CIBERSEGURIDAD EN ENTORNOS INDUSTRIALES

Octubre 2015

© RUTILUS - Erik de Pablo Octubre 2015.

 1. Ámbito estándar de los Sistemas de Información

2. Nuevos entornos de las Tecnologías de la Información

3. Nuevos retos, la ciberseguridad

4. Modelos de madurez y Mapas de riesgos

© RUTILUS - Erik de Pablo Octubre 2015.

 Ámbito estándar de los Sistemas de Información
¿De dónde partimos?

• De un sector maduro, con prácticas, normas, marcos de control y sistemas de revisión bien establecidos

• Centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión de las
compañías.

• Con algunas aplicaciones técnicas de nicho

• Con herramientas de colaboración (correo, mensajería, voz, video, etc…)

• Con unas redes de comunicaciones internas, “externas” y de acceso a internet.

• Con unos protocolos de comunicaciones unificados (sobre TCP/IP)

• Internacional

• Con un esquema de protección de la información y las infraestructuras (seguridad lógica) que tiene mas de
20 años en mejora continua.

• Basado en un “Modelo de Fortaleza” (seguridad perimetral) que ha permitido a las organizaciones ofrecer
servicios internos centralizados, con transparencia, integridad, disponibilidad, confidencialidad y eficiencia.

• Con una gestión relativamente eficaz de los múltiples “agujeros” creados en los últimos años en el perímetro,
para la interacción con socios, proveedores, clientes y las Administraciones Públicas.

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevos entornos de las Tecnologías de la Información
Sector industrial -1

• En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que
no estaban incluidos en el modelo tradicional.
 Entre ellos están los accesos remotos, redes externas, los nuevos dispositivos personales, smartphones y tablets, etc…

• Surgen por la necesidad de interconectar estos nuevos entornos con la información corporativa, con objeto
de integrarla y hacerla interactiva.

• Entre estos nuevos entornos, uno de los más importantes es el entorno industrial, en el cual sistemas
técnicos de diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre,
desde sus inicios, aislados de los sistemas corporativos.
 Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System), PLCs (Programmable Logic
Controller), etc…

• El equipamiento ha sido siempre específico del proveedor, tanto en los procesadores como en las redes de
control
 Redes LCN, Modbus, Fieldbus, RS422, RS485, etc…

• Son sistemas que pueden llegar a manejar y supervisar varios miles de sensores y actuadores.
 Siguen modelos de control muy sofisticados, por ejemplo los PID (Proporcional, integrativo y derivativo), FCS (Fuzzy Control System), ECS
(Expert Control & Supervision), Control avanzado multivariable etc...

 Almacenan información histórica del comportamiento de la planta

 Supervisan y manejan todos los posibles estados de la planta e incluso optimizan su eficiencia.

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevos entornos de las Tecnologías de la Información
Sector industrial -2

• Estos entornos de control industrial han sido considerados hasta hace poco tiempo como “cajas negras”
 Han estado aislados de la red corporativa y centrados exclusivamente en su objetivo de proceso industrial

 Ofreciendo en ocasiones resultados o resúmenes en modo “off-line”

 Con un gran protagonismo de los proveedores de cada equipamiento, tanto en su configuración como en su mantenimiento.

• A principios de la década pasada, se inició un proceso de conexión con los entornos corporativos, con objeto
de que estos sistemas ofrecieran algunos datos de forma más interactiva o en “tiempo real”.
 Por ejemplo, con datos de producción. En ocasiones, proporcionando datos de existencias.

 En sentido contrario, hacia los sistemas industriales, enviando programas de producción o datos logísticos.

• Este proceso de conexión se fue reforzando con la paulatina conversión del equipamiento de control a las
plataformas convencionales, con procesadores estándar y sistemas operativos de tipo Linux o Windows.

• Como consecuencia de todo ello se fue introduciendo el protocolo TCP/IP en las redes de control.

• En ese momento, las redes de control pasan a ser, de facto, una pieza mas de los sistemas corporativos,
debido a la continuidad que permite el protocolo de comunicaciones.
 Los diferentes objetivos de ambos sistemas resultan una anécdota intrascendente ante el impacto que provoca compartir el
protocolo de red, la continuidad y uniformidad de la infraestructura y por ende la aparición de la vulnerabilidad.

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevos retos
Ciberseguridad

• Esta evolución de los sistemas de control industrial, impulsada por los costes, la realidad tecnológica y las
necesidades de información de las compañías, ha provocado la aparición de una serie de vulnerabilidades
que hasta hace poco tiempo eran desconocidas en el mencionado entorno industrial

• En ese contexto aparecen algunos elementos que aceleran el cambio de actitud ante esta situación:
 Aparición de los primeros virus diseñados específicamente para atacar instalaciones industriales

 Publicación de la “Ley 8/2011, de 28/04/2011, por la que se establecen medidas para la protección de las infraestructuras críticas”.

 Publicación el 07/02/2013 de la “Estrategia de ciberseguridad de la Unión Europea” y la propuesta de “Directiva relativa a medidas
para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión”

• Se acuña el concepto de “ciberseguridad”

 El término procede de “cibernética” (sistemas de control basados en la retroalimentación).

 Este término se utiliza indistintamente para la “seguridad lógica” en general y sus incidentes asociados, así como para la seguridad
en relación específica con los sistemas industriales.

© RUTILUS - Erik de Pablo Octubre 2015.

 Modelos de madurez y Mapas de riesgos
1

• En el mundo de la gestión empresarial y de la administración, el método tradicional para enfrentar una

amenaza es efectuar un análisis de los riesgos derivados de tal amenaza y procurar un conjunto de medidas
tendentes a mitigar tales riesgos.

• Este esquema, cuya aplicación está muy extendida entre los gestores, puede adolecer de algunos
problemas que mostraremos a continuación.

• En un proceso, podemos considerar dos dimensiones de respuesta ante una exigencia externa:
1. La reactiva específica, basada en identificar la exigencia en cuestión y actuar en concreto sobre ella, siempre que en
nuestra biblioteca o memoria exista alguna respuesta establecida

2. La respuesta adaptativa, que intenta flexibilizar nuestra reacción al conjunto del problema, asimilándolo y planteando un
enfoque más holístico.

• La primera tiene que ver con el modelo de Riesgos, considerando que están definidos, listados, ordenados y
con una conjunto de actuaciones de mitigación establecidos.
 Se efectúa un emparejamiento entre las amenazas y los riesgos, por lo tanto a cada amenaza le corresponden sus mitigadores.

 Tiene un carácter táctico, porque los riesgos cambian.

• La segunda apunta a una capacitación más completa y flexible. Está considerando un conocimiento aplicado
suficiente como para entender el problema, para adelantarse al mismo si fuera posible y a todas las posibles
consecuencias, variantes y efectos laterales. Este concepto se conoce como Madurez
 Tiene un carácter estratégico, porque la madurez o bien permanece o se incrementa.

© RUTILUS - Erik de Pablo Octubre 2015.

 Modelos de madurez y Mapas de riesgos
2

• Un procedimiento estándar para evaluar la madurez de un proceso es utilizar la norma ISO 15504. Esta
evaluación conduce a considerar si existe y se ha implantado un modelo de control. Aunque la descripción y
la literatura sea diferente, los conceptos que se utilizan son los mismos:
 Definición del proceso, definición de procedimientos y normas, aplicación de los mismos, revisión y evaluación periódica, puesta en
marcha de herramientas automatizadas de medición, esquema de mejora continua, etc….

• Al verificar procesos en los que se ha implantado un modelo de control observamos que siempre producen
un nivel de madurez igual o superior al 3. Este nivel supone una zona de transición, pues a partir de este
nivel se observa que los análisis de riesgos empiezan a tener su verdadera utilidad, porque la madurez del
proceso permite responder con flexibilidad a las amenazas conocidas y a las desconocidas.

• En los niveles inferiores al 3, puede darse la contradicción de que un análisis de riesgos pudiera llegar a ser
contraproducente, porque genere un falsa sensación de confort a la gerencia. En entornos dinámicos donde
las amenazas evolucionan con rapidez, disponer de una respuesta concreta ante un riesgo no permite
deducir una buena reacción ante nuevas amenazas.

• Este es el caso de los sistemas de control industriales. En ellos y desde la perspectiva informática, el nivel
de madurez suele ser muy básico, por lo que establecer una lista de amenazas en ciberseguridad puede
apantallar la realidad, que el proceso no es capaz de asimilar nuevos riesgos, derivados de las amenazas
que se presenten en un futuro.

© RUTILUS - Erik de Pablo Octubre 2015.

 Modelos de madurez y Mapas de riesgos

Muy útil – prioridades

Modelos de control
Mejora continua de los procesos 5 lecciones aprendidas

Utilidad del Mapa de Riesgos

optimizando
Muy útil – prioridades
Gestión cualitativa 4
predecible
Útil – foco, prioridades
Procesos adaptados - estándares 3
establecido
Falso confort  ~ utilidad
Gestión de procesos y los productos 2
gestionado
Falso confort ‐ reactivo
Se alcanzan los objetivos de los procesos 1
realizado
Falso confort ‐ inútil
No hay implementación de procesos 0
incompleto

Modelo Mapas
de madurez de riesgos

© RUTILUS - Erik de Pablo Octubre 2015.

 Modelos de madurez y Mapas de riesgos
3

• Por todo lo expuesto, la conclusión principal es que, para los sistemas de control industrial, es preciso
acometer una mejora notable en la madurez del proceso, como medio para asegurar un nivel de respuesta
aceptable ante las ciberamenazas.

• Como hemos adelantado ya, la mejor forma de mejorar la madurez de un proceso es a través de definir e
implantar un Modelo de control:
 Es preciso definir los principios conceptuales de un modelo de control

 Consensuarlo con las partes implicadas

 Diseñar su implantación, en plazos y responsabilidades

 Acometer la redacción de los procedimientos y las normas

 Resolver aspectos técnicos de equipamiento

 Preparar los aspectos organizativos

 Establecer un programa de revisiones y auditorías

• Una vez implantado este Modelo de control, los análisis de riesgos adquieren una mayor utilidad, permiten
enfocar la actividad hacia los riesgos principales y establecer prioridades. Todo ello sin descuidar el resto de
aspectos que definen el Modelo de control.

• La retroalimentación del mapa de riesgos y las lecciones aprendidas en su mitigación permiten incrementar
aún mas la madurez del proceso.

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevos retos
Ciberseguridad -2

• Actualmente existen, entre otros, tres centros que están dedicados principalmente a estudiar la
ciberseguridad industrial en España
 CCI (Centro de Ciberseguridad Industrial)

http://www.cci-es.org/web/cci/el-centro

 INTECO-CERT (Computer Emergency Response Team)

http://cert.inteco.es/Infraestructuras_Criticas/

 CNPIC (Centro Nacional de Protección de Infraestructuras Críticas)

http://www.cnpic-es.es/

© RUTILUS - Erik de Pablo Octubre 2015.

 Amenazas, desafíos y prioridades Pag.20

Objetivo - Crear y mantener una cultura de ciberseguridad en los entornos industriales.

• La diseminación de información sobre Ciberseguridad Industrial es complicada por el gran número de actores implicados.
• El establecimiento de responsabilidad sobre la ciberseguridad industrial dentro de las organizaciones, así como programas de capacitación y
perfiles adecuados.
• La financiación e implantación de medidas de ciberseguridad es complicada cuando la Gestión desconoce las implicaciones de la
Ciberseguridad Industrial.
• Falta de estándares específicos.
• La gran mayoría de los estándares existentes no tienen en cuenta las particularidades de la Ciberseguridad Industrial.
• No se tienen en cuenta los requisitos y características específicos de la ciberseguridad para instalaciones y procesos industriales.
• Desconocimiento de la materia debido a la carencia de formación y materiales informativos y divulgativos.
• Políticas y procedimientos inadecuados desde el punto de vista de ciberseguridad.
• Falta de relación entre autoridades, empresas y fabricantes acerca de ciberseguridad.
• Escasa coordinación entre iniciativas gubernamentales y privadas.
• Las necesidades de ciberseguridad de distintos sectores industriales pueden ser diferentes.
• La financiación de actividades de desarrollo de ciberseguridad (por ejemplo I+D+i) dependen de su alineación con los objetivos de la
industria y los gobiernos.
• Aumentar la comunicación entre equipos con distintas culturas y diferentes intereses.
• Incluir materias de ciberseguridad industrial en los temarios de carreras universitarias.
• Lograr que la Ciberseguridad forme parte de la cultura de las organizaciones industriales de la misma manera que lo han hecho
el resto de seguridades (procesos, medioambiental, PRL).
• Fomentar la coordinación entre todos los Estados Miembros de la UE.
• Creación de una guía de medidas técnicas concretas y claras.

20 · Mapa de Ruta Ciberseguridad Industrial en España 2013-2018

 Amenazas, desafíos y prioridades Pag.32

Objetivo - Desarrollar medidas de protección para reducir el riesgo y mitigar los impactos.

• Conectividad existente y sin controlar entre sistemas de control y redes TIC.

• Acceso remoto de múltiples partes sin control adecuado.
• Operación de sistemas de control industrial no adecuada desde el punto de vista de ciberseguridad (autenticación, cifrado).
• Los sistemas de control industrial están diseñados para operar en entornos fiables.
• Escasez de parches y actualizaciones de ciberseguridad y dificultad en su aplicación.
• No existen soluciones de ciber-protección industrial maduras.
• Los fabricantes no proporcionan soluciones acordes con las necesidades de los entornos industriales.
• Los fabricantes establecen condiciones incompatibles con la ciberseguridad.
• Los fabricantes no tienen en cuenta requisitos y/o estándares de ciberseguridad.
• No todos los fabricantes aportan manuales con configuraciones óptimas de seguridad para sus soluciones
• Gestión incorrecta de credenciales de acceso y uso de protocolos inseguros.
• Mala implementación de los soluciones y tecnologías de seguridad (firewalls, IDS/IPS, antivirus, etc.).
• Escasez de soluciones de protección de sistemas antiguos (legacy)
• Herramientas que permitan la captura y retención del dato (log) de los sistemas en tiempo real de cara al análisis forense de los posibles incidentes.
• Falta de integración de nuevas tecnologías de protección con infraestructuras existentes
Hitos
Corto Plazo(2013-2014)
• Catálogo de soluciones y servicios de protección de infraestructuras industriales.
• Análisis y propuesta de requisitos de ciberseguridad en el diseño.
• Análisis y definición de un esquema de certificación y/o calificación en base a riesgo e impacto de las infraestructuras industriales.
• Bancos de pruebas (testbeds). Definición de necesidades: infraestructuras, casos de uso, servicios.
• Identificación de necesidades de protección en el entorno industrial iberoamericano y traslado a propuestas de proyecto I+D.

Acciones
• [PROT-1] Desarrollar soluciones de seguridad para infraestructuras industriales.
• [PROT-2] Desarrollar y utilizar componentes seguros que incluyan seguridad en el diseño.
• [PROT-3] Aumentar la automatización en las prácticas, procedimientos y políticas de ciberseguridad.
• [PROT-4] Establecer un esquema de certificación en ciberseguridad de componentes industriales.
• [PROT-5] Fomentar la I+D+i en busca de soluciones de protección adecuadas para el entorno industrial.
• [PROT-6] Construir entornos de prueba (testbeds) que permitan la realización de pruebas en entornos seguros.
• [PROT-7] Elaboración de catálogo de entornos de prueba.
• [PROT-8] Desarrollar un modelo de madurez de ciberseguridad industrial
 Amenazas, desafíos y prioridades Pag.38

Objetivo – Detección y Gestión de Incidentes.

• Las medidas de seguridad pueden afectar negativamente la respuesta a emergencias.

• Incremento continuo de la sofisticación de las herramientas y ataques utilizados por los hackers.
• En las infraestructuras industriales no existen medidas de seguridad equivalentes a la de los entornos TIC tradicionales.
• Definir un proceso claro y público de identificación de vulnerabilidades y la notificación adecuada de incidentes.
• Detectar incidentes que están en curso.
Hitos
Corto Plazo (2013-2014)
• Desarrollo de sistemas para detección de incidentes en entornos industriales.
• Fomentar la participación de los CERTs existentes en la detección y tratamiento de incidentes de ciberseguridad industrial.
• Identificación de necesidades de gestión de incidentes en el entorno industrial iberoamericano y traslado a propuestas de proyecto I+D+i.
• Identificar y catalogar vulnerabilidades.
• Realizar labores de comunicación.
Medio Plazo (2015-2016)
• Catálogo de soluciones y servicios de detección de incidentes en infraestructuras industriales.
• Análisisydefinicióndemecanismosderegistro deevidenciasyleccionesaprendidasenlasinfraestructuras industriales.
• Contar con una base de datos independiente de vulnerabilidades identificadas clasificadas por tecnología industrial.
Largo Plazo (2017-2018)
• Base de datos de lecciones aprendidas en gestión de incidentes.
Acciones
• [INCI-1] Desarrollo de soluciones de detección de incidentes en los distintos niveles (red, sistemas y aplicación) para entornos industriales.
• [INCI-2] Desarrollo de un catálogo de soluciones que ayuden en la toma de decisiones frente a ciber- ataques.
• [INCI-3] Involucrar a los CERTs en la detección y tratamiento de incidentes de ciberseguridad industrial.
• [INCI-4] Desarrollo de soluciones que faciliten el análisis forense.
• [INCI-5] Definición de requisitos para la restauración y recuperación de sistemas y redes industriales.
• [INCI-6] Desarrollo de un catálogo de lecciones aprendidas.
38 · Mapa de Ruta Ciberseguridad Industrial en España 2013-2018
 CPNI - SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADA
Establecer una dirección permanente

• Documento del CPNI (Centre for the Protection of National

Infrastructure)

• Traducido y publicado por el CNPIC

Una dirección formal para la administración de la seguridad en los

sistemas de control de procesos garantizará que se siga en toda la
organización una aproximación coherente y adecuada.

Sin esa dirección, la protección de los sistemas de control de proceso

puede ser improvisada o insuficiente, y exponer a la organización a un
riesgo adicional.

Un marco directivo eficaz establece claramente los roles y

responsabilidades, políticas y normas actualizadas para gestionar los
riesgos de seguridad en el control de procesos, y la garantía de que esas
políticas y normas se están siguiendo.

http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevas debilidades de seguridad
“Ciberamenazas” anteriores al virus Stuxnet

Amenazas anteriores al virus Stuxnet

© RUTILUS - Erik de Pablo Octubre 2015.

 CPNI - SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADA
Gestionar el riesgo de terceros

1.2.2. BUENAS PRÁCTICAS

19. Buena práctica, en el contexto de este documento, se define como:
Las mejores prácticas de la industria, tales como estrategias, actividades o enfoques, que
han demostrado ser eficaces a través de la investigación y la evaluación.

20. Las buenas prácticas resumidas en este documento sólo pretenden ser directrices.
Para algunos entornos y control de sistemas de proceso, puede que no sea posible aplicar
todos estos principios.

Por ejemplo:
• Principio de buenas prácticas: Proteger los sistemas de control de proceso con software
antivirus en estaciones de trabajo y servidores.
Complicación: No siempre es posible aplicar el software antivirus en los sistemas de control
de procesos de las estaciones de trabajo o servidores.

• Principio de buenas prácticas: Obtener acreditación de proveedores y una guía de

configuración para sistemas de control de proceso de los proveedores antes del despliegue
de ese tipo de software.
Complicación: Algunos proveedores no acreditarán el software antivirus y otros sistemas de
control de proceso son incompatibles con su software.

21. Si se da este caso, deberán ser investigadas otras medidas de protección.

http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevas debilidades de seguridad
ICS Cyber Security Conference 2013

http://www.icscybersecurityconference.com/

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevas debilidades de seguridad
“Ciberamenazas” en sistemas SCADA

Executive Report: Energy / Oil & Gas

“Protecting critical systems while promoting operation effciency”

Symantec - 2013

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevas debilidades de seguridad
“Ciberamenazas” en el sector de Oil&Gas

© RUTILUS - Erik de Pablo Octubre 2015.

 Nuevas debilidades de seguridad
El punto de vista de un proveedor

Cyber Security Critical for Industrial Process Control

The online world is under constant threat with hundreds of new worms and viruses attacking the world's
computer systems at any given time. In early 2010,a new type of computer worm was discovered that shocked
experts in the industrial automation community.

The worm, known as Stuxnet, was designed to attack a specific industrial control system, proving that control
systems are not immune to cyber attacks.

The Repository of Industrial Security Incidents(RISI), which records cyber security incidents directly affecting
SCADA and process control systems, shows the number of incidents increasing by approximately 20% per
year over the last decade.

Honeywell recognizes this threat and is continually assessing and enhancing the cyber security of our
systems.

https://www.honeywellprocess.com/en-US/about-us/campaigns/Pages/Be-Cyber-Secure.aspx

© RUTILUS - Erik de Pablo Octubre 2015.

 Internet: Origen y evolución de los servicios

Pre- Internet of Internet of Internet of Internet of

internet CONTENT SERVICES PEOPLE THINGS

“HUMAN “MACHINE
“SOCIAL
TO “WWW” “WEB 2.0” TO
MEDIA”
HUMAN” MACHINE”

• e-mail • e-productivity • Skype • Identification, tracking,

monitoring, metering,
• Information • e-commerce • Facebook
…
• Entertainmen •… • YouTube
• Semantically structured
t •… and shared data…
•…
•…

+ smart + smart + smart + smart + smart

networks IT platforms phones & devices, data &
& services applications objects, ambient
tags context

© RUTILUS - Erik de Pablo Octubre 2015. 24

 Internet of Things:

© REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015. 25

© REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015. 26
 Internet of Things:

• Según la firma consultora Gartner Group, hacia el año 2020 habrá unos 26.000 millones de
dispositivos conectados a Internet.
 Algunos incluso amplían la cifra a 100.000 millones

• La IoT es una red gigantesca de “cosas” conectadas, lo cual incluye también a personas.
 Habrá conexiones digitales entre personas, entre cosas y entre personas y cosas.

• Elementos electrónicos tan ubicuos, sencillos y baratos como los Arduino, Raspberry Pi etc….,
facilitan ya la construcción de dispositivos de todo tipo, interactivos con el mundo físico, donde
la conexión a internet es algo trivial.
 Una tarjeta de red para Arduino puede costar alrededor de 10€ y las librerías para poder utilizarla están
disponibles en Internet, con miles de ejemplos.

 Raspberry, de origen ya incluye la conexión de red.

• El uso de estos dispositivos tendrá un tremendo impacto en la industria, desplazando a los

sistemas de control tradicionales.
 Sin embargo, por el momento, no existen estándares que permitan limitar los riesgos de accesos
indebidos ni manipulación (hacking) de estos dispositivos, lo que supone un nuevo e importante riesgo.

© RUTILUS - Erik de Pablo Octubre 2015. 27

 Internet of Things – Un riesgo a considerar

• Cuando Stephen Hawking, Bill Gates y Elon Musk están de acuerdo en algo, hay que prestarles
atención. Los tres han dado la alarma sobre los riesgos potenciales que la Inteligencia Artificial
(AI) puede provocar .
 Hawking avisa que el desarrollo pleno de la AI puede significar el “fin de la raza humana”.

 Musk, empresario dueño de PayPal, Tesla y SpaceX, describe la AI como “la mayor amenaza sobre
nuestra existencia”.

 Gates, está alarmado por la posibilidad de que las máquinas alcancen una inteligencia que no podamos
controlar.

• La combinación de potencia de cálculo, información, almacenamiento e interacción con el mundo

físico (IoT) puede hacer que la gigantesca Red conocida como Internet alcance lo que se
denomina la Singularidad.
 La Singularidad es el punto, en la historia de la tecnología, en el que la aparición de una superinteligencia
artificial, con capacidad para autoprogramarse, podría ser el inicio de un crecimiento exponencial.

 El escritor Ray Kurzweil predice que la Singularidad ocurrirá alrededor de 2045, aunque Vernor Vinge
adelanta la fecha a 2030

© RUTILUS - Erik de Pablo Octubre 2015. 28

 Contacto:
• Erik de Pablo Martínez
• edepablo@rutilus.com
• www.rutilus.com

¡¡ MUCHAS GRACIAS !!

© RUTILUS - Erik de Pablo Octubre 2015. 29

 Nuevas debilidades de seguridad - STUXNET

© REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015.

© REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015. 31
© REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015. 32