60 INVESTIGACIÓN Esta evaluación conduce a la corrección de las vulnerabilidades y eliminación del riesgo o a una aceptación del riesgo por parte de la alta dirección de la organización (por ejemplo, en el caso de que el impacto del ataque fuese inferir al costo de la corrección y no genere daños relevantes para la organización). El escaneo de vulnerabilidades se realiza utilizando programas de computador como Nessus (con interfaz GUI) para identificar vulnerabilidades en redes, aplicaciones, infraestructuras de computador, vehícu- los, aviones, infraestructuras críticas, etc. Algunos fabricantes que ofrecen tecnología de escaners de vulnerabilidades son: Rapid-7, Qualys, McAfee, etc. Existen diferentes opciones de despliegue de escaners de vulnerabilidades: en la propia organi- zación/in-house o autónomas, servicios gestionados o en la nube SasS (Software-as-a-Service). El escaneo de vulnerabilidades normalmente implica enviar un gran numero de paquetes a los sis- temas estos pueden a veces producir efectos no deseados, como, por ejemplo, la interrupción del equipo de red. El US-CERT utiliza una valoración de severidad de una vulnerabilidad asignándole un número. Este número se obtiene a partir de varios factores informados por los usuarios, siete de los cuales son: el grado de difusión de información o el conocimiento sobre la vulnerabili- dad, si los incidentes informados a US-CERT fueron causados por la explotación de la vulnerabilidad, el riesgo a la infraestructura Internet derivada de la vulnerabilidad, el número de sistemas en Internet en riesgo debido a la vulnerabilidad, el impacto de explo- tar la vulnerabilidad, si la vulnerabilidad puede ser fácilmente explotada, las precondiciones necesarias para poder explotar la vulnerabilidad, etc. IntelGraph es una plataforma de inteligencia de ciberseguridad propietariayAPIquepermitealosusuariosbuscar,manipular,visua- lizar y contextualizar la relación entre componentes. Actualmente se observan diferentes tipos de riesgos que impactan desfavora- blemente debidos al compromiso de las capacidades observadas en los sistemas de control OT/ICS/CPS, son por ejemplo: cone- xiones a las redes de control de campo (SCADA), controladores o componentes embebidos (por ejemplo, PLCs/Programmable Logic Controllers, IEDs/Intelligent Electronic Devices), activos tipo ser- vidor ejecutando sistemas operativos comerciales antiguos (como Windows NT, Windows Vista/XP, Unix, Linux, etc.), conexiones a otros sistemas internos (redes de empresa IT, sistema a sistema), dispositivos de red (firewalls, routers, switches, bridges, gateways, etc.), estaciones de trabajo de ingeniería, estaciones de trabajo de operador, protocolos de comunicación del sistema de control, apli- caciones de control de proceso, dispositivos de campo (sensores y actuadores digitales), security appliances de acceso remoto (con cliente VPN), sistemas de acceso físico, dispositivos y protocolos de comunicaciones inalámbricos, histórico de la planta, dispositivos móviles (PCs, tablets, smartphones, smart-watches, etc.), módems analógicos (que permiten saltarse protecciones perimétricas), HSM (Hardware Security Module) que protegen y gestionan claves criptográficas, etc. Patrones de ataque y árboles de ataque Los patrones de ataque son mecanismos para capturar y comu- nicar las tácticas de los ciber-atacantes. Describen métodos utilizados para explotar software que puede ocurrir en una varie- dad de diferentes contextos y aplicar el paradigma de solución del problema de patrones de diseño. Un patrón de ataque se basa en el análisis de explotaciones de ataque observados y normal- mente contienen información como: nombre y clasificación del patrón, pre-requisitos del ataque, descripción del ataque, vulne- rabilidades o debilidades del objetivo del ciberataque, métodos para el ciber-ataque, objetivos del ciber-atacante, nivel de habi- lidad requerido del atacante, recursos requeridos, soluciones de bloqueo, descripción del contexto, etc. Los patrones de ataque