76 SEGURIDAD ELECTRÓNICA Resulta vital reconocer exhaustivamente qué partes de la instalación pueden suponer objetivos que pongan en peligro las plantas de generación de energía eléctrica En paralelo, el atacante posiblemente se encuentre des- plegado en servidores vulnerables diversos centros de mando y control distribuidos globalmente y que tendrán como misión la recopilación de datos sustraídos y la ac- tualización periódica de los malware implantados en el objetivo. La ejecución del ataque, una vez finalizadas las fases de reconocimiento e implantación de los centros de mando y control, se basará en diferentes estrategias que el ata- cante empleará según la información adquirida previa- mente. En algunos casos, los accesos a Internet en las plantas cuentan, por descuido, con usuarios, configura- ciones y contraseñas por defecto, a veces las redes de control se encuentran accesibles desde el exterior desde puntos de acceso WIFI, radios e incluso módems analógicos, en ocasiones existen aplicaciones con vulnerabilidades conocidas pero no parcheadas. En todos los casos, un atacante puede aprovechar estos puntos débiles para desplegar el malware con éxito. Pero hasta en instala- ciones perfectamente configura- das y con las aplicaciones actuali- zadas existen otros métodos útiles para introducir el software malicioso, como el spear phising, que combinando el envío de emails personalizados con infor- mación extraída de redes sociales y en algunos casos, hasta llama- das telefónicas diseñadas para al- canzar altos niveles de credibili- dad, acaban induciendo a los operadores de la planta a llevar ofensivas bajo la apariencia de ser cuas. Actualmente, a los clásicos dispositivos de me- moria USB infectados hay que añadir nuevas potenciales amenazas derivadas de tendencias como el BYOD, en la que dispositivos sustraídos, apps vulnerables o maliciosas o simplemente bugs en el software constituyen puntos de entrada de alto riesgo. Las razones para explotar una vulnerabilidad pueden ser distintas, pero todas comparten un denominador común: acceder a datos y bienes privados. Hackers en busca de notoriedad, espionaje industrial, sabotajes pensados para la destrucción física de bienes y alteración de datos al- macenados o la preparación de futuros ataques con la creación de botnets y obtención de información sensible del objetivo son las principales amenazas en la fase de explotación del ataque. La fase de conclusión dependerá en gran medida de la motivación del atacante, no obstante, es común que la finalización del ataque o bien incluya la instalación de puertas traseras para facilitar futuras incursiones o bien restaure el sistema, autodestruya el malware y centros de mando y control e implante pistas falsas que dis- torsionen los resultados de futuros análisis forenses. Defensa en profundidad Combatir unas amenazas tan agresivas solo puede ha- cerse mediante una estrate- gia de defensa en profundi- dad orientada a mitigar riesgos siguiendo un modelo de capas. El punto de partida es la ela- boración del plan de seguri- dad, que incluirá análisis se- gún normativa vigente, recomendaciones de diseño de arquitecturas, transferen- cia de conocimiento, imple- mentación de sistemas de protección y detección y en algunos casos, hacking ético. Del plan de seguridad se de- rivarán acciones de mejora, como la separación de redes acciones totalmente ino- panorama