El informe sobre incidentes en el sector energético de CERT Polska 2025 nos recuerda que muchos incidentes cibernéticos no se originan a partir de técnicas avanzadas o vulnerabilidades desconocidas. Por el contrario, suelen comenzar con debilidades básicas que nunca se han solucionado: credenciales predeterminadas, accesos sin supervisión, registros que los atacantes pueden borrar y copias de seguridad que no incluyen los sistemas que realmente importan.
En varios de los incidentes descritos, los atacantes no tuvieron que esforzarse mucho. El entorno ya les facilitaba las cosas.
Cómo se gestaron los atentados
El informe describe múltiples incidentes en los que los atacantes accedieron a través de vías habituales. Los correos electrónicos de phishing, los archivos adjuntos maliciosos, los sitios web comprometidos y los servicios expuestos fueron puntos de partida habituales. Una vez que se comprometía un único terminal, los atacantes se centraban en moverse de forma sigilosa, utilizando herramientas legítimas y protocolos estándar.
A menudo se daba por sentado que los dispositivos dentro de las redes internas eran seguros. Esta suposición resultó ser errónea. En ocasiones, los equipos de red, las interfaces de gestión y los sistemas operativos se implementaban con credenciales predeterminadas o compartidas. En algunos casos, los atacantes ni siquiera necesitaron utilizar vulnerabilidades, sino que simplemente iniciaron sesión.
El acceso remoto también influyó. Las conexiones VPN no siempre se revisaban con detenimiento, y los controles de autenticación variaban según el entorno. Una vez conectados, los atacantes utilizaban sesiones RDP y el intercambio de archivos SMB para desplazarse lateralmente, camuflándose entre el tráfico normal y evitando ser detectados de inmediato.
Por qué las credenciales predeterminadas siguen siendo uno de los mayores riesgos
Las credenciales predeterminadas siguen siendo uno de los riesgos más fáciles de evitar, pero siguen apareciendo en incidentes reales. El informe deja claro que esto no se limita únicamente a los dispositivos conectados a Internet. Los sistemas internos, incluidos los componentes de tecnología operativa (OT) y los servidores de gestión, presentaban credenciales sin modificar o un acceso de administrador con amplios privilegios.
Los atacantes buscan estas vulnerabilidades en primer lugar. Cuando las encuentran, toman el control de forma rápida y silenciosa.
Cambiar las credenciales predeterminadas, limitar las cuentas compartidas y exigir la rendición de cuentas en el acceso con privilegios no son medidas avanzadas, sino más bien aspectos básicos. Cuando faltan, todo lo demás se complica.
Detectarlo después de que se haya ejecutado ya es demasiado tarde
Cabe señalar que, en algunos casos, las herramientas de seguridad para dispositivos finales sí detectaron actividades maliciosas. Esto ayudó a limitar los daños. Sin embargo, la detección solía producirse cuando el malware ya se estaba ejecutando.
Una vez que el malware se ejecuta, los atacantes pueden robar credenciales, modificar configuraciones y establecer la persistencia. En ese momento, la respuesta se vuelve más compleja y más perjudicial.
El informe destaca la importancia de inspeccionar los archivos antes de ejecutarlos. Los archivos adjuntos de correo electrónico, las descargas y los archivos introducidos a través de soportes extraíbles deben analizarse y desinfectarse antes de que lleguen a los sistemas operativos. Detener las amenazas en el punto de entrada reduce la necesidad de tener que limpiarlos posteriormente.
Supervisa lo que utilizan realmente los atacantes
Varios de los incidentes descritos en el informe consistieron en movimientos laterales más que en exploits llamativos: cosas como sesiones RDP entre sistemas, recursos compartidos SMB utilizados para transferir herramientas y pequeños cambios de configuración que, con el tiempo, abrieron vías de acceso.
Es fundamental supervisar la comunicación interna. El tráfico este-oeste suele recibir menos atención que la actividad dirigida a Internet, pero es ahí donde los atacantes pasan la mayor parte del tiempo una vez que han logrado acceder al sistema.
Los cambios en la configuración merecen la misma atención. Firewall , la configuración de la VPN y los permisos de Active Directory no deben modificarse sin previo aviso. Las organizaciones necesitan saber con claridad qué se ha cambiado, quién lo ha hecho y por qué. Los cambios inesperados suelen ser el primer indicio de una brecha de seguridad.
Registros y copias de seguridad: los puntos débiles que los atacantes intentan vulnerar
El informe también pone de manifiesto cómo los atacantes se centran en los procesos de registro y recuperación. En algunos casos, se eliminaron o modificaron los registros, lo que ralentizó las investigaciones y limitó la comprensión de lo ocurrido.
Los registros de auditoría deben enviarse a una ubicación segura donde los atacantes no puedan modificarlos ni borrarlos. Lo ideal es que los registros se transfieran en una sola dirección. Si los atacantes pueden borrar los registros, pueden borrar sus huellas.
Las copias de seguridad requieren el mismo nivel de atención. Muchas organizaciones realizan copias de seguridad de las configuraciones, pero pasan por alto el firmware, las imágenes completas del sistema y el estado de los terminales. Cuando el firmware o los binarios del sistema se ven comprometidos, las copias de seguridad de la configuración por sí solas no son suficientes. Para la recuperación, es imprescindible contar con firmware limpio, copias de seguridad de los servidores e imágenes fiables de los terminales.
La verdadera conclusión
El informe de CERT Polska no describe fallos debidos a la falta de herramientas. Describe fallos debidos al descuido de aspectos básicos como:
- Se han dejado las credenciales predeterminadas.
- El acceso remoto no está totalmente supervisado.
- Registros almacenados en lugares a los que los atacantes podían acceder.
- El malware no se detectó hasta que ya estaba activo.
Es una suerte que algunos ataques se detectaran antes de causar graves trastornos. Pero la suerte no es un factor de control.
Las empresas del sector energético deben reducir el riesgo en una fase más temprana de la cadena de ataque: antes de que se ejecute el malware, antes de que se haga un uso indebido de las credenciales y antes de que los atacantes puedan borrar sus huellas. El informe deja una cosa clara: los atacantes siguen rutas predecibles. Y eso significa que los defensores pueden bloquearlas.
Estas soluciones no son nada del otro mundo, pero son urgentes.
No esperes a que el malware se ejecute para reaccionar. Descubre cómo OPSWAT MetaDefender previene las amenazas en el punto de entrada al analizar y desinfectar los archivos antes de que lleguen a tus sistemas críticos.
