Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
¿Qué nos dice el incidente del suministro de agua en Florida sobre la seguridad del ICS/OT?
10 de enero de 2023 - Equipo de RRPP de TuxCare
Es el guión de una película de terror: un ciberataque que manipula el suministro de agua de una ciudad y envenena a sus habitantes. Estuvo a punto de ocurrir en el mundo real.
En 2021, un hacker consiguió aumentar el nivel de hidróxido de sodio en el suministro de agua de Oldsmar, FL. El espectáculo de terror se detuvo rápidamente, por suerte, ya que un empleado de la compañía de agua se percató del cambio en los niveles de suministro y lo restableció rápidamente a la normalidad.
El incidente fue aterrador y, con un poco de suerte, el público se salvó de correr verdadero peligro. Sin embargo, esta historia ofrece algunas lecciones de ciberseguridad, como la importancia de los parches.
Recapitulemos lo sucedido
La revista Wired publicó un relato completo del incidentepero vamos a resumir cómo sucedió. El viernes 5 de febrero de 2021 hubo un intento de envenenar el suministro de agua de la ciudad de Oldsmar. Comenzó cuando un hacker consiguió acceder al sistema de control industrial (ICS) de una planta de tratamiento de aguas.
El hacker accedió al ICS entrando en el software TeamViewer utilizado por la instalación para dar a los empleados control remoto sobre los sistemas de control. En un momento de su turno, uno de los empleados observó que el cursor del ratón se movía en TeamViewer.
Unas horas más tarde, el empleado notó que el cursor del ratón volvía a moverse, esta vez a través de los controles de agua de la instalación, donde el hacker procedió a elevar el nivel de hidróxido de sodio de 100 ppm a 11.100 ppm, un nivel tóxico. Afortunadamente, el cambio se detectó a tiempo y el miembro del equipo lo revirtió casi de inmediato.
Pero, ¿cómo consiguió el hacker acceder a TeamViewer? Bueno, ¿has oído alguna vez el consejo de no compartir contraseñas y cambiarlas con regularidad? Al parecer, el equipo técnico de la instalación de tratamiento de agua nunca había oído ese consejo (o lo ignoraron).
ICS/OT ya está al descubierto
Demos un paso atrás. No hace tanto tiempo, los sistemas de control de infraestructuras y la tecnología operativa (OT) estaban -en términos generales- completamente desconectados del mundo exterior. Cualquier ajuste y control se realizaba in situ por empleados que trabajaban con sistemas que, a todos los efectos, estaban aislados de Internet.
Para que los ataques tuvieran éxito, generalmente era necesario entrar físicamente en las instalaciones. Por lo tanto, un empleado descontento, un empleado plantado allí con la intención de ejecutar un ataque, o una violación física de las instalaciones sería la forma en que un atacante obtenía acceso.
Este ya no es el caso ya que la OT y la TI convergen cada vez másy la OT necesita cada vez más la conectividad a Internet para funcionar (pensemos en el IoT industrial, por ejemplo). El ataque a la planta de tratamiento de aguas ilustra la facilidad con la que los sistemas ICS/OT pueden quedar expuestos al mundo exterior.
Ignorar consejos conocidos
Ahora que estos sistemas están más conectados con el mundo exterior, las viejas suposiciones sobre las medidas de seguridad que deben tomarse en torno a ICS/OT ya no son válidas y las organizaciones que trabajan con OT deben intensificar su juego y, como mínimo, seguir las mejores prácticas comunes.
Y aquí está el problema: una y otra vez, es el mismo viejo consejo el que habría salvado el día, pero nunca lo hizo porque el consejo nunca se puso en práctica. A pesar de todos los conocimientos, la educación y los informes sobre ataques con éxito, casi siempre se repite la misma historia.
Ya se trate de la higiene de las contraseñas, la gestión cuidadosa de funciones y privilegios o el mantenimiento de un perímetro, las mejores prácticas establecidas suelen ignorarse, lo que da a los actores de amenazas una vía de entrada. La amenaza a las infraestructuras críticas es constante. Los operadores de ICS y OT no pueden permitirse el lujo de pretender que las nociones anticuadas de los requisitos de seguridad siguen siendo válidas y no pueden permitirse ignorar los consejos estándar.
Esta vez no ha sido un parche, pero podría haberlo sido
La aplicación rápida y coherente de parches es una de las normas de buenas prácticas de ciberseguridad más sensatas que se suele ignorar, al igual que se ignoran las instrucciones sencillas sobre buenas prácticas en materia de contraseñas. Para ser justos, la aplicación de parches es un poco más complicada: la falta de recursos y la necesidad de programar ventanas de mantenimiento para desconectar los sistemas pueden interponerse en el camino de la aplicación de parches.
Pero hay que parchear, y hay que hacerlo con coherencia. Afortunadamente, el juego de los parches ha cambiado drásticamente gracias a los parches en vivo - que ahora también está disponible para ICS, OT e IIoT..
El incidente de Florida nos enseña una sencilla lección. Ignorar principios sencillos de ciberseguridad entraña un gran peligro. En este caso, el peligro se evitó por los pelos. Pero no siempre será así. La aplicación de parches es uno de los principios de ciberseguridad más comúnmente ignorados, y también la principal causa de éxito de las violaciones.
Así que parchea, y parchea ya. ¿Le cuesta parchear? Descubra cómo puede ayudarle la aplicación automatizada de parches en tiempo real..
