Estados Unidos enfrenta una creciente amenaza a su infraestructura de agua potable debido a ataques cibernéticos vinculados a China, Rusia e Irán. Estos ataques pueden dañar el sistema estructural, interrumpir el flujo de agua y alterar los niveles químicos, contaminando el suministro público de agua potable.
En los últimos años, múltiples sistemas de agua en Estados Unidos, incluyendo los de Kansas, Texas y Pensilvania, han sido víctimas de ataques cibernéticos, según información divulgada por CNBC.
Según un portavoz de la Agencia de Protección Ambiental (EPA), “todos los sistemas de agua potable y aguas residuales están en riesgo”, independientemente del tamaño o la ubicación del sistema.
Agregó que los ataques pueden “permitir que aguas residuales sin tratar se descarguen en un curso de agua o contaminen el agua potable suministrada a una comunidad”. La mayoría de los ataques, según la EPA, han sido prevenibles si se hubieran adoptado prácticas básicas de resiliencia cibernética.
Los cibercriminales extranjeros han hecho de la infraestructura crítica nacional un objetivo prioritario. A pesar del creciente temor por el uso de inteligencia artificial en ciberataques, los métodos más comunes siguen siendo técnicas tradicionales como el phishing, la ingeniería social y el uso de contraseñas predeterminadas.
En una advertencia enviada al Congreso en febrero de este año, el Buró Federal de Investigaciones (FB) alertó sobre los hackers chinos que han penetrado profundamente en la infraestructura cibernética de Estados Unidos, apuntando a sistemas de tratamiento de agua, redes eléctricas, sistemas de transporte y otras infraestructuras críticas.
En enero, un ataque vinculado a Rusia afectó a una planta de filtración de agua en Muleshoe, Texas, causando un desbordamiento de un tanque de agua. Adam Isles, jefe de práctica de ciberseguridad en Chertoff Group, alertó en entrevista con MSNBC que “el agua es una de las áreas menos maduras en términos de seguridad”.
El impacto psicológico de estos ataques es significativo. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recordó el incidente del oleoducto Colonial en 2021, que causó largas filas en estaciones de servicio y pánico en la población.
Stuart Madnick, profesor del MIT y co-fundador de Ciberseguridad en MIT Sloan, advirtió que aunque ningún hackeo hasta la fecha ha cortado el suministro de agua a una población, tal evento representa una preocupación mayor: “hemos demostrado en nuestro laboratorio cómo operaciones, como una planta de agua, podrían ser cerradas no solo por horas o días, sino por semanas.”
El Administrador de la EPA, Michael Regan, y el asesor de seguridad nacional, Jake Sullivan, enviaron recientemente una carta a los gobernadores del país, detallando la urgencia de la amenaza cibernética. Sin embargo, Madnick expresó dudas sobre la capacidad del gobierno para actuar rápidamente o con la robustez necesaria para prevenir tales ataques.
Las tecnologías obsoletas en las compañías de agua aumentan la vulnerabilidad. La EPA ha identificado que el 70% de los sistemas que inspeccionó no cumplen completamente con los requisitos de la Ley de Agua Potable Segura. Sin especificar un número exacto, la EPA señaló que algunos presentan vulnerabilidades severas, con contraseñas predeterminadas no actualizadas y configuraciones de acceso vulnerables.
Ryan Witt sugirió pasos iniciales para mejorar la ciberseguridad de estos sistemas, como “mejorar la fuerza de las contraseñas, reducir la exposición a Internet público y formar en ciberseguridad”. También propuso el despliegue de sistemas “air-gapped” para separar los sistemas de control de otras redes.
Con la evolución de la inteligencia artificial, los actores maliciosos podrían tener tácticas más sofisticadas para penetrar en la tecnología operativa que controla las instalaciones de infraestructura crítica. Según la EPA, estas amenazas cibernéticas han sido vinculadas a una variedad de actores maliciosos, incluidos aquellos que actúan en apoyo de otras naciones para obtener ventajas estratégicas.