Las estructuras críticas y los servicios esenciales son un objetivo cada vez más frecuente para los ciberdelincuentes, sea por motivos económicos o políticos, tanto en ámbitos locales como a nivel internacional, y pueden causar significativos impactos en cascada en toda la infraestructura de una región. Realizan bloqueos, roban datos, logran acceso a áreas no autorizadas e implantan ransomware, entre otras estrategias.
Por eso, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Protección Ambiental (EPA) de los Estados Unidos, junto a 25 empresas privadas y organizaciones sin fines de lucro del sector hídrico y gobiernos locales, han unido esfuerzos para elaborar un manual de buenas prácticas e información sobre funciones, recursos y responsabilidades federales para cada etapa del ciclo de vida de la respuesta a ataques cibernéticos al servicio de aguas.
“El sector de sistemas de agua y aguas residuales está bajo constante amenaza por parte de actores cibernéticos maliciosos. En el nuevo año, CISA continuará centrándose en tomar todas las medidas posibles para apoyar a entidades 'ricas en objetivos y ciberpobres' como las empresas de servicios públicos WWS (de aguas y aguas residuales), proporcionando recursos viables y alentando a todas las organizaciones a informar incidentes cibernéticos”, dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA.
En noviembre pasado, piratas informáticos tomaron el control del sistema municipal de aguas de Aliquippa, en Pensilvania, y lograron apagar una bomba hidráulica que conecta esa planta potabilizadora con otros municipios. El organismo local a cargo de la gestión del agua se vio obligado a cambiar el sistema a funcionamiento manual. Según informó el medio Beaver Countain, una vez apagada la bomba, apareció un mensaje que decía “Esto es un ciberataque. Abajo Israel. Todo el equipamiento fabricado en Israel es objetivo legal de los Cyber Av3ngers”.
Este grupo de actores de amenazas ya se ha atribuido varios ataques y suelen tomar como objetivo sistemas de controladores que fueron fabricados por una empresa israelí llamada Unitronics. Si bien se han registrado nuevos intentos de vulnerar otros sistemas de abastecimiento y saneamiento en todo Estados Unidos, las autoridades aseguran que no tienen conocimiento de ningún impacto en el agua potable o en los sistemas operativos.
Las cuatro etapas del ciclo de vida de los ciberataque en el sector del agua
Este manual de buenas prácticas elaborado en colaboración con expertos de diferentes organismos federales, privados y locales, proporciona las indicaciones para informar incidentes cibernéticos, a la vez que conecta a las empresas de servicios públicos con recursos, servicios y capacitaciones sin costo sobre ciberseguridad disponibles.
Busca, también, empoderar a las compañías de servicios públicos para que construyan una base sólida de ciberseguridad para mejorar la ciberresiliencia y la ciberhigiene, y alentarlas a integrarse en sus comunidades cibernéticas locales.
La guía cubre las cuatro etapas del ciclo de vida de respuesta a incidentes. La web oficial de la CISA, las resume de esta manera:
La primera es la preparación. Las organizaciones de aguas y aguas residuales deben contar con un plan de respuesta a incidentes, implementar servicios y recursos disponibles para elevar su base informática e interactuar con la comunidad cibernética del sector.
La segunda etapa es la de detección y análisis. La elaboración de informes precisos y oportunos y un análisis colectivo rápido son esenciales para comprender el alcance y el impacto completos de un incidente cibernético. La guía proporciona información sobre la validación de un incidente, los niveles de notificación y el análisis y soporte técnico disponibles.
La tercera es contención, erradicación y recuperación: mientras las empresas de servicios públicos del sector llevan a cabo su plan de respuesta a incidentes, los socios federales se centran en mensajes coordinados e intercambio de información, y en asistencia de remediación y mitigación.
En cuarto lugar, las actividades posteriores al incidente son la retención de evidencia, el uso de datos de incidentes recopilados y las lecciones aprendidas, elementos generales para un análisis adecuado del incidente y de cómo lo manejaron los socorristas.
Desde la División Cibernética del FBI, el subdirector Bryan Vorndran ha señalado que “el sector de sistemas de agua y aguas residuales es una parte vital de nuestra infraestructura crítica, y el FBI continuará combatiendo a los actores cibernéticos que lo amenazan. Una parte clave de nuestra estrategia cibernética es construir asociaciones sólidas y compartir información sobre amenazas con los propietarios y operadores de infraestructura crítica antes de que sufran un ataque”, destaca una publicación en la página oficial de la CISA.
Alfonso Esteban, jefe del departamento de infraestructuras y ciberseguridad en Aqualia, empresa de gestión del agua participada por FCC, va un paso más allá al poner el foco en la importancia de la formación: “Reforzar las infraestructuras críticas con medidas de seguridad resulta importante para la contención de las amenazas, pero no vuelven infranqueables las operativas de los servicios del ciclo integral del agua. Además de estas medidas, los profesionales de la ciberseguridad necesitan formación continua de alto nivel y trabajar de manera coordinada con quienes gestionan y operan las redes de tratamiento y gestión del agua, para que puedan trasladarles sus conocimientos, conciencia y contención en beneficio de sus organizaciones”.