La contraseña "admin/admin" vuelve a las andadas: hackers dejan sin agua a toda una ciudad, pero hay un detalle...

Los especialistas de Forescout registraron en septiembre un ataque dirigido contra su servidor honeypot, que imitaba sistema de gestión de una planta de tratamiento de agua. La responsabilidad del hackeo la asumió el nuevo grupo hacktivista TwoNet, que opera en el entorno relacionado con ataques a infraestructuras industriales. Los miembros del grupo accedieron a la interfaz del operador, modificaron configuraciones, eliminaron fuentes de datos y dejaron fuera de servicio parte de los procesos, sin intentar tomar control del host. El objetivo fue demostrar la posibilidad de interferencia y luego difundir la afirmación de "impacto en un objeto real" en un canal de Telegram.

El ataque comenzó por la mañana desde una dirección IP registrada a nombre del proveedor de hosting alemán dataforest GmbH. El acceso al sistema se obtuvo usando las credenciales por defecto "admin/admin". Tras el acceso, los atacantes intentaron ejecutar consultas SQL para recopilar información sobre la estructura de las bases de datos y luego crearon una nueva cuenta con el nombre BARLATI. Varias horas después volvieron a entrar con ese usuario y reemplazaron el texto en la página de acceso, provocando una ventana emergente con la inscripción "HACKED BY BARLATI". Al mismo tiempo se eliminaron los controladores conectados, se cambiaron valores de parámetros y se desactivaron los registros y las alertas. Para sustituir el contenido de la página se aprovechó la vulnerabilidad CVE-2021-26829.

TwoNet apareció a principios de 2025 y rápidamente se hizo visible gracias a la combinación de declaraciones agresivas y actividad caótica. Inicialmente se especializaba en ataques DDoS, pero más tarde pasó a intentar interferir en sistemas de control de procesos industriales. En el canal de Telegram del grupo se publican capturas de pantalla y vídeos supuestamente procedentes de interfaces SCADA y HMI de distintas empresas. En las publicaciones se mencionan "hackeos" de paneles solares, sistemas de calefacción y calderas de biomasa en países europeos, pero no hay confirmación de esas afirmaciones. Muchas imágenes, como señalan los analistas, proceden de paneles demo de acceso público.

Las cuentas vinculadas a TwoNet, incluyendo BARLATI y DarkWarios, también ofrecían propuestas comerciales: alquiler de acceso a paneles de control, servicios DDoS e incluso la venta de un ransomware a precio inflado. Esto indica un intento de monetizar la atención y presentarse como una agrupación de mayor envergadura. En las semanas previas al cierre de los canales, los miembros del grupo afirmaron una alianza con otros equipos hacktivistas, incluyendo CyberTroops y OverFlame, lo que les permitió promocionarse mutuamente y crear la apariencia de una red amplia.

Los especialistas señalan que en sus honeypots también se registraron otros ataques contra controladores industriales y protocolos Modbus, a menudo desde direcciones europeas y de Oriente Medio. En un caso los atacantes usaron contraseñas por defecto y luego explotaron la vulnerabilidad CVE-2021-26828 para implantar una webshell y obtener acceso a la configuración del HMI. En otro episodio se detectaron intentos coordinados de cambiar parámetros de PLC mediante Modbus y S7, lo que potencialmente podría haber detenido procesos en sistemas reales.

El análisis realizado mostró que los atacantes usan herramientas estándar —Metasploit y scripts preparados—, y la naturaleza de sus acciones apunta a control manual y conocimientos básicos de los protocolos industriales. Tales ataques con frecuencia se realizan sin escaneo previo y suelen dirigirse a dispositivos expuestos a Internet sin protección.

Según Forescout, la tendencia de los grupos hacktivistas hacia objetivos industriales se está intensificando. Aunque los supuestos hackeos no se confirmen, muestran la dirección del interés y la posibilidad de que se repitan ataques contra objetivos reales. Especialmente vulnerables son las empresas de suministro de agua y del sector energético, donde el acceso a las interfaces de operadores o a los controladores a menudo no requiere autenticación y el registro y la supervisión se realizan de forma selectiva.

Los especialistas recomiendan a los propietarios de sistemas de control eliminar la autenticación débil y el uso de contraseñas por defecto, no exponer las interfaces directamente en Internet, segmentar estrictamente las redes de TI y OT, restringir el acceso a los puertos administrativos mediante listas de IP y aplicar monitorización con inspección profunda de paquetes capaz de rastrear comandos Modbus y S7. También es importante vigilar el tráfico saliente para evitar que los dispositivos se usen en ataques distribuidos.

El hacktivismo, según las observaciones de Forescout, se está convirtiendo en una arena donde el ciberprestigio importa más que el resultado. Los grupos desaparecen, cambian de nombre y vuelven a aparecer, pero sus miembros y métodos permanecen. Por eso el análisis de honeypots se vuelve una herramienta clave para entender hacia dónde se dirigen las nuevas oleadas de ataques contra la infraestructura industrial.