La Agencia de Protección Ambiental (EPA) emitió una alerta este lunes, advirtiendo sobre el aumento en la frecuencia y severidad de los ataques cibernéticos contra los sistemas de agua potable en todo el país, instando a las empresas de servicios públicos a adoptar medidas inmediatas para proteger estas infraestructuras críticas.
Janet McCabe, Administradora adjunta de la EPA, destacó que alrededor del 70% de las empresas inspeccionadas violaron normas anti-ciberataques, lo que incluye fallas en cambiar contraseñas predeterminadas y en cortar el acceso a ex empleados.
La EPA señala que, debido a que los sistemas de agua dependen de software para operar, es crucial proteger tanto la tecnología de la información como los controles de procesos. Los ciberataques pueden causar interrupciones en el tratamiento y almacenamiento del agua, daños a bombas y válvulas, y alteración de niveles químicos hasta volverlos peligrosos.
Los recientes ataques no provienen solo de grupos privados; países como China, Rusia e Irán están detrás de muchos de estos, buscando la capacidad de desactivar la infraestructura crítica, incluidos los sistemas de agua y aguas residuales.
Incidentes recientes incluyen el ataque de un grupo vinculado a Irán, “Cyber Av3ngers”, que obligó a una empresa de agua de Pensilvania a cambiar a operaciones manuales, y esfuerzos de un “hactivista” vinculado a Rusia que intentó interrumpir las operaciones en Texas.
Un grupo cibernético asociado a China, conocido como Volt Typhoon, ha comprometido la tecnología de la información de múltiples infraestructuras críticas en EE.UU. y sus territorios.
Dawn Cappelli, experta en ciberseguridad de Dragos Inc., advierte que los estados nacionales, al colaborar con grupos hacktivistas, obtienen una negación plausible mientras permiten que estos grupos ejecuten ataques destructivos.
En respuesta, la administración Biden está tomando medidas para proteger la infraestructura crítica, incluidos los sistemas de agua. En febrero, el presidente Biden firmó una orden ejecutiva para proteger los puertos estadounidenses y ha presionado a las empresas eléctricas para que aumenten sus defensas.
Michael Regan, administrador de la EPA, y Jake Sullivan, asesor de seguridad nacional, han pedido a los estados que elaboren planes contra los ciberataques a sistemas de agua potable y aguas residuales.
La EPA enfatiza que algunas soluciones son sencillas, como no utilizar contraseñas predeterminadas y desarrollar un plan de evaluación de riesgos que incluya ciberseguridad. Además, la agencia ofrece capacitación gratuita a las empresas de agua que necesiten ayuda para fortalecer sus defensas.
Alan Roberson, director ejecutivo de la Asociación de Administradores Estatales de Agua Potable, afirma que, aunque idealmente todos los sistemas deberían tener un nivel básico de ciberseguridad, todavía estamos lejos de ese objetivo.
Con información de AP.
