La presente propuesta describe un servicio de pruebas de penetración (pentesting) enfocado a la infraestructura tecnológica de plantas de Gas Licuado de Petróleo (Gas LP) en México. Este servicio tiene como objetivo principal evaluar la seguridad de los sistemas informáticos involucrados en los controles volumétricos, contribuyendo a cumplir con la normativa vigente. La regulación fiscal mexicana (por ejemplo, el Artículo 28, fracción I, apartado B del Código Fiscal de la Federación) exige que los contribuyentes que manejan hidrocarburos lleven controles volumétricos de sus productos y que los sistemas de medición y software utilizados sean verificados y certificados periódicamente​. Asimismo, el Anexo 30 de la Resolución Miscelánea Fiscal establece especificaciones técnicas de seguridad y funcionalidad para estos equipos y programas​. En este contexto, realizar pentesting de la red y los sistemas de la planta resulta vital para garantizar la integridad de los datos volumétricos, proteger contra ciberamenazas y asegurar el cumplimiento normativo.

Este servicio de pentesting proporcionará a la organización un entendimiento claro de las vulnerabilidades presentes en su red, junto con recomendaciones para subsanarlas. Al fortalecer la seguridad de la infraestructura tecnológica, la planta de Gas LP no solo protegerá sus operaciones y datos, sino que también demostrará due diligence ante auditorías regulatorias, minimizando el riesgo de sanciones por incumplimiento.

El alcance propuesto abarca una evaluación de seguridad técnica en la red de la planta con los siguientes componentes:

• Evaluación de hasta 10 equipos dentro de la red de la planta, incluyendo dispositivos críticos como la Unidad de Control Central (UCC). La UCC es el sistema central que gestiona los datos de medición volumétrica, por lo que es prioritario evaluar su seguridad junto con otros servidores, estaciones de trabajo y dispositivos de red relevantes (por ejemplo, firewalls, controladores, etc.).
• Escaneo de vulnerabilidades en la red con Nessus. Se utilizará esta herramienta de análisis automatizado para identificar puertos abiertos, servicios activos y posibles vulnerabilidades conocidas en cada uno de los equipos objetivo. El escaneo cubrirá sistemas operativos, aplicaciones y configuraciones, con el fin de detectar cualquier debilidad que pudiera ser explotada por actores maliciosos.
• Identificación y reporte detallado de hallazgos de seguridad. Todos los problemas de seguridad descubiertos (por ejemplo, software desactualizado, configuraciones débiles, credenciales por defecto, puertos innecesariamente expuestos, etc.) serán documentados. Se proporcionará una descripción clara de cada hallazgo, su nivel de severidad (Crítico, Alto, Medio o Bajo) y evidencia que respalde la presencia de la vulnerabilidad.

Es importante señalar que el servicio se enfoca en una evaluación interna de la red de la planta. No se incluyen en esta propuesta pruebas a aplicaciones web públicas, sistemas en la nube u otros elementos fuera del entorno de la planta (salvo que se definan previamente como parte de los activos a evaluar). Cualquier sistema adicional no contemplado inicialmente podría presupuestarse aparte si se requiere ampliar el alcance.

La metodología utilizada para el pentesting seguirá un enfoque estructurado basado en estándares reconocidos de la industria, adaptados de manera sencilla y práctica para el entorno de la planta. En particular, se toma como referencia el Penetration Testing Execution Standard (PTES) y las buenas prácticas de OWASP, ajustándose a las necesidades específicas. Las fases principales que se llevarán a cabo son:

1. Planeación y Alcance: En esta fase inicial se define con claridad el alcance de la prueba (los equipos a evaluar, rango de IP, horarios permitidos para las pruebas, etc.) y se obtienen las autorizaciones necesarias. También se acuerdan las reglas de involucramiento (rules of engagement), asegurando que las pruebas se realicen de forma segura y sin afectar la operación de la planta.
2. Reconocimiento y Recolección de Información: Se realiza un reconocimiento pasivo y activo de la red para reunir la mayor cantidad de información posible. Esto incluye identificar las direcciones IP activas, los dispositivos y sistemas operativos presentes, y recopilar información de configuración expuesta (por ejemplo, nombres de host, versiones de software conocidas, servicios visibles). Esta etapa implica típicamente escaneos de puertos y servicios en los equipos objetivo para mapear la superficie de ataque y entender cómo están comunicados.
3. Análisis de Vulnerabilidades: Utilizando la herramienta Nessus y técnicas manuales complementarias, se lleva a cabo un análisis exhaustivo para identificar vulnerabilidades en los sistemas dentro del alcance. Nessus automatiza la detección de un amplio rango de fallas de seguridad (desde parches faltantes hasta configuraciones débiles), lo que agiliza esta fase. Los hallazgos del escáner se revisan y validan manualmente, descartando posibles falsos positivos y profundizando en aquellos de mayor riesgo. Esta fase corresponde a la identificación y análisis de vulnerabilidades en el marco de PTES, previo a cualquier intento de explotación.
4. Explotación Controlada (Pruebas Adicionales): Si el alcance y las condiciones lo permiten (y solo con autorización explícita), se pueden realizar pruebas de explotación controlada de ciertas vulnerabilidades críticas para determinar su impacto real. Esto implica intentar, de forma segura, aprovechar una vulnerabilidad identificada para comprobar hasta dónde un atacante podría obtener acceso o control dentro de la red. Cabe mencionar que en entornos de infraestructura crítica como una planta de gas, estas pruebas se realizan con sumo cuidado para no afectar la estabilidad de los sistemas; en muchos casos se limitan a entornos de prueba o a horarios de mantenimiento. Esta fase se alinea con la etapa de explotación de PTES, aunque puede omitirse o restringirse según las restricciones operativas acordadas.
5. Reporte y Presentación de Resultados: Finalmente, se elabora un informe detallado (técnico y ejecutivo) documentando todas las actividades realizadas, las vulnerabilidades encontradas y las recomendaciones de remediación. En paralelo, si el cliente lo desea, se prepara una presentación o sesión de cierre para explicar los hallazgos clave a las partes interesadas de la empresa. Esta es la fase de reporting según PTES, cuyo objetivo es asegurar que la información sea comprendida y que la organización pueda tomar acciones correctivas concretas.

Durante toda la ejecución se siguen principios éticos y mejores prácticas de la industria, garantizando la confidencialidad de la información manejada y el respeto por la estabilidad de los sistemas de la organización. El marco metodológico guía el proceso, pero siempre se adapta al contexto específico de la planta de Gas LP, enfocándonos en las áreas de mayor riesgo para este tipo de instalación.

Una pieza central de la evaluación es el escaneo de vulnerabilidades mediante la herramienta Nessus. Nessus, desarrollada por Tenable, es una de las soluciones más reconocidas y utilizadas a nivel mundial para la identificación de fallas de seguridad en sistemas informáticos​. Esta herramienta permite analizar de forma sistemática cada equipo en busca de errores de software, configuraciones incorrectas o puertos abiertos que puedan representar una brecha de seguridad. Nessus cuenta con una amplia base de datos de vulnerabilidades, actualizada regularmente, lo que le permite detectar tanto vulnerabilidades conocidas (incluyendo las registradas públicamente, como las listadas en bases de datos CVE) como problemas de configuración comunes en sistemas operativos y aplicaciones.

Beneficios de utilizar Nessus en la evaluación:

• Cobertura amplia: Nessus puede detectar una gran variedad de vulnerabilidades (miles de ellas, abarcando diferentes plataformas) en distintos tipos de dispositivos y sistemas operativos. Esto asegura que la evaluación cubra desde fallos de software hasta configuraciones débiles, brindando una visión completa del estado de seguridad de la planta.
• Actualización constante: La herramienta se actualiza de manera continua con nuevos plugins y firmas para detectar vulnerabilidades emergentes. Esto significa que incluso amenazas recientes o exploits descubiertos recientemente pueden ser identificados durante el escaneo, aumentando la efectividad del análisis.
• Priorización de riesgos: Nessus clasifica cada hallazgo con un nivel de severidad (por ejemplo, Crítico, Alto, Medio, Bajo), facilitando entender cuáles vulnerabilidades requieren atención inmediata. Adicionalmente, provee puntuaciones de riesgo (como el puntaje CVSS de cada vulnerabilidad) para ayudar a priorizar las remediaciones según el impacto potencial.
• Reportes detallados: La herramienta genera reportes estructurados por host y por vulnerabilidad, incluyendo detalles técnicos, evidencia (como resultados de pruebas o banners de servicio) e incluso recomendaciones iniciales de mitigación. Esto enriquece el informe final que se entregará, ya que brinda una referencia clara de cada problema detectado y cómo abordarlo.
• Eficiencia y consistencia: Al automatizar gran parte del proceso de descubrimiento de fallas, Nessus permite cubrir los 10 equipos objetivo de manera eficiente y consistente. Reduce el tiempo que tomaría revisar manualmente cada sistema y asegura que se apliquen los mismos criterios en todos los elementos evaluados. Nuestro equipo complementará estas capacidades con verificación manual puntual para asegurar la exactitud de los resultados y contextualizar los hallazgos según la realidad de la planta.

En resumen, Nessus actúa como un "inspector automatizado" de la seguridad de la red, identificando puntos débiles que podrían pasar desapercibidos de otro modo. Su uso en este servicio de pentesting aporta confiabilidad y profundidad al análisis, lo cual se traduce en hallazgos más completos y dirigidos para la organización.

Al finalizar el servicio de pentesting, se entregarán los siguientes productos al cliente:

• Informe detallado de hallazgos: Un reporte completo que incluye todos los detalles de la evaluación. Este informe contendrá la descripción de cada vulnerabilidad encontrada, el activo o dispositivo donde se halló, la evidencia que demuestra su existencia (por ejemplo, capturas de pantalla, trazas de comandos o resultados de Nessus) y la criticidad del hallazgo. Se presentará de forma estructurada, generalmente ordenando los hallazgos por nivel de riesgo, para facilitar su lectura y gestión. Además, se incluirá un resumen ejecutivo en lenguaje no técnico resaltando los riesgos más importantes, de modo que la alta dirección pueda entender el panorama general y tomar decisiones informadas.
• Recomendaciones de remediación: Por cada vulnerabilidad o hallazgo identificado, el informe proporcionará acciones recomendadas para solucionar o mitigar el problema. Estas recomendaciones serán concretas y priorizadas. Por ejemplo, pueden incluir la instalación de parches específicos, la actualización o configuración segura de software, el fortalecimiento de contraseñas o políticas, la segmentación de la red, entre otras medidas. El objetivo es que el personal de TI de la planta tenga una guía clara de pasos a seguir para elevar el nivel de seguridad y cerrar las brechas detectadas de manera efectiva.
• Reunión de cierre (opcional): De manera opcional, se ofrece llevar a cabo una reunión o presentación de cierre, en la cual nuestro equipo de seguridad expone los resultados del pentest a los responsables designados por la planta (por ejemplo, equipo de TI, oficiales de seguridad, gerencia). En esta sesión (posiblemente vía videoconferencia), se explicarán los hallazgos clave, el impacto de cada vulnerabilidad identificada y las recomendaciones propuestas. También se destinará tiempo para responder preguntas y aclarar dudas sobre el informe. Esta reunión asegura que los resultados sean entendidos y aprovechados plenamente por la organización, sentando las bases para un plan de acción correctivo.

Todos los entregables serán manejados con confidencialidad y profesionalismo. El informe se entregará en formato digital (PDF) y, si el cliente lo solicita, también se puede proveer en copia impresa. Se garantiza que la información sensible descubierta durante la prueba de penetración se resguardará adecuadamente y solo será compartida con las personas autorizadas por el cliente.

• Remoto: La ejecución del servicio está planificada para realizarse de forma remota. Nuestro equipo de pentesters llevará a cabo las actividades de evaluación desde sus oficinas, conectándose a la red de la planta mediante canales seguros (por ejemplo, una VPN provista por el cliente) previamente autorizados y configurados. Esta modalidad tiene la ventaja de reducir costos logísticos y minimizar la intrusión en las operaciones diarias de la planta, ya que no requiere presencia física durante las pruebas. Todos los escaneos y evaluaciones se programarán en las ventanas de tiempo acordadas, de manera que no afecten la disponibilidad de los sistemas críticos.
• Presencial (opcional): En caso de que se requiera realizar el pentest en sitio, esta modalidad puede ofrecerse bajo acuerdo previo. Una evaluación presencial implicará que uno o más miembros del equipo se trasladen a las instalaciones de la planta para ejecutar las pruebas directamente en la red local. Dado que esto conlleva tiempo y gastos adicionales, se estimará un incremento del 50% en el costo del servicio (sobre el precio base cotizado) adicionalmente de los viáticos necesarios. La opción presencial solo se recomendará si aporta un valor significativo (por ejemplo, para acceder a sistemas aislados que no son accesibles de forma remota, o para inspeccionar configuraciones físicas de dispositivos), y siempre se planificará minimizando cualquier interrupción a la operación normal.

En cualquiera de las modalidades, la calidad y profundidad de la evaluación de seguridad será la misma. Nuestro compromiso es adaptarnos a la opción que mejor convenga al cliente, garantizando en todo momento la efectividad de las pruebas y la seguridad continua de la operación de la planta.

• En el sector energético, y particularmente en las plantas de Gas LP, la seguridad de la infraestructura tecnológica es un pilar fundamental para asegurar la continuidad del negocio y el cumplimiento de las regulaciones. Las amenazas cibernéticas evolucionan constantemente. Una brecha de seguridad podría comprometer la integridad de los controles volumétricos y de los datos que, por ley, deben mantenerse precisos y confiables. Implementar controles de seguridad proactivos, como las pruebas de penetración periódicas, permite identificar y corregir vulnerabilidades antes de que sean explotadas. Esto fortalece la resiliencia de la organización ante posibles incidentes, protegiendo tanto sus sistemas como la confianza de sus clientes y reguladores.
• Esta propuesta de servicio de pentesting ofrece a la planta de Gas LP una hoja de ruta clara para mejorar su postura de seguridad y cumplir con los requerimientos normativos en materia de control volumétrico y protección de datos. Al llevar a cabo esta evaluación y atender las recomendaciones, la empresa no solo reducirá significativamente sus riesgos frente a posibles ciberataques, sino que también podrá demostrar ante auditores y entes reguladores que cuenta con controles robustos y efectivos. En última instancia, invertir en la seguridad informática de la planta es invertir en la confiabilidad, seguridad operativa y reputación de la misma.
• Quedamos a su disposición para cualquier aclaración adicional sobre esta propuesta. Agradecemos la oportunidad de colaborar en el refuerzo de la seguridad de su infraestructura, y esperamos que con este servicio la planta logre elevar su nivel de protección y mantener la confianza de cumplir con las normas y estándares del sector energético en México.

• El alcance de este servicio se limita a la identificación de vulnerabilidades y la generación de un reporte con recomendaciones de remediación. Por lo tanto:
• Seguridad continua:
  Una vez entregados los hallazgos y recomendaciones, la seguridad diaria y permanente de la infraestructura del cliente recae exclusivamente en el cliente. Nuestra empresa no se hace responsable de futuros incidentes de seguridad que ocurran después de concluido el servicio de pentesting.
• Remediación de Vulnerabilidades:
  La implementación o corrección de los hallazgos reportados es responsabilidad del cliente y/o de sus proveedores de TI. Salvo que se contrate un servicio adicional de consultoría en remediación, nuestra empresa no participa en la ejecución de las soluciones.
• Daños Colaterales:
  Durante las pruebas de intrusión y escaneo de vulnerabilidades, existe el riesgo inherente de interrupciones o afectaciones no deseadas en los sistemas. Sin embargo, el cliente asume y autoriza este riesgo al solicitarnos la realización del pentest. Nuestra empresa llevará a cabo la evaluación con las mejores prácticas posibles para minimizar cualquier impacto negativo, pero no se hace responsable de daños colaterales derivados de las actividades de prueba.

• Forma de pago:
• • 50% al programar el servicio y confirmar fechas de realización.
  • 50% al entregar los resultados y el informe final de hallazgos.
• En caso de que se requiera la ejecución de las pruebas de manera presencial, se agregará un incremento del 50% al costo total ($10,000 MXN), y adicionalmente se cotizarán los viáticos para dos días de servicio.
• Este monto cubre el trabajo de pentesting, el escaneo de vulnerabilidades con Nessus, y la elaboración de los informes técnico y ejecutivo con recomendaciones de remediación. Cualquier servicio adicional, como pruebas a más equipos, retesteos después de implementar correcciones o auditorías especiales, se cotiza por separado.