La misma contraseña y sin firewall: así fue el hackeo de una planta de agua que pudo envenenar una ciudad

El viernes 5 de febrero la planta de agua de Oldsmar, una ciudad de unos 15.000 habitantes del estado de Florida (EEUU), sufrió un ciberataque que pretendía modificar los niveles químicos del suministro. Los asaltantes lograron tomar el control del sistema informático que controla la instalación y aumentar 100 veces la dosis de hidróxido de sodio del agua, también conocido como sosa cáustica, compuesto que se utiliza para regular su acidez. Los operarios de la instalación se dieron cuenta inmediatamente de esta alteración y corrigieron los valores químicos del suministro antes de que envenenara el agua potable que consume la población.

El FBI y las autoridades locales están investigando el incidente, que ha elevado las alarmas por la facilidad con la que se produjo. Los datos publicados hasta el momento revelan que los ciberatacantes penetraron en el sistema a través de TeamViewer, un software que permite conectarse de forma remota a otro dispositivo, y que estaba instalado en uno de los ordenadores de la planta.

Este jueves, un informe de seguridad publicado por el estado de Massachusetts ha documentado que las prácticas de ciberseguridad de la instalación eran deficientes. “Todas los ordenadores compartían la misma contraseña para el acceso remoto y parecían estar conectadas directamente a Internet sin ningún tipo de protección firewall instalada”, destaca. Además, esas contraseñas habían aparecido en varias bases de datos con claves robadas filtradas en Internet.

Pero los problemas no acababan ahí. Todos los ordenadores de las instalaciones tenían instalado Windows 7 de 32 bits, una de las versiones más antiguas del sistema operativo que todavía recibe actualizaciones de ciberseguridad. Este se considera un software desactualizado para una infraestructura crítica como una planta de agua. Tras el incidente, varios expertos han señalado que estas deficiencias de seguridad no son anecdóticas en las instalaciones de este tipo de EEUU: “En la industria, todos esperábamos que esto sucediera. Sabemos desde hace mucho tiempo que los servicios de agua municipales carecen de fondos y recursos insuficientes, y eso los convierte en un blanco fácil para los ciberataques”, ha explicado un experto en ciberseguridad industrial a la agencia AP.

“Trabajo con muchas empresas de agua municipal para ciudades pequeñas, medianas y grandes. En muchos casos, tienen un personal informático muy reducido. Algunos ni siquiera cuentan con personal de ciberseguridad especializado”, añadió.

Dos accesos diferentes en cinco horas

El informe sobre el ciberataque recoge que el cinco de febrero se produjeron dos accesos no autorizados al sistema informático de la planta de Oldsmar, con unas cinco horas de diferencia entre ellos. Al principio, los operadores de la planta no le dieron importancia, explicando que su supervisor a menudo accede de manera remota al software que controla la composición del agua para hacer pequeñas correcciones.

“El actor malicioso intentó aumentar las dosis de hidróxido de sodio a niveles muy altos. Esto fue rápidamente identificado como una intrusión no autorizada por el operador de la planta del sistema, quien actuó rápidamente para detener la amenaza antes de que la salud y la seguridad públicas se vieran comprometidas”, documenta el informe. Este compuesto no es peligroso si está muy diluido en el agua, pero en altas dosis puede provocar intoxicaciones o incluso quemaduras permanentes en el sistema gastrointestinal.

No obstante, las autoridades recalcan que la población no estuvo en peligro, ya que el agua envenenada habría tardado entre 24 y 36 horas en llegar hasta la población, incluso si no se hubiera dado la rápida corrección de los operarios. Por el momento no se ha producido ninguna detención.