Resumen ejecutivo Las instalaciones de tratamiento de agua son componentes críticos de la infraestructura pública, con más de 148.000 sistemas públicos de agua en funcionamiento solo en los Estados Unidos. Subrayando su criticidad, estas instalaciones se enfrentan cada vez más a ciberataques debido a la falta de medidas de ciberseguridad sólidas en comparación con otras industrias. En uno de los ataques más recientes y horripilantes en septiembre de 2024, los piratas informáticos atacaron la planta de tratamiento de agua de Arkansas City, obligándola a cambiar a operaciones manuales. Cyble Research & Intelligence Labs (CRIL) ha estado enfatizando la necesidad crítica de salvaguardar los activos de tecnología operativa (OT) y la negligencia existente en la adhesión a los protocolos básicos de ciberseguridad, como cambiar las credenciales predeterminadas, garantizar la segmentación sistemática de la red de los activos de OT y mitigar sus exposiciones a través de Internet. Enfatizando la urgencia, CISA también publicó recientemente una hoja informativa conjunta, destacando los ciberataques en curso llevados a cabo por hacktivistas pro-Rusia dirigidos específicamente a dispositivos de tecnología operativa (OT) en América del Norte y Europa. La hoja informativa conjunta afirma: «Las organizaciones autoras son conscientes de que los hacktivistas prorrusos atacan y comprometen sistemas OT de pequeña escala en los sistemas de agua y aguas residuales (WWS), represas, energía y sectores de alimentos y agricultura de América del Norte y Europa. Estos hacktivistas buscan comprometer los sistemas de control industrial (ICS) modulares expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina (HMI), explotando el software de acceso remoto de computación en red virtual (VNC) y las contraseñas predeterminadas». Los servicios de agua en la mira del Ejército Cibernético del Pueblo Desde enero de este año, se ha observado que el grupo hacktivista prorruso Ejército Cibernético del Pueblo (PCA) ataca infraestructuras críticas como los servicios de agua en los EE. UU. y Europa. Entre sus primeros ataques, PCA apuntó a los sistemas de control de suministro de agua en varias ciudades de Texas y una instalación de aguas residuales en un pueblo polaco. Según los informes de los medios estadounidenses, esto resultó en el derrame de decenas de miles de galones de agua en las calles y los sistemas de drenaje, causando una considerable angustia pública y un posible daño ambiental. En marzo, difundieron un video en su canal de Telegram (posteriormente eliminado) en el que se afirmaba que se había producido un ataque a una central hidroeléctrica francesa. Cyble Research & Intelligence Labs (CRIL) observó que en los últimos seis meses, el Ejército Cibernético del Pueblo (PCA) ha aumentado sus ataques a las instalaciones de tratamiento de agua en Estados Unidos y Europa. Figura 1: capturas de pantalla de instalaciones de tratamiento de agua supuestamente atacadas por el grupo hacktivista Productos y protocolos en riesgo Según la investigación realizada por los investigadores del CRIL, la mayoría de las instalaciones de tratamiento de agua de Estados Unidos están en riesgo debido a: Actores de amenazas que explotan los protocolos VNC: los grupos hacktivistas están aprovechando VNC con conexión a Internet y casi obsoleto para acceder a los sistemas HMI instalados en los entornos de las organizaciones que se ocupan del sector de tratamiento de aguas residuales. SCADAView CSX con conexión a Internet, un software SCADA (control de supervisión y adquisición de datos) desarrollado por Micro-Comm, Inc., se utiliza ampliamente en las empresas de agua de todo el país. Proporciona una interfaz hombre-máquina (HMI) para monitorear y controlar las unidades centrales de telemetría (CTU). Enlace Para resaltar aún más la gravedad de la situación, el mapa y las estadísticas a continuación indican el creciente número de servicios de agua expuestos a Internet en los Estados Unidos. Considerando los crecientes ataques a los servicios de agua, como se destacó en la sección anterior, estos activos escasamente protegidos son susceptibles a amenazas graves de grupos hacktivistas y actores estatales/no estatales. Figura 2: Cronología del crecimiento de las instancias de ScadaView expuestas a Internet en los EE. UU. (Fuente: Shodan) Figura 3: Distribución geográfica de los activos de servicios de agua ScadaView implementados en los estados de EE. UU. (fuente: Shodan) Impacto Interrupción de las operaciones: un ciberataque a la HMI podría interrumpir operaciones críticas, lo que llevaría a un control incorrecto de bombas, válvulas y otros equipos, lo que podría causar desbordamientos, derrames o contaminación en el proceso de tratamiento del agua. Riesgos para la salud pública: una HMI comprometida podría resultar en el tratamiento inadecuado de las aguas residuales, lo que llevaría a la liberación de agua no tratada o tratada incorrectamente al medio ambiente. Esto podría suponer importantes riesgos para la salud pública al contaminar las fuentes de agua potable o los ecosistemas. Daños medioambientales: Un ataque podría provocar que los sistemas funcionaran mal o se apagaran, liberando sustancias químicas tóxicas o aguas residuales sin tratar en ríos, lagos o el suelo cercanos, lo que provocaría daños medioambientales a largo plazo. Pérdidas económicas: El tiempo de inactividad y los esfuerzos de recuperación resultantes de un ciberataque podrían dar lugar a importantes pérdidas económicas para las instalaciones debido a la interrupción de las operaciones, los costes de reparación y las posibles multas reglamentarias. Riesgos de seguridad para el personal: El mal funcionamiento de los sistemas HMI podría crear condiciones de trabajo inseguras para los operadores y el personal de mantenimiento, lo que podría provocar accidentes, lesiones o exposición a sustancias peligrosas. Crónicas del hacktivismo El Ejército Cibernético Popular (PCA) surgió por primera vez poco después del inicio de la guerra ruso-ucraniana en 2022 y mantiene una presencia sustancial a través de su canal de Telegram, que tiene 61.000 suscriptores, y una red de canales privados de Telegram, donde los miembros establecen objetivos, colaboran y reciben órdenes operativas. Al principio de su existencia, PCA promovió herramientas de ataque de denegación de servicio distribuido (DDoS), que atacaban activamente la infraestructura ucraniana y alentaban a sus seguidores a participar. También proporcionaron contenido de capacitación, incluida una herramienta DDoS, a través de su canal de Telegram para permitir que sus suscriptores los apoyaran en su activismo. Poco a poco, PCA amplió el contenido de su canal de Telegram para incluir narrativas de medios de propaganda rusos, PMC Wagner y corresponsales de guerra y blogueros prorrusos. En 2023, PCA expandió sus operaciones más allá de Ucrania y comenzó a apuntar a entidades, especialmente a proveedores de servicios de Internet (ISP) en la UE y los EE. UU. En 2024, el grupo hacktivista anunció alianzas estratégicas con otros grupos hacktivistas con ideologías similares, como NoName057(16), Federal Legion, CyberDragon, Phoenix y 22C, para extender y colaborar en varias campañas hacktivistas. Es probable que el Ejército Cibernético Popular y Xacknet interactúen con el GRU, la agencia de inteligencia militar de Rusia, o sean controlados por él. El 19 de julio de 2024, Estados Unidos reveló públicamente las identidades de dos miembros del grupo hacktivista Ejército Cibernético del Pueblo, alineado con Rusia, y les impuso sanciones por su participación en operaciones cibernéticas dirigidas a infraestructura crítica de Estados Unidos. Yuliya Vladimirovna Pankratova y Denis Olegovich Degtyarenko fueron identificados como figuras clave dentro del grupo, siendo Pankratova la líder del grupo y Degtyarenko el hacker principal. Estas sanciones ponen de relieve los esfuerzos en curso para contrarrestar las amenazas cibernéticas de los actores afiliados al Estado. Conclusión La creciente frecuencia y sofisticación de los ataques hacktivistas a los servicios de agua, en particular los atribuidos a grupos como el Ejército Cibernético del Pueblo de Rusia y otras entidades prorrusas, subraya la necesidad de salvaguardar rápidamente esas infraestructuras críticas. Incidentes recientes, como el ciberataque a la planta de tratamiento de aguas residuales de Tipton West, revelan no solo las capacidades técnicas de estos grupos, sino también su intención de interrumpir los servicios esenciales de los que dependen millones de personas a diario. El hecho de que estos ataques hayan tenido como objetivo sistemas municipales, a menudo con recursos limitados para la ciberseguridad, hace sonar las alarmas sobre la posibilidad de que se produzcan interrupciones más graves en el futuro. Teniendo en cuenta el creciente número de activos de servicios de agua expuestos a Internet en los Estados Unidos, el uso continuo de sistemas obsoletos y protocolos de seguridad inadecuados en instalaciones tan críticas, existe una necesidad urgente de implementar medidas de seguridad sólidas. La Agencia de Protección Ambiental (EPA) también se ha hecho eco de estas preocupaciones, señalando que un asombroso 70% de los servicios de agua inspeccionados no cumplen con los estándares básicos de ciberseguridad. Vemos que los grupos hacktivistas rusos aprovechan los ciberataques no solo para interrumpir las operaciones, sino también como una herramienta de propaganda. Al exponer públicamente las vulnerabilidades en un objetivo de alto perfil como la infraestructura de los Estados Unidos, buscan erosionar la confianza en las defensas de ciberseguridad de Estados Unidos. En particular, el Ejército Cibernético del Pueblo ha intensificado sus ataques a la infraestructura crítica después de las sanciones a su liderazgo, lo que indica una clara intención de persistir en estas operaciones a pesar de la presión internacional. Las posibles consecuencias de la inacción son nefastas, considerando que el mundo se encuentra al borde de una guerra cinética y cibernética; estas debilidades en los servicios de agua no solo plantean amenazas de interrupciones operativas sino también de contaminación de los suministros de agua potable, lo que plantea riesgos significativos para la salud pública. Recomendaciones Reforzar el acceso remoto a las HMI: asegurar el acceso remoto a las HMI mediante VPN para cifrar los datos y requerir autenticación multifactor (MFA) para la verificación del usuario. Limitar el acceso a través de direcciones IP incluidas en la lista blanca y geocercado y auditar periódicamente los registros para detectar actividades no autorizadas. Fortalecer la postura de seguridad: realizar evaluaciones de vulnerabilidad y pruebas de penetración periódicas para identificar debilidades. Utilizar herramientas SIEM y sistemas de detección de intrusiones (IDS) para el monitoreo continuo e implementar protección de puntos finales en activos críticos. Garantizar actualizaciones oportunas de software y firmware. Segmentación de red: separar las redes de TI y OT mediante firewalls y DMZ para limitar la exposición. Utilizar VLAN para aislar sistemas críticos y aplicar controles de acceso estrictos para minimizar la comunicación innecesaria entre segmentos de red. Visibilidad de activos: utilizar herramientas automatizadas de descubrimiento de activos para monitorear todos los dispositivos conectados y mantener un inventario actualizado de hardware y software. El análisis del tráfico de red ayuda a detectar anomalías, mientras que el escaneo pasivo evita interrumpir las operaciones. Elimine las contraseñas predeterminadas y use MFA: reemplace las credenciales predeterminadas con contraseñas seguras y únicas e imponga cambios de contraseña regulares. Implemente MFA para todas las cuentas, especialmente aquellas con acceso privilegiado, y elimine las cuentas no utilizadas para reducir la superficie de ataque. Plan de respuesta a incidentes: prepare y refine un plan de respuesta a incidentes que defina los roles y las acciones para los incidentes cibernéticos. Incluya pasos para la contención, la erradicación y la recuperación al tiempo que garantiza protocolos de comunicación claros para las partes interesadas internas y externas. Mejore la capacitación y la concientización de los empleados: realice programas de capacitación continua sobre ciberseguridad para todos los empleados, en particular aquellos con acceso a sistemas OT. Esto incluye educar al personal sobre cómo reconocer los intentos de phishing, el uso adecuado de los mecanismos de autenticación y la importancia de seguir los protocolos de seguridad para prevenir violaciones de seguridad accidentales. Referencias https://www.cisa.gov/sites/default/files/2024-05/defending-ot-operations-against-ongoing-pro-russia-hacktivist-activity-508c.pdfhttps://www.scadaview.com/Micro-Comm/https://cyble.com/blog/water-and-wastewater-treatment-facilities-vulnerable-to-cyber-attacks/ Relacionado