EPA insta a servicios de agua a tomar medidas inmediatas para protegerse de ciberataques

La Agencia de Protección del Medio Ambiente (EPA, por sus siglas en inglés) advirtió el lunes que los ciberataques contra las empresas de suministro de agua en Estados Unidos son cada vez más frecuentes y graves. La agencia emitió una alerta de cumplimiento, instando a los sistemas de agua a tomar medidas inmediatas para proteger el agua potable de la nación.

La EPA dijo que aproximadamente el 70% de las empresas de servicios públicos inspeccionadas por funcionarios federales desde septiembre de 2023 habían violado las normas destinadas a evitar intrusiones. Los funcionarios instaron a todos los sistemas de agua —por pequeños que sean— a mejorar las medidas de protección contra los hackers. Las comunidades más pequeñas han sido recientemente objetivo de grupos afiliados a Rusia e Irán.

Según la alerta, algunas empresas no han tomado medidas básicas para proteger sus sistemas públicos de abastecimiento de agua.

«Por ejemplo, algunos sistemas de abastecimiento de agua no cambiaron las contraseñas básicas, no utilizaron inicios de sesión únicos para todo el personal o no restringieron el acceso de exempleados», señaló la EPA.

La agencia hizo hincapié en la importancia crítica de proteger la tecnología de la información y los controles de procesos en los sistemas de abastecimiento de agua, ya que éstos a menudo dependen de programas informáticos para hacer funcionar las plantas de tratamiento y los sistemas de distribución. Los ciberataques pueden provocar interrupciones que afecten al tratamiento y almacenamiento del agua, dañen bombas y válvulas y alteren los niveles de sustancias químicas hasta cantidades peligrosas.

«En muchos casos, los sistemas no están haciendo lo que se supone que deberían estar haciendo, que es haber completado una evaluación de riesgos de sus vulnerabilidades que incluya la ciberseguridad y asegurarse de que ese plan está disponible e informando la forma en que hacen las cosas», dijo la administradora adjunta de la EPA, Janet McCabe.

Los intentos de hackear las redes de los proveedores de agua y de destruir o dañar sitios web no son nuevos, pero más recientemente, los atacantes no solo han interrumpido sitios web, sino que también han atacado las operaciones de las empresas de servicios públicos.

Adversarios geopolíticos

Según la agencia, los recientes ataques a empresas de suministro de agua están relacionados con adversarios geopolíticos del país, que pretenden interrumpir el suministro de agua potable a hogares y empresas.

La Sra. McCabe nombró a China, Rusia e Irán como los países que están «buscando activamente la capacidad de inutilizar la infraestructura crítica de EE. UU., incluyendo el agua y las aguas residuales».

A finales de 2023, un grupo vinculado a Irán apodado «Cyber Av3ngers» atacó varias organizaciones, entre ellas el proveedor de agua de un pequeño pueblo de Pensilvania, obligándolo a cambiar de una bomba remota a operaciones manuales. El objetivo era un dispositivo de fabricación israelí utilizado por la empresa tras la guerra entre Hamás e Israel.

Previamente este año, varias empresas de suministro de agua de Texas fueron blanco de un «hacktivista» vinculado a Rusia.

Las autoridades estadounidenses afirman que un grupo cibernético chino, Volt Typhoon, ha puesto en peligro la tecnología de la información de múltiples sistemas de infraestructuras críticas, incluida el agua potable, en Estados Unidos y sus territorios.

«Al trabajar entre bastidores con estos grupos hacktivistas, ahora estos (estados-nación) tienen una negación plausible, y pueden dejar que estos grupos lleven a cabo ataques destructivos. Y eso, para mí, cambia las reglas del juego», afirma Dawn Cappelli, experta en ciberseguridad de Dragos Inc, una empresa de gestión de riesgos.

La alerta de la EPA hace hincapié en la gravedad de las ciberamenazas e informa a las empresas de que la EPA tiene previsto continuar sus inspecciones y aplicar sanciones civiles o penales en caso de infracción grave.

«Queremos asegurarnos de que la gente sepa que estamos encontrando muchos problemas», dijo McCabe.

Lucha contra los ciberataques

El administrador de la EPA, Michael Regan, y el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, han pedido a los estados que elaboren un plan para combatir los ciberataques contra los sistemas de abastecimiento de agua del país.

«Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructuras críticas vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad», escribieron el 18 de marzo en una carta conjunta a los 50 gobernadores de Estados Unidos.

La Sra. McCabe dijo que algunas de las soluciones son sencillas, como dejar de utilizar contraseñas por defecto, pero que también necesitan desarrollar un plan de evaluación de riesgos que aborde la ciberseguridad y cree sistemas de respaldo.

Las empresas de servicios públicos más pequeñas y con menos recursos pueden recibir asistencia y formación gratuitas que les ayuden a defenderse de los piratas informáticos.

«En un mundo ideal, nos gustaría que todo el mundo tuviera un nivel básico de ciberseguridad y pudiera confirmar que lo tiene», afirma Alan Roberson, director ejecutivo de la Asociación de Administradores Estatales de Agua Potable. «Pero eso está muy lejos».

Recursos limitados

En Estados Unidos hay unos 50,000 proveedores de agua comunitarios, la mayoría de los cuales prestan servicio a pequeñas poblaciones. Muchos tienen presupuestos y personal limitados, lo que hace difícil mantener las operaciones básicas, como distribuir agua limpia y mantenerse al día con las regulaciones.

«Ciertamente, la ciberseguridad forma parte de ello, pero nunca ha sido su principal especialidad», afirma Amy Hardberger, experta en agua de la Universidad Tecnológica de Texas. «Así que ahora le estás pidiendo a una empresa de agua que desarrolle todo este nuevo tipo de departamento».

En marzo de 2023, la EPA dio instrucciones a los estados para que incluyeran evaluaciones de ciberseguridad en sus revisiones periódicas de rendimiento de las empresas de suministro de agua. Si se descubrían problemas, el estado debía obligar a realizar mejoras.

Esas instrucciones fueron impugnadas ante las cortes por los estados de Arkansas, Missouri y Iowa, así como por la Asociación Americana de Obras Hidráulicas (AWWA) y otro grupo de la industria del agua, argumentando que la EPA no tenía la autoridad bajo la Ley de Agua Potable Segura.

La EPA retiró su exigencia pero instó a los estados a tomar medidas voluntarias.

La Ley de Agua Potable Segura exige a ciertos proveedores de agua que elaboren y certifiquen planes contra determinadas amenazas, pero su poder es limitado.

«Simplemente no hay autoridad [para la ciberseguridad] en la ley», dijo Roberson.

Kevin Morley, director de relaciones federales de la AWWA, dijo que es habitual que las empresas de suministro de agua tengan componentes conectados a Internet, lo que las hace vulnerables a los ciberataques. La revisión de estos sistemas puede resultar difícil y costosa. Sin una ayuda federal sustancial, muchos tendrían dificultades para encontrar los recursos necesarios, explicó.

El grupo ha publicado orientaciones para crear una nueva organización de expertos en ciberseguridad y agua que podría elaborar nuevas políticas y colaborar con la EPA para hacerlas cumplir.

«Hagamos que todo el mundo participe de manera razonable», dijo Morley, añadiendo que las pequeñas y grandes empresas de servicios públicos tienen necesidades y recursos diferentes.

Con información de The Associated Press.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí