O cenário mais comum nas indústrias brasileiras

O técnico de automação instalou o CLP, comissionou o sistema, e precisava acessar remotamente para manutenção. A solução mais rápida? Plugou o CLP direto na rede de escritório. Afinal, já tinha internet. Assim ficou. Para sempre.

Esse cenário se repete em fábricas, frigoríficos, agroindustriais e até em data centers por todo o Brasil. O CLP está na mesma rede que o computador do RH, o notebook do gerente e o celular conectado ao Wi-Fi corporativo. Qualquer dispositivo comprometido nessa rede tem acesso direto ao sistema de controle industrial.

// Dado real

O mecanismo de busca Shodan indexa dispositivos conectados à internet. Em 2024, mais de 50.000 dispositivos com protocolo Modbus TCP estavam expostos diretamente na internet, sem autenticação. Parte deles no Brasil.

Por que CLPs são alvos fáceis

Protocolos industriais foram projetados para eficiência e velocidade — não para segurança. Essa é a raiz do problema.

Modbus TCP — sem autenticação nenhuma

O Modbus foi criado em 1979 para comunicação serial em ambientes fechados. Sua versão TCP/IP manteve a mesma filosofia: qualquer dispositivo na rede pode ler e escrever registros no CLP sem precisar se autenticar. Isso significa que qualquer máquina comprometida na rede pode enviar comandos diretamente para o equipamento de controle.

EtherNet/IP e PROFINET — melhor, mas longe de seguro

Protocolos mais modernos como EtherNet/IP (porta 44818) e PROFINET têm mais recursos, mas também carecem de criptografia nativa na maioria das implementações. A autenticação, quando existe, é frequentemente desabilitada para "facilitar a manutenção".

Firmware desatualizado

CLPs industriais têm ciclo de vida de 15 a 25 anos. Vulnerabilidades descobertas nos primeiros anos raramente recebem patch — o fabricante descontinuou o suporte, o técnico não sabe atualizar, ou a atualização exige parada de produção que "não pode ser agendada agora". O equipamento fica vulnerável por décadas.

O que acontece quando exploram um CLP

Não é teoria. Os casos mais impactantes da história da segurança cibernética envolvem sistemas industriais:

Stuxnet (2010)

O primeiro cyberweapon direcionado a infraestrutura física. Atacou especificamente CLPs Siemens S7-315 que controlavam centrífugas de enriquecimento de urânio no Irã. O malware alterou sutilmente a velocidade das centrífugas enquanto reportava operação normal para os operadores. Destruiu 1.000 centrífugas sem disparar um único alarme. Levou anos para ser descoberto.

Colonial Pipeline (2021)

Ransomware comprometeu a rede corporativa de TI da maior operadora de oleodutos dos EUA. Por precaução, a empresa desligou manualmente os sistemas OT. Resultado: falta de combustível em 17 estados, filas em postos, preço do petróleo subindo. Seis dias de paralisação. Resgate de US$ 4,4 milhões pago.

Estação de tratamento de água na Flórida (2021)

Um atacante acessou remotamente o sistema SCADA de uma estação de tratamento de água em Oldsmar, Flórida, e aumentou a concentração de hidróxido de sódio de 111 ppm para 11.100 ppm — 100 vezes acima do limite seguro. Um operador viu o cursor se mover na tela e reverteu a tempo. O acesso era via TeamViewer sem autenticação de dois fatores.

// Reflexão

Os três casos têm um denominador comum: a rede de controle não estava isolada da rede corporativa ou da internet. A segurança física da planta era rigorosa. A segurança digital era inexistente.

Como identificar se sua planta está vulnerável

Você não precisa de um pentester para fazer um diagnóstico inicial. Responda estas perguntas:

  • Seus CLPs e IHMs estão na mesma rede que computadores de escritório?
  • Existe acesso remoto ao sistema SCADA via VPN? Essa VPN exige autenticação de dois fatores?
  • O firmware dos seus CLPs foi atualizado alguma vez desde a instalação?
  • Existe algum firewall ou regra de filtragem entre a rede OT e a rede corporativa?
  • Alguém na empresa sabe listar quais dispositivos estão conectados à rede de controle?

Se a resposta para qualquer uma dessas perguntas te deixou desconfortável, o risco é real e mensurável.

As três correções de maior impacto com menor custo

1. Segmentação de rede — VLANs

Criar uma VLAN dedicada para a rede OT, separada da rede corporativa, é a medida de maior custo-benefício. Não exige substituição de hardware na maioria dos casos — apenas configuração nos switches gerenciáveis. Custo: zero em equipamento novo, horas de configuração e teste.

2. Firewall industrial no perímetro IT/OT

Um firewall entre as redes IT e OT define exatamente quais comunicações são permitidas entre os ambientes. Apenas o necessário passa — o resto é bloqueado por padrão. Ferramentas como pfSense/OPNsense (open source) ou firewalls industriais dedicados (Fortinet, Cisco, Check Point) cumprem esse papel.

3. Desabilitar protocolos e portas não utilizados

Muitos CLPs têm serviços habilitados por padrão que nunca são usados: servidor web interno, FTP, Telnet. Cada serviço ativo é uma superfície de ataque. Mapear e desabilitar o que não é necessário leva poucas horas e elimina vetores inteiros de ataque.

A Bonvolts faz diagnóstico completo de exposição OT — mapeamento de ativos, análise de vulnerabilidades e plano de correção com documentação técnica.

Falar com a Bonvolts →
OT Security CLP SCADA Segurança Industrial Modbus Automação