Más de 900 sistemas de monitorización de tanques de combustible quedan expuestos online en EE. UU.

**1. Introducción**

En un descubrimiento reciente que pone en alerta a los responsables de la ciberseguridad en infraestructuras críticas, se ha constatado que más de 900 sistemas automáticos de medición de tanques (Automatic Tank Gauge, ATG) permanecen expuestos en Internet en Estados Unidos. Estos sistemas, ampliamente desplegados en sectores clave como el energético, transporte y servicios de emergencia, presentan vulnerabilidades que podrían ser explotadas por actores maliciosos para manipular los niveles de combustible y productos químicos, con consecuencias potencialmente devastadoras tanto a nivel operacional como medioambiental.

**2. Contexto del Incidente o Vulnerabilidad**

Los ATG son dispositivos fundamentales para el control y gestión remota de tanques de almacenamiento de sustancias peligrosas o estratégicas. Su función principal es monitorizar parámetros críticos como nivel, volumen, temperatura y fugas, permitiendo a operadores y administradores actuar rápidamente ante cualquier anomalía. Sin embargo, la progresiva digitalización y la interconexión de sistemas OT (tecnología operativa) con redes TI ha derivado en que numerosos dispositivos permanezcan accesibles a través de conexiones inseguras o configuraciones erróneas, una tendencia que no deja de crecer según informes recientes de Shodan y Censys.

El incidente cobra especial relevancia en un contexto marcado por el endurecimiento de normativas como la Directiva NIS2 y la exigencia de cumplimiento de estándares como el NIST SP 800-82 para sistemas industriales, así como la creciente sofisticación de grupos de amenazas persistentes avanzadas (APT) que buscan objetivos de alto impacto.

**3. Detalles Técnicos**

Los sistemas afectados corresponden principalmente a modelos de ATG de proveedores como Veeder-Root TLS-350 y TLS-450, Franklin Fueling y Omntec, entre otros. Se estima que la mayoría de estos dispositivos utilizan protocolos propietarios o variantes de Telnet, HTTP y Modbus TCP/IP para su administración remota, frecuentemente sin autenticación robusta o cifrado de tráfico.

El análisis de los vectores de ataque muestra que los dispositivos expuestos presentan puertos abiertos (habitualmente 10001/tcp, 23/tcp y 80/tcp) y carecen de firewalls o segmentación de red adecuada. Además, en muchos casos se identifican credenciales por defecto o ausencia total de autenticación, permitiendo el acceso no autorizado a funciones críticas como la calibración, el vaciado o el llenado de tanques.

Se han documentado exploits públicos, algunos integrados en frameworks como Metasploit, que permiten a un atacante listar información sensible, modificar parámetros de operación, forzar alarmas o incluso deshabilitar el sistema de monitorización. El MITRE ATT&CK categoriza estos ataques bajo las tácticas de Initial Access (TA0001), Impact (TA0040) y Manipulation of Control (T0832).

Entre los IoC (Indicadores de Compromiso) más relevantes se incluyen:
– Logs de conexiones desde direcciones IP externas no autorizadas.
– Cambios no programados en los parámetros de configuración.
– Alarmas recurrentes de pérdida de comunicación o manipulación remota.

**4. Impacto y Riesgos**

La exposición de estos sistemas supone un riesgo elevado para la seguridad física y la continuidad de las operaciones. Un atacante con acceso podría manipular los registros de nivel y provocar desbordamientos, fugas o interrupciones en el suministro de combustible, afectando a sectores tan sensibles como aeropuertos, hospitales, servicios de emergencias o transporte público.

Se estima que el 85% de los dispositivos identificados corresponden a infraestructuras críticas, lo que podría tener un impacto económico directo de decenas de millones de dólares en pérdidas por interrupciones y limpieza medioambiental, además de sanciones regulatorias bajo marcos como el GDPR y la NIS2.

**5. Medidas de Mitigación y Recomendaciones**

Las principales recomendaciones para mitigar estos riesgos incluyen:
– Eliminar la exposición directa de los ATG a Internet mediante segmentación de red, firewalling y acceso VPN.
– Cambiar inmediatamente las credenciales por defecto y habilitar autenticación multifactor.
– Aplicar cifrado de comunicaciones (TLS) y deshabilitar servicios no esenciales como Telnet y HTTP sin cifrar.
– Monitorizar logs y tráfico de red en busca de IoC y comportamientos anómalos.
– Actualizar firmware y software de gestión a las últimas versiones disponibles, aplicando los parches de seguridad recomendados por los fabricantes.
– Realizar auditorías periódicas y pruebas de penetración sobre infraestructuras OT.

**6. Opinión de Expertos**

Especialistas en ciberseguridad industrial como Robert M. Lee (Dragos) advierten que la convergencia IT/OT y la falta de buenas prácticas básicas de seguridad “siguen siendo las principales causas de exposición, especialmente en entornos con bajo grado de madurez en ciberseguridad”. Por su parte, desde CISA (Cybersecurity and Infrastructure Security Agency) se recomienda adoptar el modelo de confianza cero y priorizar la formación del personal en amenazas OT.

**7. Implicaciones para Empresas y Usuarios**

Las organizaciones afectadas no sólo se enfrentan a riesgos técnicos, sino también a repercusiones legales y reputacionales. Un incidente de este tipo puede desencadenar investigaciones regulatorias, reclamaciones por daños y la obligación de notificar brechas de seguridad según la legislación vigente. Además, los usuarios finales podrían verse afectados por interrupciones en el suministro de servicios esenciales, lo que incrementa la presión sobre los responsables de seguridad para tomar medidas proactivas.

**8. Conclusiones**

La exposición de más de 900 sistemas ATG en Estados Unidos evidencia una preocupante falta de controles básicos en la protección de infraestructuras críticas. Es esencial que los responsables de ciberseguridad adopten una aproximación proactiva, combinando medidas técnicas, organizativas y de formación para minimizar el riesgo y cumplir con las cada vez más estrictas exigencias regulatorias.

(Fuente: www.bleepingcomputer.com)