Estados Unidos dice que los ciberataques contra el suministro de agua están aumentando y que las empresas de servicios públicos deben hacer más para detenerlos
La Agencia de Protección Ambiental advierte que los ciberataques contra empresas de agua en los EE. UU. son cada vez más frecuentes y graves
WASHINGTON – Los ataques cibernéticos contra empresas de agua en todo el país se están volviendo más frecuentes y más severos, advirtió el lunes la Agencia de Protección Ambiental al emitir una alerta de cumplimiento instando a los sistemas de agua a tomar acciones inmediatas para proteger el agua potable del país.
Alrededor del 70% de los servicios públicos inspeccionados por funcionarios federales durante el último año violaron estándares destinados a evitar violaciones u otras intrusiones, dijo la agencia. Los funcionarios instaron incluso a los sistemas de agua pequeños a mejorar la protección contra los ataques. Los recientes ciberataques perpetrados por grupos afiliados a Rusia e Irán se han dirigido a comunidades más pequeñas.
Algunos sistemas de agua están fallando en aspectos básicos, según la alerta, incluyendo no cambiar las contraseñas predeterminadas o cortar el acceso al sistema a ex empleados. Debido a que las empresas de agua a menudo dependen de software para operar plantas de tratamiento y sistemas de distribución, proteger la tecnología de la información y los controles de procesos es crucial, dijo la EPA. Los posibles impactos de los ciberataques incluyen interrupciones en el tratamiento y almacenamiento del agua; daños a bombas y válvulas; y alteración de niveles químicos a cantidades peligrosas, dijo la agencia.
"En muchos casos, los sistemas no están haciendo lo que se supone que deben hacer, que es haber completado una evaluación de riesgos de sus vulnerabilidades que incluya la ciberseguridad y asegurarse de que ese plan esté disponible e informe la forma en que hacen negocios", dijo la EPA. Administradora adjunta Janet McCabe.
Los intentos de grupos o individuos privados de ingresar a la red de un proveedor de agua y eliminar o desfigurar sitios web no son nuevos. Sin embargo, más recientemente, los atacantes no sólo han atacado sitios web, sino que también han atacado las operaciones de las empresas de servicios públicos.
Los ataques recientes no son sólo por parte de entidades privadas. Algunos ataques recientes a empresas de servicios de agua están vinculados a rivales geopolíticos y podrían provocar la interrupción del suministro de agua potable a hogares y empresas.
McCabe nombró a China, Rusia e Irán como los países que “buscan activamente la capacidad de desactivar la infraestructura crítica de Estados Unidos, incluido el agua y las aguas residuales”.
A fines del año pasado, un grupo vinculado a Irán llamado “Cyber Av3ngers” atacó a múltiples organizaciones, incluido el proveedor de agua de una pequeña ciudad de Pensilvania, obligándolo a cambiar de una bomba remota a operaciones manuales. Iban tras un dispositivo de fabricación israelí utilizado por la empresa de servicios públicos tras la guerra de Israel contra Hamás.
A principios de este año, un “hacktivista” vinculado a Rusia intentó interrumpir las operaciones de varias empresas de servicios públicos de Texas.
Un grupo cibernético vinculado a China y conocido como Volt Typhoon ha comprometido la tecnología de la información de múltiples sistemas de infraestructura crítica, incluido el agua potable, en Estados Unidos y sus territorios, dijeron funcionarios estadounidenses. Los expertos en ciberseguridad creen que el grupo alineado con China se está posicionando para posibles ataques cibernéticos en caso de conflicto armado o aumento de tensiones geopolíticas.
“Al trabajar detrás de escena con estos grupos hacktivistas, ahora estos (estados nacionales) tienen una negación plausible y pueden permitir que estos grupos lleven a cabo ataques destructivos. Y eso para mí es un punto de inflexión”, dijo Dawn Cappelli, experta en ciberseguridad de la firma de ciberseguridad industrial Dragos Inc.
Se cree que las potencias cibernéticas del mundo se han estado infiltrando en la infraestructura crítica de sus rivales durante años, plantando malware que podría activarse para interrumpir los servicios básicos.
La alerta de aplicación tiene como objetivo enfatizar la gravedad de las amenazas cibernéticas e informar a las empresas de servicios públicos que la EPA continuará sus inspecciones y aplicará sanciones civiles o penales si encuentran problemas graves.
"Queremos asegurarnos de hacer correr la voz a la gente de que 'oye, estamos encontrando muchos problemas aquí'", dijo McCabe.
La EPA no dijo cuántos incidentes cibernéticos han ocurrido en los últimos años, y el número de ataques que se sabe que han tenido éxito hasta ahora es pequeño. La agencia ha emitido casi 100 acciones de cumplimiento desde 2020 con respecto a evaluaciones de riesgos y respuesta de emergencia, pero dijo que es una pequeña instantánea de las amenazas que enfrentan los sistemas de agua.
Prevenir ataques contra proveedores de agua es parte del esfuerzo más amplio de la administración Biden para combatir las amenazas contra infraestructura crítica. En febrero, el presidente Joe Biden firmó una orden ejecutiva para proteger los puertos estadounidenses. Los sistemas de atención de salud han sido atacados. La Casa Blanca también ha presionado a las empresas eléctricas para que aumenten sus defensas. El administrador de la EPA, Michael Regan, y el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, han pedido a los estados que elaboren un plan para combatir los ciberataques a los sistemas de agua potable.
"Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructura crítica y vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad", escribieron Regan y Sullivan en una carta del 18 de marzo a los 50 gobernadores de Estados Unidos. .
Algunas de las soluciones son sencillas, afirmó McCabe. Los proveedores de agua, por ejemplo, no deberían utilizar contraseñas predeterminadas. Necesitan desarrollar un plan de evaluación de riesgos que aborde la ciberseguridad y establecer sistemas de respaldo. La EPA dice que capacitará a las empresas de agua que necesiten ayuda de forma gratuita. Las empresas de servicios públicos más grandes suelen tener más recursos y experiencia para defenderse de los ataques.
"En un mundo ideal... nos gustaría que todos tuvieran un nivel básico de ciberseguridad y pudieran confirmar que lo tienen", dijo Alan Roberson, director ejecutivo de la Asociación de Administradores Estatales de Agua Potable. "Pero eso está muy lejos".
Algunas barreras son fundamentales. El sector del agua está muy fragmentado. Hay aproximadamente 50.000 proveedores comunitarios de agua, la mayoría de los cuales abastecen a pueblos pequeños. La modesta dotación de personal y los presupuestos anémicos en muchos lugares hacen que sea bastante difícil mantener lo básico: proporcionar agua potable y mantenerse al día con las últimas regulaciones.
“Ciertamente, la ciberseguridad es parte de eso, pero esa nunca ha sido su principal especialidad. Entonces, ahora le estás pidiendo a una empresa de agua que desarrolle este tipo de departamento completamente nuevo" para manejar las amenazas cibernéticas, dijo Amy Hardberger, experta en agua de la Universidad Tecnológica de Texas.
La EPA ha enfrentado reveses. Los estados revisan periódicamente el desempeño de los proveedores de agua. En marzo de 2023, la EPA ordenó a los estados que agregaran evaluaciones de ciberseguridad a esas revisiones. Si encontraban problemas, se suponía que el Estado impondría mejoras.
Pero Missouri, Arkansas e Iowa, junto con la Asociación Estadounidense de Obras Hidráulicas y otro grupo de la industria del agua, impugnaron las instrucciones en los tribunales con el argumento de que la EPA no tenía la autoridad bajo la Ley de Agua Potable Segura. Después de un revés judicial, la EPA retiró sus requisitos, pero instó a los estados a tomar medidas voluntarias de todos modos.
La Ley de Agua Potable Segura exige que ciertos proveedores de agua desarrollen planes para algunas amenazas y certifiquen que lo han hecho. Pero su poder es limitado.
"Simplemente no hay autoridad para (la ciberseguridad) en la ley", dijo Roberson.
Kevin Morley, gerente de relaciones federales de la Asociación Estadounidense de Obras Hidráulicas, dijo que algunas empresas de agua tienen componentes que están conectados a Internet, una vulnerabilidad común, pero significativa. La revisión de esos sistemas puede ser un trabajo importante y costoso. Y sin una financiación federal sustancial, los sistemas de agua luchan por encontrar recursos.
El grupo industrial ha publicado una guía para las empresas de servicios públicos y aboga por el establecimiento de una nueva organización de expertos en ciberseguridad y agua que desarrollaría nuevas políticas y las haría cumplir, en asociación con la EPA.
“Involucremos a todos de manera razonable”, dijo Morley, añadiendo que las empresas de servicios públicos grandes y pequeñas tienen diferentes necesidades y recursos.
No hay comentarios:
Publicar un comentario