Directrices para el Despliegue de Ciberseguridad

This article has been translated automatically. See the original version.

Seguridad de Instalación y Puesta en Marcha
Antes de conectar Ekip Connect a cualquier red o dispositivo, paraminimizar el riesgo de brechas de seguridad y malware, sigue esta lista de comprobación de seguridad:

1. Sistema operativo

  • Desplegar en Windows 11 con los últimos parches de seguridad (mínimo: Windows 10, fin del soporte oficial en enero de 2027)

    Amenaza mitigada: Vulnerabilidades conocidas del sistema operativo, exploits de seguridad sin parchear y ataques de escalada de privilegios a nivel de sistema.

  • Activar el arranque seguro en la BIOS (obligatorio para Windows 11)

    Amenaza mitigada: Ataques de bootkit, ejecución no autorizada de código a nivel de arranque y manipulación del proceso de arranque

2. Seguridad de estaciones de trabajo

  • Restringir el acceso físico a las estaciones de trabajo Ekip Connect

    Amenaza mitigada: Manipulación física, acceso no autorizado a dispositivos y manipulación directa de hardware.

  • Activar el cifrado completo de disco (BitLocker o equivalente)

    Amenaza mitigada: Exfiltración de datos si la estación de trabajo es robada o físicamente comprometida; acceso no autorizado a datos sensibles almacenados.

  • Desactivar el inicio de sesión automático; Configurar inicio de sesión protegido por contraseña

    Amenaza mitigada: Acceso no autorizado por actores amenazantes con acceso físico o que accedan a una estación de trabajo desbloqueada.

  • Configurar bloqueo automático de pantalla (se recomienda 15 minutos)

    Amenaza mitigada: Acceso no autorizado a la aplicación EkipConnect y a los sistemas conectados durante la ausencia del usuario

  • Habilitar el Firewall de Windows con reglas de entrada de denegación predeterminadas

    Amenaza mitigada: Acceso no autorizado a la red, tráfico entrante no solicitado y comunicación de mando y control de malware.

3. Protección de software

  • Instalar antivirus + software antimalware

    Amenaza mitigada: Infección de malware, ejecución de troyanos y código malicioso ejecutándose en la estación de trabajo.

  • Configura el Scanning en tiempo real y escaneos completos diarios.

    Amenazas mitigadas: detección y prevención en tiempo real de la ejecución de malware; identificación de amenazas latentes o introducidas recientemente.

  • Habilitar actualizaciones automáticas de definición de antivirus

    Amenaza mitigada: Evasión de la detección antivirus por variantes de malware nuevas o recientemente descubiertas.

4. Autenticación de usuario

  • Todos los usuarios deben autenticarse a través de MyABB (si es un portátil ABB)

    Amenaza mitigada: Acceso no autorizado a EkipConnect por usuarios no autenticados o suplantados.

  • Hacer cumplir contraseñas fuertes (mínimo 8 caracteres, 3 tipos de caracteres)

    Amenaza mitigada: Ataques por fuerza bruta, ataques de diccionario y adivinación de contraseñas por parte de los actores amenazantes.

  • Habilitar la autenticación multifactor (MFA) para MyABB

    Amenaza mitigada: Toma de control de cuentas y acceso no autorizado incluso si las credenciales de usuario son comprometidas o robadas

  • Desactiva las sesiones simultáneas desde la misma cuenta de usuario

    Amenaza mitigada: Acceso no autorizado usando credenciales robadas o comprometidas en otra estación de trabajo o dispositivo.

5. Configuración de la red

  •  Despliegue en un segmento de red de gestión dedicado (VLAN separada)

    Amenaza mitigada: movimiento lateral de atacantes desde sistemas empresariales comprometidos; acceso no autorizado a funciones de gestión críticas.

  • Configura el cortafuegos para permitir solo los puertos salientes requeridos:

      • Puerto 443/TCP (conectividad HTTPS en la nube)

      • Puerto 53/UDP (DNS)

      • Puerto 123/UDP (NTP)

    Mitigación de amenazas: Comunicación saliente no autorizada, devoluciones de comandos y control de malware y exfiltración de datos a la infraestructura atacante.

  • Aislar redes de dispositivos de redes empresariales (se requiere cortafuegos)

    Amenaza mitigada: Movimiento lateral entre redes empresariales y de dispositivos críticos; acceso no autorizado a dispositivos críticos para la seguridad.

6. Actualizaciones automáticas

  • Habilitar actualizaciones automáticas de Windows

    Mitigación de amenazas: Las vulnerabilidades conocidas del sistema operativo y los parches de seguridad a nivel de sistema se despliegan de manera oportuna.

  • Configurar antivirus para actualizar automáticamente las definiciones

    Mitigación de amenazas: Evasión de detección por nuevas variantes de malware y amenazas de malware de día cero.

7. Verificación inicial

  • Verifica que Secure Boot esté activo
  • Verificar que el cortafuegos de Windows esté activado
  •  Verifica que el antivirus esté funcionando y actualizado

    Mitigación de amenazas: Errores de configuración, controles de seguridad fallidos y despliegue incompleto de líneas base obligatorias de seguridad.

     

Configuración y seguridad del cortafuegos

Ekip Connect utiliza puertos específicos para diferentes tipos de comunicación. Una configuración adecuada del cortafuegos es esencial para la seguridad.

 

Puertos obligatorios (necesarios para funciones en la nube)

Puerto 443/TCP (HTTPS - Conectividad en la nube)

  • ABB ELSP Digital Manager API
  • Conectividad de la Plataforma de Capacidad ABB
  • Acceso a la biblioteca de firmware
  • Descarga de actualizaciones y parches
  • Debe estar HABILITADO para las funciones en la nube
  • SIEMPRE cifrado (TLS 1.2 o superior)

    Amenaza mitigada: Ataques Man-in-the-middle (MITM) en la comunicación en la nube (mitigados por cifrado TLS); Acceso no autorizado a APIs en la nube y bibliotecas de firmware; Intercepción de actualizaciones de firmware y parches de seguridad

Puerto 53/UDP (DNS - Resolución de nombres de dominio)

  • Necesario para resolver los endpoints en la nube de ABB
  • Debe estar HABILITADO para cualquier conectividad en la nube
  • Sin cifrado (protocolo DNS estándar)
  • Recomiendo usar servidores DNS de confianza

    Amenazas mitigadas: ataques de suplantación DNS que redirigen EkipConnect a puntos finales maliciosos en la nube; Intoxicación de caché DNS; Redirección no autorizada de la conectividad en la nube

     

Puertos recomendados (muy recomendable)

Puerto 123/UDP (NTP - Sincronización de tiempo)

  • Protocolo de Tiempo de Red para la precisión del reloj del sistema
  • Importante para la precisión y seguridad de los registros de tiempo
  • Muy recomendable, pero no estrictamente obligatorio
  • Habilitar si la configuración de red lo permite

    Amenaza mitigada: Registro de manipulación y hora de la manipulación; Ataques de desfase de reloj que invalidan controles de seguridad basados en tiempo; Pista de auditoría inexacta y reconstrucción de incidentes

     

Puertos de comunicación de dispositivos (para conexiones de dispositivos)

Puerto 502/TCP (Modbus TCP)

  • Comunicación Device-to-Ekip Connect vía Ethernet
  • BIDIRECCIONAL (el dispositivo puede volver a conectarse)
  • Protocolo sin cifrar (se requiere segmentación de red)
  • Solo habilitar en redes de dispositivos (no conectadas a internet)
  • El cortafuegos debería restringir este puerto solo a dispositivos autorizados

    Amenaza mitigada: Comunicación no autorizada de dispositivos y manipulación de parámetros; Dispositivos maliciosos conectándose a la interfaz de gestión; Escuchar tráfico de dispositivos no cifrado (mitigado por la segmentación de red); Ataques de denegación de servicio desde segmentos de red no autorizados

Puerto 69/UDP (TFTP - Protocolo Trivial de Transferencia de Archivos)

  • Descarga de firmware y aprovisionamiento de dispositivos
  • Comunicación BIDIRECCIONAL
  • Sin cifrar (usar solo en redes aisladas)
  • Solo es necesario durante las operaciones de actualización de firmware
  • Puede desactivarse fuera de las ventanas de mantenimiento

    Amenaza mitigada: Descarga y despliegue de firmware no autorizado; Inyección maliciosa de firmware mediante ataques Man-in-the-middle de TFTP en la transferencia de firmware (mitigados por aislamiento de red); Provisionamiento no autorizado de dispositivos; Escuchas ocultas en transferencias de firmware sin cifrar

 

Nota: mientras el aprovisionamiento de dispositivos se procesa en ABB Ability™ EM & AM, asegúrate de que tu cortafuegos esté correctamente configurado, según los puertos activos mencionados arriba. Si hay problemas de comunicación, intenta desactivar temporalmente el cortafuegos, activándolo de nuevo al final del proceso de aprovisionamiento.

 

Para más detalles sobre la información de seguridad, por favor haga clic aquí.