Cada vez más los sistemas de aguas y aguas residuales en distintos países son un objetivo más recurrente para los actores de amenazas.
En EE.UU., la Casa Blanca ha invitado a las agencias estatales de medio ambiente, salud y seguridad nacional a una reunión virtual para abordar la mejora de la ciberseguridad en el sector del agua, discutir las brechas y tomar medidas para proteger estos sistemas.
En una carta dirigida a los gobernadores del país que ha sido compartida por Washington se advierte de que los ciberataques podrían "interrumpir el vital sustento del agua potable limpia y segura" y les pide su asociación.
Además, la administración Biden ha pedido a las agencias que apoyen a la Agencia de Protección de Seguridad Ambiental (EPA), organismo que vela por el sector del agua, para tratar estos incidentes.
Un objetivo que se busca es que la EPA trabaje con socios de este ámbito para formar un grupo de trabajo de ciberseguridad del sector hídrico que identifique "acciones y estrategias a corto plazo para reducir el riesgo de ciberataques de los sistemas de agua en todo el país".
China e Irán agitan las aguas
El documento, comprende que las amenazas a los sistemas de agua incluyen actores de estado nación patrocinados por Irán y China, los cuales han realizado ataques maliciosos dirigidos a la infraestructura crítica de EE.UU.
En concreto, el Cuerpo de la Guardia Revolucionaria Islámica del gobierno iraní (CGRI) habría amenazado los sistemas de agua potable, desactivando la tecnología operativa que usaba una contraseña predeterminada del fabricante.
Por otro lado, la carta también recoge que el actor de amenazas chino Volt Typhoon ha llegado a infiltrarse en los sistemas de infraestructuras críticas de EE.UU., incluyendo el agua potable, con el fin de posicionarse previamente para interrumpir sus operaciones en caso de conflictos.
“Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructura crítica vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad”, puede leerse en la carta redactada por la Casa Blanca.
A finales de enero EE.UU había publicado una guía para prevenir ciberataques en el sector del agua, elaborada por tres agencias federales y donde se recogían las mejores prácticas de respuesta a incidentes e información sobre recursos para la seguridad de la infraestructura hídrica y las aguas residuales.
Algunos incidentes
En febrero Southern Water, una compañía que opera en el sudeste de Inglaterra ofreciendo servicios de aguas y aguas residuales, experimentó una una violación de seguridad afectaría a 470.000 personas. Black Basta, pandilla de ransomware vinculada a Rusia, se atribuyó la autoría del ataque.
Las fechas de nacimiento, números de seguro nacional, detalles de cuentas bancarias y números de referencia, de los clientes de la empresa quedaron expuestos. Además, también se vieron afectados muchos empleados.
Otra compañia británica del mismo ramo llamada South Staffordshire fue víctima de otro incidente de este tipo, en este caso perpetrado por la pandilla de ransomware Cl0p.
La infame Lockbit fue responsable de otro incidente contra la compañía lusa de servicios públicos Aguas Do Porto en 2023.
Italia también fue víctima de estas amenazas el año pasado. Alto Calore Servizi, una empresa que provee de agua potable a cerca de medio millón de personas en el país, vio cómo quedaban inutilizados todos sus sistemas de TI a causa de un ataque de ransomware impulsado por Medusa.