La Agencia de Protección Ambiental (EPA) lanzó una alerta sobre el aumento de ciberataques a los sistemas de agua potable en Estados Unidos.
Esta preocupación surge después de que se detectara que aproximadamente el 70% de los servicios públicos inspeccionados durante el último año violaron estándares de seguridad, lo que los hace vulnerables a intrusiones digitales.
Janet McCabe, administradora adjunta de la EPA, enfatizó que muchas de las medidas básicas de ciberseguridad no se están cumpliendo. Esto incluye el no cambiar las contraseñas predeterminadas y mantener el acceso a ex empleados. “En muchos casos, los sistemas no están haciendo lo que se supone que deben hacer”, afirmó McCabe.
Los ciberataques recientes han sido perpetrados por grupos vinculados a Rusia, Irán y China, apuntando no solo a páginas web, sino también a operaciones internas de los servicios públicos. Un ataque del grupo iraní “Cyber Av3ngers” obligó a un proveedor de agua en Pensilvania a cambiar a operaciones manuales después de que intentaran sabotear una bomba remota.
El administrador de la EPA, Michael Regan, y el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, instaron a los estados a desarrollar planes para combatir estas amenazas, subrayando que los sistemas de agua potable son un objetivo crítico debido a su importancia para la infraestructura y sus limitaciones técnicas.
Dawn Cappelli, experta en ciberseguridad de Dragos Inc., señaló que los estados nacionales están trabajando en la sombra con grupos hacktivistas, lo que permite ataques destructivos con “negación plausible”. Estos ataques podrían interrumpir servicios críticos en caso de conflictos armados o tensiones geopolíticas, como sugieren las actividades del grupo chino Volt Typhoon.
La EPA ha enfrentado obstáculos legales en su intento de implementar evaluaciones de ciberseguridad obligatorias. Estados como Missouri, Arkansas e Iowa impugnaron estos mandatos, logrando que la agencia retirara sus requisitos oficiales, aunque la EPA sigue instando a las medidas voluntarias.
Según Kevin Morley, gerente de relaciones federales de la Asociación Estadounidense de Obras Hidráulicas, muchas empresas todavía usan equipos conectados a Internet, lo cual representa una gran vulnerabilidad. Morley aboga por la creación de una organización experta en ciberseguridad y agua, en colaboración con la EPA, para desarrollar y ejecutar políticas robustas.
Algunas de las soluciones propuestas por la EPA son de bajo costo y fáciles de implementar, como no utilizar contraseñas predeterminadas y establecer sistemas de respaldo. “En un mundo ideal, nos gustaría que todos tuvieran un nivel básico de ciberseguridad y pudieran confirmarlo”, afirmó Alan Roberson, director ejecutivo de la Asociación de Administradores Estatales de Agua Potable.
Los ataques recientes también han incluido intentos de desconfigurar niveles químicos en el agua tratada, lo que representa un peligro significativo para la salud pública. Los expertos en ciberseguridad advierten que proteger la tecnología de la información y los controles de procesos es crucial para evitar estos riesgos.
El sector del agua en Estados Unidos está altamente fragmentado, con aproximadamente 50,000 proveedores comunitarios de agua, la mayoría de los cuales abastecen a comunidades pequeñas con recursos limitados para ciberseguridad. “Ahora le estás pidiendo a una empresa de agua que desarrolle este nuevo tipo de departamento”, señaló Amy Hardberger de Texas Tech University.
A pesar de los desafíos, la EPA se compromete a proporcionar capacitación gratuita a las empresas de agua que necesiten ayuda para mejorar su ciberseguridad. Según Janet McCabe, se busca alertar a los proveedores sobre los problemas encontrados y las posibles sanciones civiles o penales si no cumplen con los estándares de seguridad.
Los esfuerzos por proteger los sistemas de agua forman parte de una estrategia más amplia de la administración del presidente Joe Biden para reforzar la defensa de la infraestructura crítica del país. En febrero, se firmó una orden ejecutiva para mejorar la seguridad en los puertos, y se ha presionado a las empresas eléctricas para que incrementen sus defensas cibernéticas.
Michael Regan y Jake Sullivan resaltaron en una carta dirigida a los 50 gobernadores de los EEUU que los sistemas de agua potable y de aguas residuales, aunque vitales, carecen de los recursos necesarios para adoptar prácticas rigurosas de ciberseguridad. Los recientes ciberataques subrayan la urgente necesidad de fortalecer estas defensas.