Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Acceso inicial no autorizado a equipos SCI - Parte 2

Fecha de publicación 16/05/2025
Autor
INCIBE (INCIBE)
Acceso inicial no autorizado a equipos SCI - Parte 2

En nuestro anterior artículo dedicado a esta táctica se exploraron las 6 primeras técnicas que los atacantes pueden utilizar para infiltrarse en entornos industriales. En esta segunda parte, profundizamos en las técnicas restantes. Como ya se comentó, conseguir acceso a un SCI es el primer objetivo de un atacante externo, ya que sin ese acceso no podría reconocer o explotar equipos internos, ni desplazarse por la red, ganar privilegios elevados o robar información confidencial. Por tanto, es importante conocer este paso crucial en un ciberataque para poder defender nuestros equipos.


Técnicas de ejecución

En este apartado, se exponen detalladamente más técnicas de Initial Access, exponiendo ejemplos prácticos y explicando las mitigaciones propuestas por MITRE.


Replicación a través de medios extraíbles

Cuando alcanzar la red SCI no es posible mediante comunicaciones digitales o radiofrecuencia, un método muy común de intrusión es mediante la conexión de nuevos equipos directamente a la red. La forma más sencilla de aplicar esta técnica, es mediante equipos portátiles o extraíbles.

Aunque puede parecer una técnica fácil de prevenir, cabe destacar que este vector de ataque ha sido utilizado con éxito en muchos casos, aprovechando la falta de formación y concienciación sobre este riesgo. Por ejemplo, es el caso del incidente archiconocido, Stuxnet. Durante el análisis forense de este incidente se detectó presencia del malware en múltiples memorias extraíbles utilizadas indistintamente en la red corporativa y la red SCI, indicando que este había sido el vector de infección para los equipos más aislados de la SCI.

La mitigación propuesta para evitar este tipo de ataques es:

  • Deshabilitar o eliminar característica o programa: se recomienda deshabilitar la función de ejecución automática de equipos extraíbles y portátiles por defecto.
  • Limitar la instalación de hardware: en aquellos casos donde no se dependa de equipos portátiles o extraíbles para transmitir información, se recomienda bloquear o deshabilitar todos los puertos de conexión innecesarios para prevenir su uso malintencionado.
  • Configuración del sistema operativo: en aquellos casos donde la ejecución automática esté definida a nivel de sistema operativo, se debe incluir la deshabilitación de estas capacidades en el proceso de bastionado de estos equipos para reducir su perímetro vulnerable ante esta técnica.

Maestros maliciosos (rogue master)

En sistemas de control industrial se denomina «maestro» a los equipos que envían comandos (cambiar variables, iniciar procesos, cambiar estados…) y «esclavos» a los equipos que están configurados para recibir y ejecutar órdenes.

Dependiendo de la configuración del esclavo, esta relación puede ser insegura. Es el caso, por ejemplo, de las configuraciones promiscuas, en las que el esclavo no autentica los comandos o los maestros antes de aceptar las nuevas órdenes. Estas configuraciones pueden ser útiles en entornos muy cambiantes. Sin embargo, también facilitan el despliegue de maestros falsos o maliciosos (rogue masters), que aprovechan la laxa seguridad de los esclavos para mandarles comandos de ejecución y ganar acceso a estos equipos.

Por ejemplo, en el ataque realizado contra el sistema de tratamiento de agua de Maroochy (Australia) los atacantes aprovecharon fallos en la configuración de los equipos de control para realizar esta técnica. Mediante el despliegue de una nueva IP correspondiente a una bomba de agua ficticia, los atacantes dispusieron de un maestro malicioso, capaz de controlar equipos en la planta de tratamiento y ganar acceso a múltiples equipos SCI.

Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

  • Autenticidad de la comunicación: se recomienda activar configuraciones seguras en los equipos de control para autenticar equipos mediante su dirección física o mediante firmas digitales.
  • Filtrar tráfico de red: la técnica de rogue master depende del «despliegue» de nuevos equipos en la red SCI. Mantener una buena visibilidad de nuestra red, mediante herramientas de descubrimiento de activos y procesos de inventariado puede ayudar a detectar la presencia de estos equipos malintencionados.
  • Listas blancas de red: la mayoría de las redes industriales son estáticas. Los equipos se mantienen durante mucho tiempo y con relativamente pocos cambios en la arquitectura de la red. Esto permite configurar en los equipos de control direcciones IP desde las que se aceptan comandos de ejecución.
  • Segmentación de Red: mediante una segmentación avanzada, separando equipos por procesos y criticidad, reduce el alcance de los maestros en la red. De esta forma, se limita el potencial impacto de cualquier maestro malintencionado en la red a los equipos dentro de su rango de comunicaciones.
  • Autenticación de procesos de software y dispositivos: por último, los equipos deberían solicitar autenticación a otros equipos antes de establecer comunicaciones. Muchos equipos SCI permiten está opción nativamente, estipulando contraseñas o firmas entre equipos. En caso contrario, se recomienda el despliegue de equipos intermedios para aplicar medidas de mitigación alternativas.


Spearphishing con archivos maliciosos

El spearphishing es una variante avanzada del phishing común que se caracteriza por un alcance más concreto y especializado, dirigido a personal clave que sea útil para el atacante. La reducción del alcance permite personalizar los mensajes de phishing y reducir la posibilidad de que el ataque sea identificado antes de que de resultado.

Debido al bajo riesgo y facilidad de ejecución, está técnica ha visto mucha popularidad en los últimos años. Por ejemplo, entre los ataques a sectores críticos notificados se han identificado ataques de spearphishing contra los sectores eléctricos de EEUU, ejecutado por Lazarus Group en 2018 y 2019 y de Arabia Saudi, en el ataque de OilRig en 2016. Así como contra gaseoductos en China en 2011 y 2012.

Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

  • Antivirus/antimalware: el phishing normalmente se utiliza como medio para propagar malware o archivos con payload maliciosos. En estos casos, contar con herramientas de antimalware es especialmente útil, ya que pueden detener el ataque en su etapa inicial.
  • Prevención de intrusiones en la red: en concreto, mediante herramientas de monitorización con la capacidad de análisis de archivos y contenido de correos electrónicos que permitan detectar mensajes de phishing antes de que lleguen a los usuarios objetivo.
  • Restringir contenido basado en la web: además de archivos y payloads, los mensajes de phishing pueden contener enlaces a páginas web maliciosas, utilizadas como vector de infección para los usuarios que accedan a ellas. Estos ataques pueden evitarse bloqueando el acceso a páginas desconocidas o sospechosas desde redes SCI, que deberían tener acceso a internet limitado como recomendación general.
  • Entrenamiento de usuarios: la última barrera de defensa contra el phishing es contar con empleados entrenados y capaces de detectar los ataques, notificarlos y no revelar credenciales o datos confidenciales de la red.

Compromiso de la cadena de suministro

La complejidad de la cadena de suministro de los entornos SCI aumenta proporcionalmente al número y diversidad de equipos. Desplegar equipos de origen desconocido o que han sido desarrollados sin requisitos de ciberseguridad, por ejemplo, incrementa el riesgo de introducir malware o puertas traseras a nuestra red sin saberlo.

Esta técnica, también, puede ejecutarse mediante software. Por ejemplo, el malware Backdoor.Oldrea, utilizado internacionalmente desde 2013 contra sectores energéticos, se ha transmitido múltiples veces a través de drivers infectados para equipos de proveedores legítimos. Los atacantes despliegan páginas web fraudulentas para engañar a los usuarios, que despliegan los drivers maliciosos en sus equipos, otorgando acceso a su red a los atacantes.

Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

  • Auditoría: esta medida es especialmente recomendable cuando no se cuenta con requisitos de ciberseguridad para proveedores o se está trabajando con organizaciones menos confiables o desconocidas. El nuevo hardware y software adquirido debe analizarse en busca de signos de infección antes de desplegarlo en el entorno SCI real.
  • Firma de código: el uso de firmas de software es especialmente útil contra ataques, como el de Backdoor.Oldrea, mediante actualizaciones fraudulentas. Esta medida se basa en establecer controles de autenticidad que comprueben la originalidad e integridad del software suministrado antes de su despliegue en los equipos SCI.
  • Gestión de la cadena de suministro: una correcta gestión de la cadena de suministro implica establecer requisitos de ciberseguridad, establecer buenos canales de comunicación y definir responsabilidades entre proveedores y clientes. Esto permite coordinar esfuerzos entre las organizaciones, alcanzando un mayor nivel de seguridad del que sería posible trabajando de manera independiente.
  • Actualización del software: dentro del proceso de actualización de equipos se deben introducir acciones para validar el software a aplicar, así como revisar la seguridad de los equipos tras la aplicación de actualizaciones.
  • Escaneo de vulnerabilidades: se recomienda el uso de herramientas de detección de vulnerabilidades y análisis de código en redes SCI para mantener la seguridad de los equipos SCI durante el proceso de actualización.

Activo cibernético transitorio (transient cyber asset)

Similar a la técnica de replicación a través de medios extraíbles, estos ataques implican aprovechar equipos provisionales en una red SCI para usarlos como vector de infección. Estos equipos suelen ser de proveedores, de mantenimiento o utilizados durante despliegues u operaciones puntuales. Estos equipos pueden haber sido infectados previamente y su uso sin precaución puede representar un riesgo significativo para redes SCI.
Alternativamente, no proteger adecuadamente los equipos SCI en caso de pérdida o robo también puede crear una oportunidad para los atacantes. En el caso de Maroochy Water Breach, mencionado anteriormente, acceso inicial al sistema de tratamiento de aguas se consiguió mediante el uso de un equipo portátil, que se sacaba habitualmente fuera de la planta, con software propietario que permitía conectarse al sistema de control.

  • Antivirus/antimalware: especialmente recomendados en todos los equipos portátiles o que salgan habitualmente de la red interna.
  • Auditoría: antes de conectar equipos externos a una red SCI, todos los equipos deberían analizarse en presencia de malware, elementos desactualizados o actividad sospechosa.
  • Cifrar información sensible: no se recomienda solamente cifrar la información en los equipos portátiles, si no aplicar medidas de cifrado a las unidades enteras de estos equipos. De esta forma, los equipos portátiles quedan protegidos en caso de robo o pérdida, especialmente si se utilizan soluciones de cifrado que permitan su gestión de manera remota.
  • Segmentación de la red: los equipos portátiles o temporales utilizados en un entorno SCI deberían, si es posible, ser utilizados exclusivamente en este entorno. En caso contrario, si los equipos son utilizados en múltiples redes o segmentos, es posible que la segmentación de la red se vea comprometida si no se gestionan debidamente.
  • Actualización del software: por último, el software desplegado en estos equipos debe mantenerse actualizado en todo momento. Estos equipos deben ser capaces de protegerse de manera autónoma, por lo que estar libres de vulnerabilidades puede volverse crucial si interactúan habitualmente con equipos críticos.

Compromiso de redes inalámbricas.

Esta técnica implica ganar acceso a la red SCI atacando redes inalámbricas en su ubicación. Por naturaleza, estas redes son más vulnerables a accesos indebidos, al tener una frontera «invisible» y un mayor alcance que las redes cableadas físicamente. Si una red inalámbrica se puede alcanzar desde fuera de las instalaciones que contengan el SCI, o espacios con presencia frecuente de personal externo, esta puede ser vulnerable a recibir ataques para intentar ganar acceso a la red y, desde ahí, pivotar a los equipos SCI objetivo.

Un ejemplo claro de esta técnica se puede encontrar nuevamente en el ataque de Maroochy Water, donde se realizó un ataque por radiofrecuencia. Este ataque ilustra que los ataques a redes inalámbricas no solo implican wifi, si no tecnologías habituales en entornos SCI como radiofrecuencia o infrarrojos.

Existen múltiples mitigaciones para reducir el riesgo de esta técnica:

  • Autenticación en la comunicación: es necesario aplicar controles de integridad basados en contadores, marcas de tiempo o controles criptográficos para repudiar mensajes repetidos o fuera de orden. A su vez, se recomienda el uso de protocolos modernos o con controles de autenticidad e integridad para proteger las comunicaciones.
  • Encriptación de tráfico de red: utilizar comunicaciones cifradas previene la pérdida de confidencialidad, así como la capacidad de los atacantes de identificar comandos y comunicaciones específicas que puedan ser utilizadas como vector de ataque a la red.
  • Minimizar la propagación de la señal inalámbrica: el uso de antenas direccionales y de menor potencia (cuando sea posible) evita que las redes inalámbricas se extiendan fuera de las instalaciones de los SCI. En caso contrario los atacantes pueden actuar contra la red inalámbrica desde fuera de las instalaciones, lo que dificulta significativamente su detección.
  • Proceso de software y autenticación de dispositivos: todas las redes inalámbricas utilizadas en SCI deben contar con controles de autenticación. Mediante estos controles la red solamente debería dar servicio únicamente a equipos correctamente autenticados y dentro de los registros de equipos autorizados.
Resumend e técnicas de ejecución de la táctica Initial Access

Conclusión

La táctica Initial Access es habitualmente el primer paso que los atacantes toman en redes SCI. Las mitigaciones aplicadas contra esta técnica serán clave para prevenir un incidente, incluso antes de que el atacante pueda acceder a nuestros equipos.


Mientras que las técnicas de ataque analizadas en la primera parte de este dúo de artículo sobre Initial Access se centraban en su mayor parte en la explotación de accesos remoto, las técnicas analizadas en esta segunda parte amplían la posibilidad de intrusión mediante correos electrónicos, redes inalámbricas, equipos portátiles o de terceros. De esta forma, se ilustra la gran variedad de vectores de riesgo contra los que proteger nuestros SCI.


Contra intentos de intrusión, las medidas de bastionado, gestión de equipos extraíbles y uso de antimalware, cobran una importancia destacable. Estas medidas ayudan a reducir el perímetro atacable de los SCI. Además, ayuda a centrar esfuerzos y recursos de seguridad en puntos de entrada concretos. Sin embargo, cabe destacar la importancia de mantener nuestras redes monitorizadas para detectar canales de entrada desconocidos que comprometan esta protección. 


 

Etiquetas