### Agencias Federales Hacen Sonar la Alarma sobre Compromisos de Sistemas ATG Un aviso conjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigación (FBI), la Agencia de Seguridad Nacional (NSA), el Departamento de Energía (DOE), la Agencia de Protección Ambiental (EPA), la Administración de Seguridad del Transporte (TSA), el Departamento de Transporte (DOT) y el Departamento de Agricultura de EE. UU. (USDA) advierte sobre amenazas cibernéticas activas dirigidas a sistemas de Medición Automática de Tanques (ATG). Estos sistemas son críticos para monitorear parámetros de tanques de almacenamiento como niveles de combustible, temperatura y detección de fugas en el Sector Energético, Sector Químico, Sector de Alimentos y Agricultura, y Sector de Sistemas de Transporte. El aviso enfatiza que los actores de amenazas cibernéticas están comprometiendo activamente sistemas ATG expuestos a Internet y modificándolos mediante la ejecución de comandos. Si bien no se ha atribuido a ningún estado-nación o grupo de actores de amenazas específico, las tácticas, técnicas y procedimientos (TTPs) observados indican una amenaza sofisticada y persistente. ### Comprendiendo el Panorama de Amenazas Los atacantes están explotando varias vulnerabilidades para obtener acceso y control no autorizados sobre los sistemas ATG: * **Omisión de Autenticación y Credenciales Codificadas**: Los actores de amenazas están eludiendo los mecanismos de autenticación y explotando credenciales predeterminadas o codificadas para acceder a las interfaces de administración del dispositivo. * **Ejecución de Comandos del SO e Inyección SQL**: Estas técnicas permiten a los atacantes ejecutar código arbitrario y manipular las bases de datos subyacentes, otorgándoles un control extenso. * **Escalada de Privilegios**: Una vez que se obtiene el acceso inicial, los actores de amenazas escalan privilegios para lograr el control total de administrador sobre la aplicación del dispositivo y el sistema operativo. ### Posibles Impactos Operacionales y de Seguridad Un compromiso exitoso de un sistema ATG puede tener consecuencias graves, imitando el acceso físico legítimo a la consola del sistema. Los actores de amenazas podrían: * **Alterar atributos del sistema**: Esto incluye configuraciones de red, identificadores de producto, volúmenes de tanques y controles de bombas, lo que lleva al caos operativo. * **Agravar fallas operacionales**: Componentes que operan incorrectamente podrían crear una condición de "denegación de vista" para los niveles de llenado del tanque, causando potencialmente daños permanentes al sistema del tanque. * **Deshabilitar alertas del sistema**: Suprimir alertas críticas reduce la capacidad de un operador para detectar y mitigar problemas, aumentando significativamente el riesgo de peligros ambientales o físicos, como fugas o fallas de relés. ### Recomendaciones Urgentes de Mitigación Las organizaciones autoras instan a los propietarios y operadores de ATG a implementar de inmediato las siguientes medidas de seguridad: 1. **Eliminar la Exposición a Internet Pública**: Crucialmente, **no exponga los puertos seriales de ATG** (por ejemplo, puerto TCP predeterminado 8001, 9001 o 10001) u otras interfaces web aplicables directamente a Internet. Si el acceso remoto es esencial, restrija su acceso utilizando un firewall, una lista de control de acceso (ACL) o una red privada virtual (VPN). 2. **Aplicar Seguridad de Credenciales**: Cambie inmediatamente todas las contraseñas predeterminadas e implemente códigos de seguridad y credenciales administrativas fuertes y únicas para todas las interfaces. Donde sea factible, implemente **Autenticación Multifactor (MFA)** resistente al phishing. Póngase en contacto con su proveedor de servicios ATG para obtener ayuda si no está familiarizado con estos procedimientos. 3. **Aplicar Parches**: Trabaje con proveedores de servicios ATG certificados para verificar el cumplimiento, actualizar el software y aplicar los últimos parches de seguridad de los fabricantes. 4. **Monitorear e Informar**: Monitoree activamente las redes en busca de acceso no autorizado. * Habilite el registro, la auditoría y monitoree los registros de exposiciones de las interfaces de dispositivos ATG, conexiones no autorizadas, alarmas sospechosas, modificaciones de umbrales de alarma, cambios de etiquetas de tanques y otras modificaciones del sistema. * Reporte incidentes sospechosos de inmediato al [portal](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting) de CISA. 5. **Involucrar a Proveedores de Servicios de Terceros**: Asegúrese de que sus proveedores de servicios de terceros adopten las mitigaciones primarias para reducir las amenazas cibernéticas a la **Tecnología Operacional (OT)**, según lo descrito por CISA, FBI, EPA y DOE. ### Recursos Adicionales e Informes Para una inmersión más profunda en la seguridad de **OT** y **Sistemas de Control Industrial (ICS)**, las organizaciones deben revisar: * La hoja informativa de CISA, FBI, EPA y DOE sobre [Mitigaciones Primarias para Reducir las Amenazas Cibernéticas a la Tecnología Operacional](https://www.cisa.gov/sites/default/files/2025-05/fact-sheet-primary-mitigations-to-reduce-cyber-threats-to-operational-technology-508c.pdf). * Información sobre vulnerabilidades que afectan a los sistemas ATG, como [Vulnerabilidades Críticas Descubiertas en Sistemas Automáticos de Medición de Tanques](https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems). * La página web de CISA sobre [Orientación para la Reducción de la Exposición a Internet](https://www.cisa.gov/resources-tools/resources/exposure-reduction) para identificar y eliminar activos accesibles desde Internet. * Los [Principios de conectividad segura para Tecnología Operacional (OT)](https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-secure-connectivity-for-operational-technology.pdf) del NCSC. Se alienta a las organizaciones de EE. UU. a reportar cualquier actividad sospechosa o criminal relacionada con estas amenazas: * **CISA**: Póngase en contacto con el Centro de Operaciones 24/7 de CISA a través de [[email protected]](mailto:[email protected]) o llamando al 888-282-0870. Proporcione detalles como fecha, hora, ubicación, tipo de actividad, partes afectadas, equipo y un punto de contacto. Más información sobre [Reporte Voluntario de Incidentes Cibernéticos](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting). * **FBI**: Presente una queja ante el Centro de Quejas de Delitos por Internet (IC3) en [www.ic3.gov](https://www.ic3.gov/). Incluya detalles del incidente como los anteriores. * **EPA**: Póngase en contacto con la Oficina de Seguridad Nacional de la EPA a través de [[email protected]](mailto:[email protected]). * **DOE**: Las entidades con requisitos de reporte deben seguir los procedimientos establecidos. Para otras consultas del sector energético, póngase en contacto con [[email protected]](mailto:[email protected]).