Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Acceso inicial no autorizado a equipos SCI - Parte 1

Fecha de publicación 24/04/2025
Autor
INCIBE (INCIBE)
Acceso inicial no autorizado a equipos SCI. Candados, password, mapa del mundo, código binario.

¿Qué es la táctica Initial Access?


La táctica Initial Access (TA00108) consiste en un conjunto de técnicas que utilizan los atacantes para explotar debilidades, configuraciones incorrectas o vulnerabilidades del sistema, con el objetivo de conseguir acceso a un sistema protegido, es decir, conseguir presencia en una red interna que les permita actuar sobre la propia red y los equipos que la forman. 

Aunque suele estar precedida de una etapa de reconocimiento e investigación, la etapa de acceso inicial representa la primera interacción activa entre un atacante externo y la red SCI objetivo.

La táctica Initial Access está compuesta por 12 técnicas. A continuación, se explicarán las seis primeras, , tratando las restantes en un futuro blog. Para cada apartado se incluye un ejemplo práctico y las mitigaciones correspondientes según MITRE. 

10 posibles técnicas de la táctica Initial Access

Técnicas de ejecución

  • Compromiso por Navegación (drive by compromise):  esta técnica se basa en comprometer una página web externa, normalmente ajena a la organización objetivo del ataque, pero a la que se sabe que los usuarios de la red objetivo van a acceder. Cuando un usuario legítimo de la red interna accede a la página web afectada, puede ser víctima de descargas maliciosas, ataques de phishing o robo de credenciales. La ventaja de esta técnica para el atacante es la posibilidad de poder afectar a múltiples usuarios de una organización sin actuar directamente contra ella durante la infección de la página web.

    Por ejemplo, durante un ataque al sector energético ucraniano en 2017 los atacantes camuflaron la descarga de su malware BadRabbit  en una solicitud de descarga de drivers para Adobe Flash Player en una página web comprometida. De esta forma consiguieron ganar acceso a los equipos de los operarios del sector eléctrico cuando accedían a la página web, realizaban la descarga y ejecutaban el malware por desconocimiento.

    Las medidas de mitigación propuestas para evitar este tipo de ataques son:

    • Aislamiento y sandboxing de aplicaciones: se deben aplicar políticas de confianza 0. Es decir, los ejecutables y archivos potencialmente peligrosos provenientes de páginas web externas deberían ejecutarse primero en entornos seguros y aislados.
    • Protección contra exploits: activar configuraciones de seguridad y utilizar herramientas de protección de endpoints permite restringir acciones potencialmente peligrosas, como iniciar ejecutables desconocidos.
    • Restringir contenido malicioso en la web: en caso de que el acceso desde la red SCI a la red externa sea imprescindible, se debe considerar permitir acceso solamente a páginas confiables y necesarias.
    • Actualización de software: en concreto, la actualización de navegadores y plugins web. Esto previene que un atacante pueda utilizar vulnerabilidades de seguridad en el navegador del usuario para ganar acceso a su equipo y permite aprovechar las capacidades de seguridad de navegadores más modernos.

  • Explotación de aplicaciones expuestas al público. Muchos equipos industriales cuentan con aplicaciones web, u otros servicios accesibles desde la red pública, para facilitar su gestión. Sin embargo, esto representa un vector de entrada a los equipos que alojan los servicios. Para un mayor riesgo, es habitual que estos servicios contengan componentes vulnerables, pocas medidas de seguridad, malas configuraciones o sean actualizados de manera poco frecuente.

    En 2016, el equipo de atacantes Sandworm fue capaz de ganar acceso a HMI utilizadas en el sector eléctrico ucraniano a través de las interfaces web de estos equipos. Estas eran accesibles desde la red pública, y los atacantes pudieron aprovechar sus vulnerabilidades de seguridad sin necesidad de ganar acceso a una red interna previamente.
    Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

    • Aislamiento y sandboxing de aplicaciones: en caso de que se requieran aplicaciones web accesibles desde la red externa, se recomienda encarecidamente que dichas aplicaciones se ejecuten en entornos aislados y seguros.
    • Protección contra exploits: concretamente mediante el uso de herramientas, como firewalls de aplicación para controlar y proteger las comunicaciones de aplicaciones accesibles desde la red pública.
    • Segmentación de red: de forma similar al uso de entornos seguros de ejecución, la segmentación de red reduce el riesgo de intrusión estableciendo una barrera entre los servicios expuestos y el resto de la red.
    • Gestión de cuentas privilegiadas: los usuarios con acceso a las aplicaciones web accesibles desde la red pública deberían contar con el mínimo nivel de privilegio posible. Las acciones realizables deberían limitarse a operaciones de lectura de datos y acciones con poco impacto sobre el equipo.
    • Actualización de software: los plugins utilizados para aplicaciones web y el software accesible desde la red pública, debería mantenerse actualizado para evitar la explotación de vulnerabilidades de seguridad.
    • Escaneo de vulnerabilidades:  a su vez, la gestión de vulnerabilidades es crítica para servicios accesibles desde la red pública, no solo monitorizando bases de datos conocidas, si no realizando escaneos y auditorías.

  • Explotación de servicios remotos. esta técnica, similar a la anterior, describe el acceso a redes SCI mediante la explotación de servicios de acceso remoto. Estos servicios son cada vez más populares en SCI, convirtiéndose cada vez más de herramientas esenciales para la gestión de sistemas cada vez más interconectados. 

    Una tipología de ataques muy comunes hacia entornos SCI que utilizan esta técnica es ganar acceso mediante la explotación de vulnerabilidades en protocolos de comunicación remotos vulnerables. Múltiples ataques de ransomware (entre ellos WannaCry y BadRabbit) han llegado a afectar redes SCI utilizando la vulnerabilidad MS17-010 de la primera versión del protocolo SMB. 

    Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

    • Aislamiento y sandboxing de aplicaciones: aislar las aplicaciones vulnerables dentro de los equipos que las requieren es una buena forma de evitar que el riesgo se propague a servicios más críticos.
    • Desactivar o eliminar funciones o programas: todas las aplicaciones de acceso remoto innecesarias o que introduzcan un nivel de riesgo no admisible en equipos SCI deberían eliminarse durante el proceso de bastionado de equipos industriales.
    • Protección contra exploits: se recomienda el uso de software de protección de endpoint, detección y prevención de intrusos y control de flujos de comunicación para monitorizar y proteger los accesos remotos a equipos industriales.
    • Segmentación de la red: los equipos SCI que utilicen servicios de acceso remoto, especialmente los que usen servicios vulnerables, conllevan un nivel de riesgo considerable y deberían ser separados de otros equipos críticos de la red SCI que no requieran estos servicios.
    • Gestión de cuentas privilegiadas: se recomienda limitar lo máximo posible las funciones realizables de manera remota. Se deben limitar especialmente las acciones que impliquen actuar sobre los equipos de control.
    • Programa de inteligencia sobre amenazas: es de especial interés para este caso establecer un procedimiento para monitorizar los riesgos, amenazas y vulnerabilidades que puedan afectar a los servicios vulnerables.
    • Actualización del sistema: se recomienda sustituir servicios obsoletos o vulnerables por versiones actualizadas y seguras. Esta medida es de especial interés para servicios con capacidades remotas, ya que representan una puerta de entrada a la red SCI.
    • Escaneo de vulnerabilidades: todos los servicios que actúen como puerta de acceso desde la red externa deben incluirse prioritariamente al alcance de los procedimientos de gestión de vulnerabilidades.

  • Servicios remotos externos. Aunque a primera vista esta técnica pueda parecer idéntica a la anterior, ésta hace referencia al uso de características legítimas en servicios de acceso remoto para ganar acceso a los SCI sin necesidad de recurrir a explotar vulnerabilidades de seguridad. Normalmente está técnica está asociada al uso de credenciales conocidas o predecibles, ingeniería social o fallos de configuración, entre otros, para ganar acceso a cuentas legítimas.

    Un ejemplo que ilustra muy bien esta diferencia es el ataque realizado contra el sistema de tratamiento de agua de Maroochy (Australia). Aunque en la mayoría de los casos hoy en día estos ataques se realizan a través de software de VPN o herramientas similares, en este caso los controladores de campo estaban configurados para comunicarse con el centro de control por radiofrecuencia. Conociendo esta capacidad, los atacantes fueron capaces de enviar comandos legítimos por la misma frecuencia que utilizan los usuarios para comunicarse con los controladores, ganando acceso a estos.
    Las mitigaciones propuestas para evitar este tipo de ataques son las siguientes:

    • Politicas de uso de cuentas: para ayudar a detectar y prevenir el mal uso de cuentas de usuario legítimas, se recomienda implementar reglas de uso, como políticas de contraseñas, control de horarios y ubicaciones desde las que se puedan acceder, bloqueos tras intentos de acceso fallidos, etc.
    • Desactivar o eliminar fnciones o programas: bastionar los equipos que alojan estos servicios es crítico, al representar un vector de entrada y de envío de comandos de ejecución a equipos SCI.
    • Limitar el acceso a recursos a través de la red: las conexiones remotas deberían realizarse hacia equipos intermedios o plataformas centralizadas. Deben evitarse las conexiones directas con equipos de control SCI desde redes externas.
    • Autenticación multifactor: hoy en día la autenticación multifactor se ha convertido en un requisito esencial para aplicaciones de acceso remoto. Mediante el uso de esta medida de seguridad se evita depender únicamente del nivel de seguridad de las credenciales del usuario y facilita la gestión de tokens de entrada y acceso a los equipos.
    • Segmentación de la red: de manera general se recomienda segmentar la red SCI según los equipos requieran, o no, conexiones externas para su operación.
    • Politicas de contraseña: establecer una política de contraseñas y concienciar a los operarios en su uso es esencial para evitar fallos comunes que permiten a los atacantes ganar acceso a cuentas de usuario legítimas.
    • Gestión de cuenta de usuario: se recomienda el uso de herramientas que permitan la gestión dinámica de cuentas de usuario, es decir, herramientas mediante las que se pueda monitorizar, bloquear y gestionar permisos de cuentas de usuario.

  • Dispositivo accesible por Internet. Esta técnica es una versión más directa de acceso que Servicios Remotos Externos. Mientras que en esta última los atacantes aprovechaban soluciones de acceso remoto en equipos SCI, en la técnica de Dispositivo Accesible por Internet el ataque se realiza aprovechando equipos SCI accesibles directamente desde la red externa. Este es el caso extremo de falta de segmentación en redes SCI, donde equipos de la red interna tienen conexión directa con la red pública. Este tipo de conexiones son muy desaconsejadas en entornos SCI, por el riesgo que conlleva tener equipos expuestos a tráfico y personal ajeno a la organización.
    Una de las variantes más comunes de esta técnica es atacar a los módems que dan servicio a equipos SCI. Por ejemplo, en 2016 un grupo de atacantes consiguieron romper la seguridad de un módem en la presa de Bowman (Nueva York) mediante un ataque de fuerza bruta. El impacto de este incidente fue, afortunadamente, menor al estar las compuertas de la presa desconectadas de la red por mantenimiento en el momento del ataque.
    Una medida de mitigación eficaz contra esta técnica es la segmentación de la Red, en ningún caso se recomienda desplegar redes SCI en contacto con redes públicas como procedimiento de operativa normal. Las conexiones a la red externa siempre deben pasar por protecciones perimetrales y medidas de control y de monitorización de tráfico, incluyendo protecciones entre los elementos de frontera y el resto de la red de control.

     

  • Servicios remotos. Los servicios de acceso remoto no presentan riesgo solamente si son accesibles desde fuera de la red interna. Es posible crear canales de comunicación que representen una vulnerabilidad de seguridad en un sistema SCI durante el despliegue de servicios remotos entre diferentes redes y segmentos internos. Una red SCI suele conllevar un nivel de criticidad elevado y un menor número de usuarios o accesos recurrentes necesarios. Por tanto, es habitual que, dentro de una organización, la red SCI tenga un nivel de seguridad mayor que otros segmentos y redes ‘colindantes’. Lo que hace que los canales de comunicación entre varias zonas introduzcan un vector de riesgo. 
    Por ejemplo, una tecnología utilizada habitualmente en esta técnica es el protocolo de escritorio remoto (RDP), disponible por defecto en muchos equipos basados en Windows, utilizado por ejemplo en el ciberataque contra una refinería de Saudí Arabia en 2017 que acabó forzando a cerrar la planta durante una semana. En este incidente el malware Triton fue capaz de acceder a la red SCI desde la red corporativa de la empresa mediante RDP, aprovechando reglas de firewall mal configuradas.
    Existen múltiples mitigaciones para reducir el riesgo de esta técnica:
    • Gestión de accesos: aplicando controles de accesos a todos los servicios remotos, especialmente en activos críticos, permite controlar la actividad de los usuarios, así como aumentar la trazabilidad de sus acciones.
    • Aplicación de autorización: para que la gestión de accesos sea efectiva se debe acompañar de una política de autenticación que obligue a todos los usuarios a verificar su identidad antes de acceder a los equipos por servicios remotos.
    • Filtrado de trafico de red: el filtrado de tráfico permite restringir dinámicamente los accesos remotos a equipos industriales. Se recomienda denegar las conexiones remotas por defecto en firewalls y equipos de protección de red, permitiéndolos solo cuando se vuelva expresamente necesario.
    • Listas blancas de red: de manera similar, mediante soluciones de listas blancas de red a nivel de endpoint es posible limitar las conexiones remotas que se permiten establecer directamente desde el propio dispositivo.
    • Segmentación de la red: como se ha mencionado anteriormente, es habitual que los servicios remotos comprometan, por descuido o intencionadamente, la segmentación entre redes. Revisar los canales de la red y la seguridad de su perímetro es esencial para garantizar que se mantiene la eficacia de esta medida.
    • Políticas de contraseña: establecer una política de contraseñas segura es esencial para mantener la seguridad de las cuentas de usuario que utilizan servicios remotos. Especialmente dado que en muchos casos estos servicios no permiten medidas de seguridad adicionales como autenticación multifactor.
    • Autenticación de usuarios humanos y de procesos o dispositivos de Software: sea el servicio remoto utilizado por un usuario humano o de sistema (otro equipo/software) se debe verificar su autenticidad antes de darle acceso al equipo de forma remota.
    • Gestión de cuentas de usuario: debe mantenerse el principio de mínimos privilegios, reduciendo el número de usuarios que pueden utilizar los servicios remotos, así como los privilegios otorgados a estas.

Las 6 primeras técnicas de la táctica Initial Access

Conclusión

La táctica Initial Access es habitualmente el primer paso que los atacantes toman en redes SCI. Las mitigaciones aplicadas contra esta técnica serán clave para prevenir un incidente, incluso antes de que el atacante pueda acceder a nuestros sistemas.

Aunque hay muchas técnicas adscritas a la táctica de Initial Access, como se ha podido observar a lo largo de este artículo, la mayoría están relacionadas con aprovechar perímetros de red porosos, poco limitados o desprotegidos. Características muy extendidas en los entornos industriales actuales debido al continuo aumento de la interconectividad entre sistemas y de la escala y complejidad de los SCI.

Por tanto, aunque se desaconseja confiar únicamente de las medidas de prevención y perimetrales de accesos a la hora de protegerse contra incidentes, nunca deben descuidarse estas en aras de enfocarse en medidas de seguridad internas. Es habitual no apreciar el efecto que estas medidas tienen en la seguridad de nuestra red, un atacante detectado dentro de un sistema de control reclama una mayor atención que una cantidad de atacantes detenidos antes de que ganen acceso a la red, por mucho que este último caso es la clave para mantener los incidentes de ciberseguridad como una ocurrencia ocasional, si no prevenirla por completo.

En la segunda parte de este artículo, que se publicará la semana que viene, exploraremos en profundidad el resto de técnicas de Initial Access y sus aplicaciones en sistemas industriales. En él podrás descubrir más tácticas avanzadas, ejemplos prácticos y mitigaciones propuestas por MITRE para mantener la seguridad de nuestros SCI y hacer frente a accesos no autorizados.

Etiquetas