 Bueno, buenos días. Soy Don Calcorta, consultor de comunicaciones y fibroseguridad en la empresa ZICON, perteneciente a Grupo Electra. Somos partners de Siemens y primero dar la gracias a Joaquín por invitarnos a participar en esta jornada y al Centro Formativo por montarnos todo esto y prepararnos esta jornada. Me imagino, no sé qué conocimientos o qué asignaturas estáis dando. Buenos días. La idea de esto es daros unos conceptos sobre la ciberseguridad en el mundo industrial y explicar las pequeñas diferencias que hay con la ciberseguridad en el mundo IT. Yo soy informático, vengo del mundo de IT y soy un industrial reconvertido, ¿vale? Entonces, saber que desde hace unos años la revolución industrial, la 3.0, famosa anteriormente es cuando se empezaron a meter toda esa parte de robos, de automatismos en la producción. Y realmente cuando veis eso de revolución industrial de 4.0, simplemente significa que se está metiendo ya con la digitalización. Ya no nos basta solo con producir, con tener máquinas, con tener prensas, con tener tornos, sino que queremos saber cuánto consumen, cuánto se van a veriar, qué revolución se están dando, por qué dos máquinas que son iguales, una me produce menos piezas que otro, esos análisis de sensores, cruzarlos con otro CRP, conseguir, incluso ahora estamos trabajando en gente que quiere leer los consumos de las máquinas, los cruza con los horarios de las facturas de la luz, estamos hablando de empresas que tienen hornos que gastan mucho y hace ciertos procesos a ciertas horas que sabe que es más barato. Eso se consigue hacer con todo esto. Es una buena idea, es un progreso, seguramente el que en unos años no se mete aquí como industria, se va a quedar en un aspecto de industria artesanal y yo es muy bueno, va a ser un producto muy bueno o se va a quedar fuera del mercado porque es lo que viene. Lo que vamos a ver también es que todas estas máquinas que hemos ido conectando, arrastran los problemas de que no estaban originariamente preparadas para conectarse a internet. Una cosa que tenemos que tener clara es que si yo tengo un ordenador y tengo correo electrónico, no me hace falta más, no me hace falta ni tener internet, tengo salida a internet y si desde ese mismo ordenador tengo acceso a mi máquina, ya tengo un puente abierto entre la máquina e internet, con lo cual ya he expuesto una máquina que anteriormente no estaba preparada para ser expuesta y evidentemente son máquinas no son como los ordenadores o los servidores, que cada cuatro, cinco, seis años se cambian, bueno pues si no tenemos dinero igual cada ocho, pero las cosas van por ahí. Podemos comprar una prensa, podemos comprar un horno, podemos comprar un CNC, un torno y lo podemos tener funcionando 10, 15, 20 años e incluso más y la máquina va a seguir funcionando bien. De hecho, actualmente hay una propuesta o una revisión de la parte de seguridad en máquina, no sé si alguno venís de la parte de Mecatronica o ese mundo, bueno pues hay una propuesta para el próximo año en la cual se va a revisar todas las máquinas que originalmente pasaron ese nivel de seguridad y no estaban diseñadas para conectarse y posteriormente se le han añadido módulos para conectar, hay que volver a analizar esa conexión. Vamos a ver un poquito qué es lo que todo esto significa. Lo que vamos a hacer en esta primera parte es hacer una introducción a la ciberseguridad OT, hablar de la interconexión de los sistemas de una planta productiva OT de forma segura, porque ahí es donde está el problema. Cuando yo tengo una planta que no está conectada, no me puede pasar nada. Bueno, eso también es relativo, ya hablaremos. Pero cuando la conecto es cuando tengo los problemas. Y luego como gestión esa conectividad remota y vamos a ver una herramienta que se llama CinemaRC. Vale, esto como os decía, Zipcom y el grupo Electra somos partner de Siemens, en este caso tenemos la certificación de Industrial State Network, con lo cual tenemos certificación para montar redes industriales. Este sería el esquema de una planta estándar, luego cada planta es un mundo y cada fábrica y cada sector es otro mundo. Así vemos, si os fijáis, tenemos una parte de oficina y luego la parte de producción del poder, separamos los equipos de despacho, que sería desde diseñadores, administrativos, toda la parte de gestión, a lo que es la parte de planta. En la parte de planta puede que tengamos un PC, puede que tengamos una intresora para sacar el orden, pero lo normal es que tengamos este tipo de cosas. Esto que veis aquí, un PNC, un PNC-1200, estos son los elementos que controlan el corazón de las máquinas. Vale, activa todos los programas de diseño de lo que es la producción, llegan las lecturas de los sensores, va contra accionadores, muere calancas, acelera de severa motores, esto realmente es lo que tenemos abajo. ¿Cuál es la diferencia entre estos dos sectores? Vamos a ir a la parte buena, esto es una planta, esto es lo que vamos a ver hoy y lo que vamos a hablar y qué es lo que pasa. Aquí si os fijáis, tenemos lo que hemos hablado, tenemos un PNC, tenemos HMI, son esas pantallas que veis en planta que interactúan, en la cual podemos cambiar el comportamiento de estas máquinas, acelerarlas, pararlas, cambiar ciertos valores, tenemos esos robots, los sensores automatizados, en este caso va por Wifi, tenemos robots, en ese caso ahí estoy viendo un cuca, y por supuesto tenemos operadores que interactúan con todo ello. ¿Y cuál es el problema que tenemos ahora? Pues que todo esto lo vamos a conectar con SAP, con Oracle, lo con sistemas de análisis de datos, el famoso Business Intelligent, lo vamos a subir a la nube y todo se tiene que juntar con todo. En cuanto hacemos eso, ya tenemos la parte de abajo expuesta. Al final, por mucho gestos, digamos que es un PNC, que es el programa de la máquina, sigue siendo, o sea, es un operador, es un operador. Trabaja a bajo nivel igual, incluso, no sé, no lo que aquí me puede decir, pero muchos de estos sistemas ya, porque bajo son el de llevar sistema operativo o Debian o Windows. Sí, en este caso, el nuestro es uno de los espacios propios. Sí, pasado en Debian, el Debian, si no sabéis, es una versión de Linux. Bueno, pues, entonces al final, todo esto que está abajo, como ya es conectable y para gestionar y hacer esos procesos, es, bueno, un ordenador especializado en la parte de producción. Vale, entonces, ¿qué diferencias vamos a ver en el mundo de IT y el mundo de hotel? Para que nos pongamos en situación. Vale, si os veis el mundo de IT, hablaríamos de oficinas, hablaríamos de administración, de gobierno, bueno, esos edificios donde hay 50, 100, 200 mil personas, gestionando con sus ordenadores las cosas, y con lo que os he dicho, se clima la rapidez y se puede permitir el reivindicio, vale, en principio no tengo ningún problema si me dice el técnico. Oye, se me ha quedado bloqueado, te llaman por teléfono, todos los habrán llegado y después estos niños, se apaga el vuelo a atender. Bueno, pues, igual, si en la planta acabamos y encendemos, pues, si estamos hablando de una refinería, o estamos hablando de una fábrica de cristal, paramos un horno y toda la producción se ha perdido y supone un montón de dinero. Puede llegar a producir, aparte del material sopeado, incumplimientos de plazo de entrega, sanciones con proveedores, ese es el problema que tiene la industria. La industria, su principal función es producir y que no se pare la producción. A mí al final, para enviar un correo electrónico, pues, me sale el relojito de Windows, me sale la espiral y me da igual que tarde un segundo, 10 segundos o 30 segundos, al final lo van a enviar. En estos títulos de producción estamos hablando de que, cuando hablamos ya de milisegundos, estamos hablando de producciones de un segundo, de kilitos de milisegundos, incluso hay unos sistemas ya, que son muy, muy, muy, el tiempo realizó, creo que se llama, que hablamos de dos milisegundos, incluso menos. Entonces, un retardo, una parada, un reinicio pararía toda la producción por seguridad, seguridad física. Claro, al final hay gente trabajando, se producen ventras clínicas, hay motores que se calientan, cuando se produce un tiempo de espera superior al establecido, las máquinas se paran, o deberían bajar. Ese es uno de los principales problemas. Otro problema que tenemos en OT, bueno, pues esas máquinas que hemos visto, están hechas para durar. Nadie va a comprar una prensa que tiene que cambiarla dentro de cuatro años. Son máquinas que valen 100 mil, 200 mil, 1 millón de euros, dependiendo de qué tipo de máquinas, y van a estirarse y van a durar 10, 15, 20, 25 años. Incluso conozco plantas que tienen, se dice el pecado, pero no el pecado, que fabrican ruedas y llevan más de 20 años produciendo con las mismas máquinas y funcionan perfectamente. Son máquinas que bien mantenidas pueden aguantar eternamente. Eso que supone que una máquina que yo hago ahora mismo, a fecha de hoy, que tiene que durar 15, 20 años, tiene que garantizar que en una parte los recambios, el mantenimiento y, por supuesto, el diseño original de ahora no va a estar preparado para los problemas que van a pasar a nivel de ciberseguridad dentro de 15, 20 años, porque habrá otros sistemas, habrá otros tipos de alcaldes, bueno, pues eso que es fanlógico, es lo que nos está pasando ahora con las máquinas que ya tienen 15, 20 años. Otro diferencia que vais a ver es el tema de, aprovechando, estos dispositivos, por lo visto aquí está más rendida que los he traído, los he traído un poco, ya vemos un poco, los he rotado en todos, los he traído en elementos gestionables, ¿vale? los he traído en router, este tiene una parte de fibra y otra parte de cobres, lo que tenemos porque la fibra y porque el cobre. Aquí he traído un TAP, este aparato, este es especialmente un sistema para el seguridad o para intentar, ¿qué es lo que haces? Fijaos que tiene aquí dos conexiones, de aquí a los dos, ¿vale? Cuando yo detecto algo raro en planta, que es los caminas, no sé qué es lo que pasa, quiero saber si alguien está entrando, lo que hago es, puedo poner diferentes sistemas que me van a detectar las tramas que se comunican, los diferentes elementos de comunicaciones, pero cada elemento sólo va a pasar al siguiente, las tramas correctas, si alguien está metiendo otras tramas, no concretas, en cuanto llega a un elemento, este es la frota, esto lo que hago es, lo meto en medio del cable, cojo el cable, lo meto aquí y por aquí, continúa lo otro lado, y me lee todo el tráfico que pasa por ese cable, correcto, incorrecto, completo y incompleto, ¿vale? Lo capturo en el ordenador y entonces estoy viendo quién está atacando aquí. Esto se llama TAP, un sistema que junto con otro sistema de ciberseguridad se utiliza, está muy bien, ¿eh? Por ejemplo, lo más habitual de esto es detectar a mis, muchas veces pues cualquier elemento de planta tiene una tarjeta de red que nos tiene un problema físico que está esclopeada y de vez en cuando evite cortos o por algún problema evite tramas que no son las correctas para internet o para el circuito en este caso y eso hace pues que otros elementos se puedan parar o no cierran con esto lo detectaríamos, también es más habitual eso que un tema de tarjeta que se está en otro otro lado. Aquí tenemos un firewall, un S6146 este, bueno, es un firewall de alta gama y aquí tenemos un firewall, un S615 que este es más de estar a la altura del mágico para el tema de desescriptación. Todos estos elementos van a ir instalados en esas máquinas que hemos dicho que van a aguantar 10, 15, 20 años. Por lo tanto, fijaros que la parte de normativa es prácticamente igual que un elemento de comunicación un circuito que tocábamos en casa a nivel interno estos elementos vienen con 5 años de garantía y Siemens garantiza piezas creo que son 10 años después de su descatalogación para el tema de mantenimiento por lo cual si compramos una máquina que nos ha costado 300.000 euros nos garantizamos que los circuitos 15 años comprando un dispositivo de esto vamos a ganar con actividad. No vaya a ser que tengamos una máquina de 300.000 euros y dentro de 5.000 euros no va a poder acercar sería un problema por supuesto 100.000 de 5 años como hemos dicho todo va a cambiar lo que haremos será lo que se hace en industria tengo la máquina antigua tendré dentro de 5 años las comunicaciones últimas y pondré las nuevas con las nuevas protecciones por ahí vale, vamos haciendo papas vale, lo que os decía emite, el concepto de seguridad está maduro quiere decir que llevamos ya 30, 40 años quedándonos con videos quedándonos con paques con todo tipo de problemas con los cifrados esto es un tipo de cosas entonces ya las empresas en principio saben cómo actuar, tienen procedimientos tienen videos tienen 5 walls los meses en erisio, ya hablaremos de sus 5 walls y bueno, pues ya tienen cierta experiencia cómo tratar el tema de los videos en internet en cambio no te es nuevo es lo normal esto, ya no son las plantas ya vemos después cómo y pues nunca conectado esas cosas justo justo igual tienen fábricas, grandes los empleados pues al final tienen 10, 12 tipos de oficina un servidor un servidor no lo tienen ahí y bueno pues cuando eso van a trabajar y de repente han pasado de conectar esos 10 tipos igual a conectar 6, 8 10 líneas de producción que supone que han metido más de 100 tipos ese es otro problema que veremos homogonización evidentemente, emite todos más o menos estándar tenemos ciertas variedades de Linux tenemos Windows, tenemos servidores de sistemas, pero el protocolo básico es OTP y todo ese estándar normalmente salvo antiguamente con los equipos Mac si me da alguna vez tenido más servidor que se sufría para conectarlo con las aplicaciones de PC cualquier elemento se va a poder conectar con el en la parte de EOT el problema que tenemos es que por un lado tenemos siemens con los estándares por otro lado tenemos Sonron un montón de fabricantes y cada uno habla su idioma habla su protocolo actualmente pues parte que empiezan ya se están viendo todos los fabricantes aparte del suyo propio si no me pude equivocar ese loco es un poco que se está serviendo pero bueno para el tema de automotión tenemos otros tenemos a cercar eso es lo que pasa protocolos diferentes que esas máquinas y cuando estamos serviendo nuestra marca pues igual el torno es de un fabricante la prensa es de otro fabricante el oro no es de otro fabricante las líneas de distribución son de otro y no podemos conectarlas directamente hay que hacer programas y que hacer cosas ya veremos cómo se hace y luego por supuesto la parte de comunicaciones lo que os deci aquí tenemos la tecnología IP protocolo de acceso a gestión todo está conectado la parte de eso se está imponiendo ahora que es la parte de cernet sobre cernet irá profine irá la OPCU, MQTT un montón de protocolos pero también tenemos protocolos antiguos tenemos pues pues por ejemplo ese tipo de protocolos que en su momento cuando yo era estudiante los estudié en teoría ya era pues 30 años después bueno la fábrica yo creo que sigue funcionando eso es como el cobo pues ahí sigue bueno, ¿qué significa eso? bueno, yo al final si conecto conectaré a mi PLC igual tengo que poner un PLC nubo para controlar esa parte de los filus que tengo por debajo y tengo esa conexión a mi PLC puedo leer los datos de ahí pero ese PLC va por otra línea entonces la parte IT es en nuestra línea un copito nos hemos puesto de situación porque la diferencia entre lo que es una placa también recordar la parte de comunicación es como normalmente en un entorno IT tenemos un armario, un rack similar en tamaño a eso ahí os fijáis ponemos un router y esos switches en los que van 48 tomas, 24 tomas y ahí sacamos a todo el edificio y con dos o tres switches a cien personas sus insorras, sus equipos igual tenemos a uno más porque tenemos un IP bueno, el cambio en planta no va a ser así en planta hay fábricas de gran dimensión no hablamos solo en fábricas en puertos podemos hablar de plantas de las RSUs de helipopitlaje perpederos plantas de tratamiento de agua que su extensión es kilométrica son kilométricas dentro de los camiones y os vais a encontrar que hay una máquina igual, cada 40 metros cada 100 metros cada 500 metros eso supone que voy a tener como veis aquí, estos son dispositivos no es todo uno os vais a encontrar los dispositivos en lugar de con 48 tomas los partidos con la planta que van a tener 4, van a tener 8 van a tener 26, dependiendo de lo que tengamos unos serán gestiables y otros no gestiables y hablaremos también de eso y entonces, en lugar de administrar en comunicaciones 3 inches como tenemos un edificio de 100 personas vamos a tener que administrar igual en una planta si nos vamos a a michelin, a glitches a este tipo de plantas en la refinería estamos hablando de 150 millones de dispositivos de comunicaciones porque hay un cada punto que necesita control eso al final es un problema luego veremos como lleva gestionando y por supuesto estos aparatos que veis ninguno de ellos tiene ventilador están preparados para trabajar en entornos de hasta 70º y 72º centígrados aproximadamente en teoría en teoría lo que os decía ahí veis lo que es el mundo it aquí veis el mundo t fijaros en la diferencia arriba con un patch panel y unos switches hemos dado red a todo el edificio abajo tenemos un pequeño con pocas tomas para cada sitio y luego lo que os decía el momento crucial es la convergencia it o t al final el mundo de it todo el análisis el business intelligence, el big data está condenado a entenderse con la parte de it porque a mí como informático me encanta conectarme yo siempre he estado trabajando haciendo programas y no veías en cambio cuando llegas aquí llegas a un p.c. que al final se mueve algo y la verdad que es bonito es una cosa bueno pero al final todos esos datos que yo capturo tengo que poder procesarlos arriba tengo que poder procesarlos y llegar a conclusiones lo que llaman business intelligence no es solo capturar datos es saber qué datos capturo y como los procesos bueno lo que os decía los mundos están condenados a entenderse porque ya no vale decir oye vete a planta y acelera el motor de rotación ahora me conecto a mi ordenador entro al p.l.c. y acelero el motor de rotación antiguamente todavía hoy en día con el portátil o con la estación de trabajo pincho allí me conecto entro con el tía porta lo que sea cambio el programa del p.l.c. y acelero o decelero ahora pues ya por temas de seguridad laboral por comodidad por facía del trabajo lo que hago es montar una red en condiciones y desde mi estación de trabajo desde mi puesto donde estoy con unos niveles de sonido adecuados con una temperatura adecuada asentada en mi mesa me conecto remotamente a ese p.l.c. y accedo eso también es un punto un nuevo riesgo para cibersecuridad tienes que controlar quién accede y si realmente puede hacer lo que va a acceder todas estas mejoras nos llevan nuevos nuevos retos y luego las tecnologías de la información y T contra las tecnologías de aceleración aunque pueda parecer que eso no va en una letra son diferentes emite el tema es la información, el proceso de los datos y enote eso es secundario, lo importante es la producción siempre tenemos que pensar que lo importante es que no deje de salir como dicen en tubasex el churro que os haga el tubo de acero que se produzca la gasolina que salga si hay una parada en una planta de petrolera pues desde que entra la primera colada hasta que sale el producto final pues hay miles y miles de litros y se puede perder una colada que vale un montón de dinero que va hoy en día la gasolina que no es tontería los objetivos son diferentes básicamente enite se aplican equipos de telecomunicaciones y el ámbito son empresas y negocios gestión de datos, gestión de información gestión de nóminas envíos altas tiendas, este tipo de cosas no es la producción en cambio enote, detecta y cambio procesos físicos es lo que os decía no hago una venta y eso llega a una hojita alguien que coge una caja pone una dirección y lo envía cuando yo hago algo enote lo que hago es acelerar un motor aprieto una prensa subo la temperatura de un horno de fundición este tipo de cosas incluso manejo un robot esos robots que habéis visto en las fábricas de coches que cogen las puertas, las mueven, las giran las encaja, las atornilla pues esto se hace desde este mundo las necesidades son diferentes aquí como veis claro lo que os he dicho en la parte de IT los componentes tecnológicos son iguales al número de personas normalmente un empleado que está trabajando en un despacho tiene un ordenador hoy en día por suerte ya no tiene una impresora sino que suele haber una impresora departamental pues por el tema del ozono de radiaciones para el propio puesto trabajo es mejor tener una común y nos sale mejor en cambio enote el despegue ese es amplio y variado por lo general superior al número de trabajadores os cuento una cosa muy importante la gente como yo en el mundo de informática cuando alguien me decía oye necesito conectar una máquina yo le digo vale, vámela IP habréis oído eso y bueno ahora que estoy en el otro lado y lo veo pues resulta que igual le estoy hablando de una máquina que no tiene una IP que tiene 500 que tiene 600 IPs en la situación fijaros por ejemplo un ejemplo muy simple una máquina puede ser esas líneas de que arrastran las maletas que ves en los aeropuertos eso pueden tener cientos de metros y cada tantos metros hay un aparatito que va controlando ese giro de motor, el peso los paradas de emergencia o sea eso puede tener 100 200 IPs esa máquina no es una máquina un IP no es como una impresora porque tenemos igual 2 o 3 peleces que controlan diferentes partes sensores de seguridad con setas de pulsación los módulos de seguridad lectores de intensidad variadores para poder manejar los motores un montón de cosas que están conectadas que al final hacen que haya máquinas enormes y realmente es una única máquina con cientos de dispositivos entonces no me vale con una IP sino que me tienes que dar un rango o una red a cambia un poquito la conservación por ejemplo en IT aquí veis por su fragilidad que hay entornos controlados todos sabréis visto esos famosos CPD esos armarios rack en los que van metidos en paralelo sujetados incluso hay sitios que están refrigerados porque esos equipos se calientan y cuando llegan a cierta temperatura no pueden funcionar ahora ya con los discos sólidos hemos mejorado algo pero antes estar con un portátil por ejemplo en un autobús trabajando porque al de cierto tiempo por las propias vibraciones el disco se te iba a estropear bueno este tipo de cosas hay que tener hay que tenerlo controlado en cambio en OT no existe una normativa general no existe una estándar de conservación o seguridad sino luego hablaremos de las normativas sino que cada sector tiene su propia normativa no es lo mismo el sector de agua por ejemplo pues un tratamiento de aguas totalmente de aguas potables de los que fabrican por ejemplo a cero que los subestaciones eléctricas que el ferrovial o sea que a uno tiene su propia normativa incluso los fabricantes de coches tienen sus propias normativas dependiendo en que grupo estén pues se me ocurren las IATFs que es una asociación de fabricantes tiene sus propias normativas respecto a seguridad como tienen que tener hechos de sistema de vacas, medidas contra medidas de por qué pues me parece normal una asociación de fabricantes de automoción no es solo Renault o es Mercedes o es SEAT esas empresas al final trabajan con cientos de empresas pequeñas que les producen otroqueles o les producen espejos o la palanca de cambios ahora ya creo que son todos de botoncito de los frenos de mano bueno los pedales y esas empresas te exigen a trabajar con ellos que cumples esas normativas os acordáis cuando empezó la ISO 9000 de calidad las primeras que empecé a ver creo que eran por el año 2007 y la sacaba a la administración pública normalmente y luego empezaron los bancos ¿qué pasó? pues la sacaron y de repente para contratar con ellos o trabajar con ellos ciertas cosas la empresa adjudicataria tenía que tener esa ISO para que la empresa adjudicataria va en útica con otra o depende de otra pues la otra también lo tiene que tener porque toda la cadena tiene que cumplirlo y posteriormente empieza la parte de seguridad de la ISO a la 27001 todo ese tipo de cosas y empresas un banco para que trabajes como desarrollador para ellos tienes que tener esa certificación pues tienes que tener certificaciones eléctricas para instalar todo eso va en cadena y aquí está pasando lo mismo del tema de normativa la seguridad lo que os decía, en IT prioriza la potencialidad y la seguridad de los datos se prioriza que no puedan acceder a tus datos que no puedan leer, que no puedan enviar o modificar esos datos o alterarlos ¿vale? en OT se prioriza siempre el trabajo osea la producción, os vuelvo a decir es la prioridad porque cualquier retraso o cualquier análisis me para la máquina volvemos a ese tiempo a ese determinismo y la confidentialidad queda relegada bueno en IT se envía y se recibe muchísima información grandes volúmenes muchos datos paquetes muy grandes, vídeos Powerpoint en OT son órdenes más cortas cambia este valor, acelera decelera, para mueve esto, bt50 grados a la derecha son órdenes cortitas y no necesitan gran ancho de banda pero sin mucho determinismo que cada orden llegue en el momento en que debe llegar si se produce un retraso se para la producción volvemos a lo mismo, esa es la importancia bueno y la actualización en IT, a pesar de los problemas que suele pasar, todos estamos acostumbrados a la famosa coalización de Windows ¿no? si no recuerdo mal es un parche que sacan mensual creo que es el segundo martes de cada mes bueno pues los demás sistemas líneos también tienen sus actualizaciones tenemos las presiones de servidores normalmente esas actualizaciones si eres un poco ordenado se suele hacer la primera vez en un entorno reducido de prueba a ver si afecta a alguno de tus aplicaciones y si vemos que todo es correcto procedes a actualizar al resto de los bancos, de entidades financieras y de administración pública lo normal es que en casa de las empresas cuando diga actualizar de otra vez le doy y esperara que se reinicie porque si no al día siguiente cuando llegue corriendo al trabajo y lo encienda voy a tener que esperar 10 minutos a que se actualice y luego nos falla algo puede ser que nos falle algo llamamos al de informática nos quita la actualización enote, eso nos puede suponer tener la planta parada a 4 o 5 horas no se hace todos estos elementos que veis aquí periodicamente tienen la adicción de firmware que es el software que tiene el gestión tanto los pnt los nuevos como la parte de los switches questionable, los findbots los findbots todavia mas delicada porque se va actualizando de vez en cuando todos habéis ido a hablar de los bugs o los cambios de seguridad periodicamente si os vais a ver si se incibe dentro de la seguridad bueno pues ellos yo se suscrito y me mandan periodicamente una lista pues me suelen llegar si me llegan 4 o 5 correos de aparatos o aplicantes que han evitado un bug y algunos me dicen la corrección y otros no y bueno pues hay una pagina web que se llama SOLAN si podéis la miráis en la que se informa de todos los dispositivos que están conectados a internet y te dice que es entre 5 o 5 entonces sabiendo eso si yo fuera un hacker os voy a buscar a ver que fabrica lo hecho me voy a buscar en España y voy a buscar un PCE200 que acaba de publicar que tiene un bug que no se soluciona si no tiene la versión 3 las 6 entonces voy a SOLAN y veo 50 PCE200 publicados y veo mira solo hay 2 de ellos tienen la versión 6 pero hay 4 que no aquí os he puesto una serie de ejemplos imaginaos que hubo ataques ya antiguos pues a centrales nucleares el famoso Guanacrae que cifró un montón de equipos en que me afecta primero la parte de IT se va a ver afectada igual no funciona la parte de administración y vacunación pero si no tengo bien hecha la parte de seguridad y yo tengo en mi planta un ordenador con un Windows pues se me va a cifrar igual porque está conectado a la misma red y se va a propagar y me va a cifrar igual yo tengo un Windows antiguo porque hace 15 años compré esa prensa y el programa que lo controla funciona en un Windows XP que no está actualizado porque ha desaparecido la empresa que lo hizo y tengo un Windows XP para controlar esa planta pues si no tengo bien securizado no tengo una capa que haga de cortafuegos delante de ese Windows XP me lo va a cifrar y se me va a parar la prensa y probablemente las pase canutas porque no tenga otra empresa que me pueda volver a dar ese software si no lo tengo no sé cómo repararlo son problemas gordos tengo sistemas de escadas tengo sistema MES que van sobre Windows y puedo cifrar igual bueno aquí veis este es un gráfico no es el tiempo real pero seguro que habéis visto en las noticias todo el tema de cómo van los ciberataques desde Rusia a Ucrania al resto de Europa bueno pues en China también tiene mucho que decir en esto pero es brutal es brutal yo llevo 30 años trabajando como administrador de sistemas los últimos cuatro en la administración pública en la parte industrial en la parte de ciberseguridad y el año pasado me hackearán dos tarjetas visa es a la orden del día un dato importante es que el año 2021 según IBM no lo estábamos hablando de cualquiera fue el primer año en que ya hubo más ataques al sector industrial que al sector bancario y financiero el año pasado porque hay más industrias y son más fáciles de atacar que es lo que hacemos como tenemos elementos antiguos la parte de seguridad en planta lo que llevamos son capas no podemos secubizar una máquina antigua o un windows xp que la controla y lo que hacemos es poner en el acceso hacia ellos capas intermedias vamos añadiendo capas de seguridad aquí veis un poquito la parte de la seguridad física lo que os decía realmente estos armarios estos routers, estos firewalls deberían de estar incluso los peleces en una planta, en un armarito cerrado con llave para que nadie pueda acceder porque por muy bien que yo ponga este firewall si viene alguien y me suelta el cable o me corta la luz pues me ha tirado la red igual esas cosas tenemos que ser conscientes poner cámaras de videovigilancia incluso hay normativas recomendaciones en ciertos sitios normativas ya veremos que cuando estamos hablando de los cpds donde tenemos esos ordenadores centrales que también hay cpds en planta el acceso tiene que estar asegurado por llave y tienes que tener un control de visitas de saber quién entra no dejar nadie no autorizado solo nunca este tipo de cosas que son de lógica al final como voy a... oye pues mira me viene el técnico a instalarnos el cpd a la y dentro de una hora vengo no tengo que estar ahí para asegurarme que toca lo que tiene que tocar hay otras formas de darle a sus usuarios para que solo puedan hacer ciertas cosas en ciertas máquinas con una valida temporal pero bueno eso es ya otra el cable el cableado hombre actualmente por ejemplo se supone que si yo tengo controlado el acceso a mi planta vale entonces no va a entrar nadie a cortarme el cable si que es cierto que el cable de cobre se puede pinchar habéis visto esos aparatitos que os lo enseño al principio hay otros sistemas pero bueno el principio es el mismo seguimos viendo, políticas y procedimientos lo que os estoy diciendo gestión de riesgo, valoraciones, solidarías, compliance recuperación del sistema de desastres esto muchas unas mativas, muchas testificaciones ya exigen que tengas un plan de un recovery plan esto es sobre el papel y lo soporta todo, quiere decir que por ejemplo si yo tengo una fábrica y el recovery plan puede ser que en caso de que tenga una caída y afecta todo del departamento pues tenga un contrato con la competencia que va a seguir a hacer mis siguientes mientras yo recupero eso es un recovery plan y los resultos son más complejos por ejemplo los gobiernos, los autonómicos y el nacional están obligados a tener diferentes superedotes a diferente distancia, tener una copia en todo por ejemplo no pueden tener a ver si se va a hablar del correo del 365 que está en la nube como es gobierno y esto de competencia lo tiene en la nube pero tiene en torno síbulus parte de los servidores son físicos en su instalación y parte de la nube, con este tipo de cosas al final pues son la planta de recovery en caso de que se me caiga tengo que hacer sinulacros de cuánto cargo en recuperar y levantando el otro cpd para que sí está funcionando no me vale con hacer una copia de seguridad coge el clílicamente y saldarla se ejecuta en zonas y cierra una seguridad, bueno que esto que hacemos con todos estos 5 o nuestros runes que vamos a encontrar en la mayoría de las empresas de este país lo que sucede es que desde mi equipo de oficina tengo un acceso a cualquier máquina de producción, un acceso directo por la red porque han ido recibiendo eso verdaderamente el tema de la segmentación consiste en primero, separo la parte de oficina de la parte de planta de forma que si me veo atacado la oficina está que sale a internet corto ese acceso y luego ya lo vamos a la parte de la segmentación que consiste en separar a través de firewalls esas diferentes partes, esas líneas de producción de forma que si una por lo que sea sea afectada no se propague a resto de la planta cosas que vemos y sobre todo lo he visto mucho con pérdidas de sienes de los activos de los 300 ¿Qué es lo que pasaba? yo tenía un PLC de estos lo conectaba a NHG a mis variadores tenía diferentes diferentes máquinas y al final era una línea de producción pero resulta que esa línea de producción la tengo duplicada, triplicada con triplicada tengo 4 líneas de producción iguales y las 4 tienen la misma IP todos sabemos que en una misma red no puede haber una misma IP con lo cual no puedo conectar todas esas líneas ¿Qué es lo que se hacía? pues se llama los IP oye ¿Cómo se eluciona esto? vamos a solucionar esto pues cogemos a tu PLC te metemos una segunda tarjeta de red y los unimos todos y cada uno tiene un IP diferente y ya puedes comentarte por esa segunda tarjeta de red muy bien, perfecto se puede conectar a todos y te ha funcionado ¿Cuál es el problema? el problema es que si nos tengo todos con esa segunda tarjeta de red en la misma IP no los tengo mitos segmentados no los tengo separados por esos firewall en el momento en que esa red me damos atacada se me paró toda la red lo que antes tenía celdas aisladas que no podía conectar ahora son celdas unidas ¿Entendéis? ¿Qué es lo que hago? meter un firewall en cada planta y que salga a mi red de forma que si esta red se ve comprometida y si alguno llega aquí abajo que no me llega abajo de no y que sea capaz de cortar estos firewalls que veis aquí en casa os dicen que tienen firewalls de fónica si ya vais a uno de empresa vais a un Fortinet lo que vais a encontrar en ese tipo de cosas donde ya son firewalls llegamos más sentidos estos aparte vienen aquí unos pulsadores en los cuales puedes poner una seta de emergencia o una llave de seguridad con la cual activando la bloquea sin tráfico con la parte de arriba mi linea sigue habitando y ya no comunico con lo de arriba y ahora ganan los diferentes funcionarios problemas de si hay que recuperar de si hay que porzar internet de si hay que pagar todos los tipos pero en instornos siguen produciendo piezas eso es importante por eso es la segmentación normalmente luego veremos tengo la conexión de internet paso por ese firewall de alta prestaciones que tengo meter va a los componentes de la linea y luego tengo ese firewall en un momento de emergencia en estos puntos llegamos que he perdido la conexión con los equipos normalmente más sentibles, han sido infectados los aspectores de la rutina y esa conexión con internet maquillera que puede entrar y cantar y sigo produciendo bueno, pues he ganado bastante eso es la segmentación protección de los puntos de acceso eso que os he dicho tan bonito que tengo la linea de internet con un corto caso de problema cuando resulta que hay una empresa que me hace el servicio de mantenimiento y tiene una máquina por ahí y lo que ha hecho es acopiar su página y la puse un router 4G o un router aparte para conectarse en el mantenimiento entonces, él está por debajo de entrarlo, se ha saltado todas las medidas de seguridad y tiene acceso a todo el red porque las medidas de seguridad están arriba si no tengo esa necesidad de circuitación no es un problema porque por normativa ya veremos no se puede mantener una conexión de acceso remoto que el propietario de la pedanta no sea capaz de cortar o sea esa es la parte de normativa no puede ser que alguien esté trabajando y yo no sepa cuando entra que entra que accede a que mantenga eso es un problema de seguridad aparte que no se, eso no está pasando con mis contactos, no sé si su equipo diga si su equipo es el de él o alguien que le ha probado la contraseña y está queriendo, eso es importante saberlo, tengo que tener lo mismo que he dicho segmentado, tengo que tener documentados y protegidos todos los puntos de acceso si existen esos puntos de acceso y deben de existir porque hay algunos que tienen que existir tendré que asegurarme de poner otro firewall o algo que me permita a mí controlar el acceso a través de ese nuevo comunicación segura protección de la comunicación en redes no seguras esto es lo que os decía, lo que hablábamos antes en caso de que alguien me corte el cable lo que hago es o que si yo utilizo protocolos Tende o HTTP, son capaces de leer el tráfico que pasa con los resultados robustez del sistema reducción de movilidades de un sistema informático bueno, aquí lo que me está diciendo la parte de robustez es, primero tiene que ser reducir las movilidades supone que tengo que tener alguien encargado esas versiones de TIRDA en toda la parte de la industria alguien o un sistema pero al final hay alguien contra eso no me vale tener un firewall con las TIRMAX, en Pimiris porque no me vas a tener nada esto tengo que hacer y además tengo que contar estructuras que en caso de que tenga un firewall porque en la industria pasa yo tengo este cable y alguien viene con todos con una traspaleta, cuando se quede y me ha cortado el cable tengo que montar en el medio esta redundancia que permita cierta resistencia cierta resistencia para que mi planita se va a funcionar gestión de cuentas y usuario esto es lo que os comentaba antes todos sabéis imagino sabéis lo de ACMIN.3 o ACMIN este tipo de cosas bueno, eso está bien, estos dispositivos ya tienen cuando tú lo configures por primera vez entras como ACMIN y lo tienen que cambiar la compresión y te exige ya que tenga una longitud puedes cambiar por una cosita pero que sean 8 caracteres que tenga mayúsculas números, caracteres sociales cierta seguridad pero es que además de eso ya hay normativas de hecho la de seguridad en plante de aprobarse el próximo año de eso que os decía tienes que identificar quien accede a cambiar la compresión de la máquina no me vale con ACMIN, tiene que ser corta al corta o tiene que ser, tiene que poner quien lo ha hecho eso requiere que sean credenciales únicas y permisos únicos tanto en estos dispositivos de compresión como en el PLC lo puedes gestionar el tía corta la apertura de la versión 15 ya lo permite gestionar tendrías que incorporar esa nueva funcionalidad hay otras aplicaciones que lo permiten pero si son elementos activos que no tienes esa opción o sea no puedes cambiar la programación para identificar que es lo que haces ahí no Diego los meterías un cinema rc o cualquier elemento que te establezca una conexión remota aunque sea en la misma plana el tía corta la apertura contra esa máquina y que para acceder no puedas acceder metiendo un suario contra el cine o sea yo para acceder desde aquí al PLC que tengo ahí no vale con pinchar el cable ya que tengo que entrar por la herramienta que me da permiso a entrar ahí y en esa herramienta queda registrarlo bien cuando llegue aquí es normal está todo bien muy lejos de que se implate en todos los sitios pero llegaran y me imagino que después voy a probar en esta ley de 2-3 años para adaptarse si desea los rusos y lo que voy a decir esto pues llegaremos ahí sería algún momento lo que os decía gestión de cuentas de usuario gestión de parches no solo tengo estos dispositivos sino que muchas veces tengo equipos por debajo que van con Windows que van con Greta, que van con Windows pues bases de datos incluso puedo tener SQL como tener Oracle, como tener HANA pues igual que emite en mi planta no solo tengo que tener esos sistemas, sino que tengo que tener la gestión de parches y hacer lo que prácticamente esas actualizaciones porque muchas de ellas son con motivos de seguridad otras incluso por despase o por la acabación de las todas las aplicaciones es cierto que mi planta es muy complicado gestionarlo vale hay que gestinarlo bien porque normalmente muchos de estos parches no se supone una parada no hay que gestionarse una parada entonces lo normal es que en los momentos se nos quese una parada por mantenimiento por limpieza, por no sé qué, se aprovechen para hacer esas políticas bueno y luego, detección y prevención de Maguire aquí ya veremos que hay diferentes no, está siendo muy apto esto hay muchas formas de hacer esta detección y prevención de Maguire por un lado tenemos la parte de los parches que van a hacer para cortar para que nos haréis una idea un fireball lo que hace es cortar la comunicación entre dos puntos esta vez un punto ahí o un punto abajo y dice qué es lo que pasa o sea, quién puede pasar qué rango de usted puede pasar a qué y luego además en este nivel de fireball se le dice por qué protocolo y por qué punto de forma que yo puedo autorizar a que alguien acceda contra el PNC y puedo crear un servicio que va por el protocolo si no me equivoco es por el UDP-102 entonces en el fireball diría que es de fuera esta IP puede acceder de esta IP pero sólo por el UDP-102 de forma que sólo puede acceder por el TDI no puede hacer nada más y lo que hago es reducir si no es un fireball, corte y reducir o sea, nadie más podría acceder y sólo podría acceder por eso todas estas capas son importantes siempre digo si no tienes todas es importante tener alguna o sea, una mala seguridad es mejor que ninguna seguridad pero saber que tenemos que atender a todo esto esta me gusta esta es una Guinness Paphors Guinness Paphors creo que es a Julio ya, extra profesor de la Universidad de Purdue es uno de los gurús de los iniciadores de la parte de ciberseguridad y si os acordáis de misión imposible esta frase es algo parecido a ello el único sistema verduramente seguro e inmune a fallos es aquel que se encuentra pagado encerrado en una caja fuerte de titanio e enterrado en un bloque de hormigón, ruido de paservios y vigilado por bordas armados y muy bien pagados incluso entonces yo no costaría mi vida por ello lo que os decía, una máquina no conectada que parece que es segura bueno, pues en un momento dado yo puedo ir a hacer un trabajo de mantenimiento y vuelto en mi ordenador un Windows 10 o un Windows 11 perfectamente actualizado y resulta que le he pasado un fichero que como eso es un Windows XP y me lo he cargado, o sea al conectarme con esa red para hacer el mantenimiento me lo he cargado, sin necesidad de que este conectado sea internet y en ninguna red es una conexión directa, puede ser o sea, no os fijéis que es lo que tendría que haber hecho tener un plan de recovery para esa máquina que pasa en caso de que me la carguen pues debería tener una segunda repuesto o una imagen del sistema operativo ese tipo de cosas aquí veis un poquito lo que os decía, el tema de los posibles problemas de ataques lo que os decía, el 90% son errores de operador hablamos de que se conecta mal algo se pulsa mal algo se ejecuta o se abre un correo que nos dicen oye pago rápido si tienes una multa de 100€ si haces pago rápido te la dejo en 25 y le das y ya hemos cifrado, bueno ese tipo de errores en lo que se llama phishing ese es el 90% de los problemas informáticos hoy en día luego siempre tenemos cuando cargamos un nuevo producto o un nuevo proyecto, una variante de un programa pues lo hemos testeado, lo hemos hecho en nuestro ordenador y cuando lo pasamos a producción pues se producen errores porque también puede darse, vale, ese es menor roturas, estas máquinas son muy resistentes, vienen garantizadas pero se estropean, vale estas en concreto tienen un módulo de memoria aquí el teclado cuando apague alguno señor señor este teclado es, guarda la versión si quiere, de firmware guarda toda la configuración de dispositivo de forma que si estoy en planta y esto se estropea en un turno de 24x7 se estropea, entonces una patugada no me da falta llamar a de informática, vale cojo, voy al armario, saco uno de repuesto le quito este al estropeado, si lo pongo al nuevo lo difiento y se cargan y vuelvo a estar funcionando en 20 minutos lo único que tengo que tener que hacer es identificar los camis para que cada uno vaya a su sitio es una opción, está muy bien sobre todo para plantas que trabajan de continuo y que no pueden permitirse esos tipos de problemas normalmente son un armario de repuestos igual que tienen repuestos en diferentes métodos de la planta bueno, lo que os decía y luego, ataques externos bueno, ataques externos igual son los que hay bastantes los que más nos preocupan y lo que más se oye, los otros son más esos son los que es externos pueden tener varias motivaciones la primera motivación es lanza un ataque genérico y si alguien pica me paga bueno, luego temas económicos o no se quede un país voy a hackear a otro claro, si yo cojo tu dirección de tu PLC y te hago un ataque con denegación de servicio, al final el PLC se queda bloqueado y se para la planta ese tipo de cosas pueden pasar pero lo que más nos debe preocupar es por una parte, los que son capaces de entrar a nuestra planta sin que nosotros nos enteremos o sea, no los que me cifran o me paran las máquinas porque ahí al final, yo tendré opciones para cortar la conexión con el exterior para recuperar esos servidores y hecho bien mi sistema de backup y de mantenimiento el mayor problema es el que entra, yo no lo sé y primero, me puedo robar información de mi negocio, de mi conocimiento y segundo, me puede cambiar alguna fórmula en el PLC imaginaos que estoy compruyendo un alimento y me cambia la mezcla de sal porque esto al final, este controla todo y yo no sé que me ha cambiado la mezcla de sal y estoy produciendo esa comida durante una semana, dos semanas hasta que me lleva a mi cliente y me dice, oye, que hemos hecho los análisis de calidad en esto y no has pasado te devuelvo todo ¿vale? has perdido todo lo que has fabricado no sabes que ha pasado y encima tu cliente igual lo pierdes eso es el mayor problema y ante eso está, bueno, pues la de siempre como dicen, la venganza es muy complicado que tú despidas a alguien que sepa hacer eso, ¿no? podría darse el caso lo normal es que alguien pague alguien para quitarse la competencia como en las películas es cierto, si yo consigo que el otro fabricante se destrope la comida van a comprar la mía y eso existe ¿vale? y lo que os decía, siempre hay que tener un plan de recuperación ante desastres porque antes o después como dicen, todos vamos a ser hackeados lo importante es como la vida, ¿no? al final todos nos caemos lo importante es levantarse de donde es posible ¿vale? aquí os habla un poquito ya de normativa bueno, esta ley de 2011 lo que establece son las infraestructuras críticas estas tienen ya su propia normativa está legislado y tienen que cumplirlo y aquí sí que está estipulado el tema de desastre recovery, el tema de segmentación el tema de acceso remoto o sea, es el obligado cumplimiento no sé si han pasado todas pero bueno, para que os hagáis alguna idea de que no sé si han pasado todas porque había parte del transporte que se estaba implementando no sé si voy aquí porque está con información más en 2017 no sé con lo que ha pasado pero esto es lo que está categorizado como infraestructura crítica y al nivel nacional, ¿vale? la administración pública y eso son los órganos responsables de estos que legislan el espacio, el Ministerio de Pesas la Agencia de Espatia, todos los tipos de cosas industria nuclear evidentemente industria química instalaciones de investigación el agua, al final es lo que veremos todas las placas de tratamiento y totalización de agua es una industria química de hecho por legislación tienen que tener cifrados tienen que tener protegidos o llave todos los accesos incluso a las asesaciones de donde os remota o sea, tienen una normativa muy dura imaginaos que yo entro hackeo el PLC que controla la despecta de cloro y meto más sobre los cloros por eso están vestigidos la parte de energía también salud, todos hospitales, críticas todo eso también tiene su propia normativa tecnologías de la información en las comunicaciones aquí estamos hablando de telefónica de volafón de la cooperativa, vale lo que son las grandes empresas que dan esos servicios el transporte, cuando hablamos de transporte no hablamos de camiones hablamos de aeropuertos hablamos de ferrocarriles hablamos de puertos ese tipo de cosas alimentación, evidentemente lo que os he dicho es que vamos a comer y si alguien nos toca de las mediciones de calidad pues tenemos problemas y el sistema financiero y tributario el sistema financiero y tributario Hacienda y bancos están obligados a cumplir esas esas normativas, son diferentes y cada uno de ellos tiene su propia y fijaros que cada uno depende acordaros, esto exige ley de protección de infraestructuras críticas ya tienen una normativa que cumplir bueno esta es una guía sobre control de seguridad que es dedicada por el Ministerio de Interior a mí me gusta mucho, está orientado a esto habla mucho, habla de normativa lo que hemos hablado antes, mejores prácticas da ejemplos de auditorías está muy bien, está muy completo y una de las cosas que dice es que tienes que tener un plan de respuesta de incidentes eso que hablábamos del recobre y plan y que tienes que tener capacidades de copia y seguridad y restauración acordaros que hacer una copia de seguridad no me vale para nada si no compruebo que la puedo restaurar correctamente vale, esto hay más puntos pero estos dos que sepáis, aparte de recomendaciones, son de obligado cumplimiento para esas empresas que hemos visto antes de hecho si no recuerdo mal creo que te exigen hacer una copia y restauración planificada cada seis meses nosotros en gobierno cuando hacíamos teníamos que hacer simulacros de contingencia y hacer dos pruebas al año bueno, por eso ya se ha hecho acá con la leopede de cosas este es el estándar el estándar que se está imponiendo en el tema de seguridad industrial la IEC 62443 esta ya es de obligado cumplimiento en las empresas que hemos visto anteriormente es una variante de la ISA 99, hay otras y una cosa que os tenía que decir esas empresas que hemos visto que son infraestructuras críticas por ejemplo en Alemania el sector de la automoción está considerado como industria crítica entonces Mercedes, Volkswagen entonces como están obligados por ley a ser industria crítica y cumplir con estos reglamentos aquí en España a su vez hace que lo cumpla sea la planta que hay de Volkswagen también tienen que ir cumpliendo y estos a su vez obligan a todas las empresas que trabajan para ellos a que cumplan con esa normativa viene por esto pero desde Alemania lo normal es que aquí en breve se pida también pero bueno, esas cosas van viniendo aquí veis un poquito lo que va las diferentes normativas o apartados lo que van tratando, no vamos a meterlos demasiado a nosotros lo que nos interesaría la parte de componentes de sistemas y algo de la parte de política y sin procedimientos estas son unas notas que os he sacado que se dice, fijaros que os he subrillado controlar el acceso entre nivel 2 y el nivel 3 por ejemplo mediante un uso de un cortafugos o reglas de cortafugos a la capa si no con un logo veremos lo que son las capas, la capa de nivel 2 es cuando tenemos elementos conectados en un switch o sea son todos de la misma red lo que está diciendo es que recomienda tener un cortafugos entre una capa de nivel 2 y otra capa de nivel 2 que se unan por una de nivel 3 o sea el nivel 3 lo que haces es puentea y una de esas dos y dice que sea un cortafugos también fijaros aquí que os he marcado la parte de segmentación lo que os he comentado recomiendo hacer esa segmentación si que recomienda separar esta normativa obliga a separar la parte de OTD y luego recomiendo hacer una segmentación interna y ahora es lo que vamos al medio de la cuestión que nos vamos a encontrar en una empresa esto es lo que nos vamos a encontrar nos vamos a encontrar un cable tenemos nuestra refite tenemos nuestro pequeño despachito con 5 o 6 puestos donde está el director, están los comerciales están los administrativos sus 4 servidores de ficheros y de repente alguien compró una máquina en producción y dijo que viene con un cable de red la vamos a conectar y saca un cable del switch y lo lleva hasta acá y compra otra que también tiene otro cable entonces contraron 2 segundos switch lo ponen en planta y ya va a conectar los 2 puestos entonces el problema que tenemos es que desde una impresora de oficina tenemos acceso a un belte para que os hagáis una idea esto es un cliente que había comprado un vídeo por tere y nos he comprado directamente de un acuerdo de Amazon o de alguno de estos lo instaló en la confería y ya más que cambiara la cuenta para entrar, pero esa conexión se diga directamente con toda la red pues que estaba así y venía infectado de forma o serie de distribución y lo que hizo fue, empezaba a parar pereces empezaba, bueno ese tipo de cosas que empieza a hacer en una red informática que me retardan las cosas 500.000 segundos 60.000 segundos 2 segundos pero si algo ocupa esta red porque es única claro, de la vez que mandas algo por esta red la copa se entera y la tengo ocupada 2 segundos ese que le cede al de 200, 300, 400.000 segundos y la respuesta se paga vale, eso es lo que pasa este problema tenemos ahí otro problema que tenemos es lo que hemos hablado antes imaginamos que compro pues voy a alguien que me fabrica tornos, a un proveedor de tornos y me compro 5 tornos y le vienen los 5 con la misma en que porque él tiene su conexión no puedo conectar los 5, a ver solo puedo conectar uno, esto se queda en esa conexión esto es muy habitual hay una solución que veremos se llama el ENNAT por ejemplo, para que os hagáis una idea la solución tiene mucho que ver con lo que tenéis vosotros en casa todos vosotros en casa tenéis un router que será el 592, 160 y 0.1 vale, tus equipos te dan unas edificios redes pero te conectas desde ese 0.1 a otro equipo que está en otro sitio que tiene el router 0.1 eso es lo que se llama ENNAT 100 por grado está presion esto es lo que incorporaremos aquí para solucionar esto bueno, pues aquí vemos que tenemos una resúnica de los positivos, os he dicho que tenemos este PLC pero tenemos también sensores y lectores esos sensores esos actuadores, muchos de ellos no se comunican directamente por IP sino que se comunican por broadcast lo que hacen es envían señales a la red para todos y esperan que el destinatario le escuche para que la atienda, vale, esos sensores funcionan así eso se utiliza mucho en planta de forma que si yo tengo conectados en una red de estas 50 dispositivos cada vez que uno necesite conectarse va a lanzar una señal, un pato va a la red y los demás se quedan esperando bueno, pues si en lugar de 50 tengo 500 pues va a producirse choques y alguno va a perder tiempo y se me va a parar ese es el problema de broadcast por eso también hay que segmentar tenemos que cortarlo en zonas separadas para que solo se propague cada uno por su zona al resto no le interesa saber si esta máquina es un sensor que avisa cada 20 milisegundos de cuál es la temperatura del horno porque va a tener que aguantar estos y estos en tiempo de este, lo corto y que solo lo llega aquí bueno entonces vamos a ver cómo vamos a solucionar esto lo que se ha dicho el problema no deseado muchas veces también fijaros aquí os he puesto a posta unos switches de IT muchas veces tenemos switches de IT en planta a veces funciona por ciento de los casos no va a pasar nada hasta que pasa de repente hay un problema conectamos una máquina más y se ha roto todo fijaros que aquí tenemos cuatro switches y alguien por error ha conectado un segundo cable son switches que no están preparados para trabajar en redundancia de anillo ahí se produce un bucle se empieza a autoalimentar con el tráfico uno al otro y ocupa toda la red esto lo tenemos aquí más cosas que vemos aquí hemos hecho una máscara de red fijaros como la tenemos puesto desde la 172.161 hasta la 172.1616 vale, cada numerito de esos del 1, 2, 3 hasta el 16 supone que puedo tener 254 equipos en red con lo cual aquí tengo más de 4.000 equipos en la red que están conectados lo cual hace que cualquiera de esos elementos que se propaguen en un caso en broadcast va a afectar a todos los demás esto es un problema del diseño de red y además me voy a encontrar a palacitos que en lugar de ser switches son hubs conocís algunos de los hubs son más antiguos el hub vale, el switch lo que hace es tiene una tabla en la cual identifica cada IP colaborar yo puedo establecer diferentes caminos de comunicación a través del switch el hub es cuando yo hablo a través del hub él lo saca por todos es otro problema también es otro problema por lo cual producen replicamientos aparentemente son iguales si no lo sabemos o no leemos aplicaciones en instalaciones antiguas podemos tener problemas porque en lugar de switches nos encontramos en algún sitio en lugar bueno que lo sepáis, ¿cómo solucionaría esto? lo veremos más adelante lo que os decía el tema de cable A hemos hablado antes el cable este hay cables diferentes por ejemplo, el cable que tenemos aquí es el cable de profinet solo tiene 4 líneos hay otros 6 y 2 en función de la categoría del cable nos va a decir que 4 si nos tiene voy a ver que varian la velocidad de transmisión de datos que se lanza de banda el de profinet que suele trabajar a 100 a 100 tiene 4 cables para las máquinas actuales es suficiente como os he dicho en la parte de producción lo importante no es el volumen de datos sino el determinismo de cada dato por 5 la tienda a cada dispositivo, a cada sensor eso es lo importante si no hay muchos datos al final en algún momento también es más grande aquí veis las categorías las distancias que permite hacer fijaros que el cobre va a 100 metros las diferentes velocidades que me permiten al 6a que me permite 100 en poe me lo permite cualquiera de esas categorías el 5, 5e, 6 y 6a el poe por si no sabéis es alimentados éticamente los acordes del plana no se volvió el dato sino que no era corriente en las oficinas normalmente nos lo podemos utilizar con la telefonía sabéis el típico teléfono de la polimpe que lo conectas no se tiene un transformador y otros que directamente llegan al cambio de red es por poder obedecerme se entienden porque llevan la alimentación de corriente por encontrarlo de red en la industria también se utiliza para, sobre todo para cámaras hay algunos elementos que los requieren pero hay muchos procesos por cámaras de control, de gestión, de calidad que controlan el proceso para medir movimientos que necesitan llevar a remase esa alimentación pues también hay switches de estos movimientos que también llenan a mano se veis que también es bastante adecuado lo que os he comentado existencia de capos y electro-magnéticos muchas veces no solo por esa distancia de 100 metros sino que no sea tan grande lo que se hace es se mete cibra por las interferencias el ruido y el ruido en la industria cuando hablamos de hacerías o de máquinas con motores muy potentes o electrosondaduras es muy habitual con un par de tipos de tensión eso se me cubre la típica industria que te dice oye, no sé qué pasa que desde hace dos meses a las 4 de la tarde se me cae a ver un rato estás haciendo las pruebas y resulta que un puesto de nueva máquina que arranca a las 4 arranca esa máquina, produce un tico el cable está pasando por encima hay una pérdida, se cae y se para pero cuando ya ha arrancado después ya no tiene ese tico ¿qué más nos vamos a encontrar en la planta? lo que os he comentado, elementos altivos os vais a encontrar elementos que no son conectables directamente a Cermet que nos hace falta adaptadores que nos hace falta transportores HMI sobre escalas que trabajan sobre sistemas de base de datos porque son altivos porque la empresa que le produce no ha evolucionado simplemente porque nos funciona perfectamente y no queremos gastar en actualizarlo es una opción nos vamos a encontrar equipos viejos tienes un equipo pero es que me hace falta el cuarto Rese232 para conectarme a la máquina y los ordenadores nuevos quitando algunos, tú y yo cual tienes no Joaquín, este tendrá Rese232 hay algunos que se puede pedir al fabricante que los haga con claca pero en muchas empresas hay una joya de los viejos porque les hace falta para controlar por serie muchas máquinas y esos ordenadores son los que hacen de puente con la red que es lo que pasa? que ese ordenador que tengo que conectar cualquier máquina con ese programa para capturar esa máquina tiene que tener un Windows 98 un Windows 2000, un Windows XP porque el programa no existe para las nuevas versiones es por la propia máquina que me condiciona todo y eso es un problema de seguridad que nos vamos a encontrar aquí ves los sistemas ese ordenador que hace de puente tiene un sistema operativo que ni se actualiza ni se ha soportado y bueno, pues ya tengo formas de protegerlo ya veremos luego lo que os decía, el tiempo real el problema de la baja disponibilidad cuando estamos hablando de esos penecer de esos operadores, de esos motores al final que varían las frecuencias, los movimientos estamos hablando de cosas que tengo que actuar cada 100 milisegundos cada 10 milisegundos incluso menores a un milisegundo eso es lo que se llama el tiempo real entonces tengo que asegurarme que no metan atencias ¿qué supone esto? para que os hagáis una idea cuando yo concaten los switches la información que pasa de un extremo a otro aproximadamente es si yo concaten otros switches y establezco 8 y establezco la comunicación de un elemento en un extremo al que establezco el octavo switch la atención es de un milisegundo aproximadamente entonces son atencias tengo que tener en cuenta si estoy trabajando con tiempo real no puedo meter los switches ya que me tengo más grande esas cosas tengo que tenerlas en cuenta si estamos hablando de 10 de 100 milisegundos cada vez que hay el bruto aparte de que el profinéndio funciona suponiendo que pasemos de otro sistema si tengo tiempos de producción que pasan a través de un bruto de dos líneas diferentes ese tiempo me meten un recraso si solo es un bruto es igual cumplo los 10 milisegundos igual cumplo los 10 pero si paso por dos brutos o tres o cuatro para cada otro lado no lo podéis adaptar y si además es un firewall esos tiempos se disparan y si es un firewall aparte de lo que os he dicho que cortan el tráfico entre IPS servicios y protocolos lo que hacen es analizan el contenido de la trama aquí te que pasa analizan si tiene virus hay diferentes opciones pero eso todo este análisis añade un retrato cualquier pequeño retraso puede no ser asumible por la producción por lo cual lo que tenemos que hacer es meter ese análisis en la capa superior esto funciona y me aseguro que esto es un sitio limpio seguro y lo que hago es analizar arriba todo lo que pasa hacia abajo pero nunca corto ese tráfico interno que requiere de sus tiempos en esos tiempos tenemos dos sistemas de funcionamiento los IPS y los IDs todos analizan el tráfico a respectuando el virus o se guardan el uso en el propio paquete incluso de algunos que analizan incluso el cifrado todo ese tiempo general si el cifrado o nivel esas pautas requiere una latencia que va incorporando bastante grande para la parte de producción y luego hay otros que lo que hacen es la parte de los IDs van escuchando necesidad diagnóstica y el famoso TAB esta es la necesidad de la diagnóstica nos da exigir irnos a los niches que estén aquí los niches no gestionables los niches tomos de toda la vida lo que hacen es se me convutan entre los diferentes elementos pero no guardan información estos niches gestionables me van a dar información de que puerto está ácido puedo gestionar esos logs de cuán se ha caído, cuándo se ha caído si tiene accedido va cambiando la configuración cuantas trabas hay o correctas por para puerto cuantas hay o incorrectas esa información la veremos como nos la va sacando eso incluso me va a decir los errores que caen para puerto ese tipo de cosas las sacan y si yo tengo un error en mi planta primero que voy a hacer es ver que ha pasado aquí y si en el log veo que hay uno de los puertos que tiene muchos errores y si hay algo al otro extremo que me está produciendo esos errores o que tengo demasiada carga correcta también me dice un puerto entonces igual tengo que dividir lo que está en el otro lado y separarlo con los otros que si no tenemos estos niches gestionados no voy a volver a cantar como se ha dicho esta informática forense todos estos logs primero que se ha dicho de una planta en la que tenemos no ha volvido a hacer y ha habido un problema ayer a la noche y se me ha caído este este error entraría en ese servidor de logs ni daría esa carga de la noche que le ha pasado ese error si se ha caído si no se caía pero es que además podría filtrar y ver a esa carga de la noche que ha pasado en todos los demás entonces iríamos dando causas porque este está afectado por otra cosa es importante tener todos un realizador que son logs poder realizarlos y que todos los elementos de la planta estén a la misma hora porque no me vale de nada que este me marque la fecha de hoy ese se me ha caído la luz se enciende y tiene la fecha de daño tengo que asegurarme conocéis los sistemas NTP tenemos que voltar una NTP planta y todos estos sistemas estén a la misma para nosotros no lo conocéis un NTP es un servicio que pone todos los sistemas de la red a la misma hora por ejemplo cuando entréis en un Windows en un domingo ponéis el usuario y la contraseña adentrar contra el servidor se malida y normalmente puede ser el que hace NTP y da la misma hora a todos los equipos de la red eso hay en NTP pues en OT tenemos que poner también ese servicio lo puede dar un fireball o lo puede dar ese servidor que lo hago el fireball lo haría sería lo configuraría como NTP para el resto de dispositivos de planta de forma que todos tienen la misma hora que el fireball aunque estén más ya en las primeras estén todos mal pero todos han dormido y luego lo que haría es ese fireball lo sacaría fuera lo que le puedo sacar a un perro a un perro de los estudios universitarios que son más clarinados que son públicos para que él se sinfonice con él y luego repasta la misma hora al resto de equipos de la planta esto es importante porque primero he reducido la exposición porque sólo salen los equipos no salen los que tienen los equipos que tengan salen uno de alcolizabada y al resto se alcoliza contra el y el segundo punto es que si más adelante voy a hacer acceso a remotos en todo el tema de certificados en todo el tema de certificados es importante que todos los elementos que interfieran en el cifrado tengan la misma hora pero los certificados realmente tienen una marca de equipo y si yo voy a comentar en el cifrado de otro extremo de la fecha hace los años pues me va a decir que no puedo comentar desinfectar por la diferencia en el año puede ser por una hora para que os hagáis una idea para que os hagáis una idea en todos los cifrados bancarios todos esos certificados que veis seguros todo en esta vida es descifrado no se puede decir porque tiene una marca de equipo lo cual si llevo un cifrado que tiene una validez de 20 minutos en un sistema actual tarda descifrado dos horas porque para cuando lo has descifrado ya no vale, necesidad de escalabilidad es importante lo que os hemos dicho primero que la red sea resistente ante caídas o ante cortes esto lo que me va a garantizar que no está bien una anillo central si por lo que sea con el coste si yo estoy tirando switches en la planta con el coste de un único cable un único cable que me cierra ese anillo porque si no sería una línea lo que hago es una línea de switches fijaros que hay PLC si hablo en el elemento más que puede formar parte del 1500 si no lo digo puede formar parte de una línea con un único cable más lo que hago es que en caso de que uno de esos cortes cables esté cortado con la siguiente incluso hay veces que nos ha mordido ratas que viven por mayor ardezo puede pasar lo típico que es una planta de éstas de residuos sobre los humanos por abajo entre una excavadora cortan la fibra de un lado si no tengo un anillo se me para la producción ¿por qué? porque luego veremos el tiempo que necesita el anillo para recuperarse en caso de uno de esos cortes que se abrieron los dispositivos es determinista yo sé que todo el anillo que ponga cuánto va a tratar de levantarse por otro lado entonces hago unos corrabas de acuerdo para que volvere que esos elementos de recuperación los amargos están sustentados si el margo se utiliza otros sistemas el R7P que estamos en internet el problema que tiene el R7P es que no tiene un tiempo determinista no sé cuánto va a tardar el levantarse puede ser milisegundos puede ser un minuto porque se tiene que ir ajustando por donde va con lo cual no me vale eso es un poquito siempre que os hablo de que no me vale volvemos al caso de que cada un busque es un mundo y hay solución esta hay que ser si se tiene que unitarlo que no queda otra bueno pues aquí lo que me permite este anillo la parte de escalabilidad es que si yo quiero añadir una nueva máquina cogería uno de los cables del anillo lo hago lo conecto a la nueva máquina tiro el cable de la nueva máquina y en ningún momento he parado la producción se entiende esa es la ventaja que nos produce un anillo aparte que lo que se he dicho el tema de costes sólo me supone un cable más y me garantiza el tiempo de restauración si quiero hacer R7P en esta planta fijaros que pues mínimo tendría que hacer dos cables en cada uno de los daus primero mucho más cable y no sólo el cable sino el número de puertos que tengo que tener ocupados ya simplemente con la comunicación entre los switches al que no puedo conectar otros dispositivos y acordaros que son dispositivos con pocas bocas también existen dispositivos en racables con 32 bocas pero bueno ese es caso no son muchos sitios donde se utiliza eso una cosa muy importante sobre todo tenemos que saber antes de tocar una récord industrial si hay safety esta es la parte de seguridad física la que nos protege del trabajador de accidentes de cualquier cosa de estas esto tiene prioridad sobre todo no puede ser que yo ponga algo novedoso para conectarme en remoto y resulta que el safety falle porque tengo dos opciones la primera es que falle porque le he metido un firewall y me esté continuamente según este programado parando la máquina porque si no detecta la respuesta de safety en tiempo deseado me lo para o que lo haga al revés que no me lo pare editar de más y resulta que igual estoy con una prensa y en lugar de tener un susto o perder un falange de un dedo pierdo el brazo o peor podría darse el caso esto es prioritario entonces siempre que hacemos un diseño hay que tener en cuenta si existe safety y saber que el safety solo puede ir en cápados a nivel de switch puede utilizar saltos ni firewall ni routers porque eso produce esos redentizamientos que hemos dicho que podría afectar la seguridad ya nos contará luego Joaquín, nuestros amigos de Siemens que existe unos sistemas que se llaman pnpn couplers que lo que hacen es es como un mapa que se conecta a dos redes y hace un volcado de memoria en tiempo real de dos peletes eso se utiliza para propagar este safety en diferentes líneas a nivel 2 tiene su complejidad pero bueno a mi de este punto de vista de ciberseguridad algo que tiene patas en dos en dos lanes diferentes no me convence ya veremos cómo llegamos a mejorar esto entre unos años seguro vale, luego el wifi el wifi industrial es diferente y os cuento por qué los estándares son los mismos pero acordaros que os he dicho en tema del determinismo una cosa es que yo con un wifi en mi planta para que el operario que vaya a trabajar con el diaporta lo hacer las las mediciones o se conecte por el wifi y acceda vale, no hay ningún problema y otra cosa es que lo utilice como parte de la producción las dos fuentes comunicación, o sea, parte de la producción que tenga que comunicarse del PLC con otros dispositivos ahí es donde es diferente por qué? fijaros arriba estos son los tiempos, los ciclos que me está dando fijaros que yo tengo tres ordenadores conectados a mi wifi doméstico y el primero le da el servicio, está en negro el segundo y tercero están esperando en el segundo ciclo da servicio al tercero en el tercero al segundo pero luego datos seguidos al primero, por lo cual fijaros que hay un momento en que pasan más de tres ciclos en que se hacienden al tercero ha habido hasta que a la tienda pasa cuatro ciclos lo veis? y arriba al segundo también ha pasado cuatro ciclos y esto funciona así en el wifi doméstico por eso salen esos los litos de arena y esas cosas incluso aunque no lo tenemos porque estamos hablando de ciclos de milisegundos aproximadamente estos ciclos creo que son de de diez milisegundos no nos vale en cambio cuando estamos hablando de controles pues sobre todo se utiliza para elementos móviles estos máquinas alternatorias las ruas fuentes, estas que ves en las plantas que se descansan de nuevo todo este tipo de cosas que no pueden tener cable lo que hace wifi es industrial me garantiza que cada tres ciclos le doy servicio a uno de los dispositivos fijaros, siempre es por orden nunca hay ningún desacendido lo que me garantiza que esos tres ciclos de diez milisegundos son menores a los treinta y dos milisegundos con lo cual me saltaría o se me pararía la planta por seguridad el propio safety de la plantaria que si no has atendido una máquina de un tiempo la ignora o empara eso es lo que me garantiza ahora si no me equivoco ha salido el wifi 6 que incorpora más canales, como cual puedo gestionar más dispositivos esto me significa si yo tengo tres dispositivos los que estoy no bien con un puto de agua seguro si tengo seis, me va a faltar dos y cada uno tendrá que dar su luz para que esté permitido el wifi 6 me aumenta el número de canales y el número de dispositivos incluso me garantiza que esos tiempos, esos ciclos llegan hasta dos milisegundos por lo cual incluso puedo pasar safety o aparte de un ojo o un ojo, siempre cuando es necesario en entornos controlados, en plantas lo que hemos dicho en las móviles, en las puentes por que hay casos yo he visto que se pone el wifi tanto industrial como el doméstico se mature, por ejemplo en única cadena como no querían tirar fibra en las diferentes distancias ¿Qué es lo que pasa? lluvias, huidensas nieblas el wifi deja de funcionar de repente pasa un cambio cargado se pone en medio con una altura que supera las dos torres se para el wifi o sea, no llega la señal entre comidas el wifi si no hay otro remedio pero si no siempre cable o firme es mi opinión el siguiente paso ahora hemos visto lo que hace la red plana todos los problemas que nos podemos encontrar ¿Qué hacemos? vamos a empezar a introducir switches gestionables ¿Qué hacemos con los switches gestionables? lo que estábamos hablando antes ya conseguimos ese tipo de redundancia conseguimos los anillos estos switches gestionables son capaces luego veremos los tipos de anillos que hay de hacer una conexión multicle entre diferentes elementos y evitar la redundancia evitar esos loops que hacen que se vayan alimentando y se bloqueen la red tenemos el número de redundantes tenemos diagenóstico SNMP ya sabemos lo que hemos dicho ¿Qué puertos están más cargados de tráfico? ¿Cuáles están menos cargados? sabemos el número de errores que se transmiten en la red incluso nos permite gestionar quién accede bueno normalmente ponemos a pin pero lo que se ha dicho es que podemos poner usuarios nominales saber quién accede y cambiar las configuraciones de esos elementos gestionables nos permite deshabilitar protocolos y puertos hablamos de switches sí que es cierto que me permite bloquear los puertos libres para que no del link y no se conecte nada no deseado de forma que nos tenga que terminar la autorización para entrar y acceder y cuando hablamos de la carga de deshabilitar protocolos y puertos o sea, esos son puertos físicos los protocolos se refiere a que yo puedo bloquear que mi gestión de ese switch que al final voy por un internet explorer o por un Firefox o por lo que sea se haga por el protocolo TenNet ¿Sabéis lo que es el protocolo TenNet? es un protocolo no inseguro que es el que se utilizaba antes cuando te conectabas viene de los puertos serie pero luego se hace por red y se te conectas a través de consolas y dispositivos la información que transmites no va cifrada con lo cual si alguien está escuchando porque ha pinchado ese cable o está con un por miro o alguna cosa va a haber todo lo que te cleas incluido usuario, contraseña, todo ¿vale? lo que hago es en el switch deshabilito que entres por TenNet puedo deshabilitar que entres por HTTP o sea te obligo a entrar por HTTPS te puedo incluso llegar a obligar a utilizar un tipo HTTPS que es de cifrado para el navegador en lugar del 1.0, el 1.3 para cierta complejidad cuidado con esto porque a veces puedes poner un cifrado muy alto y hay algún equipo antiguo que no puede entrar ¿vale? tiene ya opciones de seguridad de acceso al propio switch de forma que nadie pueda cambiar pueda deshabilitar, pueda borrar huelanes, ya veremos más adelante me permite también el tiempo de recuperación del sistema claro, evidentemente si tengo ya anillos lo que os he dicho ya en caso de que se corte ese cableado la comunicación pasa por otro lado me permite esa optimización seguimos manteniendo el problema de la red duplicada ¿vale? ahora lo que hacemos ya es lo configuramos en zonas ¿qué es lo que hemos hecho para configurarlo en zonas? fijaros lo que hemos hecho ya es meter esos firewall aquí veis uno aquí veis otro y aquí veis otros dos esos firewall, ya lo que hacen es hacen un corte entre la parte de arriba y la parte de abajo de forma que esta zona ya puedo decir quién accede y de aquí que sale y hacia donde eso ya es ecubizado, eso es lo que os decía de que se implementados los firewall aquí lo mismo, pero es que además ese firewall de costo me está traduciendo esta IP y ya puedo acceder a la costa para que os hagáis una idea luego no lo ponemos más en talle lo que haces en lugar de ir a la 1x que es lo que veis aquí él me lo traduce y puedo ir por ejemplo imaginaos que voy a la 10x él lo traduce, o sea de aguas arriba es una y de aguas abajo es otra bueno, fijaros que aquí lo que hemos hecho es tenemos esas subtulas redundantes hemos metido un vrrp sabéis lo que es un router virtual lo que hacemos aquí realmente vosotros tenéis en casa un router para que os hagáis una idea es el 192.168.01 ese es vuestro router lo que hacemos nosotros es ponemos dos routers y en cada uno de ellos aparte de su IP normal tienen un IP común que compartan siempre apuntamos a esa virtual, no a la física de forma que vamos a la virtual hay uno que está activo que responde y si se apaga el otro sigue respondiendo a la virtual ¿entendéis que es un concepto? o sea, yo tengo dos routers tengo dos routers, imagínate que tengo el no, aquí hay dos uno y dos, están puestos con vrp veis en 615 son dos routers virtuales que van a un anillo uno va cada noche vale, entonces esos dos routers cada uno tiene su IP imaginaos que uno es el uno y otro es el dos pues me invento una dirección virtual que es la 10 y los dos tienen la 10 de forma que cuando yo voy a trabajar contra ese router no trabajo contra la 1 y contra la 2, trabajo siempre contra la 10 y el que está activo es el 10 y si se estropea, el otro automáticamente pasa ser el 10 tengo aquí también vale, os digo, a ver si fijaos si vale, no, no creo que haga yo creo que lo veremos más adelante, no os preocupe y sé que estos son conceptos vale, lo que he hecho es eso fijaros he segmentado con esos firewall ya tengo ubelans diferentes, que son rangos de red, no tienen por qué ser rangos de red sino que lo que puedo hacer en esas ubelanes directamente es hacer que no se vean entre ellos vale, la ubelan me permite tener equipos aunque tenga el mismo rango de red que si están en una ubelan o en otra ubelan a través de suches gestionados no van a ver más que los que estén en esa propia o fijaros la ubelanza al final aquí puedo tener diferentes ubelanes pero para mí lo que he hecho ya es tengo una red superior y tengo una red inferior de otra red, no es separado ya en dos redes ya no tengo una única claro, por eso he puesto ese firewall que es un protocolo, es separado en enlanes y ubelanes lo puedo hacer en los útiles restaurantes vale, de forma que yo puedo coger en estos dispositivos fijaros aquí, tengo ocho cuertos puedo hacer que estos cuatro sean de un ubelán y estos cuatro sean de otro ubelán si yo pincho equipos con la misma rango de red en este cuerto y en este nunca se van a ver bueno, he generado esas ubelanes con lo cual ya tengo acordaros que antes cuando os decía que teníamos una única red esos dispositivos que hacían brozcas y transmitían para todos los equipos ahora como están dentro de ese ubelán solo retransmiten en su parte interior si yo tengo aquí algo que transmite no va a salir al resto y aquí lo mismo, no sale al resto seguimos deshabilitando protocolos y puertos en este caso como hemos venido firewalls podemos deshabilitar ya protocolos y puertos para todo el tráfico de la red no solo de acceso a las máquinas ese firewall me va a decir qué puerto, qué protocolo va a pasar de arriba abajo por ejemplo, yo podría poner en un firewall de esos habilitar solo lo que hemos hablado el servicio el SIMATIC LS7 para que sólo pueda entrar por tía portada al PLC por el UDP puerto 102 y cualquier otra aplicación que intenta entrar bases de datos, escritorios remoto lo que sea, no puede porque tengo cortado esos puertos vale hemos controlado ese tráfico hemos implementado esos firewalls que nos permiten hacer esos controles y tenemos la posibilidad que hemos visto de traducir direcciones ese NAT el siguiente paso, fijaros que parece que no pero es la configuración de zonas lo que hemos hecho aquí fijaros ahí, ya hemos separado la parte de IT de la parte de OT veis que ya tenemos ese cable rojo, ya tenemos esa primera segmentación y delimitación de la zona IT de la zona de OT en la zona de OT tenemos un anillo superior en ese caso a manillo porque es de fibra fijaros en este switch esto es un switch lo que se ha dicho, lo mismo que tenemos los pequeñitos si hace falta hay switches en racables también en torre industrial para el tema de temperatura y eso pero que nos permiten hasta si no lo equivoco, 48 tomas hay otros modelos y a su vez tenemos los PCs servidores de diferentes equipos que están en planta no son de IT, son de OT aquí estarán los escadas, los sistemas mes sistemas de gestión de base datos, incluso esos que habéis oido el Edge Computing y aquí lo que estáis viendo es, ya tenemos traducido la parte de NAT y tenemos ya todo separado en zonas IT todo esto que sería OT y OT segmentado en lo que podría ser tres líneas de producción por ejemplo, prensado esto podría ser cocción y esto podría ser basado lo que tenemos ya segmentado si algo se vea afectado aquí, no afecta al resto bien, y este ya es la transformación final, fijaros que aquí lo único que hemos hecho respecto a la parte anterior es añadir este final que es lo que dice la norma la IEC, en medios 443 que separa la parte de IT de OT de forma que aquí ya es donde decimos quién puede pasar de IT a OT por ejemplo, si tú eres un diseñador o un programador de automatas y estás trabajando en las oficinas de IT se te podría autorizar al usuario, a gente incluso podríamos utilizar a que tenemos un servidor de conexiones remotas, obligarte a entrar por VPN lo que hemos hablado antes, sentando por VPN que debería de edificado por usuario contraseña quién accede a él y ya tendríamos también esta normativa de los usuarios dominales y luego, no sé si conocéis las DMZ podríamos montar aquí la propia DMZ de OT una DMZ sigue en una zona desorganizada y lo que hace realmente es una zona que es atacada desde los lados de este caso es atacada desde IT o desde el exterior y desde OT os voy a poner un ejemplo un volcado de los datos de consumo de material y los nudos de un PDC el PDC tiene unos sensores con unas cerdas cortoeléctricas que me están diciendo pues por el movimiento de las cintas y por el grosor que detectan cuánta madera hay ahí y sé cuánta madera hay ahí en esa máquina entonces el PDC me lo va guardando una base de datos que estaría en esa DMZ y posteriormente desde IT accedo a esa base de datos de la DMZ para hacer el análisis la podría importar a otra base de datos como trabajar limitamente qué consigo que el PDC trabaje contra la DMZ pero no trabaja el de IT contra el PDC entendemos el significado es un paso en el medio para que no interactúe esos nudos así protegemos el acceso directo desde el exterior si os fijáis aquí ya lo que hemos conseguido es una tomología que está preparada, bien segmentada fácilmente ampliable tenemos esos anillos, tenemos switches que podemos ir ampliando podemos ir gestirando y realmente este es un modelo pero lo que os he dicho hay unos estándares que tienes que cumplir pero no tienes ni por qué tener anillos vale depende de cada institución hay industrias para que os haréis una idea yo estoy en plantas que fabrican mueves tipológicas estos de piezas son salarías fanes que tienen unas pánenas enormes se producen un montón y realmente tienen las francés entonces no lo decía que esto se podría cumplir esto de otra forma con un simple framework y de ese framework para los switches y no hace falta ni anillos ni nada