Estados Unidos comparte consejos de defensa a empresas de suministro de agua

CISA, el FBI y la Agencia de Protección Medioambiental (EPA) han compartido una lista de medidas defensivas que las empresas estadounidenses de suministro de agua deberían aplicar para defender mejor sus sistemas contra los ciberataques.

La hoja informativa publicada hoy esboza los ocho pasos principales que las organizaciones de agua y aguas residuales de EE.UU. pueden dar para reducir el riesgo de ciberataque y aumentar la resistencia frente a actividades maliciosas. También detalla servicios gratuitos, recursos y herramientas que pueden utilizarse para apoyar estas medidas defensivas.

«CISA, la EPA y el FBI instan a todas las organizaciones de WWS y de infraestructuras críticas a revisar la hoja informativa e implementar acciones para mejorar la resiliencia frente a las amenazas cibernéticas», dijeron las agencias.

«Las entidades que necesiten apoyo adicional para implementar cualquiera de las acciones descritas en la hoja informativa deben ponerse en contacto con la EPA y/o su asesor regional de ciberseguridad de CISA para obtener ayuda».

Se aconseja a las empresas de agua que reduzcan la exposición de los activos clave (incluidos los dispositivos de IoT, como controladores y unidades terminales remotas) a la Internet pública y que lleven a cabo evaluaciones periódicas de ciberseguridad para conocer las vulnerabilidades existentes en los sistemas de IoT y TI.

También deben cambiar inmediatamente todas las contraseñas predeterminadas o inseguras e implementar la autenticación multifactor (MFA) cuando sea posible, realizar inventarios de activos OT/IT para comprender su superficie de ataque y realizar copias de seguridad periódicas de los sistemas OT/IT para facilitar la recuperación después de una brecha.

También se recomienda a las instalaciones de WWS que parcheen o mitiguen las vulnerabilidades conocidas para bloquear los intentos de explotación, desarrollen y pongan en práctica planes de respuesta y recuperación ante incidentes de ciberseguridad para reaccionar más rápidamente en caso de que se produzca un ataque, y lleven a cabo una formación anual de concienciación sobre ciberseguridad para ayudar a los empleados a comprender cómo prevenir y responder a los ciberataques.

Las infraestructuras críticas del agua sufren ataques en todo el mundo

En los últimos años, las instalaciones de tratamiento de aguas han sido repetidamente blanco de ciberataques, comprometiendo la seguridad de infraestructuras críticas y suscitando preocupación por la seguridad pública.

Desde principios de año, varias empresas de tratamiento de agua han sido víctimas de ataques de ransomware que les han obligado a cerrar sus sistemas para contener las brechas, entre ellas Veolia North America y Southern Water en el Reino Unido.

En respuesta, CISA, el FBI y la EPA publicaron una guía de respuesta a incidentes para ayudar a los defensores a proteger a las empresas de suministro de agua.

En septiembre, la Agencia de Ciberseguridad de Estados Unidos también publicó un programa gratuito de análisis de seguridad para ayudar a las infraestructuras críticas, como las compañías de agua, a detectar fallos de seguridad y proteger los sistemas contra los ciberataques.

En noviembre, CISA advirtió de que los hackers se habían infiltrado en una instalación de distribución de agua en Pensilvania aprovechando PLCs Unitronics vulnerables, aunque la seguridad del agua potable para las comunidades locales no se vio comprometida.

En los últimos años, las instalaciones de agua y aguas residuales de EE.UU. se han visto afectadas por numerosas brechas que llevaron al despliegue de los ransomware Ghost, ZuCaNo y Makop.

Estos ataques de ransomware afectaron a un plan de tratamiento de aguas residuales del sur de Houston en 2011, a una empresa de suministro de agua con software y hardware obsoletos en 2016, al distrito de agua de Camrosa en el sur de California en agosto de 2020 y a un sistema de agua en Pensilvania en mayo de 2021.