El último gran ciberataque contra infraestructuras críticas se produjo en EEUU y pudo tener consecuencias directas graves para la población. El pasado 8 de febrero, el Sheriff de la ciudad de Oldsmar (Florida)  informó de que la planta de tratamiento de agua de la localidad había sufrido una intrusión no autorizada en sus sistemas.  De hecho, el ciberatacante llegó a tomar el control de manera remota del ordenador donde está el PLC (Programme Logic Controller), es decir el sistema OT desde donde se gestionan los procesos químicos.

Y lo que es más grave: intentó alterar las cantidades de hidróxido de sodio (más conocido como sosa cáustica) que se utiliza para potabilizar el agua, pero que a niveles muy elevados la convierten en tóxica. Afortunadamente, un operario se percató de que el cursor en pantalla se estaba moviendo de manera inusual, dio la voz de alerta y reajustó los niveles a tiempo antes de que se suministrara el agua a la ciudad. Pero, ¿Cuál había sido su vector de entrada?

 Acceso remoto a través de Teamviewer_

El ciberatacante logró tomar el control del ordenador de la planta de tratamiento a través del programa Teamviewer: se trata de un software de soporte técnico que se utiliza para que perfiles con más experiencia informática o miembros del departamento de TI controlen un ordenador que necesite asistencia de manera remota. Debido al auge del teletrabajo por la pandemia, muchas organizaciones han recurrido a instalar este tipo de programas al no poder disponer de técnicos para sus empleados de manera presencial, como sí ocurría dentro del espacio de sus oficinas o centros de trabajo.

Ese acceso a Teamviewer, como es lógico, estaba protegido con una contraseña. Sin embargo, al ciberatacante no le supuso ninguna barrera, con lo que se especula que debía de ser una clave muy débil o relacionada con algún dato personal de los trabajadores que investigara previamente.

Accesos remotos, contraseñas fuertes y anticipación a los adversarios_

Los expertos en infraestructuras críticas señalan que el envenenamiento del agua para la población no hubiera sido tan sencillo, pese a modificar los niveles de sosa cáustica, ya que había otros filtros e impedimentos físicos en las tuberías de la planta de agua. Sin embargo, sienta precedentes que pueden ser muy peligrosos: no solo para otras plantas de agua, sino para cualquier instalación del sector utilities.

En España, tal y como nos comentó Carlos Manchado, CISO de Naturgy, los sistemas de control de las infraestructuras críticas se rigen por la estricta normativa IEC 62443, como evolución del conjunto de normas ISA99. Uno de sus aspectos más importantes es de arquitectura de ciberseguridad: deben implementarse “Security Zone” (los activos físicos que comparten requisitos de seguridad comunes) y que sus “Conduits” (los canales de comunicación entre esas áreas de seguridad) estén adecuadamente supervisados y protegidos.

Pero más allá de esa disposición, para poder evitar un próximo ciberataque como el de Florida, es recomendable que las infraestructuras críticas implementen unas recomendaciones generales:

  • Redes VPN en lugar de software acceso remoto: además del teletrabajo, el éxito de Teamviewer y otros programas de software para asistencia remota también radica en su facilidad de uso. Pero los analistas recomiendan sacrificar algo de sencillez por un grado mayor de ciberseguridad, teniendo en cuenta la importancia de las infraestructuras críticas. Por eso, aconsejan que se utilice en su lugar redes VPN privadas con un protocolo de Autenticación Multifactor (MFA, por sus siglas en inglés) obligatorio para acceder a los sistemas. Después, la red del PLC y los sistemas OT también deberían contar con otras contraseñas adicionales.
  • Política de contraseñas fuertes: aunque exista la MFA, dichas contraseñas también requieren tener unas características para que no sean sencillas de encontrar, tal y como señalamos en nuestro post sobre el caso Equifax: esto implica al menos 10 caracteres entre letras y números, que se actualicen cada cierto tiempo y que por supuesto, tengan acceso a ella el menor número posible de personas.
  • Anticipación con analítica y visibilidad en tiempo real: dados los riesgos que puede correr la seguridad nacional o la población ante incidentes similares, también es conveniente que sus SOC cuenten con las soluciones más avanzadas para sus Operaciones de Ciberseguridad. En este sentido, con Cytomic Covalent pueden anticiparse a los adversarios, con analítica y visibilidad en tiempo real. Contarán con las capacidades preventivas ampliadas de Cytomic EPDR, Zero Trust Application Service y con los servicios de Cytomic Orion, para acelerar la búsqueda, investigación y contención de ciberatacantes que utilicen técnicas Living off the land. Así podrán estar preparados para afrontar cualquier amenaza que a través de sus sistemas quiera alterar su operatividad, como la de la planta de Oldsmar.