Durante la última década, hemos visto una amplia gama de diferentes tipos de dispositivos y sistemas conectados a Internet. Si bien esto se siente como un progreso tecnológico, hay un lado oscuro en traer en línea el Internet de las Cosas (IoT): estos sistemas son atacados al igual que cualquier otra infraestructura conectada. Desafortunadamente, muchos entornos SCADA en la actualidad incluyen sistemas conectados con capacidades y configuraciones de seguridad relativamente débiles, lo que lleva a situaciones de compromiso y violación que no solo son peligrosas, sino que podrían ser mortales.
En febrero de 2021,una planta de agua de Florida se vio comprometida de forma remotay el atacante intentó modificar la composición química del agua. Los investigadores de CyberNewsencontraron 11 credenciales violadas vinculadas a la planta de agua de 2017, así como 13 conjuntos de credenciales justo antes del ataque. El atacante en la planta de agua aprovechó una herramienta de acceso remoto para consumidores para obtener acceso a los controles SCADA de la planta y posteriormente cambió el nivel de hidróxido de sodio en el agua (comúnmente conocido como lejía), de 100 partes por millón a 11,100 partes por millón. Afortunadamente, en este caso, la modificación fue detectada de inmediato por uno de los operadores de la planta, quien revirtió los cambios antes de que esta brecha tuviera algún impacto en el sistema o la salud de la comunidad. Sin embargo, creo que todos sabemos que esto podría haber sido terrible, y estamos hablando de este tipo de ataques en la comunidad de la seguridad durante años.
Como si eso no fuera lo suficientemente malo, más tarde, el 9 de marzo, Bloomberg informó de una violación de seguridad masiva en la red Verkadaque expuso las transmisiones en vivo de 150.000 cámaras de seguridad utilizadas en cárceles, hospitales y muchas empresas de alto perfil. Los actores de la amenaza afirmaron haber tenido acceso completo a un archivo de video completo para todos los clientes de Verkada, lo que presenta importantes implicaciones políticas, de privacidad y de seguridad de los datos. Esta violación realmente ilustró la raíz del problema: privilegios excesivos en plataformas y productos de IoT/OT.
La violación de Verkada se produjo como resultado directo de una cuenta de "superadministrador" comprometida a la que se podía acceder de forma remota. Este último punto es importante: se ha dicho mucho sobre la gestión de privilegios y las cuentas de administrador que deberían controlarse con más cuidado, pero el acceso remoto a los servicios y plataformas que UTILIZAN estas cuentas suelen recibir menos publicidad. En la violación de la planta de tratamiento de agua de Florida, el atacante obtuvo acceso remoto utilizando credenciales de administrador. La misma situación ocurrió en el compromiso de Verkada. Entonces, ¿qué nos hemos estado perdiendo? ¿Cómo superamos este tipo de escenarios de compromiso?
En primer lugar, es fundamental darse cuenta de que el acceso remoto a menudo se ha proporcionado sin una cuidadosa consideración de los escenarios de acceso privilegiado. Para agravar este problema está el desafío único que enfrentan los entornos OT/IoT, con servicios y plataformas que pueden ser algo implacables en su modo de acceso.
¿Las buenas noticias? Tenemos muchas lecciones aprendidas y una tecnología mucho mejor en la actualidad que puede ayudar a resolver estos desafíos.
En mayo, vimos el devastador ataque cibernético de DarkSide en Colonial Pipeline, que desconectó gran parte del suministro de combustible de la costa este de los EE. UU. Este causó pánico en la bomba e interrumpió decenas de millones de vidas durante semanas.
Para obtener más información sobre los ataques de DarkSide y cómo formular una postura de ciberdefensa sólida, consulte este blog de BeyondTrust: ¿El ataque de DarkSide Pipeline Ransomware impulsará las actualizaciones de ciberseguridad para la Infraestructura Crítica?

Dave Shackleford, SANS Instructor, Founder at Voodoo Security
Dave Shackleford is the owner and principal consultant of Voodoo Security and a SANS analyst, senior instructor, and course author. He has consulted with hundreds of organizations in the areas of security, regulatory compliance, and network architecture and engineering, and is a VMware vExpert with extensive experience designing and configuring secure virtualized infrastructures. He has previously worked as CSO for Configuresoft, CTO for the Center for Internet Security, and as a security architect, analyst, and manager for several Fortune 500 companies.