La EPA estadounidense ha advertido a los operadores de servicios de agua del país sobre importantes brechas de ciberseguridad en medio de una creciente ola de amenazas. El lunes pasado la EPA lanzó una alerta que revela que más del 70% de los sistemas de agua inspeccionados no cumplen con los estándares de seguridad críticos establecidos por la Ley de Agua Potable Segura (SDWA, por sus siglas en inglés). Las deficiencias incluyen la dependencia de contraseñas predeterminadas y la falta de autenticación multifactor.
En un momento en el que los ciberataques son cada vez más frecuentes en el sector del agua, la EPA está intensificando sus inspecciones y medidas para mejorar el cumplimiento. "Proteger el agua potable de nuestra nación es una piedra angular de la misión de la EPA", dijo la Administradora Adjunta de la EPA, Janet McCabe. "Estamos comprometidos a usar todas las herramientas, incluidas nuestra capacidad para exigir el cumplimiento, y así garantizar que el agua potable de nuestra nación esté protegida contra los ciberataques".
“La nueva alerta de cumplimiento de la EPA es la última medida del Gobierno de Biden-Harris para asegurar que se comprenda la urgencia y gravedad de los ciberataques y que los sistemas de agua estén preparados para afrontar estas serias amenazas a la salud pública de nuestra nación”, agregó.
Incidentes recientes subrayan la vulnerabilidad del sector. En abril, hacktivistas rusos atacaron varios sistemas de agua en Texas, causando problemas aunque los servicios permanecieron operativos. De manera similar, en noviembre, Cyb3r Avengers, un grupo vinculado a Irán, invalidó equipos utilizados en sistemas de agua de EE. UU., resaltando aún más la exposición del sector a amenazas internacionales relacionadas con la ciberseguridad.
Los hallazgos de la EPA muestran que muchos operadores de servicios públicos no han realizado las evaluaciones de riesgo y resiliencia requeridas ni han desarrollado planes de respuesta a emergencias. En respuesta, la EPA tiene previsto aumentar las inspecciones de los sistemas de agua y, si procede, tomará medidas civiles y penales para garantizar el cumplimiento, incluidas respuestas a situaciones que puedan presentar un peligro inminente y sustancial. Las inspecciones asegurarán que los sistemas de agua cumplan con sus requisitos de evaluar regularmente las vulnerabilidades, entre ellas las relacionadas con la ciberseguridad, y desarrollar planes de respuesta a emergencias.
Los esfuerzos por imponer normativas relacionadas con la ciberseguridad han resultado en recursos judiciales. El año pasado, una actualización de la EPA que proponía nueva normativa relacionada con la ciberseguridad fue bloqueada por la oposición de varios estados y asociaciones del sector del agua. Los críticos argumentan que la EPA se excedió en su autoridad, abogando en su lugar por un organismo regulador federal específico, siguiendo el modelo del sector eléctrico. Esto ha llevado a la introducción de legislación para crear dicho organismo regulador (Water Risk and Resilience Organization Establishment Act), especializado en ciberseguridad en las infraestructuras hídricas.
La EPA y la Casa Blanca se han dirigido conjuntamente a los gobernadores estatales, advirtiendo sobre las amenazas relacionadas con la ciberseguridad e instando a que se reúnan con las autoridades federales. La carta destaca las amenazas de grupos como Volt Typhoon, vinculado a China, que podrían causar problemas a las infraestructuras de EE. UU. en un escenario de conflicto.
Dada la evolución de las amenazas, la alerta de la EPA supone un impulso crítico para fortalecer las defensas de ciberseguridad en las infraestructuras hídricas del país, asegurando la protección de la salud pública y los servicios esenciales.
Lee el contenido original en Smart Water Magazine.