Las agencias CISA, FBI, EPA y el Departamento de Energía han emitido una alerta prioritaria sobre la actividad de ciberactores que buscan comprometer sistemas de control industrial (ICS) y sistemas de supervisión y adquisición de datos (SCADA) en el sector de petróleo y gas natural de los Estados Unidos.
A pesar de emplear métodos de intrusión básicos, estos ataques representan una amenaza considerable, exacerbada por las deficiencias generales en las prácticas de ciberseguridad dentro de las organizaciones de infraestructura crítica.
«CISA es cada vez más consciente de los actores cibernéticos poco sofisticados que apuntan a los sistemas ICS/SCADA dentro de los sectores críticos de infraestructura de EE. UU. (Petróleo y gas natural), específicamente en los sistemas de energía y transporte», señaló la agencia de ciberseguridad en su alerta.
Los funcionarios creen que estos actores de amenazas son probablemente grupos hacktivistas o individuos que afirman ser hacktivistas y que han estado atacando sistemas OT expuestos a Internet desde al menos 2022.
Según el aviso, estos actores emplean métodos básicos pero efectivos que incluyen explotar las credenciales predeterminadas, realizar ataques de fuerza bruta y apuntar a puntos de acceso remoto mal configurados.
Los atacantes utilizan “conjuntos de herramientas simples, repetibles y escalables disponibles para cualquier persona con un navegador de Internet” para identificar sistemas vulnerables a través de herramientas de motor de búsqueda que escanean en busca de puertos abiertos en rangos de IP públicos.
Los expertos en seguridad advierten que, si bien estas técnicas de intrusión pueden ser rudimentarias, las consecuencias pueden ser graves: desde desfiguración del sistema y cambios de configuración hasta interrupciones operativas y, en el peor de los casos, daños físicos a componentes críticos de la infraestructura.
Los especialistas en ciberseguridad industrial han advertido repetidamente que incluso los ataques poco sofisticados podrían tener impactos significativos en los servicios esenciales.
Las organizaciones autoras han delineado cinco mitigaciones críticas que los propietarios y operadores de activos deben implementar de inmediato:
- Eliminación de conexiones OT de la Internet pública.
- Cambiar las contraseñas predeterminadas a seguras.
- Alternativas únicas.
- Proteger el acceso remoto a través de redes privadas y autenticación multifactor (MFA) resistente al phishing.
- Segmentación de redes de TI y OT mediante zonas desmilitarizadas (DMZ).
- Mantener la capacidad para operaciones manuales durante incidentes cibernéticos.
Los sistemas de destino utilizan contraseñas predeterminadas o fáciles de adivinar. Cambiar las contraseñas predeterminadas es especialmente importante para los dispositivos de Internet públicos que tienen la capacidad de controlar sistemas o procesos OT [CPG 2.A][CPG 2.B][CPG 2.C]”, enfatiza el aviso.
También se recomienda encarecidamente a las organizaciones de infraestructura crítica que revisen sus relaciones con proveedores de servicios externos, ya que con frecuencia se introducen errores de configuración durante las operaciones estándar, por parte de los integradores de sistemas o como parte de las configuraciones predeterminadas del producto.
Este aviso se produce en medio de crecientes preocupaciones sobre las vulnerabilidades de la infraestructura crítica.
Apenas unas semanas antes, el 22 de abril de 2025, CISA publicó cinco avisos urgentes que destacaban vulnerabilidades críticas en sistemas de control industrial ampliamente utilizados de los principales fabricantes, incluidos Siemens, ABB y Schneider Electric.
La alerta concluye dirigiendo a las organizaciones a los recursos integrales de CISA, que incluyen orientación sobre cómo identificar dispositivos expuestos a Internet, implementar contraseñas seguras, implementar MFA resistente al phishing y establecer una segmentación de red adecuada.
