La CISA (Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU.) ha emitido una advertencia a las organizaciones que gestionan infraestructuras críticas, sobre actores de amenazas poco sofisticados que están atacando activamente los sectores de petróleo y gas natural en EE.UU.
Aunque estos ataques emplean tácticas básicas para comprometer los sistemas de control industrial (ICS) y los equipos de tecnología operativa (OT) de sus objetivos, CISA advirtió que podrían generar un impacto significativo, incluyendo daños físicos y disrupciones operacionales.
Amenazas Persistentes a Infraestructuras Críticas
“CISA es cada vez más consciente de actores cibernéticos poco sofisticados que apuntan a los sistemas ICS/SCADA dentro de los sectores de infraestructura crítica de EE.UU. (Petróleo y Gas Natural), específicamente en Sistemas de Energía y Transporte“, señaló la agencia de ciberseguridad.
“Si bien estas actividades suelen incluir técnicas de intrusión básicas y elementales, la presencia de higiene cibernética deficiente y activos expuestos puede escalar estas amenazas, lo que puede dar lugar a consecuencias significativas, como defacement, cambios de configuración, disrupciones operativas y, en casos graves, daños físicos.”
Recomendaciones para Reducir el Riesgo
En un aviso conjunto emitido junto con el FBI, la Agencia de Protección Ambiental (EPA) y el Departamento de Energía (DOE), la CISA también compartió una guía detallada para ayudar a los defensores de redes a reducir el riesgo de posibles brechas.
La agencia recomendó a los equipos de seguridad que aseguren que la superficie de ataque de sus organizaciones sea lo más pequeña posible, eliminando los dispositivos OT expuestos a internet, ya que los actores de amenazas pueden encontrarlos fácilmente y comprometerlos debido a la falta de métodos modernos de autenticación y autorización que podrían proteger contra intentos de hacking.
Además, CISA sugirió cambiar las contraseñas predeterminadas por contraseñas únicas y fuertes y asegurar el acceso remoto a los activos OT utilizando una red privada virtual (VPN) con autenticación multifactorial (MFA) resistente a phishing.
Segmentación de Redes y Planificación de Recuperación
El aviso conjunto también recomienda segmentar las redes IT y OT mediante zonas desmilitarizadas (DMZ) para separar las redes locales de redes no confiables y practicar la restauración de operaciones a controles manuales para poder restaurar rápidamente los sistemas en caso de un incidente.
“Los planes de continuidad del negocio y recuperación ante desastres, los mecanismos de seguridad por fallas, las capacidades de aislamiento, las copias de seguridad de software y los sistemas de reserva deben ser probados de manera rutinaria para garantizar operaciones manuales seguras en caso de un incidente”; señalaron las agencias.
Advertencias Anteriores
Este aviso llega después de que CISA y la EPA advirtieran en diciembre sobre la necesidad de asegurar las Interfaces Hombre-Máquina (HMI) expuestas a internet en instalaciones de agua, para protegerlas de ciberataques.
Tres meses antes, la agencia de ciberseguridad de EE.UU. también había alertado sobre intentos de actores de amenazas para brechar redes de infraestructuras críticas (incluyendo sistemas de agua y aguas residuales), apuntando a dispositivos industriales expuestos a internet utilizando credenciales predeterminadas y métodos poco sofisticados como ataques de fuerza bruta.