Agencias federales de Estados Unidos emitieron una alerta conjunta sobre ataques en curso contra sistemas automáticos de medición de tanques de combustibles (ATG) conectados a Internet. Datos de Shadowserver identificaron más de mil dispositivos expuestos en el mundo, los cuales son utilizados en sectores de infraestructura crítica.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de los Estados Unidos (CISA), junto con el FBI, la NSA, el Departamento de Energía, la EPA, la TSA, el Departamento de Transporte y el Departamento de Agricultura, emitieron una advertencia conjunta sobre actividad maliciosa dirigida a sistemas automáticos de medición de tanques de almacenamiento de combustibles (ATG) accesibles desde Internet. Estos dispositivos son utilizados para monitorear combustible, productos químicos y otros líquidos almacenados en instalaciones pertenecientes a sectores considerados infraestructura crítica.
Según el aviso oficial, las organizaciones participantes observaron ataques contra sistemas expuestos que posteriormente fueron modificados mediante ejecución de comandos. Las autoridades señalaron que “la reciente actividad cibernética maliciosa observada por las organizaciones autoras —que el gobierno de Estados Unidos aún no ha atribuido a un Estado nación o grupo de actores de amenazas específico— implica que actores de amenazas cibernéticas comprometen sistemas ATG expuestos a Internet y posteriormente los modifican mediante ejecución de comandos”.
Los ATG son empleados ampliamente en estaciones de servicio, instalaciones industriales, hospitales, bases militares y otras organizaciones para supervisar niveles de almacenamiento, temperatura de tanques y posibles fugas. De acuerdo con la alerta, los atacantes están aprovechando debilidades como credenciales predeterminadas o codificadas, vulnerabilidades de evasión de autenticación, inyección SQL, ejecución de comandos del sistema operativo y fallas de escalamiento de privilegios.
Las agencias indicaron que una intrusión exitosa podría permitir la modificación de parámetros operativos críticos, incluidos volúmenes de combustible, configuraciones de red, controles de bombas e identificadores de productos. Asimismo, advirtieron que los atacantes podrían desactivar mecanismos de alerta utilizados para detectar fugas o condiciones anómalas, afectando la capacidad de monitoreo de los operadores.
Tras la publicación del aviso, la Fundación Shadowserver incorporó los sistemas ATG a sus reportes de dispositivos industriales expuestos en Internet. La organización informó que “hemos añadido el escaneo de sistemas automáticos de medición de tanques (ATG) a nuestros reportes de ICS accesibles, con 1.061 direcciones IP detectadas el 5 de junio de 2026”. Según los datos publicados por la organización al momento de esta publicación, 1.044 de esos dispositivos se encontraban en Estados Unidos. En América Latina solo se verificaban 19 casos en Brasil y uno en Chile.
Las autoridades federales no atribuyeron oficialmente la actividad a ningún grupo específico. Sin embargo, la advertencia se produjo semanas después de reportes que describieron incidentes contra sistemas ATG en estaciones de servicio estadounidenses. En esos casos, atacantes lograron modificar lecturas visibles en los sistemas, aunque no se informó alteración de los niveles reales de combustible.
Como medida de mitigación, el gobierno estadounidense recomendó eliminar la exposición directa de estos dispositivos a Internet y restringir el acceso remoto mediante cortafuegos, redes privadas virtuales o listas de control de acceso. Además, instó a reemplazar contraseñas predeterminadas, aplicar actualizaciones de seguridad, monitorear cambios no autorizados y habilitar autenticación multifactor cuando sea posible.
La alerta también destaca que estos sistemas continúan siendo un objetivo atractivo debido a su prolongado ciclo de vida operativo y a la existencia de vulnerabilidades conocidas en distintos modelos utilizados en entornos industriales y energéticos.