Volver al blog
Seguridad Industrial

Estaciones de ingeniería y HMI: el punto de control que más riesgo concentra en OT

Las estaciones de ingeniería y los servidores HMI concentran privilegios, software heredado y acceso directo a PLC y SCADA. Si no están endurecidos, el resto de controles OT pierde fuerza.

Roger
#OT#HMI#estación de ingeniería#PLC#IEC 62443#SCADA

Estaciones de ingeniería y HMI: el punto de control que más riesgo concentra en OT

En muchas plantas, la conversación sobre ciberseguridad OT gira alrededor de la segmentación o el acceso remoto. Pero hay un activo que suele decidir cuánto daño puede hacer un atacante: la estación de ingeniería. Desde ahí se cargan lógicas a PLC, se cambian parámetros y se supervisa la operación.

Por qué son objetivos tan valiosos

Una estación de ingeniería no es un PC cualquiera. Suele incluir software del fabricante, credenciales con privilegios altos, acceso a varios segmentos y conectividad directa con PLC, RTU o controladores de seguridad. También suele mantener correo, navegación web o soporte remoto. Es demasiado poder en un solo punto.

Stuxnet dejó esa lección hace más de una década. No atacó las centrifugadoras desde internet. Entró por estaciones Windows y manipuló la lógica de PLC Siemens. Triton, en 2017, volvió a señalar el mismo problema al comprometer la estación usada para interactuar con el sistema instrumentado de seguridad. Si controlas el puesto desde el que se programa o supervisa el proceso, ya estás cerca del proceso físico.

Cómo se comprometen en la práctica

El camino suele ser bastante vulgar. Un integrador conecta su portátil para hacer una modificación urgente. Un ingeniero usa una memoria USB con un proyecto exportado desde otra instalación. Un servidor HMI depende de una versión antigua de Windows que no puede parchearse con la cadencia de IT. También es común encontrar estaciones unidas al dominio corporativo, cuentas locales compartidas y antivirus configurado para no interferir con aplicaciones críticas.

Ese contexto convierte a la estación de ingeniería en un puente entre mundos. Un ransomware que en IT solo cifraría archivos puede acabar afectando a SCADA, historiadores o repositorios de proyectos. Un atacante con credenciales robadas puede cambiar parámetros, interrumpir comunicaciones o cargar una lógica no autorizada. No hace falta un actor estatal. Basta una mala cadena de decisiones.

Controles que sí cambian el riesgo

Aquí hace falta disciplina operativa.

  1. Separación real de funciones: la estación de ingeniería no debería usarse para correo, navegación libre ni tareas ofimáticas. Si es posible, tampoco debe tener salida directa a internet.
  2. Control de aplicaciones y USB: allowlisting, bloqueo por defecto de soportes extraíbles y escaneo en una estación intermedia reducen gran parte de la superficie de entrada.
  3. Cuentas nominales y privilegios mínimos: nada de usuarios genéricos como "ingenieria" o "mantenimiento". Cada cambio debe quedar asociado a una persona concreta y, si interviene un proveedor, a una ventana temporal aprobada.
  4. Backups útiles y golden images: no basta con copiar carpetas. Hay que poder reconstruir rápido una estación comprometida y verificar que el proyecto cargado en PLC coincide con la versión aprobada.
  5. Acceso por jump server: si un tercero necesita entrar, que lo haga por una zona intermedia con MFA, registro de sesión y restricción de destino.

Qué exigen IEC 62443, NIS2 y NERC CIP

IEC 62443 no trata estas estaciones como una nota al pie. IEC 62443-3-3 y 62443-2-1 insisten en control de acceso, hardening, gestión de cuentas, registro de eventos y segmentación por zonas y conductos. La lógica es simple: los activos capaces de cambiar el proceso requieren más control que los equipos que solo consumen información.

NIS2 aprieta en la misma dirección desde el plano regulatorio. Pide gestión de riesgos, control de accesos, respuesta a incidentes y seguridad en la cadena de suministro. Si tu estación depende de software de un integrador, acceso remoto del fabricante y un sistema operativo fuera de soporte, el problema ya no es solo técnico. También es de gobierno y de cumplimiento. NERC CIP lleva años marcando un criterio parecido en el sector eléctrico.

La prueba que conviene hacer antes del próximo cambio

Antes de la siguiente parada o modificación de lógica, conviene hacerse una pregunta incómoda: si hoy comprometieran una estación de ingeniería, ¿podrías detectar el cambio, reconstruir el equipo y demostrar qué PLC o HMI quedaron tocados?

Si la respuesta es dudosa, ya sabes dónde está el cuello de botella.

¿Quieres revisar el nivel de exposición de tus estaciones de ingeniería y HMI? Contacta con nosotros y lo vemos con criterio técnico.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos