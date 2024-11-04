American Water, la mayor empresa de servicios públicos de agua y aguas residuales de Estados Unidos, experimentó recientemente un incidente de ciberseguridad que obligó a la empresa a desconectar sistemas clave, incluida su plataforma de facturación a clientes. A medida que la investigación de la empresa continúa, crece la preocupación por las vulnerabilidades que persisten en el sector del agua, que se convierte cada vez más en blanco de ciberataques.
La brecha es un duro recordatorio de los riesgos de infraestructura crítica que han asolado el sector durante mucho tiempo. Aunque la empresa de servicios de agua ha confirmado que sus operaciones y la calidad del agua no se vieron afectadas, el cierre de su sistema de facturación y portal de clientes de American Water pone de relieve la intersección crítica entre las vulnerabilidades de la tecnología operativa (TO) y la tecnología de la información (TI) en los servicios esenciales.
Los sistemas de agua potable y de aguas residuales de Estados Unidos son fundamentales para la salud pública y el medio ambiente, pero sufren una falta crónica de financiación, infraestructuras heredadas y una superficie de ataque cada vez mayor. La dependencia de los sistemas de TO, muchos de los cuales carecen de protecciones de seguridad modernas, hace que estas empresas de servicios públicos sean especialmente vulnerables a las amenazas cibernéticas.
Según un informe de la CISA, los hacktivistas prorrusos atacan cada vez más los sistemas de control industrial (ICS) de los servicios de agua, a menudo explotar las contraseñas por defecto, los puntos de acceso remoto no seguros y otras prácticas débiles de ciberhigiene.
Los sistemas de agua son únicos porque dependen de redes complejas de ICS para gestionar funciones críticas, como los procesos de tratamiento y la distribución. Estos sistemas no se diseñaron inicialmente teniendo en cuenta la ciberseguridad, lo que lleva a un mosaico de protecciones que no cumplen con el panorama de amenazas actual.
Los atacantes, especialmente los actores del estado-nación, ven a los servicios de agua como objetivos valiosos por su potencial de perturbar la infraestructura civil y provocar un pánico generalizado. Y debido a la ausencia de una seguridad sólida, los sistemas de agua son más vulnerables. En general, las vulnerabilidades del sector del agua lo convierten en un objetivo clave para los adversarios que buscan obtener ganancias monetarias o ejercer presión geopolítica.
La decisión de American Water de revelar el ciberataque mediante una solicitud 8-K pone de relieve su papel como infraestructura crítica y los requisitos regulatorios vinculados a dicho estatus. La Ley de notificación de incidentes cibernéticos en infraestructuras críticas (CIRCIA) de 2022 exige que las entidades de infraestructura crítica informen de los incidentes cibernéticos a CISA dentro de 72 horas desde su detección. Esto forma parte de una iniciativa federal más amplia para garantizar la notificación y respuesta oportunas a las ciberamenazas dirigidas a los servicios esenciales.
Según la CIRCIA, las organizaciones deben notificar no solo a las agencias federales como CISA, sino también al público, especialmente cuando las interrupciones del servicio o las vulneraciones de datos afectan a los consumidores. En este caso, la presentación 8-K de American Water sirve tanto como notificación legal como pública, ya que la Comisión de Bolsa y Valores (SEC) exige que las empresas cotizadas en bolsa informen de eventos relevantes que puedan afectar su situación financiera.
Este proceso de notificación es crucial para mantener la confianza del público en los servicios críticos. Si bien American Water aseguró al público que la calidad del agua y los procesos operativos no se vieron afectados, la transparencia en la divulgación del ciberataque habla del entorno regulatorio reforzado en el que ahora funcionan los operadores de infraestructuras críticas.
El sector del agua, como muchos otros sectores de infraestructura crítica, opera bajo un marco de normas de ciberseguridad voluntarias y obligatorias. En 2023, la Agencia de Protección Ambiental de Estados Unidos (EPA) intentó introducir auditorías obligatorias de ciberseguridad para los servicios de agua en el marco de la aplicación de la Ley de Agua Potable Segura.
Estas auditorías tenían como objetivo evaluar la postura de ciberseguridad de los servicios, muchos de los cuales han tenido dificultades para implementar medidas de seguridad básicas, como la autenticación multifactor (MFA) y la segmentación de red. Sin embargo, los desafíos legales de varios estados han retrasado la implementación completa de estos mandatos, y el panorama regulatorio sigue siendo cambiante.
CISA también ha publicado una guía exhaustiva sobre la seguridad de los sistemas ICS y OT en los sectores del agua y las aguas residuales. Esta guía, descrita en sus objetivos de rendimiento de ciberseguridad (CPG) intersectoriales, incluye recomendaciones para reducir la exposición de los sistemas críticos a Internet, aplicar políticas de contraseñas seguras y garantizar que los dispositivos industriales anticuados se sustituyan o gestionen de forma segura.
La creciente frecuencia de los ciberataques al sector del agua ha suscitado un amplio debate nacional sobre la necesidad de establecer normativas más estrictas y estándares para todo el sector. En respuesta, la administración Biden ha hecho hincapié en la importancia de reforzar la resiliencia de los sistemas hídricos mediante la formación en ciberseguridad, el intercambio de información sobre amenazas y la inversión en tecnologías de seguridad.
El ciberataque de American Water subraya las vulnerabilidades que siguen afectando a los sectores del agua y las aguas residuales, especialmente en la intersección de la TI y la TO. Ante las amenazas continuas de actores estatales y grupos hacktivistas, el sector del agua debe reforzar urgentemente su postura de ciberseguridad.
La transparencia de American Water en la notificación del incidente y la cooperación con CISA y las fuerzas del orden sentaron un precedente necesario para otros proveedores de infraestructura crítica. A medida que las regulaciones de ciberseguridad continúan evolucionando, las compañías de servicios de agua deberán priorizar la higiene cibernética, adoptar buenas prácticas de las agencias federales y prepararse para la inevitabilidad de futuros ataques.