Intrusión Iraní en PLC de Autoridad Hídrica de EE.UU.

Recientemente, un informe de seguridad cibernética ha sacudido la comunidad global: hackers iraníes han llevado a cabo un ataque sofisticado explotando controladores lógicos programables (PLCs). Este evento no solo resalta la vulnerabilidad de infraestructuras críticas, sino que también pone de relieve la importancia de entender los riesgos asociados a la ciberseguridad en el mundo moderno. En este artículo desglosaremos de manera sencilla y clara el concepto detrás de este ataque, su importancia y las medidas preventivas que se pueden adoptar.

¿Qué son los PLCs y Por Qué son Importantes?

Los PLCs son componentes fundamentales en la automatización industrial. Estos dispositivos controlan maquinaria y procesos en sectores como la manufactura, la energía y el tratamiento de aguas. Su función es recibir información de sensores y ejecutar acciones preprogramadas, lo que los hace esenciales para la eficiencia y seguridad de muchas operaciones industriales.

Te podría interesar leer:  Costo de Inacción en Ciberseguridad

El Ataque de los Hackers Iranianos: Un Resumen

La Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos ha informado que está abordando un ciberataque que implicó el uso indebido de controladores lógicos programables (PLC) de Unitronics. Este ataque se dirigió específicamente a la Autoridad Municipal del Agua de Aliquippa en Pensilvania occidental.

Se ha identificado al grupo hacktivista respaldado por Irán, Cyber Av3ngers, como los responsables de este incidente. La CISA señaló: "Actores de ciberamenazas están enfocándose en PLCs asociados con infraestructuras de agua y tratamiento de aguas residuales, incluyendo un PLC Unitronics en una instalación de agua estadounidense."

Como medida de precaución, la autoridad de agua municipal afectada desactivó su sistema y pasó a operaciones manuales. No se reportaron riesgos para el agua potable ni para el suministro de agua del municipio. Informes de noticias referenciados por el Water Information Sharing and Analysis Center (WaterISAC) indican que Cyber Av3ngers logró controlar la estación de bombeo que supervisa y ajusta la presión del agua en los municipios de Raccoon y Potter.

Se sospecha que los responsables del ataque accedieron al dispositivo comprometido, un PLC Unitronics Vision Series con interfaz hombre-máquina (HMI), explotando una débil seguridad de contraseña y su disponibilidad pública en Internet.

Los PLC son cruciales en el sector de agua y aguas residuales para el monitoreo de diferentes etapas y procesos de tratamiento. Por tanto, ataques disruptivos que buscan comprometer estos procesos esenciales pueden tener consecuencias negativas, afectando la capacidad de proporcionar acceso a agua limpia y potable.

Para prevenir ataques similares, CISA recomienda cambiar las contraseñas por defecto de los PLC de Unitronics, implementar autenticación multifactor (MFA), desconectar los PLC de Internet, respaldar la lógica y configuraciones de los PLC para una rápida recuperación y actualizarlos regularmente.

Te podrá interesar leer:  Descubre sobre MFA y como funciona

Cyber Av3ngers ha atacado anteriormente infraestructuras críticas y afirma haber infiltrado hasta diez estaciones de tratamiento de agua en Israel. El mes pasado, el grupo también se adjudicó un gran ciberataque contra Orpak Systems, un importante proveedor de soluciones para estaciones de servicio en Israel.

El 26 de noviembre de 2023, Cyber Av3ngers declaró en su canal de Telegram: "Cualquier equipo 'fabricado en Israel' es un objetivo legítimo para Cyber Av3ngers".

¿Qué medidas de ciberseguridad se pueden aplicar para proteger los sistemas industriales de los ciberataques que explotan los PLC?

A continuación, te presentamos algunas recomendaciones generales que pueden ayudar a mejorar la ciberseguridad de los sistemas industriales que utilizan PLC:

1. Realizar un análisis de riesgos y una auditoría de los sistemas industriales, identificando los activos críticos, las vulnerabilidades existentes, las amenazas potenciales y las medidas de protección adecuadas.
   
   
2. Aplicar el principio de mínima exposición, limitando el acceso a los sistemas industriales solo a las personas y dispositivos autorizados, y restringiendo la conexión de los PLC a Internet o a redes externas, salvo que sea estrictamente necesario.
   
   
3. Implementar el principio de defensa en profundidad, estableciendo múltiples capas de seguridad en los sistemas industriales, como firewalls, sistemas de detección y prevención de intrusiones, cifrado de datos, autenticación multifactor, control de acceso, segmentación de redes, etc.
   
   
4. Mantener los sistemas industriales actualizados, aplicando los parches de seguridad disponibles para los PLC y los demás componentes de hardware y software, y eliminando los servicios y funciones innecesarios que puedan suponer un riesgo adicional.
   
   
5. Realizar copias de seguridad periódicas de los datos y la configuración de los sistemas industriales, almacenándolas en medios seguros y aislados, y verificando su integridad y disponibilidad para poder restaurarlos en caso de un incidente.
   
   
6. Capacitar y concienciar al personal sobre las buenas prácticas de ciberseguridad, como el uso de contraseñas robustas y únicas, el cuidado de los dispositivos y medios extraíbles, el reconocimiento y reporte de posibles incidentes, etc.
   
   
7. Establecer un plan de respuesta a incidentes, que defina los roles y responsabilidades, los procedimientos y protocolos, los recursos y herramientas, y los canales de comunicación y coordinación para actuar de forma rápida y eficaz ante un posible ciberataque.

Te podrá interesar leer:  GERT: Respuesta Efectiva a Incidentes de Ciberseguridad

Los sistemas industriales basados en PLC son fundamentales para el desarrollo y la competitividad de las empresas, pero también son vulnerables a los ciberataques que buscan explotarlos para causar daños, robar información o extorsionar a las víctimas. Por eso, es imprescindible que las empresas que utilizan estos sistemas adopten medidas de ciberseguridad para protegerlos de posibles amenazas, siguiendo las recomendaciones generales que se han expuesto en este artículo. De esta forma, se podrá garantizar la continuidad y la calidad de las operaciones industriales, así como la seguridad de las personas y el medio ambiente.