La Agencia de Protección Ambiental de Estados Unidos (EPA, por sus siglas en inglés) debe abordar urgentemente los crecientes riesgos cibernéticos para los sistemas de agua y aguas residuales, según un nuevo informe de la Oficina de Responsabilidad Gubernamental (GAO, por sus siglas en inglés) de Estados Unidos. La advertencia se produce en medio de un aumento de los ataques a los sistemas de agua, incluso por parte de actores de los estados nacionales. En diciembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) atribuyó una serie de ataques contra plantas de agua en Estados Unidos al Cuerpo de la Guardia Revolucionaria Islámica (CGRI) de Irán. El gobierno estadounidense también advirtió en marzo de 2024 que el actor de amenazas chino Volt Typhoon ha comprometido con éxito a los operadores de sistemas de agua y aguas residuales, entre muchos otros sectores. Si bien la GAO señaló que las agencias federales han revisado los aspectos del riesgo de ciberseguridad para el sector del agua, la EPA no ha realizado una evaluación integral de riesgos para todo el sector ni ha desarrollado y utilizado una estrategia basada en riesgos para guiar sus acciones. «Sin una evaluación de riesgos y una estrategia que guíen sus esfuerzos, la EPA tiene una garantía limitada de que sus esfuerzos aborden los riesgos más altos», señaló el informe. El envejecimiento de la tecnología en los sistemas de agua, una barrera de ciberseguridad Una barrera importante para mejorar la ciberseguridad en la industria del agua es la prevalencia de tecnologías antiguas que son difíciles de actualizar con protecciones de ciberseguridad, señaló el GOA. Además, muchos sistemas no pueden desconectarse durante períodos prolongados para que los operadores realicen actualizaciones debido a la necesidad crucial de salud y saneamiento de un suministro continuo de agua. Otro desafío es el aumento de las conexiones entre las tecnologías operativas y los dispositivos habilitados para Internet, el aumento de las capacidades de automatización y acceso remoto, y los sistemas operativos y de TI que no están separados adecuadamente por firewalls u otras protecciones. Las brechas en las habilidades de la fuerza laboral también han hecho que los sistemas de agua y aguas residuales sean más vulnerables a los ciberataques, encontró el informe. Los funcionarios de la industria entrevistados por el GAO reconocieron que el personal que opera estos sistemas puede no dedicar tiempo o esfuerzo significativos a aumentar las capacidades de sus sistemas para defenderse de los ciberataques. Esto se debe en parte a la creencia errónea de que es poco probable que su sistema sea el objetivo porque brinda servicio a una población pequeña o está ubicado en un área rural. Los funcionarios del sector también informaron que el sector del agua no se ha centrado en desarrollar una cultura de ciberseguridad entre los gerentes y el personal. La GAO agregó que la industria del agua prioriza la financiación para cumplir con los requisitos reglamentarios para agua limpia y segura antes que mejorar la ciberseguridad, que es voluntaria. Cómo abordar los ciberataques a los sistemas de agua La GAO estableció cuatro recomendaciones para que la EPA aborde los riesgos cibernéticos para el sector del agua y las aguas residuales: Realizar una evaluación de riesgos del sector del agua, considerando las amenazas, vulnerabilidades y consecuencias de la seguridad física y la ciberseguridad Desarrollar e implementar una estrategia de ciberseguridad basada en riesgos, en coordinación con otras partes interesadas federales y del sector, para guiar sus programas de ciberseguridad del sector de residuos Evaluar las autoridades legales existentes para llevar a cabo las responsabilidades de ciberseguridad de la EPA y buscar las mejoras necesarias a dichas autoridades de la administración federal y el Congreso Presentar la Herramienta de autoevaluación de vulnerabilidades (VSAT) para revisión por pares independientes y revisar la herramienta según corresponda En respuesta al informe de la GAO, la EPA dijo que aceptaba las recomendaciones en su totalidad. Planea implementar las primeras tres recomendaciones para enero de 2025, y para la cuarta, publicará una VSAT revisada, si es necesario, para agosto de 2025.