La agencia cibernética nacional de Canadá ha emitido una advertencia a las organizaciones responsables de la infraestructura vital, instándolas a adoptar medidas de seguridad adicionales, incluida la autenticación obligatoria de dos factores, después de una serie de incidentes que involucran sistemas de control industrial accesibles a través de Internet. El Centro Canadiense de Seguridad Cibernética (Cyber Centre) y la Real Policía Montada de Canadá (RCMP) recibieron recientemente informes de acceso no autorizado a múltiples instalaciones, incluida una planta de tratamiento de agua, una empresa de petróleo y gas y un sitio agrícola.
En un caso, una instalación de agua experimentó valores de presión manipulados que resultaron en un servicio degradado. Otro incidente involucró a una compañía de petróleo y gas donde la manipulación de un medidor de tanque automatizado provocó falsas alarmas. En un tercer caso, los piratas informáticos interfirieron con los controles de temperatura y humedad en un silo de secado de granos, lo que podría haber planteado condiciones inseguras si no se detectaba rápidamente. Estos eventos subrayan el hecho de que incluso cuando la infraestructura crítica permanece operativa, los atacantes aún pueden infligir riesgos físicos o daños a la reputación.
El advisory comunicado del Centro Canadiense de Seguridad Cibernética destaca que los atacantes parecen confiar en el acceso oportunista a dispositivos que son directamente visibles en Internet, incluidos controladores lógicos programables (PLC), unidades terminales remotas (RTU), interfaces hombre-máquina (HMI), sistemas de control de supervisión y adquisición de datos (SCADA) y sistemas de administración de edificios. El documento enfatiza que, si bien no se ha identificado un actor específico patrocinado por el estado, estas campañas hacktivistas se dirigen cada vez más a la infraestructura física para crear disrupción, alarma social o daño a la reputación.
Debido a que los sistemas de control industrial ahora están comúnmente conectados a Internet para proporcionar acceso remoto, monitoreo o soporte de proveedores, presentan un objetivo tentador para los actores de amenazas. El Centro Cibernético advierte que el diseño y la implementación de muchos de estos sistemas no priorizaron originalmente la ciberseguridad, lo que significa que las credenciales predeterminadas o débiles, los servicios expuestos y la falta de segmentación de la red siguen siendo frecuentes. Una vez accedidos, estos sistemas pueden ser manipulados o utilizados como punto de pivote para otras redes operativas.
En respuesta a estos incidentes, la agencia recomienda que los propietarios de infraestructuras tomen medidas inmediatas. Estos incluyen realizar un inventario completo de todos los dispositivos ICS accesibles a Internet y evaluar si deben permanecer expuestos. Cuando no se pueda eliminar la exposición directa, se recomienda a las organizaciones que implementen una red privada virtual con autenticación de dos factores para el acceso remoto, implementen herramientas de prevención y detección de intrusiones, realicen pruebas de penetración periódicas y mantengan una gestión continua de vulnerabilidades. Se insta a los municipios y a las empresas de servicios públicos más pequeñas que pueden carecer de supervisión formal de la ciberseguridad a que se coordinen con los proveedores de servicios y confirmen que los dispositivos administrados por el proveedor se configuren de forma segura y se mantengan durante todo su ciclo de vida.
Una de las recomendaciones específicas enfatiza el papel de la autenticación de dos factores, o 2FA, para el acceso remoto y administrativo a los sistemas de infraestructura. Al requerir un segundo método de verificación más allá de una contraseña, las organizaciones pueden reducir significativamente el riesgo de acceso no autorizado como resultado del robo de credenciales o phishing. La alerta del Centro Cibernético coloca a 2FA al frente y al centro como un control básico pero vital en la protección de las redes de infraestructura crítica.
Las organizaciones que manejan servicios vitales ahora enfrentan una mayor exposición porque los componentes de la infraestructura están cada vez más interconectados, y la combinación de tecnología de la información y redes de tecnología operativa ha crecido. Un compromiso de un dispositivo puede provocar un acceso más amplio al sistema, una posible interrupción del servicio o incidentes críticos para la seguridad. Los expertos dicen que la seguridad física se entrelaza con la ciberseguridad cuando los atacantes manipulan la presión del agua, los niveles de combustible o las condiciones ambientales.
La alerta también enfatiza que los hacktivistas no solo pueden aspirar a obtener ganancias financieras, sino también buscar visibilidad, socavar la confianza o crear alarma pública. Al atacar dispositivos conectados a Internet en la gestión de la energía, la agricultura o el agua, los adversarios pueden hacer una declaración y evitar la destrucción a gran escala, lo que a su vez puede reducir la detección inmediata. Estas tácticas enfatizan la necesidad de un monitoreo vigilante tanto de eventos técnicos inusuales como de comportamiento físico anormal de la planta.
Como resultado de este aviso, se pide a los operadores de infraestructura y organizaciones municipales de Canadá que revisen su postura de seguridad, verifiquen los registros de acceso remoto, se aseguren de que las cuentas administrativas estén bloqueadas y apliquen la autenticación multifactor cuando sea posible. El Centro Cibernético enfatiza que los controles de acceso y el monitoreo solo son efectivos cuando están respaldados por la gobernanza, la planificación de respuesta a incidentes y la coordinación clara entre los equipos de TI y tecnología operativa.
Aunque la alerta no atribuye los incidentes a ninguna nación o grupo en particular, refleja la tendencia global más amplia de campañas dirigidas a la infraestructura por parte de actores que buscan explotar los sistemas operativos expuestos. Estos desarrollos han provocado una atención renovada en todos los sectores, incluidos el agua, los alimentos, la manufactura y la energía. El gobierno canadiense está aprovechando este momento para presionar a las organizaciones para que traten la ciberseguridad de la infraestructura como un problema de seguridad pública y resiliencia nacional.
En resumen, la advertencia del Centro Cibernético debe ser tomada por los proveedores de infraestructura como un llamado a la acción. Con múltiples incidentes ya reportados y la creciente conectividad de los sistemas industriales, el panorama de riesgo nunca ha sido más urgente. La autenticación de dos factores, los controles de acceso remoto, el inventario de dispositivos expuestos y la supervisión integrada de los proveedores representan pasos fundamentales para proteger la seguridad nacional y la continuidad del servicio de los sectores críticos de Canadá.