22 ejercicios de ciberseguridad listos para ejecutar — escenarios de amenazas ICS/OT, guías de discusión a nivel directivo, inyecciones sectoriales y herramientas de facilitación. Impulsado por los marcos CISA CTEP e inteligencia de amenazas OT/ICS.
Un actor de amenaza afiliado a un Estado-nación lleva a cabo una campaña de spear-phishing dirigida al personal de convergencia TI/OT. El movimiento lateral hacia redes OT resulta en acceso del adversario al HMI SCADA. Se intenta manipulación del proceso físico en sistemas de producción críticos.
Se detecta actividad de reconocimiento de VOLTZITE dirigida al subsector eléctrico. Una intrusión en los sistemas de gestión de energía a través de un proveedor externo comprometido escala hacia la posible disrupción de los controles de estabilidad de la red y los sistemas de automatización de subestaciones.
Una intrusión cibernética en una planta de manufactura química explota la frontera de convergencia TI/OT. El acceso del adversario a los sistemas de control distribuido (DCS) crea riesgo de manipulación no autorizada de procesos químicos, elusión de sistemas de seguridad y liberación de materiales peligrosos.
Actores de amenaza explotan vulnerabilidades de acceso remoto en el SCADA de una instalación hidroeléctrica para obtener control sobre los sistemas de gestión del flujo de agua. La manipulación no autorizada de controles de compuertas y gestión de turbinas presenta consecuencias catastróficas aguas abajo.
Un actor de amenaza obtiene acceso remoto a la red de Tecnología Operacional de una planta de tratamiento de agua. Los sistemas de dosificación química son atacados — la modificación no autorizada de los niveles de cloro representa un riesgo inmediato para la salud pública y activa protocolos de respuesta de emergencia multiagencia.
Un ciberataque coordinado dirigido a los sistemas de gestión de carga y Tecnología Operacional de un puerto importante interrumpe la automatización de grúas, el rastreo de embarcaciones (AIS) y los sistemas de acceso. La convergencia TI/OT en la infraestructura portuaria genera impactos físicos y cibernéticos simultáneos.
Un ataque sofisticado contra la infraestructura Industria 4.0 de una instalación de manufactura crítica compromete el SCADA de producción, los controladores de robótica y los sistemas de gestión de calidad. El adversario pivota desde una conexión VPN de proveedor OEM para lograr acceso persistente a OT.
Un afiliado de RansomHub despliega ransomware que comienza en TI corporativa pero se propaga a través de la frontera TI/OT. Los sistemas de producción se detienen. Los operadores enfrentan una decisión: continuar operaciones manuales con riesgo de seguridad o apagar todo mientras los atacantes exigen un rescate multimillonario.
Un proveedor de automatización OT de confianza es comprometido. Código malicioso incrustado en una actualización de software legítima se distribuye simultáneamente a 47 sitios clientes. La puerta trasera proporciona acceso persistente a redes OT en múltiples sectores de infraestructura crítica antes de ser detectada.
Un ingeniero de operaciones descontento con acceso privilegiado a sistemas OT es reclutado por un servicio de inteligencia extranjero. Durante 90 días, el infiltrado exfiltra topología de red, configuraciones SCADA y documentación SIS — proporcionando una hoja de ruta para un futuro ataque destructivo.
Una campaña DDoS sostenida de 96 horas ataca interfaces de gestión OT expuestas a internet, servidores historian y portales de monitoreo remoto. Combinado con secuestro selectivo de rutas BGP, los adversarios cortan la visibilidad de monitoreo remoto en activos distribuidos de infraestructura crítica.
Un paquete malicioso que se hace pasar por una biblioteca Python legítima utilizada en cadenas de herramientas de automatización industrial se descarga 14.000 veces antes de ser detectado. El paquete instala una shell inversa que permite acceso persistente a estaciones de trabajo de ingeniería conectadas a entornos OT.
Un contratista de defensa de Nivel 2 es vulnerado mediante spear-phishing. El adversario exfiltra esquemas OT, diagramas de red y datos técnicos controlados por ITAR durante 6 meses. La brecha solo se descubre cuando una alerta de inteligencia de amenazas del ISAC coincide con patrones de comportamiento.
Ransomware dirigido a sistemas empresariales hospitalarios se propaga a gestión de edificios, HVAC y dispositivos médicos conectados. Los monitores de pacientes de UCI pierden alarmas remotas. Las operaciones clínicas revierten a procedimientos manuales durante horas pico mientras los atacantes amenazan con publicar datos de pacientes.
Un ataque coordinado se dirige a los sistemas de procesamiento de transacciones y la red de cajeros automáticos de una importante institución financiera. Un DDoS simultáneo en portales bancarios y un compromiso de mensajería SWIFT generan disrupción para clientes mientras los adversarios intentan transferencias internacionales fraudulentas.
Un actor de Estado-nación ataca los sistemas de agricultura inteligente y automatización de producción de una corporación alimentaria. La manipulación de sistemas de dosificación de aditivos químicos y gestión de cadena de frío crea un incidente de salud pública que afecta millones de productos alimentarios distribuidos.
Un ataque coordinado contra proveedores de infraestructura de banda ancha rural corta la conectividad de 340.000 suscriptores, deshabilitando el monitoreo SCADA de activos OT remotos en los sectores de energía, agua y agricultura que dependen del backhaul celular y de fibra para visibilidad operacional.
Actores de amenaza comprometen los sistemas de gestión de edificios (BMS) en un complejo comercial de alta ocupación — HVAC, ascensores, control de acceso físico y supresión de incendios son manipulados. El ataque tiene como objetivo real un inquilino de infraestructura crítica que opera sistemas OT dentro de la instalación.
GRAPHITE ataca los sistemas SCADA de un buque de Producción, Almacenamiento y Descarga Flotante (FPSO) a través de un proveedor de automatización comprometido. La manipulación del historian de procesos enmascara comportamientos de producción anómalos mientras los adversarios se preposicionan en los Sistemas Instrumentados de Seguridad.
El CEO recibe una llamada a las 2AM: la producción se ha detenido en dos instalaciones. TI confirma ransomware. El equipo OT no puede confirmar la contención. La junta directiva quiere respuestas en 4 horas. Este ejercicio pone a prueba la toma de decisiones ejecutiva, la comunicación de crisis, la estrategia mediática y los plazos de notificación regulatoria.
Un ciberataque coordinado se dirige simultáneamente a la infraestructura OT de agua, gestión de tráfico y servicios de emergencia de una ciudad mediana. El ataque coincide con un evento de clima severo, complicando la respuesta y poniendo a prueba la coordinación interagencial bajo condiciones de doble crisis.
Un día cero en una plataforma SIEM empresarial ampliamente desplegada otorga al adversario acceso persistente a la red corporativa. Durante 72 horas el actor de amenaza pivota hacia dispositivos fronterizos OT. Los equipos de TI y OT luchan por coordinar la respuesta a través de cadenas de mando separadas y herramientas de seguridad distintas.