**El verdadero frente de la ciberseguridad industrial en EE. UU.: la pugna en eBay por controladores obsoletos**

### 1. Introducción

En un contexto donde la ciberseguridad de infraestructuras críticas es más relevante que nunca, un fenómeno peculiar está acaparando la atención de los profesionales del sector: la adquisición de controladores industriales obsoletos a través de plataformas de reventa como eBay. Este fenómeno, lejos de ser anecdótico, revela profundas carencias en la protección y gestión de sistemas industriales (ICS/SCADA) en EE. UU., y pone de manifiesto los riesgos derivados de la dependencia tecnológica de hardware legado.

### 2. Contexto del Incidente o Vulnerabilidad

Durante los últimos años, operadores de infraestructuras críticas, investigadores de ciberseguridad y actores maliciosos han coincidido en un mismo campo de batalla digital: los mercados de segunda mano. La razón es evidente: buena parte de los sistemas de control industrial que gestionan energía, agua, transporte y manufactura en EE. UU. (y, por extensión, en Europa) dependen de controladores programables (PLC) y dispositivos de automatización fabricados en las décadas de 1980 y 1990. Muchos de estos equipos ya no cuentan con soporte del fabricante, pero siguen siendo el núcleo operativo de procesos esenciales.

La compra de estos dispositivos en eBay y plataformas similares se ha convertido en la única vía para obtener hardware original para pruebas de seguridad, análisis forense o, en el peor de los casos, para suplantar dispositivos en entornos productivos.

### 3. Detalles Técnicos

Los dispositivos más buscados en estos mercados suelen estar relacionados con marcas líderes históricas como Siemens (familias S7-200/S5), Allen-Bradley, GE Fanuc o Schneider Electric Modicon. Se estima que al menos el 30% de las plantas industriales estadounidenses aún operan con PLCs o RTUs de antigüedad superior a 20 años.

Las vulnerabilidades asociadas a estos dispositivos suelen estar catalogadas como CVEs de alto impacto. Ejemplos recientes incluyen:

– **CVE-2021-22681** (Rockwell Automation/Allen-Bradley): vulnerabilidad crítica de autenticación por defecto.
– **CVE-2020-15782** (Siemens S7): ejecución remota de código sin autenticación robusta.

Los vectores de ataque más frecuentes incluyen:

– Acceso físico o sustitución de dispositivos vulnerables.
– Ataques de suplantación de firmware mediante técnicas ya integradas en frameworks como Metasploit y Cobalt Strike.
– Ingeniería inversa de placas y firmware para el desarrollo de exploits personalizados.

El marco MITRE ATT&CK for ICS identifica técnicas relevantes como T0831 (Manipulation of Control), T0882 (Theft of Operational Information) y T0830 (Impair Process Control).

Los Indicadores de Compromiso (IoC) típicos son modificaciones no autorizadas de firmware, tráfico inusual entre dispositivos industriales y la aparición de componentes con números de serie no registrados en los sistemas de inventario.

### 4. Impacto y Riesgos

El riesgo asociado es doble. Por un lado, la adquisición de hardware obsoleto permite a los investigadores realizar análisis de seguridad reales, pero también abre la puerta a que actores maliciosos repliquen entornos industriales, desarrollen exploits y prueben técnicas de ataque sin restricciones. Además, la reutilización de estos dispositivos en entornos de producción representa un vector de introducción de hardware comprometido, especialmente si han sido manipulados durante su tránsito por mercados de segunda mano.

Según datos de CISA, más del 60% de los incidentes en infraestructuras críticas en 2023 implicaron vulnerabilidades en hardware legado. El coste medio por incidente en el sector industrial supera los 3 millones de dólares, sin contar con las posibles sanciones por incumplimiento de normativas como NIS2 o GDPR en el caso europeo.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, se recomienda:

– Inventariar y segmentar los dispositivos industriales obsoletos.
– Implementar controles de acceso físico y lógico reforzados en los entornos ICS/SCADA.
– Monitorizar el tráfico de red en busca de IoCs asociados a manipulación o sustitución de hardware.
– Actualizar el firmware siempre que sea posible y aplicar parches de seguridad proporcionados por los fabricantes.
– Adoptar soluciones de virtualización para entornos de pruebas, evitando el uso de hardware real adquirido en mercados secundarios.
– Establecer políticas de sustitución progresiva por hardware moderno, con soporte y actualizaciones de seguridad garantizadas.

### 6. Opinión de Expertos

Expertos como Robert M. Lee (Dragos) y Sergio Caltagirone (ex-NSA, ICS security specialist) han advertido en repetidas ocasiones sobre el peligro de mantener activos industriales sin soporte. Según Lee, “la seguridad por oscuridad ha muerto: hoy cualquiera puede comprar en eBay el mismo PLC que controla una planta eléctrica y experimentar con él en casa”.

Por su parte, Caltagirone destaca que “la proliferación de exploits públicos y frameworks de ataque específicos para ICS pone en jaque la resiliencia de infraestructuras críticas que aún dependen de tecnología obsoleta”.

### 7. Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad industrial (CISOs, analistas SOC, consultores y administradores de sistemas), esta realidad obliga a replantear estrategias de defensa. La exposición de activos críticos en mercados abiertos incrementa la superficie de ataque y reduce la ventana de detección y respuesta ante incidentes. Además, la presión regulatoria (NIS2, GDPR) exige demostrar diligencia en la gestión de activos y en la protección de datos industriales.

La tendencia también afecta a los usuarios finales, ya que cualquier interrupción o sabotaje en infraestructuras críticas tiene un impacto directo en la sociedad y la economía.

### 8. Conclusiones

La batalla por la ciberseguridad industrial se libra tanto en los centros de operaciones como en los mercados de segunda mano. La dependencia de hardware obsoleto, sumada a la facilidad para adquirirlo y analizarlo, multiplica los riesgos para infraestructuras críticas. Es urgente una estrategia de modernización, segmentación y vigilancia activa para mitigar las amenazas emergentes en este escenario.

(Fuente: www.darkreading.com)