Vulnerabilidades y ciberseguridad en sistemas SCADA: Análisis de riesgos y estrategias de protección en infraestructuras críticas
DOI:
https://doi.org/10.56048/MQR20225.9.1.2025.e289Palabras clave:
Ciberseguridad; sistemas SCADA; infraestructuras críticas; vulnerabilidades SCADA; seguridad de redes; gestión de riesgosResumen
Los sistemas SCADA (Supervisory Control and Data Acquisition) son fundamentales en infraestructuras críticas como energía, agua y transporte. Sin embargo, su creciente interconexión con redes corporativas e internet ha incrementado su vulnerabilidad a ciberataques. Las principales debilidades incluyen autenticación débil, uso de protocolos obsoletos y falta de segmentación de redes, facilitando accesos no autorizados y ataques de denegación de servicio (DoS). La explotación de estas vulnerabilidades puede provocar interrupciones del servicio, daños físicos y riesgos económicos y de seguridad. Este estudio emplea una revisión sistemática basada en la metodología PRISMA para analizar la literatura científica sobre vulnerabilidades en SCADA. Se consultaron bases de datos académicas como IEEE Xplore y Scopus, aplicando criterios de inclusión y exclusión para seleccionar estudios relevantes publicados entre 2009 y 2024. El análisis identificó vulnerabilidades críticas como configuraciones inseguras, protocolos sin cifrado, mala gestión de actualizaciones y errores humanos, afectando la seguridad y continuidad de infraestructuras críticas. Para mitigar estos riesgos, se proponen soluciones como segmentación de red, autenticación multifactor, cifrado de comunicaciones, detección de intrusos y actualización continua de software, junto con estrategias de gestión como evaluaciones de riesgo y capacitación en ciberseguridad. En conclusión, la protección de los sistemas SCADA requiere un enfoque integral que combine tecnologías avanzadas y gestión estratégica. La modernización de infraestructuras, el compromiso organizacional y la capacitación del personal son claves para fortalecer la resiliencia ante amenazas cibernéticas emergentes.
Descargas
Métricas
Cited
DOI: 10.56048
Citas
Altaleb, H., & Zoltan, R. (2024). A Comprehensive Analysis and Solutions for Enhancing SCADA Systems Security in Critical Infrastructures. ICCC 2024 - IEEE 11th International Conference on Computational Cybernetics and Cyber-Medical Systems, Proceedings, 247–252. https://doi.org/10.1109/ICCC62278.2024.10582956
Anabalón, J. *, & Donders, E. (2014). Seguridad en Sistemas SCADA un Acercamiento Práctico a Través de EH e ISO 27001:2005.
Asghar, M. R., Hu, Q., Zeadally, S., & Rizwan Asghar, M. (2019). Cybersecurity in Industrial Control Systems: Issues, Technologies, and Challenges.
Asiri, M., Saxena, N., Gjomemo, R., & Burnap, P. (2023). Understanding Indicators of Compromise against Cyber-attacks in Industrial Control Systems: A Security Perspective. ACM Transactions on Cyber-Physical Systems, 7(2). https://doi.org/10.1145/3587255
Assante, M. J., & Lee, R. M. (2015). The Industrial Control System Cyber Kill Chain. www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
Candell Jr., R., Zimmerman, T. A., & Stouffer, K. A. (2015). An Industrial Control System Cybersecurity Performance Testbed. https://doi.org/10.6028/NIST.IR.8089
Çetinkaya, Ş., & Terzi, S. (2024). Analysing The Effects of Cyber Security on National Security From A Realist Perspective: “Stuxnet” Example. Cost of a Data Breach Report 2024. (2024).
Dagoumas, A. (2019). Assessing the Impact of Cybersecurity Attacks on Power Systems. Energies 2019, Vol. 12, Page 725, 12(4), 725. https://doi.org/10.3390/EN12040725
Dickson, S. M., & OKECHUKWU, I. P. (2023). Cyber Security in the Age of the Internet of Things, Constraints, and Solutions. JOURNAL OF DIGITAL LEARNING AND DISTANCE EDUCATION, 2(11), 829–837. https://doi.org/10.56778/JDLDE.V2I11.233
Dimitrov, W., & Syarova, S. (2019). Analysis of the Functionalities of a Shared ICS Security Operations Center. 2019 Big Data, Knowledge and Control Systems Engineering, BdKCSE 2019. https://doi.org/10.1109/BDKCSE48644.2019.9010607
Elhady, A. M., El-Bakry, H. M., & Abou Elfetouh, A. (2019). Comprehensive Risk Identification Model for SCADA Systems. Security and Communication Networks, 2019(1), 3914283. https://doi.org/10.1155/2019/3914283
Fajardo Rosas, F. A. (2014). Implementación de Políticas de Seguridad en los Sistemas SCADA. Instname:Universidad Piloto de Colombia. http://repository.unipiloto.edu.co/handle/20.500.12277/2983
Fernandez De Arroyabe, I., Arranz, C. F. A., Arroyabe, M. F., & Fernandez de Arroyabe, J. C. (2023). Cybersecurity capabilities and cyber-attacks as drivers of investment in cybersecurity systems: A UK survey for 2018 and 2019. Computers & Security, 124, 102954. https://doi.org/10.1016/J.COSE.2022.102954
Humayed, A., Lin, J., Li, F., & Luo, B. (2017). Cyber-Physical Systems Security -- A Survey. http://arxiv.org/abs/1701.04525
Izycki, E., & Vianna, E. W. (2021). Critical Infrastructure: A Battlefield for Cyber Warfare? https://doi.org/10.34190/IWS.21.011
Jyothsna, V., & Prasad, K. M. (2019). Anomaly-Based Intrusion Detection System. www.intechopen.com
Knowles, W., Prince, D., Hutchison, D., Disso, J. F. P., & Jones, K. (2015). A survey of cyber security management in industrial control systems. International Journal of Critical Infrastructure Protection, 9, 52–80. https://doi.org/10.1016/J.IJCIP.2015.02.002
Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security and Privacy, 9(3), 49–51. https://doi.org/10.1109/MSP.2011.67
McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The Cybersecurity Landscape in Industrial Control Systems. Proceedings of the IEEE, 104(5), 1039–1057. https://doi.org/10.1109/JPROC.2015.2512235
Men, J., Lv, Z., Zhou, X., Han, Z., Xian, H., & Song, Y. N. (2020). Machine learning methods for industrial protocol security analysis: Issues, taxonomy, and directions. IEEE Access, 8, 83842–83857. https://doi.org/10.1109/ACCESS.2020.2976745
Morris, T., & Gao, W. (2014). Industrial control system traffic data sets for intrusion detection research. In IFIP Advances in Information and Communication Technology (Vol. 441).
NCCIC y ICS-CERT. (2016). ICS-CERT Annual Assessment Report.
Nist. (2017). Title: Cybersecurity Framework Manufacturing Profile. https://doi.org/10.6028/NIST.IR.8183
Page, M. J., McKenzie, J. E., Bossuyt, P. M., Boutron, I., Hoffmann, T. C., Mulrow, C. D., Shamseer, L., Tetzlaff, J. M., Akl, E. A., Brennan, S. E., Chou, R., Glanville, J., Grimshaw, J. M., Hróbjartsson, A., Lalu, M. M., Li, T., Loder, E. W., Mayo-Wilson, E., McDonald, S., … Moher, D. (2021). The PRISMA 2020 statement: An updated guideline for reporting systematic reviews. The BMJ, 372. https://doi.org/10.1136/BMJ.N71
Pliatsios, D., Sarigiannidis, P., Lagkas, T., & Sarigiannidis, A. G. (2020). A Survey on SCADA Systems: Secure Protocols, Incidents, Threats and Tactics. IEEE Communications Surveys and Tutorials, 22(3), 1942–1976. https://doi.org/10.1109/COMST.2020.2987688
Rahimpour, H., Tusek, J., Musleh, A. S., Liu, B., Abuadbba, A., Phung, T., & Seneviratne, A. (2024). A Review of Cybersecurity Challenges in Smart Power Transformers. IEEE Access. https://doi.org/10.1109/ACCESS.2024.3518494
Rosborough, C., Gordon, C., & Waldron, B. (2019). All About Eve: Comparing DNP3 Secure Authentication With Standard Security Technologies for SCADA Communications.
Sabillón, R., & Cano, J. J. (2019). Auditorías en Ciberseguridad: Un modelo de aplicación general para empresas y naciones. https://doi.org/10.17013/risti.32.33-48
Saif Qassim, Q., Jamil1, N., Jidin, R., Rusli1, M. E., Nabil, M., Zawawi1, A., Jamaludin, Z., Reza Z’aba, M., Azlan, W., & Kamarulzaman, W. (2018). A review: towards practical attack taxonomy for industrial control systems. International Journal of Engineering & Technology, 7(2), 145–152.
Sans Institute. (2021). A SANS 2021 Survey: OT/ICS CybersecurityExecutive Summary. www.cisa.gov/critical-infrastructure-sectors
Sekonya, N., & Sithungu, S. (2023). An Analysis of Critical Cybersecurity Controls for Industrial Control Systems.
Serror, M., Hack, S., Henze, M., Schuba, M., & Wehrle, K. (2021). Challenges and Opportunities in Securing the Industrial Internet of Things. IEEE Transactions on Industrial Informatics, 17(5), 2985–2996. https://doi.org/10.1109/TII.2020.3023507
Stouffer, K., Pease, M., Tang, C., Zimmerman, T., Pillitteri, V., Lightman, S., Hahn, A., Saravia, S., Sherule, A., & Thompson, M. (2023a). NIST Special Publication NIST SP 800-82r3 Guide to Operational Technology (OT) Security. https://doi.org/10.6028/NIST.SP.800-82r3
Stouffer, K., Pease, M., Tang, C., Zimmerman, T., Pillitteri, V., Lightman, S., Hahn, A., Saravia, S., Sherule, A., & Thompson, M. (2023b). Withdrawn NIST Technical Series Publication Warning Notice Withdrawn Publication Series/Number NIST Special Publication (SP) 800-82 Revision 2 Title Guide to Industrial Control Systems (ICS) Security Publication Date(s) Superseding Publication(s) (if applicable) Series/Number NIST SP 800-82r3 (Revision 3) Title Guide to Operational Technology (OT) Security Additional Information (if applicable). https://doi.org/10.6028/NIST.SP.800-82r3
Symantec. (2018). ISTR Internet Security Threat Report Volume 23.
Tatipatri, N., & Arun, S. L. (2024). A Comprehensive Review on Cyber-Attacks in Power Systems: Impact Analysis, Detection, and Cyber Security. IEEE Access, 12, 18147–18167. https://doi.org/10.1109/ACCESS.2024.3361039
Trim, P., & Lee, Y. I. (2022). Strategic cyber security management. Strategic Cyber Security Management, 1–248. https://doi.org/10.4324/9781003244295
Von, H., & Hoff, J. (2021). Creating Attack Graphs for Adversary Emulation, Simulation and Purple Teaming in Industrial Control System (ICS) Environments.
Xu, L., Wang, B., Wu, X., Zhao, D., Zhang, L., & Wang, Z. (2022). Detecting Semantic Attack in SCADA System: A Behavioral Model Based on Secondary Labeling of States-Duration Evolution Graph. IEEE Trans. Netw. Sci. Eng., 9(2), 703–715. https://doi.org/10.1109/TNSE.2021.3130602
Yigit, Y., Ferrag, M. A., Sarker, I. H., Maglaras, L. A., Chrysoulas, C., Moradpoor, N., & Janicke, H. (2024). Critical Infrastructure Protection: Generative AI, Challenges, and Opportunities. https://doi.org/10.1109/ACCESS.2017.DOI
Zhu, Q., Zhang, G., Luo, X., & Gan, C. (2023). An industrial virus propagation model based on SCADA system. Information Sciences, 630, 546–566. https://doi.org/10.1016/j.ins.2022.12.119
Publicado
Cómo citar
Número
Sección
Categorías
Licencia
Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.
®
Los autores se comprometen a respetar la información académica de otros autores, y a ceder los derechos de autor a la Revista MQRInvestigar, para que el artículo pueda ser editado, publicado y distribuido. El contenido de los artículos científicos y de las publicaciones que aparecen en la revista es responsabilidad exclusiva de sus autores. La distribución de los artículos publicados se realiza bajo una licencia 
