Hackers vinculados a Irán atacan infraestructuras críticas en EE. UU. a través de PLCs expuestos en Internet
Agencias de ciberseguridad de EE. UU. han advertido que grupos de hackers asociados a Irán están atacando dispositivos de tecnología operativa (OT) conectados a Internet en infraestructuras críticas del país. Estos ataques se dirigen específicamente a controladores lógicos programables (PLCs), que son como pequeños ordenadores que controlan procesos industriales. El objetivo es interrumpir su funcionamiento, manipular la información que muestran y, en algunos casos, causar daños operativos y pérdidas económicas.
Cómo funciona el ataque
Los atacantes están aprovechando PLCs expuestos directamente a Internet, es decir, que no están protegidos por firewalls u otras medidas de seguridad. Utilizan software de configuración, como el Studio 5000 Logix Designer de Rockwell Automation, para establecer una conexión con el PLC de la víctima. Una vez dentro, despliegan Dropbear, un software SSH (Secure Shell) que les permite acceder al dispositivo de forma remota y manipularlo. Esto les permite extraer el archivo de proyecto del PLC y alterar los datos que se muestran en las interfaces hombre-máquina (HMI) y los sistemas SCADA (supervisory control and data acquisition), que son los paneles de control que utilizan los operadores.
- Acceden a PLCs vulnerables conectados a Internet.
- Utilizan software especializado para conectarse y controlarlos.
- Instalan software de acceso remoto (Dropbear SSH) para mantener el control.
- Manipulan la información mostrada en los paneles de control, causando confusión o interrupción.
A quién afecta
Los ataques se han dirigido principalmente a PLCs de las marcas Rockwell Automation y Allen-Bradley, que se utilizan en servicios e instalaciones gubernamentales, sistemas de agua y saneamiento, y el sector energético. Específicamente, se han identificado como objetivos los dispositivos CompactLogix y Micro850 PLC.
Cómo protegerse
Las autoridades recomiendan tomar las siguientes medidas para proteger los PLCs de estos ataques:
- Evitar exponer los PLCs directamente a Internet.
- Implementar medidas para prevenir la modificación remota, como interruptores físicos o de software.
- Activar la autenticación multifactor (MFA), que requiere una segunda forma de verificación además de la contraseña.
- Instalar un firewall o proxy de red delante del PLC para controlar el acceso.
- Mantener los dispositivos PLC actualizados con los últimos parches de seguridad.
- Desactivar cualquier función de autenticación que no se esté utilizando.
- Monitorear el tráfico de red en busca de actividades sospechosas.
Qué significa esto para ti
Este tipo de ataques demuestran que las infraestructuras críticas son un objetivo cada vez más frecuente de ciberataques. Si tu empresa opera o depende de sistemas de control industrial, es fundamental que tomes medidas proactivas para protegerlos. Esto incluye evaluar la seguridad de tus PLCs, implementar las medidas de seguridad recomendadas y estar atento a posibles amenazas. No tomar estas precauciones podría resultar en interrupciones operativas, daños a la propiedad y pérdidas financieras.
