan puertos de reserva y

disponibles para cualquier dispositivo que se conecte al puerto de manera fisica.

Tabla 26. Puertos identificados en el Router Firewall del caso de estudio. Fuente: Elaboración propia.

PUERTO ROUTER DESTINO

LM1/1 RESERVA

LM1/2 104 SU1

LM1/3 Gestion CYP

LM1/4 104 SU2

LM1/5 Gestion -RF y SVC

LM1/6 RESERVA

LM2/1 RESERVA

LM2/2 RESERVA

LM2/3 RESERVA

LM2/4 RESERVA

LM2/5 RESERVA

LM2/6 RESERVA

LM3/1 SDH - P1 VIDEO

LM3/2 SDH Corporativa

LM3/3 SDH - TELEFONO

LM3/4 SDH - CCT

LM4/1 Gestion -RF y SVC

LM4/2 SDH - Gestion CYP

LM4/3 SDH - Teleprotección - Gestion

LM4/4 SDH - Gestion CYP



Colombia.

Página | 175

Posteriormente, con las rutas configuradas fue posible identificar direccionamiento IP de

equipos de borde remotos y donde fue posible ingresar desde el router local a través de

SSH como lo muestra la Figura 70 y donde funcionaron las mismas credenciales de fabrica

que traen los equipos de comunicaciones.

Figura 70. Ingreso equipo de comunicación remoto desde el Router local del caso de estudio. Fuente: Elaboración propia.

Con las pruebas realizadas hasta el momento y de acuerdo a la propuesta metodologica se

evidencia que el sistema no garantiza un funcionamiento seguro, detectando varias

vulnerabilidades.

Continuando la guia se evalua el comportamiento de la red y de las aplicaciones bajo los

escenarios de la lista de amenazas definidas y vigentes, encontrando las vulnerabilidades

presentadas en las Figura 71 en los servidores de los controladores de subestación e IHM’s,

donde se detecta que los equipos no tienen las actualizaciones del sistema operativo.

Figura 71. Vulnerabilidades de sistemas operativos del caso de estudio. Fuente: Elaboración propia.

Para identificar vulnerabilidades de los dispositivos de OT se realizo la verificación del

sotfware instalado y versiones actuales, donde se encontro que existian dos



Colombia.

Página | 176

vulnerabilidades de negación de servicio encontradas por el fabricante como se describe

en la Figura 72.

Figura 72. Vulnerabilidades de dispositivos OT instalados en el caso de estudio. Fuente: Elaboración propia.

Como parte de la metodología esta realizar la prueba del comportamiento del equipo bajo

la vulnerabilidad detectada, para lo cual se realizo un laboratorio en donde se replico la

configuración de uno de los IED’s afectados de la subestación y se encontro que fue posible

realizar el exploit en el dispositivo, de la vulnerabilidad reportada como se muestran en la

Figura 73.

Figura 73. Exploit de vulnerabilidades de dispositivos OT instalados en el caso de estudio. Fuente: Elaboración propia.

Otra vulnerabilidad encontrada se evidencio en el sistema de registradores de fallas de la

subestación, a los cuales fue posible ingresar a través del servicio web del dispositivo,

donde la clave de ingreso es la encontrada en los manuales de los equipos y que esta



Colombia.

Página | 177

disponibles en internet. Como prueba de intrusión se realizo el reset del dispositivo y como

se puede observar en la Figura 74, el exploit fue ejecutado satisfactoriamente.

Figura 74. Exploit de vulnerabilidades de Registradores de Falla en el caso de estudio. Fuente: Elaboración propia.

Del mismo modo, se intento realizar la conexión a los IED’s de la subestación a traves de

otro cliente en IEC 61850, logrando establecer la comunicación verificando incluso las

conexiones actuales como se observa en la Figura 75.



Colombia.

Página | 178

Figura 75. Conexión cliente IEC61850 externo a IED’s del caso de estudio. Fuente: Elaboración propia.

A través de esta conexión establecida se tiene supervisión y control de toda la información

configurada en el IED, se puede forzar la señalización de las protecciones por ejemplo,

enviar hacia el centro de control información del disparo de la protección diferencial de línea

como se presenta en la Figura 76, o enviar hacia el relé de protección la desactivación de

la protección diferencial de línea como se muestra en la Figura 77.

Figura 76. Conexión cliente IEC61850 externo forzando señalización hacia el Centro de Control. Fuente: Elaboración propia.



Colombia.

Página | 179

Figura 77. Conexión cliente IEC61850 externo desactivando funciones de protección en el relé. Fuente: Elaboración propia.

Con esta intrusión, ninguno de los equipos existentes en el sistema la detecta, he incluso

la conexión con el equipo existente (controlador de subestación, ver Figura 78), no pierde

conectividad ni presenta intermitencias con lo cual puede mantenerse de manera constante

la conexión sin ser detectada. Se establecieron simultaneamente tres vínculos a los IED’s

del caso de estudio y todas las conexiones fueron validas e indetectables por el sistema de

control y protección, ni por el sistema Scada de la compañia.

Figura 78. Conexión Controlador de Subestación con IED’s de manera simultánea con cliente externo.


Aprovechando unos trabajos de mantenimiento en la subestación del caso de estudio y con

el objetivo de ver el impacto que se puede ocasionar con este tipo de intrusión en el sistema



Colombia.

Página | 180

de control y protección, se realizo a través de una conexión externa en protocolo IEC 61850

a uno de los controladores de bahia de un línea (ver Figura 79), la maniobra de un

seccionador sin que nada lo detectará e impidiera, la prueba se registra en la Figura 80.

Figura 79. Conexión cliente IEC61850 externo ejecutando mando sobre seccionador de barra. Fuente: Elaboración propia.

Figura 80. Ejecución del mando sobre seccionador de barra. Fuente: Elaboración propia.

Para finalizar la evaluación de las aplicaciones y sotfware, en cuanto a la evaluación de los

sistemas de monitoreo en línea del sistema NOC se identifico que la empresa no cuenta



Colombia.

Página | 181

con sistema de monitoreo en línea de la red de comunicaciones, por lo que se recomienda

a corto plazo implementarlo dado que como se encuentra actualmente el sistema, no es

posible detectar vulnerabilidades ni intrusiones sobre la infraestructura crítica.

Como parte adicional se observo algunas vulnerabilidades fisicas que deben tambien ser

tenidas en cuenta dentro de la valoración y que son evaluadas en los indicadores de

vulnerabilidad del sistema. El primer hallazgo se encuentra en la malla perimetral de la

subestación, donde se encuentra amarrado un pedaso de madera que puede facilitar el

ingreso no autorizado a las instalaciones tal y como se presenta en la Figura 81.

Figura 81. Vulnerabilidad física malla perimetral subestación. Fuente: Elaboración propia.

Dentro de las vulnerabilidades fisicas se identifico que los tableros de control, protección,

medida y comunicaciones no se encuentran con llave (ver Figura 82), en donde un atacante

luego de entran a la subestación puede interrogar los dispositivos por el frontal de los

equipos. En esta prueba fue posible identificar el direccionamiento IP de diferentes

dispositivos y la dirección del Gateway como se observa en la Figura 83.



Colombia.

Página | 182

Figura 82. Vulnerabilidad física tableros sin llave en subestación. Fuente: Elaboración propia.

Figura 83. Vulnerabilidad física identificación de información de IED’s. Fuente: Elaboración propia.



Colombia.

Página | 183

6.4 Evaluación de ciber vulnerabilidad

Con referencia a la metodología propuesta, lo siguiente es realizar el cálculo de los dos

indicadores IVO y IVS definidos en este trabajo para diagnosticar el sistema a nivel de ciber

vulnerabilidad.

Sobre la base de las ideas expuestas, para realizar el cálculo del IVO se identifico el

escenario de despacho y demanda reales, que produce el mayor flujo de energía por la

subestación, esto se realizo con ayuda del historico de las señales almacenadas en el

centro de control tal y como se presenta en las Figuras 84-85, y a partir de las simulaciones

en software especializado.

Figura 84. Histórico de Potencia Activa real del caso de estudio. Fuente: Elaboración propia.

Figura 85. Histórico de Potencia Reactiva real del caso de estudio. Fuente: Elaboración propia.

-250

-200

-150

-100

-50

0

50

100

150

Dat

e/Ti

me

1/09

/201

81/

09/2

018

2/09

/201

82/

09/2

018

3/09

/201

84/

09/2

018

5/09

/201

85/

09/2

018

6/09

/201

86/

09/2

018

7/09

/201

87/

09/2

018

8/09

/201

88/

09/2

018

9/09

/201

89/

09/2

018

10/0

9/2

018

10/0

9/2

018

11/0

9/2

018

11/0

9/2

018

12/0

9/2

018

12/0

9/2

018

13/0

9/2

018

13/0

9/2

018

14/0

9/2

018

14/0

9/2

018

15/0

9/2

018

15/0

9/2

018

16/0

9/2

018

16/0

9/2

018

17/0

9/2

018

17/0

9/2

018

18/0

9/2

018

18/0

9/2

018

19/0

9/2

018

19/0

9/2

018

20/0

9/2

018

20/0

9/2

018

21/0

9/2

018

21/0

9/2

018

22/0

9/2

018

22/0

9/2

018

23/0

9/2

018

23/0

9/2

018

24/0

9/2

018

24/0

9/2

018

24/0

9/2

018

25/0

9/2

018

25/0

9/2

018

26/0

9/2

018

27/0

9/2

018

27/0

9/2

018

27/0

9/2

018

28/0

9/2

018

29/0

9/2

018

29/0

9/2

018

30/0

9/2

018

30/0

9/2

018

1/10

/201

81/

10/2

018

2/10

/201

82/

10/2

018

3/10

/201

83/

10/2

018

4/10

/201

84/

10/2

018

5/10

/201

85/

10/2

018

6/10

/201

86/

10/2

018

7/10

/201

87/

10/2

018

8/10

/201

88/

10/2

018

9/10

/201

811

/10

/20

1812

/10

/20

1812

/10

/20

1813

/10

/20

1813

/10

/20

1814

/10

/20

1814

/10

/20

1815

/10

/20

1815

/10

/20

1815

/10

/20

1816

/10

/20

1816

/10

/20

1817

/10

/20

1817

/10

/20

1818

/10

/20

1818

/10

/20

1819

/10

/20

1819

/10

/20

1820

/10

/20

1820

/10

/20

1821

/10

/20

1821

/10

/20

1822

/10

/20

1822

/10

/20

1823

/10

/20

1823

/10

/20

1824

/10

/20

1824

/10

/20

1825

/10

/20

1825

/10

/20

1826

/10

/20

1826

/10

/20

1827

/10

/20

1827

/10

/20

1828

/10

/20

1828

/10

/20

1829

/10

/20

1829

/10

/20

1830

/10

/20

1830

/10

/20

1831

/10

/20

18

PO

TEN

CIA

AC

TIV

A [

MW

]

TIEMPO

Potencia Activa Línea 1 Potencia Activa Línea 2 Potencia Activa Línea 3 Potencia Activa Línea 4

-150

-100

-50

0

50

100

Dat

e/Ti

me

1/09

/201

81/

09/2

018

2/09

/201

82/

09/2

018

3/09

/201

84/

09/2

018

5/09

/201

85/

09/2

018

6/09

/201

86/

09/2

018

7/09

/201

87/

09/2

018

8/09

/201

88/

09/2

018

9/09

/201

89/

09/2

018

10/0

9/2

018

10/0

9/2

018

11/0

9/2

018

11/0

9/2

018

12/0

9/2

018

12/0

9/2

018

13/0

9/2

018

13/0

9/2

018

14/0

9/2

018

14/0

9/2

018

15/0

9/2

018

15/0

9/2

018

16/0

9/2

018

16/0

9/2

018

17/0

9/2

018

17/0

9/2

018

18/0

9/2

018

18/0

9/2

018

19/0

9/2

018

19/0

9/2

018

20/0

9/2

018

20/0

9/2

018

21/0

9/2

018

21/0

9/2

018

22/0

9/2

018

22/0

9/2

018

23/0

9/2

018

23/0

9/2

018

24/0

9/2

018

24/0

9/2

018

24/0

9/2

018

25/0

9/2

018

25/0

9/2

018

26/0

9/2

018

27/0

9/2

018

27/0

9/2

018

27/0

9/2

018

28/0

9/2

018

29/0

9/2

018

29/0

9/2

018

30/0

9/2

018

30/0

9/2

018

1/10

/201

81/

10/2

018

2/10

/201

82/

10/2

018

3/10

/201

83/

10/2

018

4/10

/201

84/

10/2

018

5/10

/201

85/

10/2

018

6/10

/201

86/

10/2

018

7/10

/201

87/

10/2

018

8/10

/201

88/

10/2

018

9/10

/201

811

/10

/20

1812

/10

/20

1812

/10

/20

1813

/10

/20

1813

/10

/20

1814

/10

/20

1814

/10

/20

1815

/10

/20

1815

/10

/20

1815

/10

/20

1816

/10

/20

1816

/10

/20

1817

/10

/20

1817

/10

/20

1818

/10

/20

1818

/10

/20

1819

/10

/20

1819

/10

/20

1820

/10

/20

1820

/10

/20

1821

/10

/20

1821

/10

/20

1822

/10

/20

1822

/10

/20

1823

/10

/20

1823

/10

/20

1824

/10

/20

1824

/10

/20

1825

/10

/20

1825

/10

/20

1826

/10

/20

1826

/10

/20

1827

/10

/20

1827

/10

/20

1828

/10

/20

1828

/10

/20

1829

/10

/20

1829

/10

/20

1830

/10

/20

1830

/10

/20

1831

/10

/20

18

PO

TEN

CIA

REA

CTI

VA

[M

VA

r]

TIEMPO

Potencia Reactiva Línea 1 Potencia Reactiva Línea 2 Potencia Reactiva Línea 3 Potencia Reactiva Línea 4 Potencia Reactiva CompReac



Colombia.

Página | 184

Como resultado para el caso de estudio, se determinó un escenario en el que se obtuvo

una transferencia de potencia activa de 308,34 MW y 35MVAr de potencia reactiva, tal como

se presenta en la Figura 86.

Figura 86. Escenario de análisis eléctrico para el caso de estudio. Fuente: Elaboración propia.

A partir de este escenario de simulación y de acuerdo a la metodología propuesta, se realiza

la contingencia en el que se apaga la subestación (ataque cibernético exitoso), y como

primera medida se identifican si existen líneas y equipos sobrecargados por el evento.

Figura 87. Escenario con contingencia en el que se apaga la subestación. Fuente: Elaboración propia.



Colombia.

Página | 185

En este caso se produce una desviación de voltaje >10% en dos barras de un sistema de

compensación reactiva que se encuentra ubicado en otra subestación del sistema de

transmisión, por lo que se procede a volver a simular la contingencia con la salida de las

barras excedidas.

Figura 88. Escenario con contingencia segunda iteración. Fuente: Elaboración propia.

En este caso, se sobrecargan un transformador de 230/115kV junto con dos líneas de

115kV y dos líneas de 230kV, con esto se continua con la iteración sumandole a la

contingencia anterior la salida de los elementos sobrecargados.

Figura 89. Escenario con contingencia tercera iteración. Fuente: Elaboración propia.



Colombia.

Página | 186

Con la salida de los elementos sobrecargados, la frecuencia no se ve afectada y permanece

la estabilidad en el sistema de transmisión. Sin embargo, bajo la contingencia se detecta

DNA con afectación en dos elementos del sistema de transmisión, el primero un

compensador de reactivos en 230kV y el segundo una subestación adyacente a la evaluada

a 230kV, además la salida de dos líneas de 230kV adicionales a las propias de la

subestación, así como 4 líneas de 115kV.

La potencia no suministrada en el escenario final del evento es de 259,93 MW, donde

aplicando la metodología propuesta se tiene que la demanda no atendía se calcula con la

ecuación [13] y bajo el escenario en que la afectación tiene efecto regional es decir que el

restablecimiento del sistema afectado se estima en dos horas.

𝐷𝑁𝐴[𝑀𝑊ℎ] = 259,93[𝑀𝑊] ∗ 2

𝐷𝑁𝐴[𝑀𝑊ℎ] = 519,86[𝑀𝑊ℎ]

Para calcular la demanda no atendida normalizada, se utiliza en este caso la ecuación [14],

donde se obtiene el siguiente valor:

𝐷𝑁𝐴 ≤ 1000𝑀𝑊ℎ = 0,1 + (0,6 ∗519,86[𝑀𝑊ℎ]

1000 [𝑀𝑊ℎ])

𝐷𝑁𝐴𝑛 = 0,41

Continuando con la metodología propuesta se calcula la pérdida de conectividad (PC), su

cálculo se realiza con la ecuación [2]. Donde en el caso de estudio KL=64 que es el número

de líneas disponibles en el área de influencia antes del ataque y KL'=51 representa el

número de líneas disponibles luego del ataque.

PC = 1 − 51 64⁄

PC = 0,20

El siguiente factor que se debe calcular es la ponderación de subestación (PS), a partir de

los pesos definidos en la Tabla 7 y su posterior normalización para representar el efecto

que tiene afectar la instalación valorada.



Colombia.

Página | 187

𝑃𝑆 = 4 ∗ 300 + 5 ∗ 700

𝑃𝑆 = 4700

En este caso, se utiliza la ecuación [17] para hallar el valor de la ponderación de subestación

normalizada:

𝑃𝑆𝑛 = 0,7 + (0,3 ∗4700

10000)

𝑃𝑆𝑛 = 0,84

Por ultimo, se determina el valor del indicador de vulnerabilidad operativa (IVO), con base

en la ecuación [18].

𝐼𝑉𝑂 = 0,4 ∗ 0,41 + 0,4 ∗ 0,20 + 0,2 ∗ 0,84

𝐼𝑉𝑂 = 0,42

Retomando las pruebas de aplicaciones y redes de comunicaciones realizadas en la

sección 6.3, se utiliza como soporte para determinar el IVS de acuerdo a la metologia

propuesta, acontinuación los resultados obtenidos en la valoracion:



Colombia.

Página | 188

Tabla 27. Evaluación de los controles de identificación y autenticación caso de estudio. Fuente:

Elaboración propia.

𝐼𝐴𝐶 =(1) ∗ 2 + (3)

16= 0,312

Tabla 28. Evaluación tiempos de respuesta a eventos caso de estudio. Fuente: Elaboración propia.

𝑇𝑅𝐸 =(1) ∗ 2 + (0)

6= 0,333


Se tiene identificación y autenticación única para

todos los usuarios.X

Se tiene múltiple factor de autenticación para todas

las redes.X

Se realiza gestión de cuentas unificada. X

Se cuenta con Hardware de seguridad para identificar

credenciales mediante procesos de software.X

Se cuenta con identificación y autenticación única

para los accesos inalámbricos.X

Se tiene metodología definida para la generación de

contraseñas.X

Se realiza restricciones en tiempo de vida para las

contraseñas de usuarios.X

Se realiza bloqueos por Intentos de login fallidos. X

CONTROLES DE IDENTIFICACIÓN Y AUTENTICACIÓN (IAC)

DescripciónImpacto


Se puede tener accesibilidad a logs de todos los

equipos y software.X

Se tiene sistema de monitoreo continuo. X

Se tiene plan de entrenamiento continuo para el

personal, en conciencia de seguridad .X

TIEMPO DE RESPUESTA A EVENTOS (TRE)

DescripciónImpacto



Colombia.

Página | 189

Tabla 29. Evaluación de los controles de uso caso de estudio. Fuente: Elaboración propia.

𝑈𝐶 =(2) ∗ 2 + (2)

14= 0,428

Tabla 30. Evaluación de la integridad del sistema caso de estudio. Fuente: Elaboración propia.


Se tiene aplicación de autorización para todos los

usuarios.X

Se realiza mapeo de permisos por roles. X

Se cuenta con sincronización interna de tiempo para

todos los equipos.X

Se cuenta con sistemas de gestión centralizada. X

Se puede identificar y reportar dispositivos no

autorizados.X

Se usa certificados de seguridad para los accesos

remotos a dispositivos.X

Se puede identificar y reportar personal no

autorizado en las instalaciones físicas.X

CONTROL DE USO (UC)

DescripciónImpacto



datos.X

Se usa protección contra código malicioso en los

puntos de entrada y salida.X

Se cuenta con sistema de gestión centralizada para

protección contra código malicioso.X

Se cuenta con mecanismos para verificar

funcionalidades de seguridad.X

Se tiene sistema de notificaciones automáticas sobre

violaciones de integridad.X

INTEGRIDAD DEL SISTEMA (SI)

DescripciónImpacto



Colombia.

Página | 190

𝑆𝐼 =(0) ∗ 2 + (0)

10= 0

Tabla 31. Evaluación de la confidencialidad de los datos caso de estudio. Fuente: Elaboración propia.

𝐷𝐶 =(0) ∗ 2 + (2)

8= 0,250

Tabla 32. Evaluación del flujo de datos restringido caso de estudio. Fuente: Elaboración propia.

𝑅𝐷𝐹 =(4) ∗ 2 + (2)

12= 0,833

Tabla 33. Evaluación de la disponibilidad de recurso caso de estudio. Fuente: Elaboración propia.


Se tiene protección de la confidencialidad de la

información alojada o en tránsito por redes.X

Se tiene protección de la confidencialidad a través de

los límites de las zonas.X


datos.X

Se realiza purga de recursos de memoria compartida. X

CONFIDENCIALIDAD DE LOS DATOS (DC)

DescripciónImpacto


Se tiene segmentación física de redes. X

Se tiene aislamiento lógico y físico de redes criticas. X

Se realiza denegar por defecto, permitir por

excepción.X

Se cuenta con sistema de gestión centralizada para el

monitoreo de flujos de datos.X

Se encuentran habilitados los puertos lógicos

utilizados por el sistema y restringidos los demas.X

Se cuenta definidos los anchos de banda de acuerdo

a los servicios que se utilizan. X

FLUJO DE DATOS RESTRINGIDO (RDF)

DescripciónImpacto



Colombia.

Página | 191

𝑅𝐴 =(3) ∗ 2 + (1)

18= 0,388

Donde con estos valores normalizados se determina el IVS a partir de la ecuación [26],

𝐼𝑉𝑆 = 1 − [(1

7) ∗ (0,312 + 0,333 + 0,428 + 0 + 0,250 + 0,833 + 0,388)]

𝐼𝑉𝑆 = 0,637

Finalmente la evaluación deteremina que los indicadores finales para diagnostico y

seguimiento de ciber vulnerabilidad son:

𝐼𝑉𝑂 = 0,420 => 42,0%

𝐼𝑉𝑆 = 0,637 => 63,7%


Se realiza gestión de la carga en las comunicaciones. X

Se tiene política de verificación de backup. X

Se tiene sistema de automatización de backup. X

Se cuenta con sistemas de respaldo de energía. X

Se cuenta con reportes de ajustes de seguridad

actuales legibles.X

Se cuenta con inventario de componentes del

sistemas de control.X

Se realizan pruebas de verificación de configuración

del sistema periodicamente.X

Se cuenta con gestor de actualizaciones e inventario

de versiones.X

Se cuenta con los especialistas para el manejo y

operación de los sistemas de control y protección. X

DISPONIBILIDAD DE RECURSOS (RA)

DescripciónImpacto



Colombia.

Página | 192

6.5 Análisis de resultados

A partir del indicador de vulnerabilidad operativa y con base en los resultados de la

simulaciones, se observa que con cualquier situación que comprometa la integridad de esta

subestación no sólo pone en riesgo de apagón al suroriente de Bogota, sino por efecto de

fallas en cascada y escenarios de contingencias mayores a N-2 puede comprometer el

suministro de energía eléctrica Nacional.

El valor del indicador IVO del caso de estudio, se determina que está dentro de un valor de

impacto medio, sin embargo al tener simultaneidad de afectación con otra subestación del

área oriental, con una alta probabilidad podría generar un blackout en el país.

Como resultado del indicador de vulnerabilidad del sistema, este se encuentra dentro de un

valor de impacto medio también, sin embargo de las pruebas realizadas se observa puntos

críticos de vulnerabilidades los cuales con seguridad al realizar un exploit podrían afectar

la operación de los activos secundarios y terciarios, comprometiendo directamente a los

activos primarios y por ende al sistema de transmisión nacional.

Con base a la evaluación de vulnerabilidad de los siete requisitos técnicos valorados dentro

de la metodología se observan que las mayores brechas se presentan en la integridad del

sistema, en la confidencialidad de los datos y en los controles de identificación y

autenticación tal como puede verse en la Figura 90.

Por ello se hace necesario realizar un plan de acción para corregir estas vulnerabilidades

encontradas, las cuales a su vez de acuerdo al levantamiento de información realizado es

posible implementar con la tecnología que actualmente se encuentra instalada, donde

según lo observado es tema en la mayoría de los casos de diseño y configuración en los

activos secundarios y terciarios.

Las evidencias presentadas en la sección 6.3 motivan algunas ideas y reflexiones, en

cuanto a que tan expuesto está en realidad el sistema de energía nacional y en la

oportunidad de mejorar e integrar soluciones en el área de ciberseguridad al igual de

visibilizar las inversiones requeridas para garantizar el suministro confiable de energía

eléctrica del país.



Colombia.

Página | 193

Figura 90. Nivel de vulnerabilidad de los siete requisitos técnicos de la metodología para el caso

de estudio. Fuente: Elaboración propia.

En la Tabla 34 se resume las pruebas adicionales realizadas especificamente para

complementar la evaluación de ciber vulnerabilidad efectuada en la sección 6.4 y que hacen

parte del análisis de los resultados elaborado.

Tabla 34. Evaluación de ciber vulnerabilidad caso de estudio. Fuente: Elaboración propia.

Activo Descripción de Ataque realizado

Mecanismo de Seguridad identificado

Nodos de la Red (IED’s, SICAM PAS, IHM, Router/Firewall).

Acceso a un nodo capturando información confidencial.

Control de acceso débil, claves por defecto del fabricante y patrones de claves identificados. Chequeo de integridad a nivel de TCP. Sin chequeo encontrado a nivel de aplicación.

Acceso a ejecución de comandos no autorizados.

Autenticación débil, claves por defecto del fabricante y patrones de calves identificados. Chequeo de integridad.

Modificación de información. (Eventos y maniobras falsas, modificación de la configuración y parametrización).

Control de acceso débil, claves por defecto del fabricante y patrones de calves identificados. Sin embargo, a nivel de IHM no fue posible descubrir las claves asignadas por los operadores de la subestación. Autenticación débil, claves por defecto del fabricante y patrones de claves identificados, es posible establecer conexión con IED’s y modificar la información directamente sin ser detectado. Sistema de control de cambios en el software de aplicación, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.

Ataque de denegación de servicio DoS (Denial Of Service).

Control de acceso débil, claves por defecto del fabricante y patrones de calves identificados.

0

0,2

0,4

0,6

0,8

1IAC

TRE

UC

SIDC

RDF

RA



Colombia.

Página | 194

Fue posible realizar Exploit de vulnerabilidad en algunos de los IED’s instalados en la subestación del caso de estudio. Redundancia de dispositivos.

Eliminación de información. (Históricos, archivos Comtrade).

Control de acceso débil, claves por defecto del fabricante y patrones de claves identificados. Fue posible eliminar información de IED’s sin ser detectados. Sistema de control de cambios en el software de aplicación, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.

Red LAN.

Acceso a la infraestructura de la red LAN, capturando información confidencial.

Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. Redundancia.

Ataque de denegación de servicio DoS (Denial Of Service) en la infraestructura de la LAN.

Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. No se logró realizar DoS a los Router y Switches del caso de estudio, sin embargo, al encontrar la clave de administrador puede modificarse la configuración y denegar los servicios al administrador original de la red. Redundancia.

Modificación de parámetros de configuración en los equipos de red.

Control de acceso. (Lógico y Físico), sin embargo, las claves se encuentran por defecto las del fabricante. Fue posible encontrar la clave y es posible realizar el cambio de configuración.

Red WAN, red corporativa.

Acceso a la infraestructura de la WAN capturando información confidencial.

Control de acceso. (Lógico y Físico). Independiente (Lógico y Físico) de la red de control, protección y medida. Redundancia.

Ataque de denegación de servicio DoS (Denial Of Service) en la infraestructura de la WAN.

Control de acceso. (Lógico y Físico). No fue posible realizar ataque de DoS.

Modificación de parámetros de configuración en los equipos de red.

Control de acceso. (Lógico y Físico). Sistema de control de cambios, sin embargo, no se utiliza adecuadamente ni se realiza seguimiento.

Desde una perspectiva general, en los siguientes párrafos se analiza los aspectos más

relevantes y en los cuales se presentan las oportunidades de mejora de prioridad alta,

conforme al impacto que tendria en el sistema las vulnerabilidades encontradas:

Control de acceso de los IED: Los IED’s de protección y control del sistema, cuentan con

la opción de asignar claves de acuerdo a funciones especificas de cada dispositivo como lo

son cambios de ajustes, descarga de parámetros etc. Sin embargo, las claves se



Colombia.

Página | 195

encuentran por defecto a las que asigna el fabricante, la cual es facil de conseguir y

vulnerar.

Control de acceso en los equipos de red: Los Switch y Routers tienen claves de usuario,

sin embargo estas hacen parte de las claves por defecto de los equipos, los cuales son facil

de conseguir y vulnerar.

Control de acceso en los computadores y servidores: Los computadores y servidores

se encuentran trabajando en un sólo grupo de trabajo y configurados los usuarios de

administrador y operación, detectando ´patron de claves. Por otro lado, todas la maquinas

y servidores tienen habilitado el acceso remoto de windows, sin embargo esta conexión se

encuentra sin certificados por lo que es vulnerable a ataques.

Control de acceso a las aplicaciones: Las IHM’s cuentan con la configuración de usuarios

los cuales estan personalizados con los permisos otorgados a cada uno, permitiendo un

control riguroso de las maniobras y operaciones que se puedan realizar en la IHM. Sin

embargo, se encontraron usuarios no vigentes en la compañía que aún aparecen

habilitados. Adicionalmente, no se cuenta con una politica de cambio de claves para la

operación del sistema, es decir que desde su puesta en servicio nunca cambian.

En el sistema del controlador de subestación, todas las aplicaciones corren en usuario de

administrador los cuales están ligados a unas claves que son debiles y permitiria el acceso

a la parametrización del programa, permitiendo realizar modificaciones.

Control de cambios: Las aplicaciones cuentan con la posibilidad de control de cambios,

sin embargo no se lleva una trazabilidad de modificaciones, ni se realiza chequeo de

diferencias con configuraciones de línea base.

Como resultado de las pruebas de validación de funcionamiento de los protocolos de

comunicación industrial, se detectaron diferencias entre las bases de datos configuradas

en el Scada con respecto a la configurada en los controladores de la subestación del caso

de estudio.



Colombia.

Página | 196

6.6 Recomendaciones

Dentro de las consultas del manual de los equipos instalados a nivel de controlador de

subestación, se encontro que es posible utilizar una funcionalidad de cifrado. El método de

cifrado usado en el SICAM PAS Secure Communication es basado en un método de

encriptación asimétrico. En este caso el receptor previsto para leer los datos cifrados debe

tener un par de claves que se compone de una clave privada y una clave pública, donde

esta última hace parte del certificado. Cuando un emisor quiere enviar un mensaje a un

receptor, solicita primero el certificado del receptor y luego utilizando la clave pública cifra

el mensaje y lo envía. El receptor descifra el mensaje utilizando su clave privada.

Actualmente, en el sistema evaluado esta funcionalidad se encuentra deshabilitada.

El controlador de subestación adicionalmente cuenta con la funcionalidad de autenticación,

en el que un receptor de un mensaje chequea la identidad del remitente. Cuando la

funcionalidad se activa, la identidad del remitente del mensaje se comprueba antes de que

el mensaje se procese. Actualmente, en el sistema evaluado esta funcionalidad se

encuentra deshabilitada.

Se recomienda definir una politica para la gestión documental técnica y copias de

seguridad, así como desarrollar procedimientos para el manejo de control de cambios.

Se recomenda realizar una validación de las bases de datos configuradas en el Scada y en

los controladores de la subestación. Adicionalmente, generar rutinas periodicas de

monitoreo de integridad y correspondencia de las bases de datos.

Se recomienda asignar claves de acceso a los IED’s diferentes a las que vienen por defecto

y realizar un formato de registro de claves para que personal de la organización encargado

de mantenimiento y operación tenga la documentación necesaria para poder ingresar en el

momento de requerirse y limitarlo a sólo personal autorizado.

Los Switch y Routers tienen disponible la configuración de claves de usuario,

adicionalmente utiliza SSH para la encriptación de password en caso de gestión remota al



Colombia.

Página | 197

dispositivo. Se recomienda habilitar la funcionalidad dado que se encuentra inactiva.

Adicionalmente, realizar un formato de registro de claves para que personal de la

organización encargado de mantenimiento y operación tenga la documentación necesaria

para poder ingresar en el momento de requerirse y limitarlo a sólo personal autorizado.

Los computadores y servidores tienen habilitado el acceso remoto por RDP, se recomienda

el uso de esta conexión a traves de certificados y monitorear estas conexiones remotas.

Se recomienda crear una polita de gestión de cuentas de usuario para los dispositivos de

OT.

Se sugiere establecer un plan para auditorías de ciberseguridad, periodico y con

indicadores de valoración como los propuestos en este trabajo.

Se recomienda elaborar un marco de referencia para los equipos (línea base, hardening,

actualizaciones, inventario, software permitido), actualemente el documento disponible en

la organización se encuentra desctualizado y con un detalle debil con referente al ámbito

de ciber seguridad.

Se debe establecere la politica y el habito del usos de contraseñas robustas, se detectan

patrones de contraseña y claves por defecto de los fabricantes de los dispositivos.

Se debe establecer un sistema de monitoreo y bloqueo para accesos fallidos, se debe

registrar en los logs, la funcionalidad en los equipos de red actualmente se encuentra

deshabilitada.

Se recomienda la implementación del uso de herramientas para la gestión de claves.

Se recomienda incluir un sistema IDS (Intrusion Detection System) / IPS (Intrusion

Prevention System) junto con el Firewall. Actualmente el sistema no detecta ni previene la

intrusión de usuarios no autorizados.



Colombia.

Página | 198

Se debe configurar los puertos de red para limitar el número de puertos abiertos (tanto

físicos como lógicos) en equipos, elementos de la red y servidores.

Se debe desactivar los puertos físicos, USB y CD en aquellos equipos donde no se requiera

su uso.

Se recomienda de manera prioritaria la implementación de un Centro de Operaciones de

Red (NOC), con el objetivo de brindar visibilidad de la red de OT instalada en toda la

infraestructura de trasnmisión de energía eléctrica. Actualmente, no se cuenta conun

sistema de monitoreo de la red de comunicaciones OT, por lo que no se conoce el trafico

de la red, no se analiza el log de los equipos y no se detecta eventos de la red de

comunicaciones del sistema.

Se sugiere realizar una evaluación periódica del estado de ciber seguridad de los

dispositivos instalados en la infraestructura a nivel de laboratorio, donde se verifiquen e

identifiquen las vulnerabilades como se realizó en la sección 6.3, con el objetivo de generar

un plan de acción de mitigación o solución a las vulnerabilidades encontradas.



Colombia.

Página | 199

7. Conclusiones y Trabajos Futuros

Se construyó el normograma presentado en las Tablas 9 y 10 donde se muestra la

normativa y regulaciones colombianas vigentes orientadas al área de ciberseguridad en

infraestructura crítica y particularmente enfocado a su aplicabilidad en sistemas de

transmisión de energía eléctrica. Se observa adicionalmente como los cambios

tecnológicos van acompañados de los cambios de regulación y la manera en que estas

últimas se adaptan a partir de las amenazas que van naciendo, sin embargo, se detectó

que a nivel de infraestructuras críticas las resoluciones y normativas no van al ritmo en que

se requiere para estar preparados y cubiertos ante ciber ataques.

Se identificaron las instituciones que en Colombia están involucradas en el área de

Ciberseguridad para presentar al lector las posibles formas de actuar ante eventos e

incidentes en el sector eléctrico colombiano.

Se identificó los aspectos técnicos que inciden en el ámbito de ciberseguridad en la

infraestructura de transmisión de energía eléctrica a partir de información disponible, como

encuestas en el sector minero energético colombiano y referencias bibliográficas

consultadas, con las cuales se realizó el diagrama presentado en la Figura 24 donde se

presenta los 9 aspectos técnicos que de acuerdo a la investigación hecha y experiencia del

autor, son las que más afectación tienen en el sistema de transmisión de energía eléctrica

colombiano. Los nueve factores técnicos definidos son: responsabilidad de ciberseguridad

corporativa, sistemas de tecnologías avanzadas, normas y medidas de seguridad,

importancia de datos de aplicación, hardware y software, soluciones de TI en la industria,

operación en tiempo real, nivel adecuado de servicio y por último la interacción humana.

Con ayuda de los mecanismos y metodologías de evaluación de ciberseguridad que se

utilizan a nivel mundial, se definieron algunas características como las propiedades de

ciberseguridad, categorías de riesgo, tipo de riesgo, niveles de impacto y probabilidades de

ocurrencia. Las cuales se aplicaron en la metodología propuesta, tomando de diferentes



Colombia.

Página | 200

investigaciones aspectos significativos y que aportaron a la construcción de la metodología

de evaluación de vulnerabilidad realizada en éste trabajo.

Se analizaron los mecanismos y metodologías de evaluación de ciberseguridad en varios

países y en Colombia, encontrando que a nivel mundial se han propuesto normas y

recomendaciones que abordan aspectos organizativos y técnicos en el ámbito de

ciberseguridad. Sin embargo, metodologías para la cuantificación de vulnerabilidades no

fue el común de las investigaciones encontradas, en este aspecto en particular se han

profundizado en intrusión y detección de anomalías dirigidas a los sistemas SCADA. No

obstante, investigación orientada a subestaciones inteligentes todavía se encuentra en una

etapa temprana de desarrollo y no se refleja la implementación en los sistemas que

actualmente funcionan por lo menos en Colombia.

En el diseño de la metodología se desarrolló un modelo de funcionamiento del sistema de

transmisión de energía eléctrica desde la perspectiva de ciberseguridad presentado en la

Figura 35, que permitió conocer su funcionamiento y evidenciar los posibles vectores de

vulnerabilidad qué pueden presentarse en el sistema.

Dentro de la construcción de la metodología de evaluación de vulnerabilidad se elaboró la

arquitectura general de comunicación de sistemas de transmisión de energía eléctrica

mostrado en la Figura 36, donde se representan las comunicaciones y enlaces que se

pueden encontrar en sistemas reales, facilitando la comprensión del funcionamiento del

sistema.

Se estableció en la metodología de evaluación de vulnerabilidad, la identificación de tres

tipos de activos para el análisis, activos primarios, activos secundarios y activos terciarios.

Adicionalmente, se definió los posibles activos que se encuentran en los sistemas de

transmisión dependiendo de su topología eléctrica, funcionalidades y servicios tecnológicos

presentes en la instalación.

Se desarrolló el diagrama presentado en la Figura 43 para determinar el esquema de

comunicaciones, protocolos y aplicaciones presentes en el esquema de evaluación,



Colombia.

Página | 201

facilitando la identificación de puertos lógicos, aplicaciones y enlaces físicos requeridos y

permitidos que deben operar en el sistema en tiempo real.

En este trabajo se realizó una lista propia de vulnerabilidades que se presenta en la Tabla

15 con su respectiva clasificación y caracterización, que a criterio del autor y a partir de un

análisis detallado de los resultados obtenidos en las investigaciones desarrolladas en

(Hopkin, 2017), (Schlegel, Obermeier, & Schneider, 2016), (Santander, 2017), (Maglaras, y

otros, 2018), (Cano, 2017) se construyo con base a las metodologías consultadas, y las

cuales se pueden materializar en el sistema de transmisión de energía eléctrica colombiano.

Se desarrolló el método presentado en la Figura 44 para el proceso de evaluación de

vulnerabilidades de las redes de comunicación y aplicaciones de los sistemas de control,

protección, medida y monitoreo de las redes de transmisión de energía eléctrica, el cual

puede ser implementado en sistemas reales de operación y en escenarios de pruebas

controladas.

Como método de valoración de vulnerabilidad del sistema eléctrico, se elaboró la

metodología para el cálculo del indicador de vulnerabilidad operativa mostrado en la Figura

45, que cuantifica el impacto y los posibles eventos que causa a nivel funcional del sistema

de transmisión de energía eléctrica, la afectación de la subestación valorada.

Se desarrollaron las tablas de valoración para la evaluación de las vulnerabilidades que

permite cuantificar la vulnerabilidad del sistema, con el objeto de evaluar los controles que

permiten indirectamente valorar si el sistema se encuentra preparado y cubierto ante las

amenazas identificadas en la Tabla 15. Esto a partir del estado de los siete requisitos

técnicos en cuanto a vulnerabilidades cibernéticas y con el cálculo de cada una de las

variables definidas en la sección 5.3.

Se diseñó una metodología de evaluación de ciber vulnerabilidad denominada EVULCIB

presentada en la Figura 46, la cual representa la propuesta desarrollada para la evaluación

de ciber vulnerabilidades en sistemas de transmisión de energía eléctrica en operación en

el ámbito de ciberseguridad.



Colombia.

Página | 202

Dentro de las investigaciones realizadas no se encontró relaciones entre el sistema eléctrico

de potencia con los análisis de ciberseguridad y evaluaciones de vulnerabilidad, por lo que

en la metodología desarrollada se definió su relación con la creación de dos indicadores de

evaluación el Indicador de Vulnerabilidad Operativa (IVO) y el Indicador de Vulnerabilidad

del Sistema (IVS), con el propósito de conocer el impacto que tiene el sistema en relación

a las vulnerabilidades asociadas al mismo.

Se diseñaron indicadores de evaluación para el diagnóstico de vulnerabilidades, los cuales

pueden ser utilizados como criterios para la toma de decisiones y gestión de riesgos,

aplicando la metodología a entornos de ejecución en tiempo real y sistemas de operación

reales, representando la evolución en el cierre de brechas en la línea del tiempo que se

defina como plan de acción.

Se realizó la evaluación de la metodología propuesta mediante un estudio de caso en una

subestación ubicada en la ciudad de Bogotá y que hace parte del sistema de transmisión

nacional colombiano, encontrando varias oportunidades de mejoras y determinando la línea

base para futuras evaluaciones de ciber vulnerabilidades.

En el estudio de caso se encontraron varias vulnerabilidades que en su mayoría pueden

ser solucionadas con los equipos y la tecnología que actualmente se encuentran instalados

en el sistema.

En el estudio de caso se evidenció un bajo nivel de conocimiento del personal de las

puestas en servicio por parte de proveedores, en temas de las redes de comunicaciones

en las tecnologías de operación.

En el estudio de caso se demostró la importancia y la necesidad de implementar un NOC,

dado que actualmente no es posible monitorear, detectar ni prevenir ataques cibernéticos

en la infraestructura del agente evaluado.



Colombia.

Página | 203

Se observó en el caso de estudio que las mayores brechas en el ámbito de ciber

vulnerabilidades se presentan en la integridad del sistema, en la confidencialidad de los

datos y en los controles de identificación y autenticación como se muestra en la Figura 90.

Se propone realizar futuras investigaciones en el análisis de vulnerabilidades orientada a

subestaciones inteligentes y digitales.

La metodología desarrollada puede ser utilizada para realizar el diagnóstico del sistema en

operación y generar los indicadores del estado actual del mismo en tiempo real, sirviendo

como línea base para la valoración futura luego de la implementación de los planes de

acción que sean resultado de la aplicación y análisis de la metodología propuesta en este

trabajo.

8. Referencias

(2012). Cyber-Physical Systems (ICCPS), 2012 IEEE/ACM Third International Conference

on.

(2015). Control and Decision Conference (CCDC), 2015 27th Chinese.

A. Nicholson, S. Webber, S. Dyer, T. Patel, & H. Janicke. (2012). SCADAS security in the

light of Cyber-Warfare. Computers & Security, 31(4), págs. 418–436.

Aditya Ashok, Adam Hahn, & Manimaran Govindarasu. (2014). Cyber-physical security of

Wide-Area Monitoring, Protection and Control in a smart grid environment. Journal

of Advanced Research, 5(4), págs. 481–489.

Akdeniz, E., & Bağrıyanık, M. (2015). A new approach for terrorist attack vulnerability

evaluation of power transmission lines.

Alcaraz, C., & Zeadally, S. (2015). Critical infrastructure protection: Requirements and

challenges for the 21st century. International Journal of Critical Infrastructure

Protection, 8, págs. 53–66.

Allianz. (s.f.). Guía de verificación de seguridad cibernética. Obtenido de

https://www.allianz-fuer-

cybersicherheit.de/ACS/DE/Informationspool/CyberSicherheitsCheck/csc.html

Allianz. (s.f.). Semaforo de Vulnerabilidad.

Asensio, S., García, M., Valiente, J., & Zuluaga, D. (2018). Estudio sobre la Ciberseguridad

Industrial en Colombia (2 ed.). Colombia: Centro de Ciberseguridad Industrial,

www.cci-es.org.

B. A. Carreras, D. E. Newman, & I. Dobson. (2012). Determining the Vulnerabilities of the

Power Transmission System.



Colombia.

Página | 205

B. Karabacak, S. Ozkan, & N. Baykal. (2016). Regulatory approaches for cyber security of

critical infrastructures: The case of Turkey. Computer Law & Security Review.

Beyza, J., Yusta, J., Correa, G., & Ruiz, H. (2018). Vulnerability Assessment of a Large

Electrical Grid by New Graph Theory Approach. IEEE Latin America Transactions,

16(2), págs. 527–535.

Bulbul, R., Sapkota, P., Ten, C.-W., Wang, L., & Ginter, A. (2015). Intrusion evaluation of

communication network architectures for power substations. IEEE Transactions on

Power Delivery, 30(3), págs. 1372–1382.

C. S. Cho, W. H. Chung, & S. Y. Kuo. (2016). Cyberphysical Security and Dependability

Analysis of Digital Control Systems in Nuclear Power Plants. IEEE Transactions on

Systems, Man, and Cybernetics: Systems, 46(3), págs. 356–369.

Cano, J. (2017). La ventana de AREM. Una estrategia para anticipar los riesgos y amenazas

en ciberseguridad empresarial. ISACA JOURNAL, 5, págs. 1–5.

Castillo, J. (2018). Estableciendo Zonas y Conductos Según el estándar ISA99/IEC6443.

(Centro de Ciberseguridad Industrial, Productor) Obtenido de https://www.cci-

es.org/documents/10694/613683/Establecimientos+zonas+y+conductos.pdf/a479e

3db-81f4-43c1-b5d1-f9e5f7754bcf

CCOC. (2018). Comando Conjunto Cibernetico. Obtenido de https://www.ccoc.mil.co:

https://www.ccoc.mil.co/quienes_somos_funciones_deberes

CCP. (2018). Centro Cibernético Policial. Obtenido de https://caivirtual.policia.gov.co/:

https://caivirtual.policia.gov.co/

Cheminod, M., Durante, L., & Valenzano, A. (2013). Review of security issues in industrial

networks. (9(1):277-93).

Cherdantseva, Y., Burnap, P., Blyth, A., Eden, P., Jones, K., Soulsby, H., & Stoddart, K.

(2016). A review of cyber security risk assessment methods for 5SCADA6 systems.

Computers & Security, 56, págs. 1–27.



Colombia.

Página | 206

CNO, C. N. (2015). Guía de Ciberseguridad. Acuerdo No 788.

CNO, C. N. (2018). https://www.cno.org.co/. Obtenido de https://www.cno.org.co/:

https://www.cno.org.co/content/quienes-somos

colCERT. (2018). Grupo de Respuesta a Emergencias Cibernéticas de Colombia. Obtenido

de http://www.colcert.gov.co/: http://www.colcert.gov.co/

Congreso, C. (1994). Ley 142. Obtenido de http://www.alcaldiabogota.gov.co:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=2752

Congreso, C. (1994). Ley 143. Obtenido de https://www.minminas.gov.co:

https://www.minminas.gov.co/documents/10180/667537/Ley_143_1994.pdf/c2cfbd

a4-fe12-470e-9d30-67286b9ad17e

Congreso, C. (1999). Ley 527. Obtenido de https://www.procuraduria.gov.co:

https://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/

L-527-99.htm

Congreso, C. (2000). Ley 599. Obtenido de https://www.procuraduria.gov.co:

https://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/

Codigo_Penal_L-599-00.htm

Congreso, C. (2009). Ley 1273. Obtenido de https://www.mintic.gov.co:

https://www.mintic.gov.co/portal/604/articles-3705_documento.pdf

Congreso, C. (2011). Ley 1453. Obtenido de https://mintic.gov.co:

https://mintic.gov.co/portal/604/articles-3709_documento.pdf

Congreso, C. (2013). Ley 1621. Obtenido de http://wsp.presidencia.gov.co:

http://wsp.presidencia.gov.co/Normativa/Leyes/Documents/2013/LEY%201621%2

0DEL%2017%20DE%20ABRIL%20DE%202013.pdf

Correa, G., & Yusta, J. (2014). Structural vulnerability in transmission systems: Cases of

Colombia and Spain. Energy Conversion and Management, 77, págs. 408–418.



Colombia.

Página | 207

Council on Cyber Security. (2015). The Critical Security Controls. 2015, de Council on Cyber

Security.

CRC. (2015). Identificación de las posibles acciones regulatorias a implementar en materia

de Ciberseguridad.

CRC. (2018). Comisión de Regulación de Comunicaciones. Obtenido de

https://www.crcom.gov.co: https://www.crcom.gov.co/es/pagina/la-crc

CRC, C. d. (2011). Resolución 3066. Obtenido de https://www.crcom.gov.co:

https://www.crcom.gov.co/resoluciones/00003066.pdf

CRC, C. d. (2011). Resolución 3067. Obtenido de https://www.crcom.gov.co:

https://www.crcom.gov.co/recursos_user/Normatividad/Normas_Actualizadas/Res_

3067_Act_4807_15.pdf

CREG. (1994). Resolución CREG 055 de 1994. Obtenido de CREG:

http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-1994-

CRG94055

CREG. (1998). Resolución CREG 051 de 1998. Obtenido de CREG:

http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-1998-CREG051-

98#Resolución CREG 051-98 artículo 1?OpenDocument

CREG. (2014). Resolución CREG No. 004. Obtenido de

http://apolo.creg.gov.co/Publicac.nsf/1c09d18d2d5ffb5b05256eee00709c02/98be1

0fa78cdeee205257cf9007cc369?OpenDocument

CREG. (2018). Comisión de Regulación de Energía y Gas. Obtenido de

http://www.creg.gov.co/: http://181.118.158.10/index.php/es/creg/quienes-

somos/funciones

DeSmit, Z., Elhabashy, A., Wells, L., & Camelio, J. (2017). An approach to cyber-physical

vulnerability assessment for intelligent manufacturing systems. Journal of

Manufacturing Systems, 43, págs. 339–351.



Colombia.

Página | 208

DesRuisseaux, D. (2018). Practical Overview of Implementing IEC 62443 Security Levels in

Industrial Control Applications. Schneider Electric White Paper(PN SE-998-

20186845_GMA-US).

Dirección General de la Guardia General de España. (2006). CIBERTERRORISMO.

DNI. (2018). Dirección Nacional de Inteligencia. Obtenido de http://www.dni.gov.co:

http://www.dni.gov.co/index.php?idcategoria=52

DNP. (2011). CONPES 3701. Lineamientos De Política Para Ciberseguridad Y

Ciberdefensa.

Dong-Hoon Shin, Shibo He, & Junshan Zhang. (2014). Robust, Secure, and Cost-Effective

Design for Cyber-Physical Systems. IEEE Intelligent Systems, 29(1), págs. 66–69.

DPN. (2018). Departamento de Planeación Nacional. Obtenido de

https://www.dnp.gov.co/Paginas/inicio.aspx:

https://www.dnp.gov.co/DNP/Paginas/acerca-de-la-entidad.aspx

E. Widl, P. Palensky, P. Siano, & C. Rehtanz. (2014). Guest Editorial Modeling, Simulation,

and Application of Cyber-Physical Energy Systems. IEEE Transactions on Industrial

Informatics, 10(4), págs. 2244–2246.

F. Massacci, R. Ruprai, M. Collinson, & J. Williams. (2016). Economic Impacts of Rules-

versus Risk-Based Cybersecurity Regulations for Critical Infrastructure Providers.

IEEE Cyber Security for the Smart Grid.

Fiscalia. (2018). Fiscalia General de la Nación. Obtenido de https://www.fiscalia.gov.co:

https://www.fiscalia.gov.co/colombia/la-entidad/funciones/

G. Hug, & J. A. Giampapa. (2012). Vulnerability Assessment of AC State Estimation With

Respect to False Data Injection Cyber-Attacks. IEEE Transactions on Smart Grid,

3(3), págs. 1362–1370.



Colombia.

Página | 209

G. N. Ericsson. (2010). Cyber Security and Power System Communication #x2014;Essential

Parts of a Smart Grid Infrastructure. IEEE Transactions on Power Delivery, 25(3),

págs. 1501–1507.

George Loukas. (2015). 4 - Cyber-Physical Attacks on Industrial Control Systems. En G.

Loukas, Cyber-Physical Attacks (págs. 105–144). Boston: Butterworth-Heinemann.

George Loukas. (2015). 5 - Cyber-Physical Attack Steps. En G. Loukas, Cyber-Physical

Attacks (págs. 145–179). Boston: Butterworth-Heinemann.

Hahn, A., & Govindarasu, M. (2011). An evaluation of cybersecurity assessment tools on a

SCADA environment. IEEE Power and Energy Society General Meeting.

Hahn, A., Ashok, A., Sridhar, S., & Govindarasu, M. (2013). Cyber-physical security

testbeds: Architecture, application, and evaluation for smart grid. IEEE Transactions

on Smart Grid, 4(2), págs. 847–855.

Henry, M., & Haimes, Y. (2009). A comprehensive network security risk model for process

control networks. Sciencedirect Risk Anal, 29(2):223248.

Hopkin Paul (Ed.). (2017). Fundamentals of Risk Management (4 ed.). United States: Kogan

Page.

Hopkin, P. (2017). Fundamentals of Risk Management (4 ed.). (Hopkin Paul, Ed.) United

States: Kogan Page.

Hyunguk, Y., & Taeshik, S. (2015). Challenges and research directions for heterogeneous

cyber–physical system based on 5IEC6 61850: Vulnerabilities, security

requirements, and security architecture. Future Generation Computer Systems.

IEEE Grid Vision 2050 Reference Model. (2013). IEEE Grid Vision 2050 Reference Model,

págs. 1–15.

Ijeoma Onyeji, Morgan Bazilian, & Chris Bronk. (2014). Cyber Security and Critical Energy

Infrastructure. The Electricity Journal, 27(2), págs. 52–60.



Colombia.

Página | 210

Infante, C. (2010). Guía para la presentación de proyectos de investigación. Bogotá,

Colombia: Universidad Nacional de Colombia.

ISA, & IEC. (2018). ISA/IEC 62443 Series. (ISA, Productor) Obtenido de International

Society of Automation: https://www.isa.org/isa99/

J, C., D, L., & O, S. (2012). Criterios y consideraciones metodológicas y tecnológicas a tener

en cuenta en el diseño e implementación del protocolo iec 61850 en la

automatización y protección de sistemas de potencia eléctrica. Obtenido de

https://revistas.udistrital.edu.co/ojs/index.php/REDES/article/view/6405

J. D. McDonald. (2003). Substation automation. IED integration and availability of

information. IEEE Power and Energy Magazine, 1(2), págs. 22–31.

J. Liu, Y. Xiao, S. Li, W. Liang, & C. L. P. Chen. (2012). Cyber Security and Privacy Issues

in Smart Grids. IEEE Communications Surveys Tutorials, 14(4), págs. 981–997.

Jacek Jarmakiewicz, Krzysztof Parobczak, & Krzysztof Maślanka. (2017). Cybersecurity

protection for power grid control infrastructures. International Journal of Critical

Infrastructure Protection, 18, págs. 20–33.

K. Bhat, V. Sundarraj, S. Sinha, & A. Kaul. (2013). IEEE Cyber Security for the Smart Grid.

IEEE Cyber Security for the Smart Grid, págs. 1–122.

K. C. Sou, H. Sandberg, & K. H. Johansson. (2012). Detection and identification of data

attacks in power system.

Ley 1341. Ministerio de Tecnologías de la Información y las Comunicaciones. (s.f.).

Li Yang, Xiedong Cao, & Jie Li. (2015). A new cyber security risk evaluation method for oil

and gas 5SCADA6 based on factor state space. Chaos, Solitons & Fractals.

Liu, X., & Li, Z. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE

Transactions on Smart Grid, PP(99), pág. 1.

M. R. Gent, & L. P. Costantini. (2003). Reflections on security [power systems]. IEEE Power

and Energy Magazine, 1(1), págs. 46–52.



Colombia.

Página | 211

Maglaras, L., Kim, K.-H., Janicke, H., Ferrag, M., Stylianos, R., Fragkou, P., . . . Cruz, T.

(2018). Cyber security of critical infrastructures. ICT Express, 4(1), págs. 42–45.

Manuel Domínguez, Miguel A. Prada, Perfecto Reguera, Juan J. Fuertes, Serafín Alonso,

& Antonio Morán. (2017). Cybersecurity training in control systems using real

equipment**This work was supported by the Spanish Secretary of State for

Research, Development and Innovation (Ministry of Economy and Competitivity),

under grant UNLE13-3E-1578 of the National Programme for Fostering Excellence

in Scientific and Technical Research -FEDER funds, and by the Spanish National

Cybersecurity Institute (INCIBE), through the 17th Addendum of the Framework

Agreement between INCIBE and the University of León. IFAC-PapersOnLine, 50(1),

págs. 12179–12184.

Matthew, H., Ryan, M., Kevin, S., & Zaret, R. (2009). Evaluating the risk of cyber attacks on

SCADA systems via Petri net analysis with application to hazardous liquid loading

operations. Technologies for Homeland Security, 2009. HST '09. IEEE Conference

on(10790538).

Mike Burmester, Emmanouil Magkos, & Vassilis Chrissikopoulos. (2012). Modeling security

in cyber–physical systems. International Journal of Critical Infrastructure Protection,

5(3–4), págs. 118–126.

MINDEFENSA. (2012). Resolución 3933. Obtenido de

https://normativa.colpensiones.gov.co:

https://normativa.colpensiones.gov.co/colpens/docs/resolucion_mindefensa_3933_

2013.htm

MINDEFENSA. (2015). Ciberseguridad y Ciberdefensa: Una primera aproximación. 2015,

de Ministerio de Defensa Nacional de Colombia.

MINDEFENSA. (2018). https://www.mindefensa.gov.co. Obtenido de

https://www.mindefensa.gov.co:

https://www.mindefensa.gov.co/irj/portal/Mindefensa/contenido?NavigationTarget=

navurl://1494c44e2596646d35f4060084fd9b02



Colombia.

Página | 212

MININTERIOR. (2018). https://www.mininterior.gov.co/. Obtenido de

https://www.mininterior.gov.co/: https://www.mininterior.gov.co/el-

ministerio/funciones-y-deberes

MINMINAS. (2018). https://www.minminas.gov.co/. Obtenido de

https://www.minminas.gov.co/: https://www.minminas.gov.co/mision-y-vision

MINTIC. (2018). https://www.mintic.gov.co/portal/604/w3-channel.html. Obtenido de

https://www.mintic.gov.co/portal/604/w3-channel.html:

https://www.mintic.gov.co/portal/604/w3-propertyvalue-540.html

MINTIC. (2018). Resoluciòn 2007. Obtenido de https://normograma.mintic.gov.co:

https://normograma.mintic.gov.co/mintic/docs/r_mtic_2007_2018.pdf

Naiara Moreira, Elías Molina, Jesús Lázaro, Eduardo Jacob, & Armando Astarloa. (2016).

Cyber-security in substation automation systems. Renewable and Sustainable

Energy Reviews, 54, págs. 1552–1562.

NCCIC - National Cybersecurity and Communications Integration Center. (2016). ICS-CERT

Annual Assessment Report. Obtenido de ICS-CERT Annual Assessment

ReportIndustrial Control Systems Cyber Emergency Response Team: https://ics-

cert.us-

cert.gov/sites/default/files/Annual_Reports/FY2016_Industrial_Control_Systems_A

ssessment_Summary_Report_S508C.pdf

NCCIC - National Cybersecurity and Communications Integration Center. (2018). ICS-CERT

Monitor. Obtenido de https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-

CERT_Monitor_Nov-Dec2017_S508C.pdf

NCCIC - National Cybersecurity and Communications Integration Center. (s.f.). Definicion

de Actores Cirminales. Obtenido de https://ics-cert.us-cert.gov/content/cyber-threat-

source-descriptions

NERC, C. (2018). North American Electric Reliability Corporation (NERC), Critical

Infrastructure Protection (CIP) Standards.



Colombia.

Página | 213

NIST. (2015). Guide to Industrial Control Systems (ICS) Security. Special Publication 800-

82, SP 800-82 Rev. 2 (May 2015)., Rev. 2. National Institute of Standards and

Technology.

Patel S, Graham J, & Ralston P. (2008). Quantitatively assessing the vulnerability of critical

information systems: a new method for evaluating security enhancements.

International Journal of Information Management, 28(6), págs. 483–491.

Pathan, A.-S. K. (2014). The state of the art in intrusion prevention and detection. CRC

press.

Plan de expansión de referencia Generación - Transmisión 2016-2030. (s.f.).

Plan de Expansión de Referencia Generación - Transmisión 2017-2031. (2018).

Presidencia, R. d. (2012). Decreto 2758. Obtenido de http://www.funcionpublica.gov.co:

http://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=67870

R. Schainker, J. Douglas, & T. Kropp. (2006). Electric utility responses to grid security

issues. IEEE Power and Energy Magazine, 4(2), págs. 30–37.

Ravi Akella, Han Tang, & Bruce M. McMillin. (2010). Analysis of information flow security in

cyber–physical systems. International Journal of Critical Infrastructure Protection,

3(3–4), págs. 157–173.

Resolución CREG 082 de 2002. (2002). Obtenido de CREG:

http://apolo.creg.gov.co/Publicac.nsf/Indice01/Resoluci%C3%B3n-2002-CREG082-

2002

S. M. Amin. (2010). Electricity infrastructure security: Toward reliable, resilient and secure

cyber-physical power and energy systems.

S. Peisert, & J. Margulies. (2014). Closing the Gap on Securing Energy Sector Control

Systems [Guest editors’ introduction]. IEEE Security Privacy, 12(6), págs. 13–14.

S. Sridhar, A. Hahn, & M. Govindarasu. (2012). Cyber-2013;Physical System Security for

the Electric Power Grid. Proceedings of the IEEE, 100(1), págs. 210–224.



Colombia.

Página | 214

Santander, M. (2017). Entendiendo los sistemas SCADA. Boletin CIBERESPACIO, 1(1),

págs. 32–39.

Schlegel, R., Obermeier, S., & Schneider, J. (2016). A security evaluation of IEC 62351.

Sciencedirect.

Siemens. (2016). Ciber Security Siemens.

Song J, Lee J, Lee C, Kwon K, & Lee D. (2012). A cyber security risk assessment for the

design of I&C Systems in nuclear power plants. Korean Nuclear Society, 44(8), págs.

919–928.

Ten, C.-W. b., Govindarasu, M. b., & Liu, C.-C. b. (2007). Cybersecurity for electric power

control and automation systems. Conference Proceedings - IEEE International

Conference on Systems, Man and Cybernetics.

Ten, C.-W., Manimaran, G., & Liu, C.-C. (2010). Cybersecurity for critical infrastructures:

Attack and defense modeling. IEEE Transactions on Systems, Man, and Cybernetics

Part A:Systems and Humans, 40(4), págs. 853–865.

Thomson. (2015). High Integrity Systems and Safety Management in Hazardous Industries.

Butterworth-Heinemann.

UPME. (2018). Unidad de Planeación Minero Energética. Obtenido de

http://www1.upme.gov.co:

http://www1.upme.gov.co/Entornoinstitucional/NuestraEntidad/Paginas/Quienes-

Somos.aspx

V. Ananda Kumar, Krishan K. Pandey, & Devendra Kumar Punia. (2014). Cyber security

threats in the power sector: Need for a domain specific regulatory framework in India.

Energy Policy, 65, págs. 126–133.

V. Urias, B. Van Leeuwen, & B. Richardson. (2012). Supervisory Command and Data

Acquisition (SCADA) system cyber security analysis using a live, virtual, and

constructive (LVC) testbed.



Colombia.

Página | 215

Woo, P., & Kim, B. (2014). A Study on Quantitative Methodology to Assess Cyber Security

Risk of SCADA Systems. Advanced Materials Research, 960-961, págs. 1602–

1611.

X. Liu and M. Shahidehpour and Z. Li and X. Liu and Y. Cao and Z. Li. (2017). Power System

Risk Assessment in Cyber Attacks Considering the Role of Protection Systems.

IEEE Transactions on Smart Grid, 8(2).

X. Liu, & Z. Li. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE


X. Liu, & Z. Li. (2015). Trilevel Modeling of Cyber Attacks on Transmission Lines. IEEE


X. Wei, J. Zhao, T. Huang, & E. Bompard. (2018). A Novel Cascading Faults Graph Based

Transmission Network Vulnerability Assessment Method. IEEE Transactions on

Power Systems, 33(3), págs. 2995–3000.

Yang, Y., Xu, H. Q., Gao, L., Yuan, B., McLaughlin, K., & Sezer, S. (2017). Multidimensional

Intrusion Detection System for IEC 61850-Based SCADA Networks. IEEE

Transactions on Power Delivery, 32(2), págs. 1068–1078.

Yu, J., Mao, A., & Guo, Z. (2006). Vulnerability assessment of cyber security in power

industry. IEEE Power systems conference and exposition, Article number 4076075,

Pages 2200-2205.

Zhang, Y., Wang, L. b., Xiang, Y. b., & Ten, C.-W. (2015). Power System Reliability

Evaluation With SCADA Cybersecurity Considerations. IEEE Transactions on Smart

Grid, 6(4), págs. 1707–1721.

Zhu, Y., Yan, J., Tang, Y., Sun, L., & He, H. (2015). Joint Substation-Transmission Line

Vulnerability Assessment Against the Smart Grid. IEEE Transactions on Information

Forensics and Security, 10(5), págs. 1010–1024.

Zio, E. (2016). Challenges in the vulnerability and risk analysis of critical infrastructures.

ELSEVIER.



Colombia.

Página | 216