Objetivo y alcance
En entornos de producción, una comunicación OPC UA sin protección incrementa el riesgo sobre la integridad y disponibilidad del proceso. Este artículo analiza la secuencia de conexión mediante capturas de Wireshark, demostrando por qué una configuración 'No Security' incumple los requisitos fundamentales de las normas IEC 62443-3-3 y NIST SP 800-82. El objetivo es evidenciar el salto cualitativo en seguridad al implementar el estándar industrial actual: Basic256Sha256 con modo SignAndEncrypt.
La siguiente matriz desglosa las políticas de seguridad disponibles. Es crítico notar que políticas como Basic128Rsa15 y Basic256 se consideran obsoletas (deprecated). El estándar para infraestructuras críticas exige el uso de algoritmos SHA-256 para firmas y AES-256 para cifrado.
La siguiente matriz desglosa las políticas de seguridad disponibles. Es crítico notar que políticas como Basic128Rsa15 y Basic256 se consideran obsoletas (deprecated). El estándar para infraestructuras críticas exige el uso de algoritmos SHA-256 para firmas y AES-256 para cifrado.
Flujo OPC UA sin seguridad
En esta fase se observa el inicio de la comunicación en modo no seguro: descubrimiento, negociación de sesión y primeras operaciones cliente-servidor.
Aunque el flujo funcional es correcto, el tráfico queda expuesto para inspección en red.
Cuando no se aplica cifrado ni firma, un analista con acceso a la red puede reconstruir el intercambio con bastante facilidad.
Esto afecta directamente a confidencialidad y aumenta el riesgo operativo en entornos productivos.
Aquí se aprecia con claridad que las variables y sus valores quedan visibles en captura.
(Ejemplo '
Operativamente, esto abre la puerta a inspección no autorizada e incluso a preparación de ataques de manipulación de proceso.
(Ejemplo '
WriteRequest', 'NodeId' y 'valor') Operativamente, esto abre la puerta a inspección no autorizada e incluso a preparación de ataques de manipulación de proceso.
Desde la interpretación de la norma IEC 62443-3-3, este escenario se clasifica como Security Level 0 (SL-0), dado que no implementa ninguna de las protecciones requeridas para garantizar la Confidencialidad (SR 4.3) y la Integridad (SR 4.1) de los datos en tránsito. Para alcanzar un cumplimiento normativo básico, es imperativo transicionar a una política de seguridad robusta como Basic256Sha256 con modo SignAndEncrypt.
Flujo OPC UA con seguridad
En esta captura comienza el flujo equivalente, pero con seguridad activa.
Cliente y servidor validan certificados, acuerdan la política de seguridad y establecen canal con firma y cifrado.
En esta captura se observa el contraste radical frente al escenario anterior. Al aplicar la política Basic256Sha256 con el modo SignAndEncrypt, el tráfico OPC UA deja de ser legible.
Como se aprecia en la columna "Info" de Wireshark, los paquetes se identifican ahora como "UA Secure Conversation Message (encrypted)". Los detalles críticos del proceso —como los nombres de las variables (NodeId) y sus valores (Value)— han sido transformados en datos cifrados mediante el algoritmo AES-256-CBC.
Comparativa técnica observada en Wireshark
La evidencia de estas capturas indica que, aunque hay negociación de seguridad, aún se ve el tag y su valor en el mensaje. Esto suele ocurrir cuando no se está aplicando cifrado efectivo de extremo a extremo (por ejemplo, modo Sign sin Encrypt). Para reducir exposición de datos en red, la recomendación es forzar SignAndEncrypt, validar certificados y revisar la política activa en cliente y servidor.Referencias OPC Foundation e IEC 62443
Referencia oficial de políticas y perfiles de seguridad OPC UA:
OPC UA Core Part 7 v1.04 - 6.6.165 (OPC Foundation)
Relación con prácticas de ciberseguridad industrial e IEC 62443:
OPC UA Core Part 2 v1.05 - Annex A (OPC Foundation, IEC 62443 mapping)
Conclusión operativa
En puesta en marcha puede ser tentador trabajar sin seguridad por rapidez, pero en explotación debe aplicarse configuración segura desde el inicio,
junto con segmentación de red industrial y gestión formal de certificados.