Su suministro de agua está bajo ataque cibernético

Los ciberataques en el sector del agua se han vuelto cada vez más comunes en los últimos años, impulsados por un aumento de los delitos cibernéticos. La industria del agua es un objetivo particularmente vulnerable para los piratas informáticos, ya que alberga una valiosa infraestructura crítica pero carece de medidas avanzadas de ciberseguridad. Un análisis de los ataques clave en los últimos años muestra algunas tendencias significativas. ¿Qué está causando el aumento de los ciberataques en el sector del agua y qué medidas se están tomando para resolver el problema?

Ciberataques clave en el sector del agua

El costo global del cibercrimen había terminado nueve veces mayor en 2022 en comparación con 2018, estimado en $ 8,44 billones de dólares. Hoy en día, todos corren un mayor riesgo de sufrir un ciberataque, incluidos los proveedores de servicios públicos, como las empresas de suministro y tratamiento de agua. El sector del agua de EE. UU. se ha visto afectado por varios ataques cibernéticos importantes en los últimos años, lo que representa una grave amenaza para la salud y la seguridad públicas.

Por ejemplo, en 2018, la Autoridad de Actividad de Agua y Alcantarillado de Onslow en Carolina del Norte tuvo que cerrar su red de TI después de dos ataques consecutivos de ransomware. La organización en Jacksonville distribuye agua a más de 100.000 residentes de Carolina del Norte. Afortunadamente, los ataques de ransomware no interrumpieron el servicio a esos residentes, pero pusieron en peligro la seguridad de los datos y la infraestructura de los servicios públicos.

En 2019, un joven de 22 años pirateó de forma remota la red del Distrito de Agua Rural del Condado de Ellsworth en Kansas. El hacker intentó alterar los niveles de desinfectante en la planta de tratamiento de agua, pero el ataque se detuvo antes de causar daños. Posteriormente, los funcionarios identificaron y acusaron al perpetrador, que resultó ser un ex empleado de las instalaciones del condado de Ellsworth.

Del mismo modo, en 2021, Ciberataques gemelos golpean instalaciones del sector del agua en San Francisco, California y Oldsmar, Florida. Ambos ataques involucraron el uso de un programa de acceso remoto llamado TeamViewer. Esta aplicación se usa comúnmente en la industria de servicios públicos para tareas como monitorear de forma remota el tratamiento del agua y los datos de suministro. Sin embargo, los piratas informáticos abusan de él para manipular ilegalmente los sistemas de las empresas del sector del agua. Afortunadamente, ambos ataques fueron detenidos antes de que causaran daño.

Tácticas y motivos de los hackers

¿Qué motiva todos estos ataques al sector del agua? Hay algunos factores que hacen que los piratas informáticos cambien a objetivos menos convencionales, como las organizaciones del sector del agua.

Ransomware-as-a-Service hace que sea más fácil que nunca que los malos actores participen en la piratería. Un hacker aficionado puede acceder a un sofisticado programa de ransomware pagando una pequeña tarifa al creador del malware. Como resultado, más piratas informáticos participan activamente en el crimen hoy que hace cinco o diez años.

Una mayor población de piratas informáticos lleva a muchos a considerar nuevos tipos de objetivos. Una organización ideal para un pirata informático es una organización con pocos o ningún recurso de seguridad junto con algún tipo de infraestructura crítica. La industria del agua necesita un enfoque centralizado de la seguridad y muchas instalaciones de tratamiento y distribución requieren una conciencia cibernética más crítica. A menudo tienen pocas protecciones contra el acceso no autorizado a la red, lo que expone una infraestructura valiosa.

Por ejemplo, tres de los cuatro ciberataques del sector del agua descritos anteriormente involucraron la explotación de programas de acceso remoto y credenciales de empleados. Los expertos estiman que al menos 25% de las violaciones de datos son causados por credenciales robadas, como las utilizadas en los ciberataques gemelos del sector del agua de 2021.

En los ataques de San Francisco y Oldsmar, los piratas informáticos utilizaron credenciales robadas comercializadas en la web oscura. En Oldsmar, todos los empleados de la instalación supuestamente usaron la misma contraseña para acceder a la aplicación TeamViewer. En el ataque de 2019 en el condado de Ellsworth, Kansas, el pirata informático abusó de los privilegios de los empleados de un antiguo trabajo en el sector del agua. En estos casos, mayores medidas de control de acceso e identidad pueden haber evitado que los piratas informáticos accedan a sistemas y datos confidenciales.

Los motivos de muchos ciberataques en el sector del agua parecen estar basados en el daño o el miedo. Los piratas informáticos intentaron envenenar los suministros públicos de agua a través de varios métodos en numerosos ataques. Por ejemplo, podrían usar herramientas de acceso remoto para cambiar la cantidad de productos químicos para el tratamiento del agua a niveles tóxicos.

Es probable que la ganancia financiera también sea un incentivo importante, como en el caso de los dos ataques de ransomware de 2018 en una instalación de Jacksonville, Carolina del Norte. Los profesionales del sector del agua y los líderes de la industria deben tener en cuenta que el FBI aconseja a las organizaciones que nunca paguen rescates en ataques de ransomware. Pagar alienta a los piratas informáticos a continuar con las campañas delictivas y no hay garantía de que realmente restaurarán los datos de la víctima una vez pagados.

Cómo Estados Unidos se está movilizando para defender el sector del agua

El gobierno federal de EE. UU. se está esforzando por mejorar la seguridad en respuesta a las crecientes amenazas cibernéticas contra el sector del agua. Por ejemplo, en 2018, el Congreso aprobó la Ley de infraestructura de agua de Estados Unidos. Él establece requisitos de evaluación de riesgos para instalaciones de agua que atienden a 3.300 o más personas. La ley también describe la orientación y el apoyo técnico que se espera que la EPA brinde a las organizaciones del sector del agua.

En 2023, la EPA publicado los requisitos mínimos de ciberseguridad actualizados para instalaciones públicas de agua. Los nuevos requisitos incluyen auditorías de ciberseguridad obligatorias para garantizar que las instalaciones en todo el país implementen defensas resilientes. Los requisitos actualizados siguen seis iniciativas de 2021 que sugirió la Oficina de Responsabilidad del Gobierno, incluido el apoyo de la Iniciativa Nacional para la Educación en Seguridad Cibernética.

La EPA también está tomando medidas para ayudar a las organizaciones del sector del agua a mejorar sus prácticas de seguridad. Por ejemplo, el programa de capacitación Bootcamp para todos los peligros de los servicios públicos de agua y aguas residuales que brinda la EPA incluye capacitación para empleados sobre conciencia cibernética y respuesta a emergencias. La capacitación de los empleados es una parte vital para mejorar la ciberseguridad en cualquier organización. Las empresas del sector del agua pueden utilizar estrategias como gamificación y simulaciones para maximizar el impacto de tales programas.

Además, el Centro de análisis e intercambio de información sobre el agua ha experimentado un aumento de miembros. La organización proporciona datos de seguridad y orientación para las instalaciones del sector del agua en todo el país. Conectar a los profesionales del sector del agua a través de organizaciones como esta puede aumentar la conciencia cibernética y el desarrollo de soluciones de seguridad específicas de la industria.

Protección del sector del agua

Todo el mundo depende de la industria del agua para la salud, la seguridad y los alimentos, por lo que defenderla de las amenazas digitales es primordial. Las organizaciones del sector del agua deben tomar medidas proactivas para proteger sus sistemas y datos de los ataques, principalmente porque los piratas informáticos se dirigen cada vez más a la industria. La EPA de EE. UU. y las organizaciones de la industria brindan orientación y ayuda para apoyar a las empresas del sector del agua a medida que se adaptan a las necesidades de seguridad más avanzadas.