(https://i.imgur.com/ISDyH3e.jpeg)
Las agencias federales de seguridad de Estados Unidos han emitido una advertencia urgente tras descubrir que más de 900 sistemas automáticos de medición de tanques (ATG, por sus siglas en inglés) permanecen expuestos a Internet y están siendo objetivo de ciberataques activos. Estos dispositivos desempeñan un papel fundamental en la supervisión de combustible, productos químicos y otros líquidos almacenados en instalaciones pertenecientes a sectores estratégicos e infraestructuras críticas.
La alerta, publicada conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI, la Agencia de Seguridad Nacional (NSA), el Departamento de Energía de Estados Unidos y otros organismos gubernamentales, advierte que los atacantes están aprovechando múltiples vulnerabilidades para comprometer estos sistemas y alterar su funcionamiento.
¿Qué son los sistemas ATG y por qué son tan importantes?Los sistemas de Indicadores Automáticos de Tanques (ATG) son dispositivos electrónicos diseñados para supervisar de forma remota los niveles de líquidos almacenados en depósitos. Su función principal es automatizar el control de inventarios, detectar fugas potencialmente peligrosas y garantizar el cumplimiento de las normativas medioambientales y de seguridad.
Aunque suelen asociarse a estaciones de servicio y gasolineras, los sistemas ATG también son ampliamente utilizados en instalaciones industriales, plantas químicas, centros logísticos y otras infraestructuras críticas donde el monitoreo preciso de sustancias almacenadas es esencial para la continuidad operativa.
Debido a su relevancia, cualquier manipulación maliciosa de estos dispositivos podría generar consecuencias significativas, incluyendo pérdidas económicas, interrupciones operativas, daños ambientales e incluso riesgos para la seguridad pública.
CISA alerta sobre ataques activos contra sistemas ATGSegún el aviso conjunto emitido por las agencias federales, los actores de amenazas están explotando diversas debilidades de seguridad presentes en estos dispositivos para obtener acceso no autorizado y ejecutar comandos remotos.
Entre las vulnerabilidades identificadas se encuentran:
- Credenciales codificadas de forma predeterminada.
- Mecanismos de autenticación débiles o vulnerables.
- Fallos de evasión de autenticación.
- Vulnerabilidades de inyección SQL.
- Errores de ejecución de comandos del sistema operativo.
- Deficiencias que permiten la escalada de privilegios.
Una vez comprometidos los sistemas, los atacantes pueden modificar configuraciones críticas, alterar parámetros operativos e incluso desactivar mecanismos de alerta diseñados para detectar problemas de seguridad.
Las autoridades estadounidenses señalaron que, hasta el momento, la actividad observada no ha sido atribuida oficialmente a ningún estado-nación ni grupo específico de ciberdelincuentes. Sin embargo, la naturaleza de los ataques demuestra un interés creciente por comprometer tecnologías operativas e infraestructuras industriales conectadas a Internet.
Más de 1.000 dispositivos detectados en líneaTras la publicación de la advertencia gubernamental, la organización especializada en monitoreo de amenazas Shadowserver realizó un análisis global de exposición de sistemas industriales.
Los resultados revelaron que se identificaron 1.061 direcciones IP asociadas con sistemas ATG accesibles desde Internet. De ellas, 909 se encontraban en Estados Unidos, convirtiendo al país en el principal objetivo potencial para este tipo de amenazas.
Shadowserver indicó que la cifra se obtuvo después de eliminar una gran cantidad de sistemas que aparentemente correspondían a honeypots o entornos de prueba diseñados para detectar actividades maliciosas.
La exposición pública de estos dispositivos representa un riesgo considerable, ya que muchos de ellos pueden ser accesibles directamente desde redes externas sin mecanismos adecuados de protección.
Riesgos de seguridad y posibles consecuenciasLa manipulación de sistemas ATG no solo representa una amenaza informática, sino también un riesgo operativo y físico.
Los expertos advierten que un atacante con acceso a estos dispositivos podría:
- Alterar lecturas de niveles de combustible.
- Desactivar alarmas de detección de fugas.
- Manipular configuraciones críticas del sistema.
- Interrumpir procesos industriales.
- Generar errores en los inventarios automatizados.
- Dificultar la detección temprana de incidentes ambientales.
En escenarios más graves, la alteración de estos sistemas podría provocar daños permanentes en equipos industriales o contribuir a incidentes relacionados con derrames de combustible y sustancias químicas peligrosas.
Por esta razón, la protección de los sistemas ATG se ha convertido en una prioridad para los operadores de infraestructuras críticas y organizaciones que dependen de tecnologías industriales conectadas.
Posibles vínculos con grupos de hackers iraníesLa advertencia de CISA llega pocas semanas después de que diversos informes señalaran una posible actividad de grupos de amenazas vinculados a Irán.
Un reportaje publicado por medios estadounidenses indicó que hackers iraníes habrían comprometido sistemas ATG conectados a Internet en varias estaciones de servicio del país. Según la información disponible, los atacantes aprovecharon configuraciones inseguras y contraseñas débiles para acceder a los dispositivos.
Aunque los incidentes reportados no provocaron alteraciones reales en los niveles de combustible, sí permitieron modificar la información mostrada en las pantallas de monitoreo. Este tipo de manipulación genera preocupación debido a que podría dificultar la identificación de fugas o fallos relacionados con la seguridad operativa.
La amenaza cobra aún más relevancia tras otro aviso emitido en abril por agencias federales estadounidenses, el cual vinculó a actores respaldados por el Estado iraní con ataques dirigidos contra controladores lógicos programables (PLC) de Rockwell Automation y Allen-Bradley. Dichas operaciones provocaron interrupciones operativas y pérdidas económicas en diversas organizaciones afectadas.
Recomendaciones para proteger los sistemas ATGAnte el incremento de los ataques, CISA recomienda a las organizaciones adoptar medidas inmediatas para reducir la superficie de exposición y fortalecer la seguridad de sus sistemas.
Entre las acciones prioritarias destacan:
Restringir el acceso desde InternetLos sistemas ATG no deberían estar expuestos directamente a redes públicas. El acceso remoto debe realizarse únicamente mediante VPN seguras, firewalls y listas de control de acceso.
Cambiar credenciales predeterminadasLas contraseñas por defecto continúan siendo una de las principales causas de compromiso. Es fundamental utilizar credenciales únicas y robustas.
Aplicar actualizaciones de seguridadLos fabricantes publican periódicamente parches destinados a corregir vulnerabilidades críticas. Mantener los dispositivos actualizados reduce significativamente el riesgo de explotación.
Implementar autenticación multifactorSiempre que sea posible, se recomienda habilitar mecanismos de autenticación multifactor para impedir accesos no autorizados.
Supervisar cambios sospechososLas organizaciones deben monitorizar constantemente las configuraciones de los sistemas para detectar modificaciones no autorizadas o comportamientos anómalos.
Una amenaza creciente para la seguridad industrialLa exposición de más de 900 sistemas ATG en Estados Unidos pone de manifiesto los desafíos actuales en materia de ciberseguridad industrial. A medida que las infraestructuras críticas adoptan tecnologías conectadas para optimizar operaciones y mejorar la eficiencia, también aumenta la superficie de ataque disponible para ciberdelincuentes y actores patrocinados por estados.
Las recientes advertencias de CISA, FBI y otras agencias federales evidencian que los sistemas de control industrial continúan siendo un objetivo prioritario para los atacantes. La implementación de medidas de seguridad robustas, junto con una adecuada gestión de vulnerabilidades, será clave para proteger estos entornos frente a amenazas cada vez más sofisticadas y persistentes.
Fuente: https://www.bleepingcomputer.com/