American Water, la mayor empresa de agua y aguas residuales regulada públicamente en los EE. UU., reveló el lunes que había sido víctima de un ciberataque que afectó a ciertos sistemas internos. La compañía con sede en Nueva Jersey, que brinda servicios esenciales de agua y aguas residuales a más de 14 millones de personas en 14 estados, dijo que actuó rápidamente para proteger sus operaciones después de descubrir actividad no autorizada dentro de sus redes el 3 de octubre. En una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC) el lunes, American Water confirmó que el ataque no había afectado el funcionamiento de sus instalaciones de agua y aguas residuales, que continúan funcionando normalmente. Sin embargo, la empresa reconoció que aún está evaluando el alcance total de la infracción. Como medida de precaución, ha desconectado sistemas específicos y suspendido la facturación a los clientes hasta nuevo aviso. Se ha asegurado a los clientes que no enfrentarán cargos por pagos atrasados ​​durante este período. Rubén Rodríguez, portavoz de American Water, dijo a TechCrunch que el objetivo de la empresa es proteger los datos de los clientes y evitar daños mayores. Confirmó que se ha notificado a las autoridades y que los equipos internos están trabajando las 24 horas del día para investigar la naturaleza de la infracción. Rodríguez no reveló qué sistemas fueron comprometidos ni proporcionó detalles específicos sobre el tipo de ciberataque. Preocupaciones por la ciberseguridad en la infraestructura crítica de EE. UU. El incidente se produce en un momento de creciente preocupación por las vulnerabilidades de seguridad cibernética en la infraestructura crítica de EE. UU., particularmente en los sistemas de agua y aguas residuales. A principios de este año, las agencias de inteligencia estadounidenses, incluida la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), advirtieron que piratas informáticos patrocinados por el Estado de China habían violado con éxito varios sectores de infraestructura críticos, incluidos los sistemas de agua. Se decía que los piratas informáticos eran capaces de mantener el acceso a largo plazo a estas redes, lo que podría interrumpir las operaciones durante una crisis. Lea más sobre el aviso: CISA advierte a los líderes de infraestructuras críticas sobre el tifón Volt En los últimos años, ha habido varios ataques cibernéticos de alto perfil a los sistemas de agua en los EE. UU., incluido un incidente en 2021 en Oldsmar, Florida, donde los piratas informáticos intentaron envenenar el suministro de agua alterando los niveles químicos. Estos ataques han hecho sonar las alarmas sobre la posibilidad de que los ciberdelincuentes y los actores de los Estados-nación apunten a servicios públicos esenciales. Las empresas de servicios de agua con fondos insuficientes enfrentan crecientes amenazas cibernéticas La violación de American Water ha vuelto a llamar la atención sobre los desafíos más amplios del sector del agua, que a menudo carece de suficiente financiación para la ciberseguridad. Tim Erlin, estratega de seguridad de Wallarm, señaló que las empresas de agua dependen cada vez más de tecnologías digitales modernas, como API y aplicaciones web, que pueden introducir nuevas vulnerabilidades. «Las instalaciones de tratamiento de agua y aguas residuales a menudo no cuentan con fondos suficientes en lo que respecta a la ciberseguridad, pero enfrentan las mismas amenazas que otras organizaciones», advirtió Erlin. “CISA […] se ha centrado en el sector de agua y tratamiento de aguas residuales, pero estos cambios requieren tiempo y presupuesto”. Centrarse en la seguridad de la identidad y las soluciones a largo plazo Sean Deuby, experto en ciberseguridad de Semperis, también comentó la noticia y observó que el ataque de American Water no fue del todo inesperado, dado el creciente número de advertencias emitidas por las agencias federales. Deuby señaló que, si bien la rápida respuesta de la empresa para aislar sus sistemas fue encomiable, refleja los desafíos más amplios de ciberseguridad que enfrenta la infraestructura crítica. Hizo hincapié en que el método más común utilizado por los atacantes para obtener acceso a dichos sistemas es a través de ataques basados ​​en identidad, dirigidos a sistemas de gestión de identidad vulnerables como Active Directory. «Un hilo común en todas estas campañas es el uso de la identidad para el acceso inicial, la propagación, la escalada de privilegios y la persistencia», añadió Deuby. «Las organizaciones deben priorizar la protección de estos sistemas de misión crítica que siempre son el objetivo de los actores de amenazas, ya sean actores de estados-nación o ciberdelincuentes». Al momento de escribir este artículo, American Water no ha proporcionado un cronograma sobre cuándo se restaurarán completamente sus sistemas, y se recomienda a los clientes que controlen el sitio web de la compañía para obtener actualizaciones.