Hackeamos gasolineras en vivo.
No en un laboratorio. No en una simulación. No en un entorno controlado con servidores de prueba. En vivo. Gasolineras reales. Operando. Con combustible en los tanques, con sistemas de refrigeración funcionando, con clientes cargando gasolina mientras nosotros estábamos mirando los paneles de control de sus sistemas industriales desde una laptop a cientos de kilómetros de distancia.
Digo «nosotros» porque esto fue un trabajo colaborativo con Rafael Bucio, uno de los investigadores de seguridad más respetados de la región, fundador de la empresa de ciberseguridad TPX y ponente habitual en conferencias como DragonJAR — el evento de seguridad informática más importante de habla hispana. Lo que hicimos fue investigación de seguridad. Divulgación responsable. Lo que se conoce en el mundo del hacking ético como responsible disclosure. Encontramos las vulnerabilidades, las documentamos, las reportamos a quien tenía que saberlas y las presentamos en conferencias de seguridad para que la industria tomara conciencia.
Pero la conciencia no se tradujo en acción. Y eso es lo que me preocupa. Porque lo que encontramos no era una vulnerabilidad teórica. No era un escenario hipotético de un paper académico. Era acceso real a sistemas que controlan infraestructura que puede matar gente si se manipula incorrectamente.
Eso es lo que voy a documentar en este artículo. No para dar instrucciones de cómo hacerlo — no voy a publicar IPs, no voy a publicar credenciales, no voy a publicar pasos reproducibles. Voy a documentar lo que encontramos, por qué lo encontramos, qué significa para la seguridad de la infraestructura crítica de México y qué debería estar haciéndose al respecto.
Empresario gasolinero que me lee: lo que sigue debería preocuparte. Profundamente.
Regulador de energía que me lee: lo que sigue debería avergonzarte. Profundamente.
IT vs. OT: la frontera que no debería cruzarse y que está abierta de par en par
Antes de entrar en los hallazgos, necesito explicar un concepto que es fundamental para entender la gravedad de lo que encontramos: la diferencia entre redes IT y redes OT.
Las redes IT — Information Technology — son las que todos conocemos. Las computadoras de la oficina. El correo electrónico. El ERP. La base de datos de clientes. El WiFi. Son las redes que procesan información. Si las hackeas, robas datos. Es grave, pero es información. Se puede recuperar. Se puede remediar. Se puede contener.
Las redes OT — Operational Technology — son diferentes. Son las redes que controlan procesos físicos. Las que mueven máquinas. Las que abren válvulas. Las que regulan temperaturas. Las que monitorean niveles de líquidos y gases. Las que controlan sistemas de refrigeración, sistemas de bombeo, sistemas de ventilación, sistemas de seguridad contra incendios. Son las redes que conectan sensores, actuadores y controladores industriales.
Si hackeas una red IT, robas datos.
Si hackeas una red OT, mueves cosas. Abres válvulas. Apagas refrigeración. Alteras lecturas de sensores. Causas daños físicos. Potencialmente matas gente.
En la industria, las redes IT y las redes OT deberían estar separadas. Completamente. Físicamente. Sin ninguna conexión entre ellas. Es el principio más básico de seguridad industrial: el mundo de la información y el mundo de las operaciones físicas no se tocan. Un atacante que entre a la red IT puede robar correos. Un atacante que entre a la red OT puede causar una explosión.
La separación entre IT y OT es una cuestión de seguridad de vida. No es una recomendación. Es un principio de ingeniería que se escribe con sangre — la sangre de los incidentes industriales que ocurrieron cuando esa separación no existía.
Lo que encontramos en las gasolineras mexicanas es que esa separación no existía. Las redes OT — los sistemas que controlan los procesos físicos de la gasolinera — estaban conectadas a internet. Directamente. Sin firewall industrial. Sin segmentación. Sin nada entre el sistema de control y cualquier persona con conexión a internet que supiera dónde buscar.
MassScan: así se encuentra una gasolinera vulnerable en 45 minutos
MassScan, como expliqué en el post anterior, es un escáner de puertos capaz de barrer todo el espacio IPv4 en minutos. Es open source. Es legal. Es la herramienta que cualquier investigador de seguridad — y cualquier atacante — tiene en su arsenal básico.
Lo que hicimos fue lo siguiente: identificamos los puertos típicos de los sistemas de control industrial que se usan en gasolineras. Los sistemas de monitoreo de tanques — que miden el nivel de combustible, la temperatura y la presión en los tanques subterráneos — tienen protocolos específicos que corren en puertos específicos. Los sistemas SCADA — Supervisory Control and Data Acquisition, los sistemas que permiten monitorear y controlar procesos industriales de forma remota — usan protocolos como Modbus (puerto 502), DNP3 (puerto 20000), y varios protocolos propietarios de los fabricantes de equipos industriales.
Ejecutamos MassScan contra los rangos de IP asignados a México, buscando esos puertos. Y lo que encontramos fue una lista de direcciones IP que respondían en esos puertos. Direcciones IP que, al investigarlas, correspondían a sistemas de monitoreo de tanques en gasolineras reales.
No tuvimos que hackear nada para encontrarlas. Solo tuvimos que preguntar: «Oye, internet, ¿hay alguien escuchando en el puerto 10001?» Y la respuesta fue: «Sí, aquí estoy. Soy un sistema de monitoreo de tanques de combustible Guardian AST de una gasolinera en Querétaro. ¿Cómo te puedo ayudar?»
Estoy simplificando, pero la mecánica es literalmente esa. Los sistemas estaban expuestos a internet, respondiendo a conexiones, sin autenticación, sin cifrado, sin nada. Como una puerta abierta con un letrero que dice «pase usted.»
Lo que encontramos: el inventario del desastre
Voy a documentar los hallazgos en categorías porque el patrón se repitió en múltiples gasolineras. No fue un caso aislado. Fue un problema sistémico.
Sistemas de monitoreo de tanques expuestos
Los sistemas de monitoreo de tanques son dispositivos que se instalan en los tanques subterráneos de las gasolineras para medir el nivel de combustible, la temperatura, la presión y detectar fugas. Son fundamentales para la operación segura de la gasolinera. Si el nivel de combustible es demasiado bajo, la bomba puede trabajar en seco y dañarse. Si la temperatura sube demasiado, hay riesgo de incendio o explosión. Si hay una fuga, hay riesgo ambiental y de seguridad.
Estos sistemas tienen una interfaz de administración que permite leer los datos de los sensores, configurar alarmas y, en algunos modelos, ejecutar acciones sobre el equipo — como apagar bombas o activar alarmas.
Lo que encontramos es que decenas de estos sistemas estaban accesibles desde internet. Sin contraseña. O con contraseña de fábrica. Podíamos ver en tiempo real el nivel de combustible en cada tanque, la temperatura, el historial de entregas, el volumen vendido. Podíamos ver cuándo había llegado la última pipa de combustible y cuánto había descargado.
Esa información, por sí sola, ya es sensible. Un competidor podría monitorear las ventas de una gasolinera rival en tiempo real. Un criminal podría saber exactamente cuándo la gasolinera recibe combustible y planificar un robo. Un extorsionador podría demostrar que tiene acceso a los sistemas de la gasolinera y exigir pago.
Pero eso no era lo más grave.
Acceso a controles operativos
En algunos de los sistemas que encontramos, no solo podíamos leer datos. Podíamos escribir. Podíamos modificar configuraciones. Podíamos cambiar los umbrales de alarma — hacer que el sistema no alarme cuando la temperatura sube a niveles peligrosos. Podíamos alterar las lecturas de los sensores — hacer que el sistema reporte un nivel de combustible diferente al real. Podíamos interactuar con los controles de los equipos conectados al sistema de monitoreo.
Entiéndase la gravedad: no estoy hablando de robar información. Estoy hablando de manipular los controles físicos de una instalación que almacena miles de litros de combustible inflamable.
Un atacante con acceso a esos controles podría:
Desactivar las alarmas de temperatura. Si la temperatura en un tanque sube por encima de los límites seguros y la alarma está desactivada, el personal de la gasolinera no se entera. Y dependiendo de las condiciones, una temperatura no controlada en un tanque de combustible puede tener consecuencias catastróficas.
Alterar las lecturas de nivel. Si el sistema reporta que el tanque está lleno cuando en realidad está casi vacío, la bomba puede trabajar en seco. Si reporta que está vacío cuando en realidad está lleno, puede provocarse un sobrellenado durante la siguiente entrega de combustible. Un sobrellenado de un tanque de gasolina subterráneo causa un derrame que puede contaminar suelos y mantos freáticos.
Manipular los sistemas de recuperación de vapores. Las gasolineras modernas tienen sistemas que capturan los vapores de combustible durante la carga de tanques para evitar que se liberen a la atmósfera. Esos vapores son inflamables. Si el sistema de recuperación se desactiva remotamente y los vapores se acumulan en un espacio confinado, una chispa puede causar una explosión.
Apagar los sistemas de refrigeración. Esto fue uno de los hallazgos más críticos. En gasolineras que manejan GLP (gas licuado de petróleo), los sistemas de refrigeración mantienen el gas a una temperatura que lo mantiene en estado líquido. Si la refrigeración se apaga, el líquido se gasifica, la presión aumenta y las válvulas de seguridad se activan — si funcionan. Si no funcionan, o si han sido manipuladas, la sobrepresión puede causar una falla mecánica del tanque.
Todo esto era accesible desde internet. Desde cualquier lugar del mundo. Con una conexión a internet y las credenciales de fábrica que el fabricante publica en su manual de usuario — un manual que está disponible como PDF en la página web del fabricante, descargable por cualquiera.
Protocolos industriales sin autenticación
Los protocolos que usan estos sistemas — Modbus, DNP3, BACnet, entre otros — fueron diseñados en los años 70 y 80, cuando las redes industriales eran circuitos cerrados que no tenían ninguna conexión con el mundo exterior. No fueron diseñados para internet. No tienen autenticación nativa. No tienen cifrado. No tienen control de acceso.
Modbus, por ejemplo, es un protocolo de comunicación serial que permite a un dispositivo maestro leer y escribir registros en dispositivos esclavos. No tiene usuario. No tiene contraseña. No tiene sesión. Si puedes enviar un paquete Modbus a un dispositivo que habla Modbus, puedes leer y escribir cualquier registro del dispositivo. Así de simple. Así de peligroso.
Cuando estos protocolos se usaban en redes cerradas — en un cable serial que conectaba un PLC con un HMI dentro de la planta, sin conexión a nada externo — la falta de autenticación no era un problema grave. El único que podía enviar un paquete Modbus era el que tenía acceso físico al cable.
Pero cuando esos mismos protocolos se exponen a internet — cuando el cable serial se reemplaza por una conexión TCP/IP accesible desde cualquier lugar del mundo — la falta de autenticación se convierte en una puerta abierta para cualquier atacante.
Y eso es exactamente lo que encontramos. Protocolos industriales diseñados para redes cerradas, expuestos a internet abierto, sin ninguna capa de seguridad adicional.
El caso DragonJAR: la presentación que debería haber cambiado todo
Rafael Bucio presentó estos hallazgos en DragonJAR, la conferencia de seguridad informática más importante de habla hispana. La presentación fue pública. Fue documentada. Fue reportada por medios de comunicación. Incluía demostraciones en vivo de acceso a sistemas de gasolineras reales.
La audiencia — profesionales de ciberseguridad de toda América Latina — reaccionó con una mezcla de fascinación técnica y preocupación genuina. Los que sabíamos de seguridad industrial entendíamos la gravedad. No era un CTF. No era un ejercicio académico. Era infraestructura crítica real, vulnerable, operando, con clientes abasteciendo combustible mientras nosotros veíamos los paneles de control.
Después de la presentación, se hizo divulgación responsable. Se notificó a los operadores de las gasolineras afectadas. Se notificó a los fabricantes de los sistemas de monitoreo. Se notificó a las autoridades pertinentes.
Y lo que pasó después fue lo que siempre pasa en México cuando se reportan vulnerabilidades en infraestructura crítica: muy poco. Algunas gasolineras cerraron los puertos. Otras cambiaron las credenciales. Muchas no hicieron nada. Y el problema sistémico — la razón por la cual esas gasolineras estaban vulnerables en primer lugar — sigue sin resolverse.
Porque el problema no es que una gasolinera tenga un puerto abierto. El problema es que no existe un marco regulatorio que exija a las gasolineras cumplir con estándares mínimos de ciberseguridad en sus sistemas de control industrial. No existe una autoridad que audite esos sistemas. No existe una consecuencia para el operador que deja sus sistemas SCADA expuestos a internet con contraseñas de fábrica.
En Estados Unidos, la TSA (Transportation Security Administration) emitió directivas de ciberseguridad para operadores de ductos de petróleo y gas después del ataque de ransomware a Colonial Pipeline en 2021. CISA (Cybersecurity and Infrastructure Security Agency) publica alertas y asesoría para sectores de infraestructura crítica. NERC-CIP establece estándares obligatorios de ciberseguridad para el sector eléctrico. Hay regulación. Hay auditorías. Hay consecuencias.
En México, las gasolineras operan sistemas de control industrial conectados a internet con contraseñas de fábrica y no pasa nada. No hay regulación de ciberseguridad específica para el sector. No hay auditorías. No hay consecuencias.
Stuxnet no fue ciencia ficción: el precedente que México ignora
Para quien piense que el hackeo de infraestructura crítica es teoría, que es algo que «solo pasa en las películas,» necesito recordar un caso que cambió la historia de la ciberseguridad global.
En 2010, se descubrió Stuxnet. Un malware diseñado específicamente para atacar centrífugas de enriquecimiento de uranio en la planta nuclear de Natanz, en Irán. Stuxnet fue un arma cibernética — probablemente desarrollada por Estados Unidos e Israel — que se infiltró en los PLCs (Programmable Logic Controllers) de Siemens que controlaban las centrífugas. El malware alteraba la velocidad de rotación de las centrífugas, haciéndolas girar demasiado rápido o demasiado lento, dañándolas físicamente. Y al mismo tiempo, le mostraba a los operadores lecturas normales en sus pantallas, para que no detectaran el ataque.
Stuxnet destruyó aproximadamente 1,000 centrífugas. Retrasó el programa nuclear de Irán años. Y fue el primer caso documentado de un ataque cibernético que causó destrucción física de equipos industriales.
Stuxnet requirió un nivel de sofisticación extraordinario. Fue desarrollado por estados-nación con presupuestos ilimitados y acceso a equipos industriales idénticos a los del objetivo para probar el malware antes de desplegarlo.
Lo que encontramos en las gasolineras mexicanas no requiere esa sofisticación. Ni remotamente. Stuxnet tuvo que superar airgaps — redes desconectadas de internet — mediante unidades USB infectadas. Nosotros encontramos los sistemas de control directamente en internet. Stuxnet tuvo que explotar múltiples vulnerabilidades zero-day para propagarse. Nosotros entramos con contraseñas de fábrica. Stuxnet tuvo que ocultar su presencia de los operadores modificando las lecturas de los instrumentos. Nosotros podíamos modificar las lecturas directamente desde la interfaz de administración web.
Lo que tomó un equipo de inteligencia de una superpotencia años de desarrollo para lograr contra el programa nuclear iraní, un adolescente con MassScan y Google podría replicar contra una gasolinera mexicana en una tarde.
Esa es la escala de la vulnerabilidad. Esa es la magnitud del riesgo. Y esa es la razón por la cual esto debería estar en la agenda de seguridad nacional de México.
El problema de la cadena de suministro: quién instala estos sistemas
Para entender por qué la situación es tan grave, hay que entender cómo se instalan los sistemas de control industrial en las gasolineras mexicanas.
El operador de la gasolinera no compra el sistema de monitoreo de tanques y lo instala él mismo. Contrata a un integrador de sistemas — una empresa que se especializa en instalar y configurar equipo industrial. El integrador instala el equipo, lo conecta a la red y lo configura.
Aquí está el problema: muchos integradores no son especialistas en ciberseguridad. Son especialistas en control industrial. Saben conectar sensores a PLCs. Saben configurar HMIs. Saben hacer que el sistema mida correctamente el nivel de combustible en el tanque. Pero no saben — o no les importa — de ciberseguridad.
El integrador necesita acceso remoto al sistema para hacer mantenimiento, actualizaciones y soporte técnico. En lugar de configurar una VPN, un túnel seguro o un acceso con autenticación multifactor, hace lo más fácil: abre un puerto en el router de la gasolinera y apunta el tráfico directamente al sistema de control. Puerto 80 para la interfaz web. Puerto 502 para Modbus. Puerto 10001 para el protocolo propietario del sistema de monitoreo. Todo abierto. Todo sin cifrar. Todo con las credenciales de fábrica.
El integrador termina la instalación. Se va. El operador de la gasolinera firma la aceptación del trabajo. Y el sistema queda expuesto a internet para siempre. Porque nadie lo revisa. Nadie lo audita. Nadie verifica que la configuración sea segura.
Ese patrón no es exclusivo de México. Se repite en toda Latinoamérica. Se repite en todo el mundo. Pero en países con regulación de ciberseguridad industrial, eventualmente alguien lo detecta y lo corrige — porque hay una auditoría, porque hay un requisito regulatorio, porque hay una aseguradora que lo exige. En México, no hay ninguno de esos mecanismos para el sector gasolinero.
Lo que debería existir y no existe
Si México tomara en serio la ciberseguridad de su infraestructura energética, lo mínimo indispensable sería:
Regulación de ciberseguridad para infraestructura crítica. Una norma que establezca requisitos mínimos de ciberseguridad para sistemas de control industrial en gasolineras, plantas de procesamiento, ductos, terminales de almacenamiento y cualquier instalación que maneje combustibles o materiales peligrosos. Requisitos específicos: segmentación de redes IT y OT, prohibición de exponer protocolos industriales a internet, cambio obligatorio de credenciales de fábrica, cifrado de comunicaciones, monitoreo de accesos, pruebas de penetración periódicas.
Autoridad con capacidad de auditoría. Un organismo — puede ser la CRE (Comisión Reguladora de Energía), puede ser una entidad nueva, puede ser una extensión de CERT-MX — que tenga la autoridad legal y la capacidad técnica para auditar la ciberseguridad de las instalaciones de infraestructura crítica. No auditorías de papel. Auditorías técnicas. Con escaneos de puertos. Con pruebas de penetración. Con verificación de configuraciones.
Requisitos para integradores de sistemas. Los integradores que instalan y configuran sistemas de control industrial en infraestructura crítica deberían estar obligados a cumplir con estándares de ciberseguridad. La instalación de un sistema de monitoreo de tanques con contraseñas de fábrica y puertos abiertos a internet debería tener consecuencias. Profesionales, legales y regulatorias.
Programa de divulgación de vulnerabilidades. Un canal oficial, seguro y protegido legalmente para que investigadores de seguridad reporten vulnerabilidades en infraestructura crítica sin miedo a ser perseguidos. En el estado actual de las cosas, un investigador que encuentra una gasolinera vulnerable en México tiene un dilema: si la reporta, corre el riesgo de que el operador lo denuncie por acceso no autorizado. Si no la reporta, la vulnerabilidad sigue ahí para que un atacante real la explote. Ese dilema no debería existir. La divulgación responsable debería estar protegida por ley.
Respuesta a incidentes para sistemas OT. La mayoría de los equipos de respuesta a incidentes de ciberseguridad en México — los pocos que existen — están entrenados para incidentes en redes IT. Saben responder a un ransomware en un servidor Windows. Saben investigar una filtración de base de datos. Pero no saben responder a un incidente en un PLC de Siemens o en un sistema de monitoreo de tanques de combustible. Se necesitan equipos especializados en respuesta a incidentes en sistemas OT. Y se necesitan antes de que los incidentes ocurran, no después.
Nada de esto existe hoy. Y mientras no exista, las gasolineras de México seguirán siendo blancos fáciles.
El escenario que nadie quiere imaginar
Voy a construir un escenario. No el peor caso posible. Un caso plausible. Un caso basado en las vulnerabilidades que documentamos.
Un grupo de cibercrimen — no un estado-nación, no un grupo de hackers elite, un grupo criminal común con capacidad técnica moderada — ejecuta MassScan contra los rangos de IP de México buscando puertos de sistemas de control industrial. Encuentra docenas de gasolineras con sistemas de monitoreo expuestos. Entra con credenciales de fábrica.
El grupo no quiere causar una explosión. No le interesa el terrorismo. Le interesa el dinero.
Fase 1: Reconocimiento. El grupo monitorea los sistemas de varias gasolineras durante semanas. Aprende los patrones de operación. Sabe cuándo reciben combustible. Sabe cuánto venden al día. Sabe cuáles son las gasolineras más grandes, las que mueven más volumen, las que tienen más que perder.
Fase 2: Demostración. El grupo selecciona una gasolinera y altera las lecturas de los sensores de nivel. El sistema reporta que los tanques están vacíos cuando están llenos. Las bombas se detienen automáticamente. La gasolinera deja de vender. El operador llama al integrador. El integrador no entiende qué pasa. Se pierde un día de ventas.
Fase 3: Extorsión. El grupo contacta al operador de la gasolinera. Le demuestra que tiene acceso a los sistemas de control. Le dice: «Páganos X cantidad o apagamos tus sistemas otra vez. Y la próxima vez, no solo vamos a alterar las lecturas. Vamos a desactivar las alarmas de seguridad.»
Es ransomware industrial. No ransomware de datos — ransomware de operaciones físicas. No cifran archivos. Secuestran el control de la instalación.
No necesito inventar este escenario. Variantes de este ataque ya han ocurrido en otros países. En 2021, un atacante intentó alterar los niveles de químicos en el sistema de tratamiento de agua de Oldsmar, Florida. En 2023, el grupo hacktivista CyberAv3ngers — vinculado a Irán — atacó controladores industriales de Unitronics en sistemas de agua en Estados Unidos. Los ataques a infraestructura crítica a través de sistemas de control industrial no son teoría. Son realidad operativa.
Y las gasolineras de México están menos protegidas que los sistemas de agua de una ciudad pequeña en Florida.
Lo que necesita saber cada persona que lee esto
Operador de gasolinera: llame a su integrador de sistemas y pregunte si sus sistemas de monitoreo de tanques están accesibles desde internet. Si la respuesta es sí — o si la respuesta es «no sé» — tiene un problema. Pida que se cierren todos los puertos innecesarios en el router. Pida que se cambien todas las contraseñas de fábrica. Pida que el acceso remoto se haga a través de una VPN, no a través de puertos abiertos. Pida una auditoría de ciberseguridad de sus sistemas OT. Y si su integrador no sabe qué es una VPN o no entiende por qué un puerto abierto es un problema, cambie de integrador.
Integrador de sistemas industriales: la forma en que la industria ha instalado sistemas de control industrial durante 20 años — puertos abiertos, credenciales de fábrica, acceso remoto sin cifrar — ya no es aceptable. Los sistemas que usted instala están en internet. Y en internet hay atacantes. Si usted instala un sistema con credenciales de fábrica y acceso directo desde internet, usted está creando la vulnerabilidad. Capacítese en ciberseguridad industrial. IEC 62443 es el estándar. Aprenda a implementarlo.
Regulador de energía: la CRE regula la operación de gasolineras. Regula calidad de combustible. Regula medición. Regula seguridad física. Pero no regula ciberseguridad de los sistemas de control. Eso tiene que cambiar. Si un operador de gasolinera puede perder el permiso por tener un extintor vencido, debería poder perderlo por tener sus sistemas SCADA expuestos a internet sin contraseña. Ambas cosas son riesgos de seguridad. La diferencia es que el extintor protege un área. Los sistemas SCADA comprometidos pueden afectar toda la instalación.
Legislador que está trabajando en temas de ciberseguridad: México necesita una ley de ciberseguridad para infraestructura crítica. No una ley genérica de ciberseguridad que mencione infraestructura crítica en un párrafo. Una ley específica, con estándares técnicos definidos, con autoridad de auditoría, con consecuencias reales para el incumplimiento y con protección legal para los investigadores que reportan vulnerabilidades de forma responsable.
Hackeamos gasolineras en vivo. No para demostrar que somos capaces. Para demostrar que cualquiera es capaz. Esa es la diferencia que importa.
Las vulnerabilidades que encontramos no requerían herramientas sofisticadas. No requerían exploits de día cero. No requerían presupuesto. Requerían MassScan, un navegador web y las credenciales de fábrica que están publicadas en el manual del fabricante.
Si nosotros lo hicimos como investigación, alguien más puede hacerlo como ataque. La herramienta es la misma. La intención es la única diferencia. Y la intención no es algo que se pueda controlar con un firewall.
Lo que se puede controlar es la superficie de ataque. Cerrar puertos. Cambiar contraseñas. Segmentar redes. Auditar sistemas. Exigir estándares. Hacer que la ciberseguridad de infraestructura crítica sea una obligación, no una sugerencia.
Porque cuando una gasolinera explota por un incidente de seguridad física, investigamos qué falló. Cuando una gasolinera sea atacada a través de sus sistemas de control industrial — y va a pasar, es cuestión de cuándo, no de si –, vamos a investigar qué falló. Y la respuesta va a ser la misma que estamos documentando hoy: todo. Todo falló. Porque nada estaba protegido.