Los ciberataques amenazan cada vez más los sistemas de agua y aguas residuales de Estados Unidos, según informaron operadores y expertos a un comité del Senado de EE. UU. el 4 de febrero.
Los "incidentes cibernéticos" aumentaron en los últimos 18 meses desde la publicación de un informe de la Oficina de Responsabilidad Gubernamental de los Estados Unidos en agosto de 2024, en el que se revelaba que el 14 por ciento de los 170,000 sistemas de agua y aguas residuales del país —casi 24,000— registraron al menos un incidente cibernético durante los tres meses anteriores, frente al 11.5 por ciento durante el mismo periodo del año anterior.
Estos incidentes suponen un riesgo evidente para los estadounidenses, según declararon los responsables de las empresas de suministro de agua en una audiencia del Comité de Medio Ambiente y Obras Públicas del Senado, especialmente para aquellos que se abastecen de pequeños distritos de agua que no cumplen las normas federales de ciberseguridad y no disponen de los recursos necesarios para frustrar los cada vez más sofisticados ataques cibernéticos y de ransomware.
"La gran mayoría de los sistemas de agua y aguas residuales de este país dan servicio a comunidades de 10,000 habitantes o menos. Tenemos la misma responsabilidad que las grandes empresas de suministro de agua de proporcionar agua potable segura cada segundo de cada día", afirmó Matt Odermann, miembro de la junta ejecutiva de la Asociación de Sistemas de Agua Rural de Dakota del Norte.
Historias relacionadas
"La diferencia para nosotros es la escala", continuó. "Los sistemas pequeños funcionan con personal, ingresos y capacidad técnica limitados. La mayoría no cuenta con personal interno especializado en ciberseguridad. La protección de los sistemas pequeños debe ser una prioridad de seguridad nacional. Con el equilibrio adecuado entre colaboración, orientación práctica y recursos, podemos reforzar la ciberseguridad en toda la infraestructura hídrica de Estados Unidos, no a través del miedo, sino mediante la colaboración y la resiliencia".
Odermann habló en nombre de la Asociación Nacional de Agua Rural, que representa a 31,000 pequeñas empresas de suministro de agua en todo el país.
El Dr. D. Scott Simonton, profesor del Instituto de Ciberseguridad de la Universidad Marshall, y Scott Dewhirst, subdirector general de Fairfax [Virginia] Water, también sugirieron formas en que el Congreso puede ayudar a los proveedores de agua a mejorar la "ciberhigiene básica".
Las recomendaciones incluyen la actualización de la autenticación multifactorial, la segmentación, la supervisión de los proveedores, la respuesta a incidentes, el acceso remoto seguro, los protocolos de inicio de sesión, la formación en microcredenciales, las herramientas de mitigación de riesgos y las normas de buenas prácticas.
Simonton afirmó que un "programa de ciberseguridad de tipo itinerante" para las empresas rurales, inspirado en el Programa de Asistencia Técnica del Departamento de Agricultura, que utiliza personal, estudiantes y voluntarios para comprobar físicamente las infraestructuras de agua, demostró ser rentable para las pequeñas operaciones.
El Instituto de Ciberseguridad de la Universidad Marshall forma y colabora con 14 unidades cibernéticas de la Guardia Nacional, afirmó. "Ayudamos a garantizar que la ciberseguridad se integre en el diseño del sistema, y no se añada a posteriori", afirmó. "Estas colaboraciones demuestran lo que funciona, una asistencia práctica y repetible prestada allí donde trabajan realmente los operadores".
Simonton también pidió a los sistemas de agua y aguas residuales que dan servicio a menos de 3300 grifos que adopten voluntariamente los requisitos de la Ley de Agua Potable Segura, aunque no alcancen el umbral de población para exigir su cumplimiento.
Vista aérea de la planta de tratamiento de aguas residuales del Distrito Municipal de Servicios Públicos de East Bay en Oakland, California, el 20 de marzo de 2024. (Justin Sullivan/Getty Images)Recomendaciones
Dewhirst, en nombre de la Asociación de Agencias Metropolitanas de Agua, que representa a 50,000 sistemas de agua de gran tamaño en todo el país, afirmó que se necesitará dinero y supervisión para reforzar la ciberseguridad de los servicios públicos municipales.En virtud de la Ley de Infraestructuras Bipartidista de 2021, se han autorizado al menos 50 000 millones de dólares para que la Agencia de Protección Medioambiental los destine a programas de infraestructura de sistemas de agua de tamaño medio y grande, resiliencia de las infraestructuras y sostenibilidad, pero "estos programas han recibido una financiación mínima", afirmó.
Historias relacionadas
"El Congreso debería comprometerse a proporcionar la financiación adecuada para ayudar a los sistemas de agua a invertir de forma significativa en actualizaciones de software, personal de seguridad y mejorar los procedimientos de detección y supervisión de amenazas", afirmó Dewhirst.
Pidió "subvenciones específicas para la resiliencia cibernética, que garanticen que los gobiernos estatales y locales cuenten con los recursos necesarios, y que se establezcan normas federales mínimas de ciberseguridad que se puedan aplicar".
Las agencias federales deberían coordinarse más estrechamente con WaterISAC, una junta sin ánimo de lucro formada por nueve miembros que representa a las empresas de servicios públicos metropolitanas y regionales, añadió. Los legisladores deberían crear una "organización de riesgo y resiliencia hídrica" compuesta por expertos cibernéticos y operadores de sistemas de agua siguiendo el modelo de la North American Electric Reliability Corporation, afirmó.
"Esta organización trabajaría en colaboración con la EPA para garantizar que los sistemas de agua de todos los tamaños se protejan contra las amenazas cibernéticas, evitando al mismo tiempo las imposibles obligaciones uniformes", dijo Dewhirst.
Odermann recomendó cinco principios que el Congreso y los reguladores federales deberían seguir al trabajar con pequeñas operaciones de agua rurales.
"En primer lugar, liderar con asistencia, no con imposición", dijo. "La adopción es más sólida cuando la ciberseguridad se ofrece como apoyo, y no principalmente como una obligación de cumplimiento".
"Segundo, financiar cualquier mandato. La ciberseguridad requiere hardware, software, formación y tiempo del personal para los sistemas pequeños. Incluso USD 1000 pueden suponer una barrera".
"Tercero, centrarse en los controles básicos. Muchos sistemas tienen más problemas con el phishing, las contraseñas débiles y los equipos obsoletos que con las amenazas de los Estados-nación".
En cuarto lugar, Odermann aconsejó a los gestores del agua que "confíen en socios establecidos y de confianza. Las directrices proporcionadas a través de organizaciones en las que ya confían las empresas de servicios públicos tienen más probabilidades de ser implementadas".
"Y en quinto lugar", concluyó, "reconocer la diversidad. Un sistema que da servicio a 800 personas con dos empleados no puede ser tratado de la misma manera que una gran empresa de servicios públicos".
