🎁 ¡AliExpress Big Save Day! ¡Cupones hasta 50€ en tecnología, consolas y más! [Más info ]
Alrededor de las 8 de la mañana del viernes, un empleado de una planta de tratamiento de aguas de la ciudad de Oldsmar (Florida), de 15.000 habitantes, se dio cuenta de que el cursor de su ratón se movía de forma extraña en la pantalla de su ordenador.
Al principio, no se preocupó ya que la planta utilizaba el software de acceso remoto TeamViewer para que los empleados pudieran compartir su pantalla con el soporte informático en caso de problemas, y su jefe se conectaba a menudo a su ordenador para supervisar los sistemas de la instalación.
Pero unas horas más tarde, el operador de la planta notó que su ratón se movía de nuevo fuera de control y empezó a hacer clic en los controles de la planta de tratamiento de agua.
En cuestión de segundos, el intruso estaba intentando cambiar los niveles de hidróxido de sodio del suministro de agua, también conocido como sosa cáustica, moviendo el ajuste de 100 partes por millón a 11.100 partes por millón.
En bajas concentraciones, el producto químico corrosivo regula el nivel de PH del agua potable. En niveles altos, daña gravemente cualquier tejido humano que toque.
Según las autoridades municipales, el operario detectó rápidamente la intrusión y devolvió el hidróxido de sodio a los niveles normales.
Incluso si no lo hubiera hecho, el agua envenenada habría tardado entre 24 y 36 horas en llegar a la población de la ciudad, y los controles automáticos de PH habrían hecho saltar la alarma y detectado el cambio antes de que nadie se envenenara.
El hacker parecía haber ganado acceso al software TeamViewer de la planta de tratamiento de agua para obtener acceso remoto al ordenador de control, pero no se sabe cómo accedió a TeamViewer o consiguió el acceso a la red informática de la planta.
Los profesionales de la seguridad llevan mucho tiempo aconsejando no sólo segregar las redes de IT (ordenadores y servidores) y OT (equipos industriales) para conseguir la máxima seguridad, sino también limitar o, idealmente, eliminar todas las conexiones de los sistemas a Internet.
En este caso, los sistemas OT de la planta eran accesibles desde el exterior y todas las pruebas apuntan a que el atacante accedió a ellos desde Internet.