Houston Chronicle/Hearst Newspapers vía Getty Images | Periódicos Hearst | imágenes falsas
La ciudad de Wichita recientemente tuvo una experiencia que se ha vuelto muy común: su sistema de agua fue pirateado. El ciberataque, dirigido a la medición del agua, la facturación y el procesamiento de pagos, siguió a los ataques a empresas de agua en todo Estados Unidos en los últimos años.
Al perseguir el agua de Estados Unidos, los piratas informáticos no están haciendo nada especial. A pesar de los crecientes temores sobre el uso de la IA en las amenazas cibernéticas, la vía de acceso criminal a los sistemas sigue aprovechándose de las debilidades humanas, ya sea mediante phishing, ingeniería social o un sistema que aún se ejecuta con una contraseña predeterminada: ciberataques de la “vieja escuela”, según Ryan Witt, vicepresidente de la firma de ciberseguridad Proofpoint.
La creciente ola de delitos cibernéticos dirigidos a infraestructuras clave llevó a la Agencia de Protección Ambiental a emitir una alerta de cumplimiento advirtiendo que el 70% de los sistemas de agua que inspeccionó no cumplen plenamente con los requisitos de la Ley de Agua Potable Segura. Sin cuantificar un número exacto, la EPA dijo que algunos tienen “vulnerabilidades alarmantes de ciberseguridad”: contraseñas predeterminadas que no se han actualizado, configuraciones de inicio de sesión único vulnerables y ex empleados que conservaron el acceso a los sistemas.
Si bien los métodos pueden ser simples, un ataque el año pasado por parte de un grupo activista respaldado por Irán contra 12 empresas de agua en Estados Unidos reforzó cuán decidida puede ser “la mentalidad de un atacante”, según Witt. Todos los servicios públicos atacados contenían equipos fabricados en Israel.
El FBI, la NSA y la CISA expresan su preocupación
En febrero, el FBI advirtió al Congreso que los piratas informáticos chinos se habían adentrado profundamente en la infraestructura cibernética de Estados Unidos en un intento de causar daños, apuntando a los planes de tratamiento de agua, la red eléctrica, los sistemas de transporte y otras infraestructuras críticas. En enero, un ataque vinculado a Rusia a una planta de filtración de agua en una pequeña ciudad de Texas, Muleshoe, ubicada cerca de una base de la Fuerza Aérea de EE. UU., provocó que un tanque de agua se desbordara. “El agua está entre las menos maduras en términos de seguridad”, dijo recientemente a CNBC Adam Isles, jefe de práctica de ciberseguridad de Chertoff Group.
El impacto psicológico en la población también es un objetivo estratégico, que se ve no solo en los ataques contra los activos hídricos, sino también en el ataque al Colonial Pipeline que fue noticia nacional en 2021 y, en palabras de la Agencia federal de Seguridad de Infraestructura y Ciberseguridad, presentó “filas serpenteantes de automóviles”. en gasolineras a lo largo de la costa este y americanos aterrorizados llenando bolsas con combustible, temerosos de no poder ir a trabajar o llevar a sus hijos a la escuela”.
Los ataques a los sistemas informáticos de las empresas de agua de EE. UU. pueden tener un impacto psicológico similar, e incluso si los ataques no interfieren directamente con las operaciones de la empresa, aun así disminuyen la confianza del público en el suministro de agua. Ningún hackeo hasta la fecha ha cortado el agua a una población, pero esa es la mayor preocupación, dijo Stuart Madnick, profesor de sistemas de ingeniería del MIT y cofundador de Ciberseguridad en el MIT Sloan.
Interferirse en el suministro de agua mediante ataques dirigidos a TI (tecnología de la información), como el sistema de Wichita, es menor en comparación con un ataque exitoso a la OT (tecnología operativa) que controla las plantas de agua. Ese es un riesgo enorme, dijo Madnick, y la amenaza de que suceda no es cero.
“Hemos demostrado en nuestro laboratorio cómo es posible detener operaciones como, por ejemplo, una planta de agua, no sólo durante horas o días, sino también durante semanas. Definitivamente es técnicamente posible”, afirmó.
Una carta reciente enviada por el administrador de la EPA, Michael Regan, y el asesor de seguridad nacional, Jake Sullivan, a los gobernadores de los países detallaba la urgencia de la amenaza. Pero Madnick desconfía de la capacidad del gobierno para actuar con rapidez o firmeza para evitar que eso ocurra. Los presupuestos, la infraestructura obsoleta y la renuencia a avanzar en una cuestión que puede parecer a la vez vital y desalentadora sugieren que es posible que las soluciones no lleguen con la suficiente rapidez. “Esto no ha sucedido todavía, y no se tomarán medidas serias para prevenir lo ‘probable’ hasta después de que haya sucedido”, afirmó.
Tecnología obsoleta de servicios de agua
Como cualquier sistema moderno, las empresas de agua dependen de la tecnología para el monitoreo, las operaciones y la comunicación con los clientes. La tecnología crea vulnerabilidades (para proveedores y usuarios), por lo que la necesidad de mejorar las medidas de seguridad es acuciante. “El riesgo comunitario de los ataques cibernéticos incluye que un atacante obtenga el control de las operaciones de un sistema para dañar la infraestructura, interrumpir la disponibilidad o el flujo de agua, o alterar los niveles químicos, lo que podría permitir que las aguas residuales no tratadas se descarguen en una vía fluvial o contaminen el agua potable. proporcionado a una comunidad”, dijo un portavoz de la EPA.
Witt dice que hay algunos pasos iniciales a tomar para mejorar la higiene cibernética de los sistemas obsoletos. “Mejorar la seguridad de las contraseñas, reducir la exposición a Internet de cara al público y la necesidad de capacitación en concientización sobre ciberseguridad” contribuiría en gran medida a reforzar las defensas, dijo. Otra posible solución es el despliegue de lo que se denomina sistemas aislados que separan los sistemas de supervisión y control de otras redes. Dado que la forma más sencilla de acceder a estos sistemas es obtener credenciales y luego explotar el sistema, “un administrador de sistemas no debería poder acceder a sistemas de oficina como el correo electrónico y operar un panel de control de un sistema de agua desde la misma computadora portátil”. dijo Witt.
En su mayor parte, los ataques que han ocurrido se han podido prevenir, según la EPA. “Los sistemas fueron víctimas de ciberataques destructivos y costosos porque no adoptaron prácticas básicas de resiliencia cibernética”, dijo el portavoz de la EPA. “Todos los sistemas de agua potable y aguas residuales están en riesgo, grandes y pequeños, urbanos y rurales”, afirmó.
Si bien hasta la fecha no ha sido una herramienta necesaria en estos ataques a empresas de servicios de agua, la IA está acompañando los esfuerzos cibernéticos concertados de rivales geopolíticos. “Los rápidos avances en inteligencia artificial están brindando a los actores de amenazas cibernéticas tácticas, técnicas y procedimientos más sofisticados para penetrar la tecnología operativa que controla las instalaciones de infraestructura crítica”, dijo el portavoz de la EPA. “Estos ataques se han relacionado con una variedad de tipos de actores maliciosos, incluidos piratas informáticos que trabajan en nombre o en apoyo de otras naciones y que podrían utilizar las interrupciones en la infraestructura crítica de Estados Unidos para su ventaja estratégica”.
