### La Vulnerabilidad Revelada Los sistemas de Medición Automática de Tanques (ATG) son dispositivos electrónicos de monitoreo que rastrean de forma remota los niveles de líquidos en tanques de almacenamiento, automatizando el inventario, la detección de fugas ambientales y el cumplimiento normativo. Si bien se encuentran frecuentemente en estaciones de servicio, también son vitales en entornos industriales para el almacenamiento de productos químicos. El martes, la Agencia de Ciberseguridad e Infraestructura (CISA), junto con el FBI, la NSA, el Departamento de Energía y otros socios del gobierno de EE. UU., emitieron un aviso conjunto advirtiendo a las organizaciones de infraestructura crítica sobre ciberataques en curso dirigidos a sistemas ATG expuestos a Internet. ### Tácticas de los Atacantes e Impacto Potencial Las agencias federales revelaron que los actores de amenazas están explotando varias fallas de seguridad, incluidas credenciales codificadas, omisión de autenticación, inyección SQL, ejecución de comandos del sistema operativo y debilidades de escalada de privilegios. Estas vulnerabilidades permiten a los atacantes comprometer los sistemas ATG y modificar configuraciones mediante ataques de ejecución de comandos. “La reciente actividad cibernética maliciosa observada por las organizaciones autoras —que el gobierno de EE. UU. aún no ha atribuido a un estado-nación o grupo de actores de amenazas— involucra a actores de amenazas cibernéticas que comprometen sistemas ATG expuestos a Internet y posteriormente los modifican a través de la ejecución de comandos”, advirtió el aviso conjunto. CISA advirtió que los compromisos exitosos podrían llevar a los atacantes a deshabilitar las alertas del sistema, aumentando el riesgo de fugas no detectadas, fallas de equipo e incluso daños permanentes a los sistemas de tanques. ### Exposición Generalizada Confirmada Reforzando la advertencia de CISA, el observador de seguridad de Internet Shadowserver informó que más de 1.000 sistemas ATG a nivel mundial estaban expuestos en línea al 05/06/2026, con 909 dispositivos ubicados dentro de los Estados Unidos. Shadowserver agregó los sistemas ATG a su informe de ICS Accesibles, señalando: "Agregamos el escaneo de sistemas de Medición Automática de Tanques (ATG) a nuestro informe de ICS Accesibles con 1061 IPs vistas el 05/06/2026 (en el puerto 10001/tcp). Esto es después de descartar la gran mayoría que parecen ser honeypots (incluidos los puertos 8001/9001)."  ### La Conexión Iraní Este aviso sigue a un informe de CNN de mayo que detalla incidentes en los que piratas informáticos iraníes supuestamente violaron sistemas ATG conectados a Internet en múltiples estaciones de servicio de EE. UU. Estos grupos tienen un historial de atacar sistemas de gestión de combustible y otras tecnologías de control industrial. Los atacantes explotaron contraseñas débiles o inexistentes para manipular las lecturas de las pantallas, aunque los niveles reales de combustible permanecieron inalterados. Si bien estos incidentes específicos no causaron daños físicos, resaltan el potencial de interrupción de la detección automatizada de fugas y otras funciones de seguridad. En abril, otro aviso conjunto de agencias federales de EE. UU. vinculó a piratas informáticos respaldados por el estado iraní con ataques dirigidos a dispositivos PLC de Rockwell Automation/Allen-Bradley desde marzo de 2026, lo que resultó en pérdidas financieras y disrupciones operativas. La firma de ciberseguridad Censys informó más tarde que el 74.6% (3.891 hosts) de tales sistemas de control industrial expuestos a nivel mundial se encontraban en los Estados Unidos. ### Estrategias Urgentes de Mitigación Se recomienda encarecidamente a las organizaciones de infraestructura crítica que restrinjan el acceso remoto a los sistemas ATG desde Internet de inmediato. Es crucial implementar acceso controlado a través de firewalls, VPNs o listas de control de acceso. Otros pasos vitales incluyen reemplazar las contraseñas predeterminadas con credenciales sólidas y únicas, aplicar actualizaciones de seguridad de manera oportuna, monitorear continuamente los sistemas en busca de cambios no autorizados y desplegar autenticación multifactor siempre que sea posible.