Prayukth K V
Un incidente cibernético significativo que involucró infraestructura OT y que se desarrolló durante las últimas semanas pasó casi desapercibido. La vulneración de las bombas de control de inundaciones de San Marcos en Venecia, ocurrida a finales de marzo/inicios de abril, subraya un cambio tectónico crítico. Los ataques sofisticados contra OT ya no se limitan a la interrupción digital, sino que cada vez más se encaminan hacia un impacto físico en el mundo real. Esperemos que esto no se convierta en la norma de ahora en adelante. Esta evolución también señala un cambio importante en las prioridades del adversario, con los sistemas OT ahora firmemente en la mira de los hacktivistas y de actores respaldados por estados.
El actor de amenaza, en este caso, que operaba bajo nombres supuestos como “Infrastructure Destruction Squad” o “Dark Engine”, afirmó haber obtenido acceso administrativo al sistema. Según el grupo, podrían “desactivar las defensas e inundar zonas costeras”, convirtiendo de hecho una intrusión digital en un posible desastre físico. Según la actualización más reciente del actor de amenaza, fueron expulsados de la red.
En la publicación de hoy del blog hacemos un análisis profundo de este incidente y destacamos aspectos clave que pudieron haberse pasado por alto. También recomendaremos formas en que este tipo de intrusiones pueden prevenirse.
Como siempre, antes de seguir, no olvides revisar nuestra publicación anterior sobre el monitoreo del tráfico Este-Oeste en OT para cumplir con los requisitos de NERC CIP-015 aquí.
Historia de este incidente
Según la investigación de Shieldworkz validada por registros de Telegram, la brecha comenzó en algún momento a finales de marzo (posiblemente alrededor del 18), cuando los atacantes obtuvieron acceso a la interfaz de control del sistema antiinundaciones (específicamente el sistema hidráulico de bombeo que evita que Venecia quede bajo el agua). En la primera semana de abril, los atacantes empezaron a compartir pruebas del acceso, incluidas capturas de pantalla de paneles de control, distribuciones del sistema y estados de válvulas. Afirmaron controlar la capacidad de evitar inundaciones e incluso ofrecieron vender acceso root completo por US$ 600 (posteriormente elevado a $650).
Aquí está la cronología de este incidente
Fase | Fecha | Evento |
Acceso inicial | Finales de marzo de 2026 (alrededor del 18 de marzo) | Los atacantes vulneran la interfaz de control del Sistema di Riduzione Rischio Allagamento. |
Permanencia y reconocimiento | Primera semana de abril de 2026 | Los atacantes mapean válvulas, sensores neumáticos y distribuciones de HMI; comienza la difusión de pruebas en Telegram. |
Auditoría gubernamental | Después de Pascua de 2026 | Las autoridades italianas realizan "nuevas verificaciones" y pruebas de equipo. Inicialmente, las pruebas parecen "positivas" (seguras). |
El "mensaje" | 12 de abril de 2026 | El actor de amenaza revela que permaneció en la red durante las pruebas y eligió deliberadamente no inundar la ciudad. |
Monetización | 13 de abril de 2026 | Se ofrece a la venta el acceso root completo al sistema de bombeo en 5 foros clandestinos por $600. |
Hipótesis sobre el adversario
Actor: Infrastructure Destruction Squad (Dark Engine).
Origen/Afiliación: De habla mandarín (publicaciones realizadas en chino). El bajo precio ($600) sugiere una unidad de "hacktivismo por encargo" o una unidad "de preposicionamiento" patrocinada por un Estado, que ejecuta una operación disfrazada de delincuencia de bajo nivel. El dinero ciertamente no es la motivación aquí. El actor de amenaza chino APT 41 es conocido por operar múltiples organizaciones fachada y afiliados para mantener una negación plausible.
Motivación: Señalización estratégica. El objetivo no era la destrucción (al menos en el corto plazo), sino demostrar que los actores de amenaza chinos pueden obtener acceso a infraestructura crítica. De eso se trataba: de probar precisamente ese punto.
En otra publicación, los supuestos atacantes afirmaron que operaban con intenciones aparentemente nobles (¿dónde hemos escuchado eso antes?). Sostuvieron que su objetivo era exponer las debilidades en la forma en que se gestionaba la seguridad de la infraestructura crítica e introducir algo de presión política para corregir estas fallas (eso sí dijeron). Si el objetivo era tan noble, ¿por qué vender acceso root por US$ 600? El grupo dijo que el valor tan bajo se mencionó para mostrar lo fácil y barato que es obtener acceso a un sistema que luego puede usarse para causar problemas. Esto ya es un nuevo nivel de desorden.
Esta afirmación se desmorona al leer su última actualización (publicada el 12 de abril) en Telegram. Según esa actualización, el grupo afirmó haber desarrollado una herramienta que usará para atacar empresas de energía (captura adjunta). También hicieron una amenaza específica contra Italia.
Captura de pantalla del canal de Telegram del grupo.
Aquí está el mensaje que el Infrastructure Destruction Squad publicó en el canal de Telegram al anunciar el ataque.
“Anunciamos la intrusión en el sistema: SISTEMA DI RIDUZIONE RISCHIO ALLAGAMENTO (Sistema de Reducción del Riesgo de Inundación) perteneciente al Ministerio italiano de Infraestructura y Transporte. Hemos tomado el control total del sistema. Objetivo político: Exponer la vulnerabilidad de la infraestructura crítica de Italia. El control de este sistema permite desactivar las compuertas contra inundaciones, inundar zonas costeras y ejercer chantaje político al gobierno italiano. Oferta de venta: Estamos otorgando acceso root completo al sistema de control. El precio es de 600 USD para cualquier parte interesada en comprar el acceso.”
Cabe señalar que la entidad específica que administra las bombas es el Provveditorato per le Opere Pubbliche del Triveneto (que reporta al Ministerio de Infraestructura y Transporte).
Según el Infrastructure Destruction Squad, un equipo de seguridad de la Autoridad del Agua de Venecia había realizado algunas pruebas para validar la intrusión, pero no pudo hacerlo. Según actualizaciones recientes del Ministerio (al 12 de abril), sí detectaron "tráfico anómalo" pero no lograron darse cuenta del nivel de persistencia que los atacantes habían alcanzado a través del servidor web de la HMI. Por lo tanto, el ministerio aclaró que la detección fue exitosa, pero que el alcance de la brecha se subestimó.
En la última actualización publicada hoy más temprano, el grupo dijo "Jaja, las autoridades italianas nos expulsaron de la red. Jaja no se preocupen, lanzaremos ataques. Cállense." Si nos guiamos por esta actualización, parece que la Autoridad del Agua de Venecia ha recuperado el control.
Acerca de la infraestructura
El sistema de bombeo parece formar parte del proyecto MOSE (en italiano: Modulo Sperimentale Elettromeccanico, literalmente, 'Módulo Electromecánico Experimental'), diseñado para proteger a la ciudad de Venecia, Italia, y a la Laguna de Venecia de las inundaciones. Según Wikipedia, este proyecto es esencialmente un conjunto de compuertas móviles ubicadas en el lecho marino de las entradas de Lido, Malamocco y Chioggia, que pueden elevarse para sellar temporalmente la Laguna de Venecia frente al Mar Adriático durante las mareas altas. “Junto con otras medidas, como el reforzamiento costero, la elevación de los muelles y el pavimentado y mejoramiento de la laguna, MOSE está diseñado para proteger Venecia y la laguna de mareas de hasta 3 metros (9.8 pies). A partir de 2023, las compuertas se elevan cuando se pronostican mareas de más de 1.30 metros.”
Durante las mareas normales, las compuertas se llenan de agua y permanecen sobre el lecho marino. Cuando se pronostican mareas altas, el agua dentro de estas compuertas se extrae bombeando aire comprimido, lo que hace que las compuertas se eleven por encima de la marea alta. Esto crea una barrera que sella la laguna del mar. Una vez que pasa la marea alta, el agua se bombea de nuevo dentro de las compuertas y el aire se expulsa. Esto permite que las compuertas vuelvan a hundirse hasta el fondo marino.
El costo de este proyecto único: $8 mil millones.
Puedes ver todo el sistema en acción a través de una imagen animada estéticamente aquí.
Entonces, ¿qué salió mal?
Para un profesional de seguridad de Tecnología Operativa (OT), el impacto de este incidente va mucho más allá de los titulares y las complejidades operativas. Para nosotros, se trata de la vulnerabilidad de los sistemas utilitarios modernos que permiten que ciudades y municipios operen de manera eficiente y presten servicios a la ciudadanía sin interrupciones. Las vulnerabilidades en estos sistemas críticos pueden ser explotadas por atacantes para crear situaciones de alto riesgo que amenacen la seguridad pública y la salud (y potencialmente tomen como rehén al gobierno).
La afirmación de que los atacantes lograron un nivel significativo de control sobre las bombas que gobiernan las defensas contra inundaciones de Venecia resalta una falla más o menos recurrente en la protección de los Sistemas de Control Industrial (ICS). A diferencia de las brechas estándar de TI, donde el robo de datos suele ser el objetivo, estos ataques apuntan al lazo de control del proceso. El objetivo es controlar las variables o parámetros del sistema, o hacer que opere muy por fuera de su margen operacional previsto.
¿Cómo obtuvieron acceso?
Primero veamos cómo suelen desarrollarse estos escenarios para entender cómo los actores de amenaza generalmente obtienen acceso a infraestructura crítica. El vector principal rara vez es un exploit sofisticado de varias etapas inyectado en la red. En su lugar, por lo general implica:
Interfaces Hombre-Máquina (HMI) sin autenticación: Se sabe que muchas estaciones de bombeo utilizan HMI basadas en web para el monitoreo remoto. Si estas están indexadas por motores de búsqueda y carecen de autenticación robusta, se convierten en una puerta abierta.
Vulnerabilidades a nivel de protocolo: Protocolos heredados como Modbus o S7 fueron diseñados para la confiabilidad, no para la seguridad. Carecen de cifrado nativo, lo que significa que cualquiera que obtenga acceso a la red puede inyectar comandos directamente en los Controladores Lógicos Programables (PLC).
Exposición de VNC y Protocolo de Escritorio Remoto (RDP): Los atacantes pueden aprovechar software para compartir pantalla que quedó activo después de una sesión de mantenimiento, permitiéndoles literalmente "tomar el volante" del software de control.
Es posible que en este ataque se haya utilizado una HMI expuesta.
Sin embargo, es importante distinguir entre "acceso" y "control". Los hacktivistas suelen compartir capturas de pantalla de paneles HMI para reclamar control total. Aunque quizá puedan alternar una sola bomba o cambiar una variable de parámetro, el verdadero peligro radica en una falla en cascada . Al ciclar las bombas rápidamente (una condición de "caza"), un atacante puede causar fatiga mecánica o incluso sobretensiones eléctricas, dejando el hardware inoperable incluso después de que la brecha digital se cierre.
La cadena de intrusión
El borde expuesto: El adversario descubrió una IP expuesta a Internet asociada con el sistema hidráulico de Venecia, probablemente mediante escaneo automatizado (Shodan/Censys).
Robo de credenciales: Aprovechamiento de contraseñas predeterminadas conocidas para puertas de enlace industriales comunes o credenciales filtradas del Ministerio.
Manipulación de la HMI: Una vez dentro, el "Squad" no activó alarmas. Observaron el sistema durante la temporada de mareas altas para entender la lógica de las válvulas neumáticas.
La brecha de engaño: Durante las "verificaciones de Pascua" del gobierno italiano, los atacantes permanecieron inactivos o manipularon los datos mostrados en las pantallas SCADA para que las "verificaciones" devolvieran un estado "seguro".
Divulgación pública: Para maximizar la vergüenza, esperaron hasta después de que la ciudad declarara el sistema seguro para publicar pruebas de su presencia continua.
Correspondencia con el marco MITRE ATT&CK
Táctica | ID de técnica | Nombre | Aplicación al incidente |
Acceso inicial | T0822 | Dispositivo accesible desde Internet | Usado para llegar directamente a las interfaces de control hidráulico. |
Permanencia | T0889 | Modificar programa | Posible modificación de la lógica del PLC para sobrevivir reinicios/pruebas del sistema. |
Descubrimiento | T0843 | Carga de programa | Exfiltración de distribuciones del sistema y configuraciones de válvulas. |
Inhibir respuesta | T0831 | Manipulación del control | La capacidad de desactivar compuertas contra inundaciones o anular arranques manuales de bombas. |
Deteriorar el proceso | T0821 | Daño a la propiedad | Objetivo (potencial) previsto de inundar la Piazza San Marco. |
El contexto geopolítico
Este tipo de घटनас no ocurren en el vacío. Los grupos hacktivistas prorrusos o antioccidentales han apuntado cada vez más a la infraestructura europea (como ejemplo, los ataques repetidos contra la infraestructura crítica polaca). Al golpear un emblema tan icónico como San Marcos, los atacantes logran un impacto psicológico enorme que supera por mucho la complejidad técnica del hackeo.
Como se mencionó antes, este incidente presenta indicadores claros compatibles con la participación de un actor respaldado por un Estado.
¿Por qué Venecia o más bien por qué Italia?
En los últimos años, Italia ha recalibrado su relación con China. Salió de la Iniciativa de la Franja y la Ruta y reforzó sus reglas de revisión de inversiones bajo su mecanismo de “golden power”. Italia ha bloqueado o limitado adquisiciones en varios sectores estratégicos, como semiconductores, robótica y telecomunicaciones. Este tipo de medidas ha llamado la atención de los más altos niveles del gobierno chino, y estas intrusiones podrían ser una señalización estratégica (igual que hemos visto en el caso de los ataques a Polonia, en los que Rusia intentaba sumar algunos puntos geopolíticos).
Es posible que el ataque haya sido realizado por un grupo chino con vínculos extensos con el Ministerio de Seguridad del Estado de China. La señal estratégica transmitida podría ir en la línea de:
¿Cuánto cuesta inundar Venecia? $600
Los actores de amenaza chinos pueden vulnerar infraestructura crítica europea
En Shieldworkz, evaluamos que China podría emprender pronto un movimiento diplomático que podría vincularse de manera laxa con este incidente. Este movimiento, interpretado correctamente, expondrá la verdadera motivación detrás de este incidente. El manual operativo de los APT chinos hace hincapié en el uso de señales encubiertas para moldear el entorno antes de revelar la intención real.
El imperativo regulatorio: ir más allá de las meras "buenas intenciones"
En el clima geopolítico actual, donde múltiples conflictos están activos, mantener un nivel de seguridad "línea base" ya no es suficiente ni legal ni operativamente. La Directiva NIS2 en Europa ha elevado significativamente el nivel de exigencia para las entidades que gestionan agua y defensas contra inundaciones, además de mejorar por mucho los niveles mínimos básicos de seguridad de la infraestructura crítica.
El cumplimiento ahora está ligado a la resiliencia operativa y a la madurez de la gobernanza. Esto significa que la seguridad debe quedar "integrada" en la fase de puesta en marcha de cualquier proyecto marítimo o municipal. Si se está actualizando una estación de bombeo, la seguridad de su telemetría remota es tan vital como la potencia de sus motores.
La lista de tareas para la seguridad OT
Para evitar que tu infraestructura se convierta en un trofeo para hacktivistas, sigue esta lista técnica priorizada:
Implementa "Zero Trust" para el acceso remoto: elimina todas las conexiones directas a PLC o HMI desde Internet. Usa un Jump Server seguro con Autenticación Multifactor (MFA) como única puerta de entrada al entorno OT.
Audita credenciales predeterminadas y\o filtradas: realiza una "barrida" de todos los dispositivos de campo. Asegúrate de que ningún sensor, gateway o controlador esté usando nombres de usuario o contraseñas establecidos de fábrica.
Deshabilita servicios innecesarios: apaga Telnet, HTTP (usa HTTPS) y cualquier protocolo de descubrimiento en los PLC que no sea necesario para el proceso inmediato.
Microsegmentación de red: aísla la red de control de San Marcos (o su equivalente) de la red municipal más amplia. El tráfico entre estas zonas debe filtrarse estrictamente mediante un firewall industrial capaz de Inspección Profunda de Paquetes (DPI).
Habilita el registro y monitoreo del sistema: asegúrate de que cada comando "Start/Stop" enviado a una bomba quede registrado en un servidor separado e inmutable. La actividad inusual, como una bomba activándose a las 3:00 AM, debe desencadenar una inspección física inmediata.
Valida mecanismos de respaldo manual: prueba periódicamente la capacidad del personal para operar las compuertas contra inundaciones o las bombas en modo "Manual Local". Si el sistema digital se ve comprometido, tu equipo debe poder mantener seca la ciudad usando anulaciones físicas.
Realiza evaluaciones de riesgo periódicas basadas en IEC 62443: para localizar y corregir brechas de seguridad OT y evitar que dichas brechas sean explotadas
¿Te interesa evaluar la exposición de tu HMI o conocer tu riesgo OT? Habla con nuestros expertos en IEC 62443 mediante una consulta gratuita.
Recursos adicionales
Guía de remediación para prevenir este tipo de incidentes de seguridad OT
Guía de remediación para brechas de seguridad NIS2
Manual de remediación de seguridad para PLC (según la guía más reciente de CISA)
Cómo implementar controles IEC 62443
No dudes en contactarnos si tienes alguna pregunta.
Otra actualización del canal de Telegram perteneciente al Infrastructure Destruction Squad.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
NERC CIP Requirements Explained for Power Utilities
Team Shieldworkz
What Is a Programmable Logic Controller and Why Industries Use It
Team Shieldworkz
SCADA System Security Guide: Strengthening Industrial Defenses with NIST and IEC 62443
Team Shieldworkz
The Gentlemen RaaS breach: What the leak reveals about modern cybercriminal operations
Shieldworkz Threat Research Team
OT Network Segmentation That Actually Works in Industrial Environments
Team Shieldworkz
Shadow warfare threatens India's energy sovereignty
Prayukth K V
