El ataque intentó modificar los niveles de soda cáustica a niveles tóxicos en la planta potabilizadora de agua. La instalación utilizaba computadoras con Windows 7, una versión discontinuada del sistema operativo de Microsoft, y los operarios compartían la misma clave en el software de gestión remota de los sistemas informáticos.
La semana pasada unos atacantes lograron acceder al sistema informático que controla una planta potabilizadora de agua en la localidad de Oldsmar en el estado de Florida, Estados Unidos, e intentaron modificar los niveles químicos del suministro a niveles tóxicos. Este grave incidente ocurrió porque los equipos no contaban con la protección de un firewall y compartían la contraseña para el acceso remoto, entre otras graves fallas de seguridad.
Los equipos informáticos de la instalación de Oldsmar utilizan el sistema SCADA (acrónimo en inglés de Supervisión, Control y Adquisición de Datos), que permite controlar y supervisar procesos a distancia con el programa TeamViewer.
Según informa una nota de seguridad del estado de Massachusetts, la planta de tratamiento de agua de Florida tenía instalado TeamViewer solo en uno de los equipos que el personal utilizaba para revisar el estado de los conductos del sistema y responder a las alarmas o problemas que pudieran surgir.
Se sabe, además, que todos los equipos estaban conectados a través de SCADA, y tenían instalado el sistema operativo Windows 7 de 32 bits, una versión discontinuada por Microsoft. La nota incide, además, en que todos ellos compartían la misma contraseña para el acceso remoto y no contaban con ningún tipo de cortafuegos instalado.
En el caso de la instalación atacada, un operario de la planta identificó el acceso no autorizado y fue capaz de detectar la manipulación en los niveles de hidróxido de sodio (soda cáustica) en el agua potable, lo que impidió que tuviera efectos adversos en el suministro a la población.
Sin embargo, el caso ha puesto de manifiesto los riesgos a los que se enfrentan infraestructuras críticas como esta, y por ello, el estado de Massachusetts recomienda a otras plantas similares “restringir todas las conexiones remotas a los sistemas SCADA”, especialmente a aquellas que permiten el control físico, y en su lugar emplear dispositivos de monitorización unidireccionales.
Insta a la instalación de un cortafuegos, y a comprobar que está activo y no se comunica con fuentes no autorizadas, así como a mantener actualizado el software que el empleen los equipos. También recomienda la activación de un sistema de autenticación de dos factores y el uso de una red privada virtual (VPN).