Amy Larsen DeCarlo – Analista principal, Servicios de seguridad y centros de datos Resumen: • Los funcionarios del gobierno de EE. UU. están advirtiendo a los gobernadores estatales que los sistemas de agua potable y aguas residuales están amenazados. • Los ataques recientes llevados a cabo por malos actores que trabajan en nombre de los gobiernos iraní y chino utilizaron diferentes técnicas para violar la infraestructura crítica; el gobierno espera que vengan más. Una carta de la Casa Blanca incluía un enlace a una guía sobre qué controles de seguridad deberían tener los sistemas de agua. Las preocupaciones sobre los ataques a infraestructuras críticas no son nada nuevo, pero los acontecimientos recientes han demostrado que los malos actores son cada vez más descarados. Una encuesta realizada por Mitre y Harris Corporation en febrero de 2024 encontró que el 81% de 2.046 estadounidenses informaron preocupación por la seguridad de la infraestructura crítica. Los sistemas de agua potable y aguas residuales son objetivos particularmente atractivos para los atacantes porque son esenciales para la población y, por lo general, no cuentan con suficiente seguridad. Si bien el nivel de alarma sobre las amenazas a la infraestructura crítica ha aumentado en los últimos años, hay evidencia de que los malos actores se están volviendo más audaces en sus esfuerzos por permear los sistemas de agua. Este mes, la Casa Blanca envió una carta a los 50 gobernadores estadounidenses alertándolos sobre amenazas específicas de dos malos actores afiliados a estados-nación. La Casa Blanca señaló que la Guardia Revolucionaria del Gobierno iraní (CGRI) y un grupo de hackers patrocinado por el Estado, Volt Typhoon, asociado con la República Popular China, violaron los sistemas de agua de Estados Unidos en los últimos seis meses. En el caso del primero, el IRGC aprovechó el hecho de que una instalación no cambiara la contraseña de fabricación predeterminada para acceder a un sistema de agua. La idea predominante en Volt Typhoon es que los ciberdelincuentes violaron la infraestructura crítica para posicionarse previamente y perturbar los sistemas de agua en caso de conflictos políticos o militares. Al igual que otros sectores que invierten poco en tecnología de la información, los sistemas de agua y otras áreas de infraestructura crítica, como las empresas de servicios públicos de energía, a menudo carecen de controles esenciales de seguridad de tecnología operativa y de TI. Estas empresas de servicios públicos también suelen carecer de recursos de personal para identificar y mitigar incidentes de seguridad. La carta incluía enlaces a recursos de la Agencia de Protección Ambiental y de la Agencia de Infraestructura y Ciberseguridad (CISA) específicamente dirigidos a los sistemas de agua. Estos recursos incluyen capacitación, ayuda consultiva, herramientas y soporte técnico, comenzando con las prácticas de seguridad más básicas. Las agencias describen la capacitación y los controles fundamentales, incluida la capacitación del personal para reconocer y esquivar esquemas de phishing, el uso de contraseñas seguras, la autenticación multifactor y garantizar que el software esté actualizado. El conjunto de herramientas proporcionado por la EPA y CISA también ofrece apoyo para la evaluación de la vulnerabilidad y promete adaptar y agregar nuevos recursos para las empresas de agua y aguas residuales en función del panorama cambiante de amenazas.

Source link