A finales de noviembre, un grupo de piratas informáticos respaldado por Irán atacó los controles digitales fabricados en Israel que se utilizan comúnmente en las industrias del agua y las aguas residuales en los EE. UU., afectando a múltiples organizaciones en varios estados.
Ese mismo mes, el Distrito Municipal de Agua del Norte de Texas, que suministra agua a más de 2 millones de clientes, fue víctima de un ataque de ransomware. Y a principios de este año, piratas informáticos vinculados al Ejército Popular de Liberación de China atacaron una empresa de agua en Hawaii, según el Washington Post.
Si bien ninguna de las intrusiones afectó la calidad o el suministro del agua ni inhabilitó ninguna función crítica, todas ocurrieron mientras el gobierno de EE. UU. ha estado negociando con asociaciones municipales de agua y formuladores de políticas sobre la mejor manera de proteger uno de los recursos más críticos del país de los ataques cibernéticos.
Los ataques vinculados a Irán fueron una llamada de atención que ha llevado a los funcionarios a redoblar los esfuerzos para acordar al menos estándares mínimos de seguridad. Pero hasta ahora se han logrado pocos avances reales.
Los acontecimientos recientes “destacan que nuestra ciberseguridad nacional no está donde necesita estar”, dijo Anne Neuberger, asesora adjunta de seguridad nacional, en declaraciones a los periodistas a principios de este mes. La Casa Blanca ahora está trabajando estrechamente con el Congreso para reforzar la autoridad de la EPA a fin de garantizar prácticas mínimas de ciberseguridad en todo el sector del agua, dijo.
La próxima vez podría ser mucho peor. El sistema de agua es una parte especialmente vulnerable de la infraestructura estadounidense, plagado de controles débiles, financiación insuficiente, escasez de personal y falta de confianza entre la industria y las agencias gubernamentales. En octubre, la Agencia de Protección Ambiental se vio obligada a rescindir los planes introducidos a principios de este año que exigían a los estados evaluar la idoneidad de las protecciones de ciberseguridad en las instalaciones de agua para ayudar a reforzar las defensas y mitigar la exposición. Los legisladores republicanos en tres estados calificaron la supervisión como ilegal y acusaron a la EPA de extralimitarse.
Menos de dos meses después, un grupo que se conoce con el nombre CyberAv3ngers, y que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. afirmó que está afiliado al Cuerpo de la Guardia Revolucionaria Islámica, apuntó a dispositivos de control digital utilizados en las industrias del agua y las aguas residuales fabricados por la empresa israelí Unitronics. . Los piratas informáticos, que buscaron dispositivos conectados a Internet con contraseñas predeterminadas, desactivaron las pantallas digitales utilizadas para ajustar la presión del agua y dejaron un mensaje: ‘Has sido pirateado, abajo Israel’.
El gobierno de EE. UU. ha presionado para ayudar a proteger toda la infraestructura de servicios públicos de la creciente amenaza de las incursiones digitales y, a principios de este año, lanzó un plan de ciberseguridad para reforzar la protección en sectores críticos y hacer que las empresas de software sean legalmente responsables cuando sus productos no cumplan con los estándares básicos.
Pero el sector del agua ha sido más problemático que otros porque comprende alrededor de 150.000 sistemas públicos de agua activos en todo el país. De ellos, el 97% presta servicios a comunidades de 10.000 personas o menos y cuenta con una dotación de personal mínima. Muchos de ellos dependen de pequeñas cantidades de financiación de los gobiernos estatales o locales, lo que deja poco para invertir en conocimientos técnicos.
La Autoridad Municipal de Agua de Aliquippa, que atiende a unas 15.000 personas en Pittsburgh, estuvo en el centro del ataque del grupo vinculado a Irán. Los expertos en ciberseguridad esperaban un aumento en la actividad de los piratas informáticos iraníes y pro palestinos respaldados por el Estado desde el ataque del 7 de octubre a Israel por parte de Hamás.
Los ciberataques se extendieron más allá de la pequeña autoridad de agua del oeste de Pensilvania y dejaron vulnerables a otras industrias que utilizan el mismo equipo, que se pueden encontrar en la energía, la fabricación de alimentos y bebidas y la atención médica, según CISA. Al menos 10 operaciones relacionadas con el agua se vieron afectadas por el ataque de CyberAv3ngers, dijo una persona familiarizada con el asunto.
Así es como una pequeña cervecería artesanal de Nueva Jersey se convirtió en una improbable víctima de las operaciones globales de piratería del Cuerpo de la Guardia Revolucionaria Islámica. La empresa familiar Frye Brewing Company dijo que se vio obligada a dejar de elaborar cervezas y cervezas durante unos días como resultado del hackeo de CyberAv3ngers, destacando los riesgos más amplios que enfrenta el fragmentado sistema de agua de Estados Unidos.
‘Somos una pequeña operación familiar (literalmente) que se vio afectada por una guerra que se libraba en un mundo de distancia’, dijo Mike Frye, quien dirige la cervecería con su esposa Colleen, en un correo electrónico. ‘Fuimos poco estrictos con nuestra seguridad y nos costó unos días de dolor de cabeza’, dijo Frye.
Funcionarios de la Casa Blanca, encabezados por Neuberger, y personal de la EPA se reunieron a principios de este mes con representantes de asociaciones de agua para discutir la mejor manera de reforzar las defensas para el futuro, según dos personas familiarizadas con la reunión que pidieron no ser identificadas porque hablan de conversaciones privadas.
Las asociaciones de agua acordaron difundir el mensaje a los operadores de servicios públicos sobre cómo cumplir con los estándares básicos de ciberseguridad, dijeron las personas. Pero las conversaciones sobre exigir controles obligatorios de ciberseguridad en inspecciones de rutina u otros detalles técnicos, incluida potencialmente cualquier ayuda federal o estatal, fueron más superficiales y no resultaron en ninguna acción, según una de las personas.
‘Lo que más nos ha preocupado desde el 11 de septiembre fue que alguien pusiera un patógeno o algún tipo de agente biológico químico en un suministro de agua’, dijo Mark Montgomery, contralmirante retirado y director senior del Centro de Tecnología y Cibernética. Innovación en la Fundación para la Defensa de las Democracias.
Montgomery y otros han escrito recomendaciones para la legislación que incluirían brindar asistencia técnica a los operadores de agua rurales y un programa de riesgo y resiliencia para sistemas más grandes. Pero esas medidas, que se incluirán en un proyecto de ley del Departamento de Agricultura, han quedado inactivas mientras los legisladores discuten sobre otros temas. Mientras tanto, la administración Biden espera que los estados puedan utilizar los recursos existentes para mejorar la ciberseguridad de los sistemas de agua vulnerables, recurriendo a fondos de la Ley de Infraestructura Bipartidista, según un portavoz del Consejo de Seguridad Nacional.
Las discusiones entre la EPA y las asociaciones de agua han estado llenas de acritud durante años, y la agencia impulsó una propuesta en marzo que la industria del agua dijo repetidamente que era inviable y no tenía base legal, según personas familiarizadas con las discusiones.
Personas familiarizadas con las discusiones describieron las reuniones como “tensas”, y los miembros de la asociación dijeron que en algunas sesiones se sentían “hablados” en lugar de escuchados. La EPA dijo que se había ‘involucrado ampliamente’ con las partes interesadas ‘para generar una conciencia compartida, comprender los problemas y abordar las preocupaciones’.
Desde que la EPA retiró su plan propuesto en octubre, ha habido poca comunicación entre las asociaciones de agua y la agencia federal, dijo Alan Roberson, director ejecutivo de la Asociación de Administradores Estatales de Agua Potable. La EPA dijo en un comunicado que se reúne mensualmente con ‘miembros relevantes del sector del agua, que incluyen regularmente representantes de varias asociaciones nacionales del agua’. Su convocatoria más reciente fue a principios de noviembre.
‘Tenemos que lograr más avances’, dijo Neuberger la semana pasada al margen de una conferencia de seguridad en Washington. ‘Creo que todas las vías están sobre la mesa’.
Fuente: https://www.bloomberg.com/news/articles/2023-12-22/iranian-linked-hacks-expose-failure-to-safeguard-us-water-system?cmpid=BBD122623_TECH&utm_medium=email&utm_source=newsletter&utm_term=231226&utm_campaign=tech&sref=DPtqrPAJ
