¿Qué es la matriz ICS de MITRE ATT&CK?

Es una matriz específica para sistemas de control industrial (PLCs, SCADA, HMIs, RTUs). Tiene 12 tácticas, algunas únicas como 'Inhibit Response Function' (impedir que operadores respondan), 'Impair Process Control' (alterar procesos físicos), y 'Evasion' adaptada a entornos OT.

¿Cuántos ataques ICS reales documenta ATT&CK?

ATT&CK ICS documenta técnicas observadas en incidentes como Stuxnet (2010), Industroyer/CrashOverride (2016), Triton/TRISIS (2017), Industroyer2 (2022), y Pipedream/Incontroller (2022). También mapea actividad de grupos como Sandworm (GRU) y XENOTIME.

¿Por qué ICS necesita una matriz separada?

Porque los entornos OT usan protocolos diferentes (Modbus, DNP3, OPC UA, S7comm), tienen prioridades diferentes (disponibilidad > confidencialidad), y los impactos son físicos (apagones, explosiones, contaminación). Las técnicas IT no se traducen directamente a OT.

AvanzadoMITRE ATT&CKICSOTSCADAinfraestructura crítica

ATT&CK para ICS/OT: Entornos Industriales bajo Amenaza

Guía de MITRE ATT&CK para ICS: la matriz de sistemas de control industrial. 12 tácticas específicas para OT, técnicas como Inhibit Response Function y Impair Process Control, malware ICS real (Stuxnet, Industroyer, Triton), y defensa de infraestructura crítica.

MalwareIntel Research·27 de mayo de 2026·7 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 19

La matriz ICS de ATT&CK documenta cómo los adversarios atacan sistemas que controlan procesos físicos

Los ataques a sistemas de control industrial (ICS/OT) pueden causar apagones eléctricos, explosiones, contaminación de agua, o parada de producción. La matriz ICS de MITRE ATT&CK documenta las técnicas específicas que usan los adversarios en estos entornos, donde los impactos trascienden el mundo digital para afectar al mundo físico.

Diferencias fundamentales IT vs OT

Aspecto	IT (Enterprise)	OT (ICS)
Prioridad	Confidencialidad > Integridad > Disponibilidad	Disponibilidad > Integridad > Confidencialidad
Ciclo de vida	3-5 años	15-30 años
Patching	Mensual/semanal	Anual o nunca (ventanas de parada)
Protocolos	TCP/IP, HTTP, SMB	Modbus, DNP3, OPC UA, S7comm, EtherNet/IP
Impacto de fallo	Datos, dinero	Seguridad física, vidas humanas
Air gap	Raro	Frecuente (pero erosionado por digitalización)

Las 12 tácticas ICS

La matriz ICS tiene 12 tácticas, algunas compartidas con Enterprise y otras únicas:

Táctica	Compartida con Enterprise	Nota ICS
Initial Access	Sí	+ ingeniería social a operadores OT
Execution	Sí	+ ejecución en PLCs, scripts SCADA
Persistence	Sí	+ firmware modificado en PLCs
Evasion	Sí	+ explotar falta de monitoring en OT
Discovery	Sí	+ enumeración de protocolos industriales
Lateral Movement	Sí	+ pivot IT→OT, protocolo hopping
Collection	Sí	+ captura de datos de proceso
Command and Control	Sí	+ C2 sobre protocolos industriales
Inhibit Response Function	UNICA ICS	Impedir que operadores detecten/respondan
Impair Process Control	UNICA ICS	Alterar el proceso físico controlado
Impact	Parcialmente	+ daño físico, parada de planta

Tácticas únicas de ICS

Inhibit Response Function

Impedir que los operadores humanos detecten o respondan al ataque:

Técnica	ID	Efecto
Block Reporting Message	T0804	Impedir que PLCs envíen alertas al SCADA
Block Command Message	T0803	Impedir que SCADA envíe comandos a PLCs
Data Destruction	T0809	Destruir logs y historian de proceso
Denial of Service	T0814	DDoS a la HMI o al servidor SCADA
Device Restart/Shutdown	T0816	Reiniciar PLCs/RTUs para causar interrupción
Manipulate I/O Image	T0835	Falsear lectura de sensores (operador ve valores normales mientras el proceso está alterado)
Spoof Reporting Message	T0856	Enviar valores falsos al SCADA (ej: temperatura normal cuando está subiendo)

Manipulate I/O Image (T0835) es la técnica más peligrosa: el atacante altera los valores que la HMI muestra al operador. El operador cree que todo está bien mientras el proceso físico está fuera de control. Stuxnet usó exactamente esta técnica contra las centrifugadoras de Natanz.

Impair Process Control

Alterar directamente el proceso físico:

Técnica	ID	Efecto
Brute Force I/O	T0806	Forzar valores en outputs del PLC
Modify Controller Tasking	T0821	Cambiar la lógica del PLC
Module Firmware	T0839	Reemplazar firmware del PLC
Unauthorized Command Message	T0855	Enviar comandos directos a actuadores
Change Operating Mode	T0858	Cambiar PLC de RUN a PROGRAM mode

Malware ICS real mapeado a ATT&CK

Stuxnet (2010) — Operación contra centrifugadoras de uranio de Irán

Fase	Técnica ATT&CK ICS	Acción
Initial Access	Replication Through Removable Media	USB infectado cruza air gap
Execution	Exploitation for Execution (4 zero-days)	Múltiples exploits Windows
Discovery	Remote System Discovery	Escaneo de red buscando PLCs S7-300
Lateral Movement	Lateral Tool Transfer	Propagación via red a engineering workstations
Impair Process Control	Modify Controller Tasking (T0821)	Cambiar velocidad de centrifugadoras
Inhibit Response	Manipulate I/O Image (T0835)	Mostrar velocidad normal al operador

Industroyer/CrashOverride (2016) — Apagón en Ucrania

Fase	Técnica	Acción
Execution	Native API (protocolos ICS)	Comandos IEC 104, IEC 61850, OPC DA
Impair Process Control	Unauthorized Command Message	Abrir interruptores de subestaciones eléctricas
Inhibit Response	Denial of Service	DoS a RTUs para impedir reconexión
Impact	Manipulation of Control	Apagón afectando 230.000 personas

Triton/TRISIS (2017) — Ataque a sistema de seguridad SIS

Fase	Técnica	Acción
Lateral Movement	IT→OT pivot	Desde red IT a engineering workstation
Discovery	Point & Tag Identification	Identificar controladores Triconex
Impair Process Control	Module Firmware (T0839)	Reemplazar firmware del SIS Triconex
Objetivo final	—	Deshabilitar sistema de seguridad para permitir fallo catastrófico

Triton es el ataque ICS más peligroso documentado: atacó específicamente el Safety Instrumented System (SIS), que es la última barrera contra explosiones o desastres. Si hubiera funcionado completamente, podría haber causado una explosión en la planta petroquímica.

Pipedream/Incontroller (2022) — Toolkit modular ICS

Framework modular capaz de atacar PLCs de Schneider Electric (Modicon) y OMRON. Descubierto antes de ser usado en un ataque real. Técnicas cubiertas: enumeración OPC UA, manipulación de Modbus, descarga de lógica a PLCs.

Detección en entornos ICS

Fuentes de datos

Fuente	Qué detecta	Herramientas
Network monitoring OT	Tráfico anómalo en protocolos industriales	Nozomi, Claroty, Dragos, Armis
Engineering workstation logs	Cambios en lógica de PLCs	Sysmon, EDR en workstations
Historian/SCADA logs	Valores de proceso anómalos	Análisis de tendencias
Firewall IT/OT	Tráfico cruzando el boundary	Segmentación con monitoring
PLC program integrity	Cambios no autorizados en ladder logic	Snapshot comparison

Modelo de Purdue (segmentación)

Nivel 5: Enterprise IT (email, ERP)
Nivel 4: DMZ IT/OT (data historian, remote access)
───────── BOUNDARY ─────────
Nivel 3: Site Operations (HMI, SCADA servers)
Nivel 2: Area Supervisory (HMI local, engineering WS)
Nivel 1: Basic Control (PLCs, RTUs, DCS)
Nivel 0: Process (sensores, actuadores, motores)

La segmentación entre niveles es la defensa fundamental. El boundary IT/OT (entre nivel 4 y 3) es el punto más crítico.

Regulación: NIS2, DORA, IEC 62443

Marco	Aplica a	Requisitos relevantes
NIS2 (EU)	Operadores de infraestructura esencial	Risk management, incident reporting, supply chain
DORA (EU)	Sector financiero	ICT risk management, testing, third-party
IEC 62443	Todos los ICS	Security levels, zones/conduits, lifecycle
NIST SP 800-82	Infraestructura crítica US	ICS security guide

ATT&CK ICS se alinea con IEC 62443 para mapear amenazas a zonas y niveles de seguridad.

Conclusión

La matriz ICS de ATT&CK es esencial para proteger infraestructura crítica. Las tácticas únicas (Inhibit Response Function, Impair Process Control) reflejan que los ataques ICS tienen consecuencias físicas. La segmentación IT/OT, el monitoring de protocolos industriales, y la integridad de programas de PLC son las defensas prioritarias. Stuxnet, Industroyer y Triton demuestran que estas amenazas son reales y cada vez más sofisticadas.

Fuentes y referencias

MITRE ATT&CK: ICS Matrix
Dragos: "Year in Review" industrial cybersecurity reports
CISA: ICS-CERT advisories
Langner, R.: "To Kill a Centrifuge" (Stuxnet analysis)
NIST: SP 800-82 "Guide to ICS Security"
IEC 62443: Industrial Automation and Control Systems Security