AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Ciberdelincuentes explotan medidores de tanques conectados para comprometer gasolineras

admin

#### 1. Introducción

En los últimos meses, analistas de ciberseguridad han detectado un incremento significativo en los ataques dirigidos a sistemas de monitorización de tanques de combustible en gasolineras, especialmente aquellos expuestos a Internet sin las debidas medidas de protección. Esta tendencia pone de manifiesto los riesgos asociados a la digitalización de infraestructuras críticas y la falta de concienciación sobre la ciberseguridad en el sector energético y de transporte.

#### 2. Contexto del Incidente o Vulnerabilidad

Los medidores automáticos de tanques (Automatic Tank Gauges, ATG), ampliamente desplegados en estaciones de servicio para controlar los niveles de combustible, fugas y otras variables críticas, han sido tradicionalmente considerados dispositivos industriales de bajo riesgo. Sin embargo, su creciente conectividad a redes IP, a menudo para facilitar el mantenimiento remoto o la integración con sistemas de gestión empresarial, ha abierto nuevas puertas de entrada para los atacantes.

Según fuentes del sector, cientos de estos dispositivos, de fabricantes como Veeder-Root, OPW y Franklin Fueling, han sido identificados como accesibles desde Internet a través de búsquedas en motores como Shodan y Censys. Muchos de estos sistemas operan con credenciales por defecto o sin ningún tipo de autenticación, lo que facilita su explotación.

#### 3. Detalles Técnicos

**Vectores de Ataque y TTPs**

Los atacantes utilizan herramientas de reconocimiento como Shodan para localizar ATGs expuestos, centrándose en puertos TCP típicos (ejemplo: 10001 para Veeder-Root TLS). Una vez identificados, emplean scripts y exploits públicos para interactuar con los dispositivos a través de protocolos como el Serial-to-Ethernet o Telnet, aprovechando la ausencia de autenticación o el uso de contraseñas por defecto.

En términos de MITRE ATT&CK, las técnicas más relevantes observadas incluyen:

– **Reconocimiento activo (T1595)**, mediante la exploración de servicios accesibles.
– **Explotación de servicios remotos (T1210)**, accediendo y manipulando sistemas sin autenticación.
– **Impacto en sistemas OT (T0832/T0814)**, alterando mediciones, generando falsas alarmas, bloqueando el acceso o incluso provocando paradas forzadas.

**CVE relevantes**

Aunque no existe un único CVE que aglutine todos los riesgos, se han documentado vulnerabilidades como:

– **CVE-2021-32053** (Veeder-Root TLS-350/450): exposición de interfaz web sin autenticación.
– **CVE-2018-12032** (OPW Fuel Management): ejecución remota de comandos vía protocolo no autenticado.

**Indicadores de Compromiso (IoC)**

– Conexiones inusuales a puertos industriales desde direcciones IP extranjeras.
– Cambios no autorizados en la configuración de los ATGs.
– Alertas de nivel de combustible o alarmas de fuga inesperadas y simultáneas en varias ubicaciones.

**Herramientas y Frameworks Usados**

Algunos ataques han sido automatizados mediante scripts en Python y módulos personalizados para Metasploit, permitiendo el escaneo masivo y la explotación remota.

#### 4. Impacto y Riesgos

La explotación de estos dispositivos puede conllevar consecuencias graves:

– **Interrupción operativa:** Manipulación de sensores y actuadores puede detener el suministro de combustible o generar alarmas falsas, afectando la continuidad del negocio.
– **Riesgo físico:** Un atacante podría provocar desbordamientos, fugas o situaciones de emergencia simuladas, poniendo en peligro la seguridad de empleados y clientes.
– **Compromiso de datos:** Acceso a información sensible sobre inventario, patrones de consumo y logística.
– **Puerta de entrada a redes corporativas:** Algunos ATGs están conectados a las redes TI de la empresa, permitiendo movimientos laterales hacia sistemas más críticos.

Según estimaciones de ISACs del sector energético, aproximadamente un 12% de las gasolineras en Europa podrían tener ATGs expuestos, lo que representa miles de puntos vulnerables.

#### 5. Medidas de Mitigación y Recomendaciones

– **Segmentación de red:** Mantener los sistemas OT aislados de la red corporativa y siempre detrás de firewalls.
– **Eliminación de accesos directos:** Prohibir la exposición directa de ATGs a Internet; emplear VPN o soluciones de acceso seguro.
– **Gestión de credenciales:** Cambiar inmediatamente las contraseñas por defecto e implementar autenticación robusta.
– **Actualización y parcheo:** Aplicar los últimos parches de seguridad proporcionados por los fabricantes.
– **Monitorización continua:** Implantar soluciones de detección de intrusos (IDS/IPS) y SIEM para identificar patrones anómalos.
– **Auditorías periódicas:** Realizar revisiones de exposición mediante escaneos regulares en motores de búsqueda de dispositivos.

#### 6. Opinión de Expertos

Diversos analistas como los del equipo de Dragos y SANS ICS coinciden en que la falta de concienciación y recursos en el sector minorista de carburantes convierte a las gasolineras en un objetivo atractivo para actores de amenazas, tanto criminales como con motivaciones disruptivas. “La superficie de ataque de los entornos OT sigue creciendo, y la presión regulatoria, como NIS2, está forzando a las empresas a mejorar sus controles”, señala Marta Jiménez, consultora de ciberseguridad industrial.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la exposición de ATGs puede traducirse en sanciones económicas bajo GDPR/NIS2 en caso de incidentes que afecten a datos personales o la continuidad del servicio. El daño reputacional y la potencial pérdida de ingresos por paradas forzadas son riesgos tangibles.

Los usuarios finales, aunque menos afectados directamente, podrían enfrentarse a indisponibilidad de combustible o situaciones de pánico ante falsas alarmas de emergencia.

#### 8. Conclusiones

La digitalización de la infraestructura de suministro de combustible, sin la debida atención a la ciberseguridad, está creando un entorno fértil para ataques que pueden escalar desde el sabotaje hasta la extorsión. Es imprescindible que los responsables de seguridad de las organizaciones adopten un enfoque proactivo, revisen la exposición de sus dispositivos OT y fortalezcan sus controles técnicos y organizativos, alineándose con las exigencias regulatorias actuales y las mejores prácticas del sector.

(Fuente: www.darkreading.com)