Comunicaciones Wi-Fi en SCI

Fecha de publicación 06/06/2024
Autor
INCIBE (INCIBE)
Imagen de planta de una fábrica

La implantación de redes inalámbricas en los entornos industriales resuelve problemas de interoperabilidad entre dispositivos pero, como ocurre siempre que añadimos nuevos elementos en nuestro ecosistema, pueden surgir nuevas problemáticas que debemos tener en cuenta. En el caso de las comunicaciones wifi es importante, no sólo la parte de ciberseguridad, sino la propia disponibilidad de las redes desplegadas. Dado que los despliegues son ejecutados bajo entornos industriales, como almacenes, accesos entre puestos de control y máquinas, dispositivos desplegados por proveedores o mantenedores para la ejecución de sus tareas, etc., es necesario controlar algunos aspectos como:

  • Rendimiento del alcance que posee el punto de acceso que emite la red wifi. Se trata de la distancia máxima a la que un dispositivo cliente puede mantener una conexión wifi estable y confiable con el punto de acceso inalámbrico. Aunque no es muy frecuente encontrar redes wifi que permitan un acceso directo a las redes industriales, en ocasiones estas se detectan y podrían ser alcanzables incluso desde fuera de las instalaciones de la organización. Dado que la tecnología está en constante cambio, al igual que les técnicas ofensivas aplicadas sobre la misma, se recomienda que el rango de acción que tiene el punto de acceso esté controlado para evitar posibles ataques continuos sobre las redes.
  • Bandas de trabajo y canales disponibles, los entornos industriales suelen caracterizarse por la gran cantidad de tecnologías presentes bajo un mismo espacio y, por ello, es necesario controlar bandas de frecuencia a las que trabajan las tecnologías de comunicación y otros elementos que puedan influir en las mismas. A nivel wifi, será necesario controlar la banda 2,4 GHz que posee 13 canales y la banda de 5GHz que ofrece más canales en comparación con la banda de 2,4 GHz llegando a un total de 25 canales disponibles. También es importante controlar la región geográfica donde se despliega la tecnología wifi ya que, por ejemplo, en Estados Unidos solo se utilizan 11 de los canales relacionados con la banda 2,4 GHz debido a restricciones regulatorias que limitan el uso de los canales 12 y 13.
  • Pérdidas de señales por una serie de elementos presentes en la planta industrial donde se despliegan las redes wifi. Algunos de estos elementos son:
    • Distancia entre el punto de acceso y los activos que interactúan en la red wifi. Cuanto más lejos esté un dispositivo cliente del punto de acceso (dispositivo que genera la red wifi), más débil será la señal wifi y más propensa será a una pérdida en las comunicaciones.
    • Obstáculos físicos como paredes, máquinas industriales, elementos móviles, etc. presentes en las plantas industriales y que pueden atenuar la señal wifi, causando pérdida de señal.
    • Interferencia electromagnética la cantidad de dispositivos presentes en una planta industrial que podrían operar en la misma banda de frecuencia como pistolas lectoras de códigos de barras, dispositivos de transmisión de vídeo dentro de máquinas para analizar la producción, etc. 
    • Problemas de interferencia interna: los dispositivos electrónicos defectuosos o el funcionamiento incorrecto de componentes, dentro del activo que funciona como punto de acceso o del dispositivo cliente, pueden provocar interferencia interna y pérdida de señal. Este punto es interesante ya que en muchas ocasiones los responsables de producción o de la planta industrial en general se enfrentan a problemáticas relacionadas con el hardware que poseen afectación a nivel lógico.

Existen más problemáticas relacionadas con el despliegue de comunicaciones wifi en entornos industriales pero los puntos comentados cubren las principales problemáticas.

Medidas de protección y buenas prácticas

A la hora de proteger las redes wifi de potenciales atacantes en los entornos industriales, será necesario tener presente una serie de características relacionadas con la afinación del estándar de comunicaciones wifi, la configuración que poseen los dispositivos presentes en la propia red y el entorno que rodea a todos los elementos anteriormente comentados. Como buenas prácticas se recomienda:

  • Coordinación de equipos: poseer procedimientos internos para poner en conocimiento de los responsables, tanto de la planta, como de otros departamentos del despliegue a ejecutar. Es común que en ocasiones proveedores o mantenedores industriales realicen un despliegue y sólo posean un contacto en la organización industrial pero quizás este contacto no es el único que debería conocer el despliegue que se va a efectuar. En este caso el punto guarda relación con el hecho de si no se conoce el entorno, no será posible protegerlo de forma adecuada.
  • Control a nivel de alcance: restringir el alcance de la red wifi para que esta no se propague más allá de las instalaciones industriales permitirá a la organización evitar ataques de proximidad. Este vector de ataque está contemplado en la matriz de MITRE ICS como la táctica Initial Access y la técnica Wireless Compromise (ID: T0860). Un ejemplo real de este vector de ataque puede consultarse en el artículo Amenazas en los Sistemas de Control Industrial (planta de tratamiento de aguas de Maroochy).
  • Ciberseguridad a nivel de protocolo: la aplicación de un cifrado robusto con soporte por todos los activos implicados en la comunicación wifi permitirá el intercambio de información de forma segura. Aunque la tecnología de comunicaciones wifi se encuentra estrechamente relacionada con el mundo de las tecnologías de la información es necesario entender que las problemáticas presentes en esta a nivel de ciberseguridad afectaran a los despliegues en la parte industrial.
  • Bastionado de los activos presentes en la red wifi: tanto en el dispositivo que actúa como punto de acceso, como en los dispositivos industriales que se conecten a la red, será importante el bastionado de configuración y comunicaciones. Algunas configuraciones de seguridad, como el filtrado MAC o la ocultación de SSID (identificador de red), pueden dar una falsa sensación de seguridad ya que existen técnicas bastante extendidas para saltar este tipo de restricciones. Además, la instalación de dispositivos que funcionan como puntos de acceso ha de ser controlada ya que a la gestión del dispositivo puede verse comprometida, tanto por medio cableado, como por medio inalámbrico si no se filtra y restringe el acceso.

Conclusiones

A la hora de desplegar una red wifi en los entornos industriales es importante valorar todas las opciones previas posibles ya que la señal que emiten los puntos de acceso puede verse atenuada o directamente denegada en algunos escenarios. La disponibilidad es un pilar fundamental en la industria, por lo que este factor siempre ha de tenerse en cuenta a la hora de desplegar cualquier tecnología en un entorno industrial. También es importante controlar los niveles de alcance que poseen las redes y aplicar todas las medidas de ciberseguridad soportadas por los activos dentro de las mismas.

Finalmente, segmentar de forma correcta, restringiendo los flujos de comunicación entre redes inalámbricas y cableadas, permitirá a la organización industrial tener un mayor control de las comunicaciones, pudiendo monitorizar las mismas en busca de potenciales anomalías.

Etiquetas