Es exactamente lo que sucedió el pasado 5 de febrero. Actores no identificados obtuvieron acceso no autorizado al sistema de control de supervisión y adquisición de datos (SCADA) en una instalación de tratamiento de agua potable de EE.UU.
Los atacantes no identificados utilizaron el software del sistema SCADA para aumentar la cantidad de hidróxido de sodio, también conocido como lejía, un químico cáustico, como parte del proceso de tratamiento del agua. El personal de la planta de tratamiento de agua notó inmediatamente el cambio en las cantidades de dosificación y corrigió el problema antes de que el software del sistema detectara la manipulación y se alarmara debido al cambio no autorizado.
Como resultado, el proceso de tratamiento de agua no se vio afectado y siguió funcionando con normalidad. Los atacantes probablemente accedieron al sistema aprovechando las debilidades de la seguridad, incluida la seguridad deficiente de la contraseña y un sistema operativo desactualizado.
La información preliminar indica que es posible que se haya utilizado un software de uso compartido de escritorio, como TeamViewer, para obtener acceso no autorizado al sistema, aunque esto no se puede confirmar en la actualidad.
El software para compartir escritorio, que tiene múltiples usos legítimos, como habilitar el trabajo a distancia, el soporte técnico remoto y la transferencia de archivos, también puede explotarse mediante el uso de tácticas de ingeniería social por parte de actores malintencionados y otras medidas ilícitas.
Recomendaciones generales
Las siguientes medidas pueden ayudar a protegerte:
- Actualizar a la última versión del sistema operativo (por ejemplo, Windows 10).
- Actualizar a las últimas versiones de RDP, TeamViewer, VNC, etc.
- Utilizar autenticación de múltiples factores.
- Utilizar contraseñas seguras para proteger las credenciales de RDP.
- Utilizar antivirus, filtros de correo no deseado y firewalls actualizados y configurados correctamente.
- Auditar las configuraciones de red y aislar los sistemas informáticos que no se puedan actualizar.
- Auditar la red en busca de sistemas que utilicen RDP y cerrar los puertos RDP no utilizados.
- Registros de auditoría para todos los protocolos de conexión remota.
- Formar y capacitar a los usuarios para identificar y reportar intentos de ingeniería social.
- Identificar y suspender el acceso de usuarios que exhiban una actividad inusual.
Recomendaciones de software de control remoto
Para una implementación más segura de TeamViewer:
- Actualizar a las últimas versiones de TeamViewer.
- No utilizar funciones de acceso desatendido, como “Start TeamViewer with Windows” y “Grant easy access”.
- Configurar el servicio TeamViewer en “Manual start”, de modo que la aplicación y los servicios en segundo plano asociados se detengan cuando no estén en uso.
- Establecer contraseñas aleatorias y generar contraseñas alfanuméricas de 10 caracteres.
- Si usa contraseñas personales, utilizar contraseñas rotativas complejas de diferentes longitudes. Nota: TeamViewer permite a los usuarios cambiar las contraseñas de conexión para cada nueva sesión. Si un usuario final elige esta opción, nunca guardar las contraseñas de conexión como una opción, ya que se pueden aprovechar para la persistencia.
- Al configurar el control de acceso para un host, utilizar configuraciones personalizadas para escalonar el acceso que una parte remota puede intentar adquirir.
- Exigir que la parte remota reciba la confirmación del host para obtener cualquier acceso que no sea “solo ver”. Si lo hace, se asegurará de que, si una parte no autorizada puede conectarse a través de TeamViewer, solo verá una pantalla bloqueada y no tendrá el control del teclado.
- Utilizar la lista “Bloquear y permitir” que permite a un usuario controlar qué otros usuarios de la organización de TeamViewer pueden solicitar acceso al sistema. Esta lista también se puede utilizar para bloquear a los usuarios sospechosos de acceso no autorizado.