Las recientes directrices de la Oficina Federal de Investigación (FBI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ponen de relieve una amenaza urgente y en constante evolución para los entornos de tecnología operativa (OT). En un aviso conjunto, las agencias advirtieron de que actores maliciosos vinculados a Irán han estado explotando activamente controladores lógicos programables (PLC) conectados a Internet en diversos sectores de infraestructuras críticas de EE. UU., entre los que se incluyen los sistemas de agua y aguas residuales, el sector energético y las instalaciones gubernamentales. El aviso, AA26-097A, pone de relieve un patrón que muchos en el sector sospechaban desde hace tiempo, pero que ahora se está observando en incidentes reales: estos actores ya no dependen de vulnerabilidades de software ni de exploits de día cero para afectar a los entornos industriales. En su lugar, están aprovechando vías de acceso legítimas, protocolos industriales nativos y herramientas de ingeniería estándar para interactuar directamente con los sistemas de control.
Rutas de control expuestas, no vulnerabilidades
Las rutas de control expuestas, y no las vulnerabilidades sin parchear, constituyen el principal riesgo para los entornos de tecnología operativa (OT). Las estrategias tradicionales basadas en la identificación de vulnerabilidades, la aplicación de parches a los sistemas y la supervisión de comportamientos maliciosos siguen siendo importantes, pero el último aviso lo deja claro: si un atacante logra acceder a tu entorno OT, podrá actuar dentro de él.
En varios casos observados, los atacantes lograron conectarse directamente a controladores lógicos programables (PLC) conectados a Internet mediante puertos de comunicación industrial estándar , como los puertos 44818, 2222, 102 y 502. Utilizando software de ingeniería de fácil acceso, establecieron sesiones válidas con estos dispositivos e interactuaron con ellos como si fueran operadores autorizados.
La distinción entre «accesible» y «vulnerable» supone un cambio fundamental. La cuestión ya no es solo si un sistema es vulnerable, sino si es accesible. Si se puede acceder a un sistema de control a través de una red, se puede manejar. Y si se puede manejar, se puede alterar.
Cómo se llevan a cabo los ataques OT modernos
El patrón de ataque descrito en el aviso sigue un procedimiento sencillo:
- Acceso inicial: exposición de los PLC o los sistemas de tecnología operativa a redes externas, ya sea directamente o a través de vías de acceso remoto, como VPN o servidores de enlace
- Interacción a través de medios legítimos: A partir de ahí, los atacantes utilizan herramientas de ingeniería legítimas, como Studio 5000 Logix Designer, para establecer conexiones con el dispositivo. Uso de estaciones de trabajo de ingeniería, herramientas de los proveedores o protocolos nativos (por ejemplo, Modbus, EtherNet/IP)
- Ejecución:
- Modificación de la lógica de control
- Carga y descarga de archivos de proyecto
- Emisión de órdenes a procesos físicos
- Repercusiones: interrupciones operativas, riesgos para la seguridad y posibles pérdidas económicas
Lo que hace que este enfoque sea eficaz es que elude muchos controles de seguridad tradicionales. No hay nada intrínsecamente «malicioso» a nivel de protocolo o de herramienta que active la detección.
Los controles tradicionales ya no son suficientes
La mayoría de los entornos de TI actuales se basan en una combinación de cortafuegos, VPN, estrategias de segmentación y controles de acceso remoto. Aunque son necesarias, estas medidas tienen limitaciones inherentes:
- Los cortafuegos dependen de una configuración correcta y de una gestión adecuada de las reglas; además, por su diseño, permiten el uso de los protocolos necesarios.
- Las VPN y el acceso remoto dependen de la integridad de las credenciales
- Los sistemas de detección y vigilancia entran en funcionamiento una vez que ya se ha establecido el acceso
En los casos señalados por la CISA, los atacantes no tuvieron que eludir estos controles en el sentido convencional. Simplemente utilizaron el acceso que ya existía.
Por eso, el informe hace especial hincapié en eliminar la exposición innecesaria y reforzar la segmentación de la red.
Combinación de segmentación y aislamiento determinístico
La segmentación se considera desde hace tiempo una práctica recomendada, pero no todos los tipos de segmentación son iguales.
La segmentación lógica, aplicada mediante software y políticas, puede reducir el riesgo, pero no lo elimina. Las configuraciones erróneas, el robo de credenciales o las vías de acceso indirectas pueden seguir dando lugar a conexiones no deseadas entre los entornos de TI y de tecnología operativa.
Lo que se necesita en entornos de alto riesgo es un aislamiento determinista.
Eliminación de la vía de ataque mediante la comunicación unidireccional
Una medida más eficaz consiste en eliminar por completo la posibilidad de acceso desde el exterior.
Los diodos de datos garantizan una comunicación unidireccional basada en hardware entre redes. Esto permite que los datos operativos salgan del entorno de control con fines de supervisión, análisis o cumplimiento normativo, al tiempo que hace técnicamente imposible que ningún dato, comando o conexión vuelva a entrar.
En el contexto de los patrones de ataque descritos por la CISA, esto tiene un impacto directo:
- Los comandos remotos no llegan a los PLC
- Ninguna herramienta de ingeniería puede conectarse desde redes externas
- Ningún malware ni tráfico no autorizado puede acceder al entorno de control
No se trata de detectar o bloquear actividades maliciosas. Se trata de eliminar por completo la vía de acceso.
En consonancia con las recomendaciones de la CISA
Las directrices de mitigación de la CISA hacen hincapié en tres medidas fundamentales:
- Retirar los activos de TI de la exposición directa a Internet
- Reforzar la separación entre las redes de TI y de tecnología operativa
- Restricción y control del acceso remoto
Las arquitecturas de comunicación unidireccionales ponen en práctica estas recomendaciones con un mayor nivel de seguridad, al garantizar que no se pueda acceder a los sistemas de control críticos, incluso si las redes situadas en la parte superior de la red se ven comprometidas.
Reconsiderar OT Security: de la defensa al diseño
El informe AA26-097A sostiene que los supuestos defensivos deben evolucionar al mismo ritmo que las amenazas a las que se enfrentan. Si los atacantes ya no necesitan aprovechar las vulnerabilidades, centrarse únicamente en la detección y la prevención resulta insuficiente. La prioridad debe pasar a recaer en controles arquitectónicos que eliminen categorías enteras de riesgo. Hacer que los sistemas de tecnología operativa (OT) sean inaccesibles desde redes externas es uno de esos controles.
La seguridad es lo primero
El último aviso de la CISA pone de relieve una realidad que las organizaciones ya no pueden ignorar:
- La exposición equivale a riesgo en entornos de terapia ocupacional
- Dado que los atacantes aprovechan cada vez más el acceso legítimo y las funciones nativas, la defensa más eficaz no consiste solo en mejorar la supervisión o aplicar políticas más estrictas, sino en eliminar por completo la conectividad innecesaria.
- Diseñar entornos de redes operativas (OT) que sean inaccesibles por definición ya no es una simple recomendación teórica. Se está convirtiendo en un requisito práctico para garantizar la resiliencia operativa.
