El empleado se fue, pero su acceso quedó activo. Cómo una cuenta olvidada dio a los hackers acceso al suministro de agua de toda una ciudad.
La negligencia habitual del departamento de Recursos Humanos casi provoca una catástrofe en los servicios públicos.
Un descuido habitual de personal en una pequeña ciudad estadounidense se convirtió en una seria amenaza para la infraestructura crítica. La cuenta de un empleado que había dejado el trabajo hacía tiempo no fue desactivada, y los atacantes obtuvieron a través de ella acceso a los sistemas que se encargaban del suministro de agua de toda la ciudad.
El caso relató Nicole Beckwith, directora sénior de diseño y operaciones de seguridad en Cribl. Anteriormente trabajó como consultora e investigó una intrusión en la red municipal. Según ella, los atacantes primero examinaron con calma los recursos disponibles del municipio y experimentaron con dispositivos de poca importancia, incluidos los proyectores de las salas de reuniones.
Más tarde los atacantes encontraron acceso a la configuración del servicio de agua. En el sistema de control desactivaron una serie de elementos, lo que pudo generar un riesgo para el suministro de agua. La investigación mostró que todas las acciones se realizaron a través de la cuenta de un empleado que antes trabajaba en el departamento de auditoría.
El problema era que Greg se había ido hace muchos años, pero su cuenta seguía activa. Además, la cuenta conservaba permisos excesivamente amplios, incluido el acceso de administrador de dominio, funciones de operador del sistema SCADA y capacidades del servicio de asistencia. Derechos tan sobredimensionados en una cuenta que además ya no se usaba representaban una amenaza directa para toda la red municipal.
El propio Greg, según la investigación, no tenía relación con el ataque. Nicole Beckwith opina que pudo haber usado el correo laboral para registrarse en servicios externos, y que la contraseña se repetía en distintas plataformas. Tras filtraciones de datos, los atacantes detectaron la dirección en el dominio .gov e intentaron entrar con las credenciales encontradas.
El incidente mostró cuán peligrosas son las cuentas olvidadas con privilegios elevados. Los equipos de TI municipales deberían haber desactivado el acceso inmediatamente tras la salida del empleado y luego comprobar periódicamente quién conserva privilegios en los sistemas de trabajo. También influyó la mala higiene de las contraseñas, porque las credenciales laborales no deben coincidir con compras, redes sociales y otros servicios externos.
Según Beckwith, revisiones de acceso al menos una vez por trimestre podrían haber evitado este escenario. En la práctica, muchas organizaciones creen que tras la marcha de un empleado todos los permisos ya están cerrados, pero es precisamente ese vacío el que a menudo se convierte en punto de entrada para los ataques.