Autor: Leopoldo Ferrer Especialista en Sistemas ICS/SCADAESPAÑA

No voy a descubrir nada nuevo diciendo la importancia que tiene la ciberseguridad en una instalación industrial.

Si te dedicas a la automatización, puede que no seas un especialista en ciberseguridad, pero si puedes implementar medidas simples que ayuden a mejorar el nivel de seguridad de una instalación.

Uno de los mayores problemas de los entornos OT son la gestión de las contraseñas. En equipos industriales suelen dejarse las contraseñas por defecto que traen los fabricantes de los equipos. Las prisas y/o desconocimiento de las consecuencias suelen ser las causas.

No es complicado saber la contraseña por defecto de un equipo. Sólo hay que poner en Google, en el buscador, el nombre del equipo y añadir detrás «default password». Seguramente en los 5 primeros resultados aparecerá lo que estás buscando.

Reconozco que es un rollo, tener que escribir una contraseña cada vez que te conectas a algo, pero es vital a la hora de prevenir un incidente, o por lo menos poderlo contener.

Recordad:
«Todos los equipos que estén conectados a una red industrial deben tener un password y que no sea el password por defecto.»

Esto se debería aplicar a todo nivel, desde PLCs, switches, pasarelas de comunicación, etc.
Puede parecer algo innecesario, pero os garantizo, que no lo es. Evidentemente el nuevo password tiene que ser robusto e intentar no usar en mismo password en toda la instalación y todos los equipos. Un equipo comprometido, si todo tiene el mismo password, compromete toda la red.

Cómo la memoria de todos no es la misma, existen aplicaciones gratuitas para gestionar passwords como KeePass, que permiten almacenar las contraseñas en un fichero cifrado con una contraseña maestra.

Hace años, un cliente tenía unos PLCs fuera de sus instalaciones con un router 3G conectado a Internet. El router sin tunelar (sin VPN, a pesar de que lo permitía), mal, el password del router por defecto, peor, y los PLCs sin contraseña ninguna, desastre inminente. No voy a explicar lo que ocurrió, porque me imagino que os lo imagináis, esto tampoco salió en prensa. Le comenté la situación a un compañero el estado de esto y me comentó «quién va tener el software del PLC x» y mi respuesta fue «en serio, piensas que solo lo tenemos nosotros, ¿quieres que te haga una lista?»

En resumen, podéis hacer lo que queráis, pero ya no podéis decir que nadie os advirtió.