Cómo penetra LockBit las redes ICS/OT: Una anatomía

El ataque a Colonial Pipeline en 2021 costó 4,4 millones de dólares en rescate y paralizó el suministro de combustible a la Costa Este de EE.UU. durante seis días. El vector de compromiso: una cuenta VPN heredada sin MFA. Los atacantes nunca tocaron los sistemas OT — no lo necesitaron. La empresa cerró operaciones preventivamente por miedo.

Esta es la nueva realidad del ransomware industrial. El ataque no necesita comprometer tu PLC para ser devastador.

El problema de la convergencia IT/OT

Durante décadas, las redes de tecnología operacional (OT) estaban aisladas físicamente de las redes IT corporativas. El supuesto era: si un atacante no puede alcanzar la red, la red está segura.

Ese supuesto se derrumbó con la Industria 4.0. Hoy, la mayoría de entornos industriales tienen:

• Conexiones de monitorización remota para mantenimiento de proveedores
• Servidores historian que comunican IT y OT para datos de producción
• Estaciones de ingeniería con acceso a ambas redes
• Integraciones ERP/SCADA para planificación de producción

Cada uno de estos es un puente. Cada puente es una ruta de ataque potencial.

La cadena de ataque de LockBit (generalizada)

Basándonos en informes públicos de incidentes y avisos de CISA, la cadena típica de ransomware industrial es la siguiente:

Fase 1: Acceso inicial

• Email de phishing a personal IT (el más común)
• Explotación de RDP o VPN expuestos a internet (especialmente versiones antiguas sin MFA)
• Compromiso de un MSP con acceso al entorno objetivo
• Cadena de suministro: actualización maliciosa de software de confianza

Fase 2: Persistencia en red IT y movimiento lateral

• Recolección de credenciales vía Mimikatz u herramientas similares
• Abuso de Active Directory — las cuentas de servicio con privilegios excesivos son el objetivo más valioso
• Desactivar EDR/AV donde sea posible; o operar de forma que no active alertas

Fase 3: Cruce del perímetro IT/OT Aquí es donde el modelo Purdue importa. En organizaciones con segmentación correcta, la fase 3 es donde el ataque debería detenerse. En la mayoría no lo hace, porque:

• El servidor historian (nivel DMZ 3.5) tiene confianza bidireccional con IT y OT
• Las estaciones de ingeniería están unidas al dominio y también conectadas a la red OT
• Los servidores de salto entre zonas tienen autenticación débil

Fase 4: Impacto en OT En incidentes graves, el atacante:

• Despliega ransomware en servidores historian y HMI (interrumpe la visibilidad)
• Cifra estaciones de ingeniería (interrumpe la capacidad de enviar cambios de configuración)
• Puede atacar la red OT directamente si tiene credenciales de la fase 3

En la mayoría de incidentes de ransomware industrial, la red OT en sí no se cifra directamente. La disrupción proviene de la pérdida de los sistemas IT de los que depende OT.

Qué detiene realmente esto

Los controles que habrían roto la cadena en cada fase no son exóticos:

Fase 1: MFA en todos los accesos externos (VPN, escritorio remoto, correo). Resistente a phishing donde sea posible (llaves hardware para cuentas privilegiadas).

Fase 2: Estaciones de Acceso Privilegiado (PAW) para administración de AD. Higiene de cuentas de servicio — sin cuentas de servicio en Domain Admins. EDR en todos los endpoints con detección basada en comportamiento.

Fase 3 (la crítica): Implementación correcta del modelo Purdue con:

• Pasarelas unidireccionales o reglas de firewall estrictas entre DMZ IT y red OT
• Sin sistemas unidos al dominio en OT
• Servidor de salto con MFA y grabación de sesiones para cualquier acceso IT-OT
• Detección de anomalías específica de OT (Claroty, Dragos, Nozomi — o alternativas open source)

Fase 4: Copias de seguridad OT almacenadas offline y probadas. Procedimientos de recuperación documentados que no dependan de sistemas IT.

La incómoda verdad sobre los presupuestos de seguridad OT

La mayoría de organizaciones industriales gastan su presupuesto de seguridad en IT. OT se trata como una ocurrencia tardía — hasta que deja de serlo.

La economía de la seguridad es directa: una parada de producción de 24 horas en una instalación manufacturera de tamaño medio puede costar €100.000-500.000. Un proyecto de evaluación de seguridad OT y segmentación básica cuesta una fracción de eso. El ROI no es un ejercicio teórico.

El desafío no es el presupuesto — es conseguir que OT e IT acuerden un modelo de riesgo compartido. Ahí es donde la mayoría de proyectos de seguridad industrial se atascan.