El sabotaje de infraestructuras críticas no necesita malware sofisticado

El problema

Atacantes vinculados a Irán, Rusia y China están comprometiendo sistemas de tratamiento y distribución de agua con un objetivo de sabotaje. Lo más revelador del análisis no es la sofisticación de los ataques, sino su simplicidad: las intrusiones se producen a través de contraseñas débiles o por defecto, controladores lógicos programables (PLCs) expuestos directamente a Internet y una segmentación de red deficiente, no mediante exploits de día cero ni malware avanzado.

Los entornos de tecnología operativa (OT/ICS) que gobiernan estas infraestructuras suelen arrastrar décadas de deuda técnica: dispositivos diseñados sin seguridad en mente, protocolos sin autenticación y una histórica separación —cada vez más erosionada— respecto de las redes IT corporativas y de Internet.

Por qué importa

El agua es una infraestructura crítica cuya manipulación puede tener consecuencias físicas directas sobre la población. Que actores estado-nación logren acceso mediante técnicas elementales evidencia una brecha persistente entre la criticidad de estos sistemas y la madurez de seguridad con que se operan.

La buena noticia, paradójicamente, es que si el vector de entrada son contraseñas débiles y PLCs expuestos, la defensa también está al alcance: no se requiere tecnología puntera para cerrar la puerta, sino disciplina en los fundamentos.

Recomendaciones inmediatas

  • Eliminar la exposición a Internet de PLCs, HMIs y dispositivos OT; situarlos siempre tras cortafuegos y, preferiblemente, en redes aisladas.
  • Cambiar todas las credenciales por defecto e imponer contraseñas robustas y MFA en cualquier punto de acceso administrativo.
  • Segmentar rigurosamente las redes OT respecto de IT e Internet, aplicando el modelo Purdue y zonas/conductos (IEC 62443).
  • Inventariar y monitorizar todos los activos OT, incluyendo el tráfico de protocolos industriales en busca de comandos anómalos.
  • Establecer detección específica para accesos remotos no autorizados y cambios en la lógica de los controladores.

¿Estás cubierto en DefensOps?

El motor de correlación de DefensOps, disponible desde el plan Essential, puede detectar los indicadores de este tipo de intrusiones: accesos remotos a dispositivos de gestión desde IPs no habituales, autenticaciones con credenciales por defecto y conexiones anómalas hacia activos que deberían estar segmentados.

Mapeamos esta actividad a técnicas del marco MITRE ATT&CK como T1133 (External Remote Services) por el acceso a sistemas expuestos, T1078 (Valid Accounts) por el abuso de credenciales débiles o por defecto, y T0855 (Unauthorized Command Message) de ATT&CK for ICS por la manipulación de los controladores.

👉 Consulta los planes de DefensOps y solicita una demo para comprobar cómo monitorizamos el acceso a tus entornos OT/ICS.


Fuentes: Dark Reading