Los ciberataques a empresas de agua y electricidad suponen un riesgo para la seguridad y la estabilidad económica

Semperis ha publicado los resultados de un nuevo estudio sobre ciberataques contra compañías de agua y electricidad en Estados Unidos y Reino Unido. El 62% de los operadores han sido objeto de ciberataques en el último año y la gran mayoría (80%) lo han sido varias veces.

Los recientes ciberataques perpetrados por grupos de estados-nación contra empresas de suministro de agua y electricidad ponen de manifiesto la vulnerabilidad de las infraestructuras críticas. Un reciente aviso de la EPA, la Agencia de Protección del Medio Ambiente de Estados Unidos, a las empresas de suministro de agua recomendaba medidas para detectar, responder y recuperarse de los ciberataques. Recientemente, un grupo vinculado a Volt Typhoon, el grupo de amenazas patrocinado por el estado chino, vulneró una empresa de servicios públicos en Littleton, Massachusetts. Además, American Water Works, la mayor empresa de suministro de agua y aguas residuales de Estados Unidos, detectó recientemente actividad no autorizada en su red informática, lo que provocó la interrupción del servicio al cliente y la facturación.

Los expertos del sector de la ciberseguridad consideran preocupante el hecho de que más de un tercio (38%) de las empresas de servicios públicos crean que no han sido objeto de ciberataques. Según los expertos, es probable que buena parte de estos operadores simplemente no dispongan de la tecnología o los conocimientos necesarios para detectar actividades maliciosas.

“Es probable que muchas empresas de servicios públicos no se hayan dado cuenta de que China se ha infiltrado en sus infraestructuras. Por ejemplo, se sabe que los actores de amenazas patrocinados por China, como Volt Typhoon, prefieren los ataques Living off the Land, que son difíciles de detectar y pueden permanecer latentes, introduciendo puertas traseras, recopilando información o esperando para atacar durante meses o incluso años”, ha señalado Chris Inglis, asesor estratégico de Semperis y primer director nacional de Ciberseguridad de Estados Unidos.

El informe Estado de la resistencia de las infraestructuras críticas, evaluación de las ciberamenazas a los servicios de agua y electricidad revela que casi el 60% de los ataques fueron perpetrados por grupos de estados-nación. Además, el 54% de los servicios públicos sufrieron la corrupción o destrucción permanente de datos y sistemas en el ataque. En el 67% de los ciberataques, los atacantes pusieron en peligro los sistemas de identidad, como Active Directory, Entra ID y Okta. Además, un 15% de las empresas afirman no estar seguras de si esos sistemas se vieron afectados.

El impacto potencial de quedarse sin electricidad, calefacción o agua potable incluso durante un breve periodo de tiempo puede ser considerable. El estudio indica que los clientes de servicios públicos de EE UU y el Reino Unido han sido relativamente afortunados, por el momento.

“Los sistemas que dan servicio a nuestras redes eléctricas y nuestra red de agua potable limpia son la base de todo lo que hacemos. Y, sin embargo, nos dedicamos a otros asuntos confiando en que otro se encargará de ello. Pero no es así. Tenemos que reforzar nuestros sistemas y extraer de inmediato los elementos delictivos”, ha añadido Inglis.

Lo que diferencia a las compañías de servicios públicos de muchos otros sectores es la naturaleza crítica de su trabajo. Si un operador de electricidad o agua se ve comprometido, los riesgos potenciales para la salud y la seguridad públicas pueden poner en peligro a toda una nación. Los expertos de Semperis señalan que la resistencia a los ciberataques que amenazan las operaciones debe ser la máxima prioridad para todas las organizaciones implicadas en infraestructuras críticas.

“Si no se mejora la resistencia, los atacantes van a seguir llegando. Las empresas de servicios públicos tienen la oportunidad de afrontar este reto. Han de asumir que se van a producir violaciones y, mediante ejercicios prácticos, pueden ensayar escenarios de ataque que podrían hacerse realidad en el futuro”, ha afirmado Mickey Bresman, CEO de Semperis.

Para mejorar la resistencia operativa frente a los ciberataques, las empresas de servicios públicos deben:

• Identificar los componentes de infraestructura de nivel 0 que son esenciales para la recuperación tras un ciberataque.
• Priorizar la respuesta a incidentes y la recuperación de estos sistemas, siguiendo con las funciones de misión crítica (nivel 1), las funciones críticas para la empresa (nivel 2) y, a continuación, el resto de funciones (nivel 3).
• Documentar los procesos de respuesta y recuperación y ponerlos en práctica utilizando escenarios reales que impliquen a personas y procesos más allá del departamento de TI.
• Centrarse no sólo en la recuperación rápida, sino también en la recuperación segura. Los atacantes a menudo intentan comprometer las copias de seguridad para mantener la persistencia en el entorno, incluso después de los intentos de recuperación. Implante soluciones que favorezcan la rapidez, la seguridad y la visibilidad en situaciones de crisis.

El estudio completo sobre ciberamenazas, que incluye desgloses de las respuestas por países, está disponible aquí: https://www.semperis.com/es/the-state-of-critical-infrastructure-resilence/