Hackers comprometen sistemas ICS en cinco plantas de tratamiento de agua en Polonia: riesgo directo para el suministro público
Introducción
La seguridad de los sistemas de control industrial (ICS) vuelve a estar en el punto de mira tras la reciente revelación de la Agencia de Seguridad Interna de Polonia (Agencja Bezpieczeństwa Wewnętrznego, ABW) sobre brechas de seguridad que afectaron a cinco plantas de tratamiento de agua en el país. Los atacantes lograron acceso a los sistemas operativos de las instalaciones, adquiriendo la capacidad de modificar parámetros críticos de funcionamiento. Este incidente subraya la creciente amenaza que supone la digitalización de infraestructuras críticas y la urgencia de reforzar las medidas de ciberseguridad en el sector del agua.
Contexto del Incidente
Según el informe publicado por la ABW, los ataques se detectaron en el segundo trimestre de 2024 y afectaron a cinco plantas de tratamiento de agua situadas en diferentes regiones del país, tanto en zonas urbanas como rurales. Las investigaciones preliminares sugieren que los atacantes explotaron vulnerabilidades en los sistemas ICS conectados a redes IT convencionales, aprovechando configuraciones inseguras y la falta de segmentación de red. Las plantas afectadas gestionan aproximadamente el 12% del suministro hídrico nacional, lo que convierte el incidente en una amenaza de primer orden para la sociedad y la economía polaca.
Detalles Técnicos: Vectores de ataque y TTP utilizados
El análisis forense inicial indica que los actores de amenaza utilizaron tácticas, técnicas y procedimientos (TTP) alineados con el framework MITRE ATT&CK para ICS, especialmente en las fases Initial Access (T0847), Command and Control (T0886) y Manipulation of Control (T0831). Los vectores de entrada identificados incluyen el acceso remoto a través de credenciales comprometidas y la explotación de vulnerabilidades conocidas en software SCADA no actualizado. Entre las CVEs explotadas se encuentran:
– CVE-2023-31245 (vulnerabilidad de ejecución remota de código en ciertos PLCs de Siemens SIMATIC)
– CVE-2022-38773 (vulnerabilidad de autenticación deficiente en interfaces HMI de Schneider Electric)
Las herramientas utilizadas por los atacantes incluyeron instancias personalizadas de Cobalt Strike para establecer persistencia y movimiento lateral, así como scripts automatizados para la manipulación de parámetros operativos de los PLC. Se han documentado indicadores de compromiso (IoC) como direcciones IP de C2 ubicadas en Europa Oriental y firmas de malware específicas asociadas a grupos APT conocidos por su actividad en infraestructuras críticas.
Impacto y riesgos
El acceso no autorizado a los sistemas ICS permitió a los atacantes modificar parámetros como la dosificación de productos químicos, la presión y el flujo del agua, generando un riesgo directo para la salud pública y el medio ambiente. La posibilidad de alterar la calidad del agua suministrada podría derivar en incumplimientos regulatorios y sanciones económicas bajo el marco del GDPR y la nueva directiva NIS2, que refuerza las obligaciones de ciberseguridad para operadores de servicios esenciales.
Aunque según ABW no se ha producido una alteración efectiva del suministro ni daños a la población, los sistemas estuvieron expuestos durante al menos 72 horas, situación que podría haber sido explotada para provocar desde interrupciones del servicio hasta sabotajes a gran escala. El incidente pone de manifiesto la fragilidad de los sistemas ICS ante campañas de intrusión cada vez más sofisticadas y persistentes.
Medidas de mitigación y recomendaciones
Tras el incidente, las autoridades polacas, en colaboración con la Agencia Europea de Ciberseguridad (ENISA), han emitido una serie de recomendaciones:
– Segmentación estricta de redes IT/OT y revisión de reglas de firewall entre segmentos críticos.
– Actualización urgente de firmware y parches de seguridad en todos los dispositivos ICS afectados.
– Implementación de autenticación multifactor (MFA) para accesos remotos y administración de sistemas.
– Monitorización continua de logs y tráfico de red en busca de patrones anómalos asociados a TTP conocidos.
– Simulacros regulares de respuesta ante incidentes y formación específica para operadores de planta.
Opinión de expertos
Consultores de ciberseguridad industrial como Dragos y Nozomi Networks han advertido en repetidas ocasiones sobre la tendencia al alza de ataques dirigidos contra infraestructuras de agua. Según Robert M. Lee, CEO de Dragos, “la convergencia de IT y OT ha creado una superficie de ataque muy amplia, y la mayoría de las plantas europeas aún carecen de una estrategia de defensa en profundidad efectiva”. Los expertos coinciden en que la aplicación de estándares como IEC 62443 y el cumplimiento estricto de NIS2 son pasos imprescindibles para reducir el riesgo.
Implicaciones para empresas y usuarios
El incidente polaco es una llamada de atención para operadores de infraestructuras críticas en toda Europa. Bajo la regulación NIS2, las organizaciones responsables de servicios esenciales (agua, energía, transporte) deberán reportar incidentes de ciberseguridad en menos de 24 horas y serán objeto de auditorías periódicas. Además, la exposición prolongada de los sistemas ICS a Internet sigue siendo uno de los principales vectores de riesgo, según los últimos informes de CISA y ENISA.
Desde el punto de vista de los usuarios finales, existe una creciente preocupación por la seguridad del suministro de agua, lo que podría afectar la confianza pública y la reputación de los operadores.
Conclusiones
El ataque a las plantas de agua en Polonia confirma que los sistemas ICS siguen siendo un objetivo prioritario para los ciberdelincuentes y grupos APT. La capacidad de manipular parámetros operativos supone un riesgo tangible para la seguridad y la salud públicas. Es fundamental que operadores de infraestructuras críticas fortalezcan sus controles técnicos y adopten una cultura de ciberseguridad proactiva, apoyándose en marcos normativos y buenas prácticas internacionales para mitigar amenazas cada vez más sofisticadas.
(Fuente: www.securityweek.com)