American Water, la mayor empresa de servicios públicos de agua y aguas residuales de Estados Unidos que cotiza en bolsa, experimentó recientemente un incidente de ciberseguridad que obligó a la empresa a desconectar sistemas clave, incluida su plataforma de facturación a clientes. A medida que continúa la investigación de la empresa, existe una creciente preocupación por las vulnerabilidades que persisten en el sector del agua, que se ha convertido cada vez más en un objetivo de ciberataques.
La filtración es un claro recordatorio de los riesgos críticos de infraestructura que han plagado durante mucho tiempo a la industria. Si bien la empresa de servicios públicos confirmó que sus operaciones y la calidad del agua no se vieron afectadas, el cierre del sistema de facturación y portal de clientes de American Water destaca la intersección crítica entre las vulnerabilidades de la tecnología operativa (OT) y la tecnología de la información (TI) en los servicios esenciales.
Los sistemas de agua y aguas residuales en los EE. UU. son vitales para la salud pública y el medio ambiente, pero también sufren de falta de fondos crónica, infraestructura heredada y una superficie de ataque en expansión. La dependencia de los sistemas OT, muchos de los cuales carecen de protecciones de seguridad modernas, ha hecho que estas empresas de servicios públicos sean particularmente susceptibles a las amenazas cibernéticas.
Según un reporte de la CISA, los hacktivistas pro-Rusia han atacado cada vez más los sistemas de control industrial (ICS) dentro de las empresas de servicios públicos de agua, a menudo explotando contraseñas predeterminadas, acceso remoto no seguro y otras prácticas débiles de higiene cibernética.
Los sistemas de agua son únicos en el sentido de que dependen de redes complejas de ICS para gestionar funciones críticas, como los procesos de tratamiento y distribución. Estos sistemas no se diseñaron inicialmente teniendo en cuenta la ciberseguridad, lo que lleva a un mosaico de protecciones que no cumplen con el ámbito de amenazas actual.
Los atacantes, en particular los actores del estado-nación, ven a las empresas de servicios públicos como objetivos valiosos debido a su potencial para perturbar la infraestructura civil y causar pánico generalizado. Y debido a su falta de seguridad sólida, los sistemas de agua son más fáciles de violar. En general, las vulnerabilidades del sector del agua lo convierten en un objetivo clave para los adversarios que buscan obtener ganancias monetarias o ejercer presión geopolítica.
La decisión de American Water de revelar el ciberataque mediante una solicitud 8-K pone de relieve su papel como infraestructura crítica y los requisitos regulatorios vinculados a dicho estatus. La 2022 Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) exige que las entidades de infraestructuras críticas informen los incidentes cibernéticos a CISA dentro de las 72 horas posteriores a la detección. Esto es parte de una iniciativa federal más amplia para garantizar la notificación y respuesta oportunas a las amenazas cibernéticas dirigidas a los servicios esenciales.
Según CIRCIA, las organizaciones deben notificar no solo a las agencias federales como CISA, sino también al público, particularmente cuando las interrupciones del servicio o las filtraciones de datos afectan a los consumidores. En este caso, la presentación 8-K de American Water sirve como notificación legal y pública, ya que la Comisión de Bolsa y Valores (SEC) exige que las empresas que cotizan en bolsa informen eventos materiales que podrían afectar su situación financiera.
Este proceso de notificación es crucial para mantener la confianza del público en los servicios críticos. Si bien American Water aseguró al público que la calidad del agua y los procesos operativos no se vieron afectados, la transparencia en la divulgación del ciberataque habla del entorno regulatorio intensificado en el que ahora funcionan los operadores de infraestructuras críticas.
El sector del agua, al igual que muchos otros sectores de infraestructura crítica, opera bajo una infraestructura de estándares de ciberseguridad voluntarios y obligatorios. En 2023, la Agencia de Protección Ambiental de los Estados Unidos (EPA) intentó introducir auditorías obligatorias de ciberseguridad para las empresas de servicios de agua en el marco de la aplicación de la Ley de Agua Potable Segura.
Estas auditorías estaban destinadas a evaluar la postura de ciberseguridad de las empresas de servicios públicos, muchas de las cuales han tenido dificultades para implementar medidas de seguridad de referencia, como la autenticación multifactor (MFA) y la segmentación de redes. Sin embargo, los desafíos legales de varios estados han retrasado la plena implementación de estos mandatos, y el escenario regulatorio sigue en constante cambio.
CISA también ha emitido una guía integral sobre la protección de los sistemas ICS y OT en los sectores de agua y aguas residuales. Esta guía, descrita en sus Objetivos de Desempeño de Ciberseguridad (CPG) intersectorial, incluye recomendaciones para reducir la exposición de sistemas críticos a Internet, aplicar políticas de contraseñas sólidas y garantizar que los dispositivos industriales obsoletos sean reemplazados o administrados de manera segura.
La creciente frecuencia de ataques cibernéticos en el sector del agua ha generado un debate nacional más amplio sobre la necesidad de regulaciones más estrictas y estándares para todas las industrias. En respuesta, la administración Biden ha hecho hincapié en la importancia de desarrollar la resiliencia de los sistemas de agua mediante la capacitación en ciberseguridad, el intercambio de información sobre amenazas y la inversión en tecnologías de seguridad.
El ataque cibernético de American Water subraya las vulnerabilidades que continúan afectando a los sectores del agua y las aguas residuales, particularmente en la intersección de TI y OT. Con las amenazas continuas de los actores del estado nación y los grupos hacktivistas, la industria del agua debe fortalecer urgentemente su postura de ciberseguridad.
La transparencia de American Water en la notificación del incidente y la cooperación con CISA y las fuerzas del orden sentaron un precedente necesario para otros proveedores de infraestructura crítica. A medida que las regulaciones de ciberseguridad continúen evolucionando, las empresas de servicios públicos de agua deberán priorizar la higiene cibernética, adoptar las mejores prácticas de las agencias federales y prepararse para la inevitabilidad de futuros ataques.