Defensa de infraestructuras: Sistemas de agua y aguas residuales

Nuestro primer artículo sobre infraestructura detalló por qué el agua, las comunicaciones, la energía y el transporte son los sectores de infraestructura crítica fundamentales en los Estados Unidos. En este artículo, revisaremos el sector de sistemas de agua y aguas residuales, sus entidades gubernamentales y los actores de amenazas que intentan interrumpir los sistemas de agua.

Este sector asegura el acceso a agua potable limpia y un tratamiento adecuado de aguas residuales. CISA nos dice que hay 152,000 sistemas públicos de agua potable, incluidos 50,000 sistemas de agua comunitarios (CWS) y más de 16,000 sistemas de tratamiento de aguas residuales. Estos sistemas sirven directamente a la mayoría de la población de EE.UU.. Hay otros 100,000+ sistemas de agua no comunitarios que sirven a clientes como fábricas, hospitales y otros negocios que tienen sus propios sistemas internos. La EPA es la Agencia de Gestión de Riesgos del Sector (SRMA) para este sector.

Desafortunadamente para los EE.UU., más del 70% de los sistemas inspeccionados por la EPA desde septiembre de 2023 están en violación de los requisitos de ciberseguridad de la Ley de Agua Potable Segura (SDWA). La buena noticia es que muchas de las violaciones podrían resolverse con prácticas básicas recomendadas, como cambiar las contraseñas predeterminadas, requerir autenticación multifactor y aplicar el principio de menor privilegio. Debido a que las instalaciones de infraestructura dependen tanto de sistemas de tecnología de la información (TI) y tecnología operativa (TO) para funcionar, estas redes evolucionan hacia redes híbridas con brechas de seguridad desconocidas. Los operadores de agua y otras utilidades necesitan asegurarse de tener visibilidad completa de toda su red. También necesitan políticas de seguridad consistentes, soluciones uniformes y segmentación cuidadosa de la superficie de ataque en crecimiento.

Además de carecer de higiene básica de ciberseguridad, muchos sistemas de agua no completaron las Evaluaciones de Riesgo y Resiliencia (RRAs) y los Planes de Respuesta a Emergencias (ERPs) requeridos. La EPA describe el propósito de las RRAs y ERPs de la siguiente manera:

Tu RRA puede identificar los huracanes como un riesgo significativo para tu empresa de servicios públicos y delinear medidas rentables para reducir tu riesgo. Luego, tu ERP, basado en los resultados del RRA, describe los procesos y procedimientos que se pueden implementar para mitigar los impactos de los huracanes (por ejemplo, inundaciones) en tu empresa de servicios públicos.

A partir del 1 de junio de 2024, la EPA ha incrementado las inspecciones y acciones de ejecución contra entidades no conformes.

Actores de amenazas

Los actores de amenazas patrocinados por el estado no son los únicos grupos que atacan los sistemas de agua, pero actualmente son los más destacados. Por ejemplo:

Afiliados rusos:

Grupos hacktivistas como People’s Cyber Army (PCA) y Z-Pentest han apuntado a vulnerabilidades en el software de computación de red virtual (VNC), software propietario de control de agua, sistemas de control industrial (ICS) y electrónica de red como cortafuegos. También atacan otras infraestructuras críticas como energía, alimentación y agricultura, y presas. Han tenido éxito en reconfigurar los parámetros operativos de los sistemas de control y cambiar las contraseñas administrativas para bloquear a los operadores legítimos.

El actor de amenazas Sandworm está oficialmente designado como “Unidad Militar 74455” y opera como una unidad de guerra cibernética dentro de la agencia de inteligencia militar rusa. El Ejército Cibernético de Rusia Renacido (CARR) está vinculado a Sandworm pero opera de manera más imprudente y agresiva. Algunos expertos creen que la agencia de inteligencia militar rusa estableció CARR para llevar a cabo ataques no adecuados para el más sofisticado Sandworm. Ambos actores de amenazas apuntan a los sistemas de infraestructura crítica y a los controladores de sistemas.

Uno de los ataques más problemáticos ocurrió en Muleshoe, Texas, en enero de 2024. Muleshoe está a menos de 40 millas de la Base de la Fuerza Aérea Cannon, hogar del Comando de Operaciones Especiales de la Fuerza Aérea de EE. UU. y el Ala de Operaciones Especiales 27. Los actores de la amenaza pudieron reconfigurar los sistemas de control y provocar que un tanque de agua se desbordara. Los actores de la amenaza utilizaron el mismo ataque contra las ciudades cercanas Abernathy, Hale Center y Lockney, y publicaron videos de ellos mismos interactuando con los sistemas de control de agua.

Investigadores de Mandiant vincularon estos ataques a Sandworm, aunque CARR se atribuyó el crédito. Puedes obtener más detalles sobre estos ataques aquí.

Afiliados iraníes:

El actor de amenazas Cyber Av3ngers supuestamente está conectado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IGRC). Originalmente se pensaba que Cyber Av3ngers era un grupo de hacktivistas independiente, pero fue vinculado al IGRC por “conexiones con campañas de hacking previamente identificadas, el objetivo y otra información no pública.” También se dice que el IRGC tiene actores de amenazas operando directamente dentro de su Comando Cibernético-Electrónico (CEC, o IRGC-CEC).

Los actores de amenazas Cyber Av3ngers y CEC han atacado controladores lógicos programables (PLC) y otras tecnologías operativas (OT) para comprometer los sistemas de agua de EE. UU. Este es un ataque clásico a la cadena de suministro contra la infraestructura de EE. UU. a través de explotaciones en un PLC de terceros vulnerable. Debido a que los PLC vulnerables se fabrican en Israel, el grupo Cyber Av3ngers utiliza esta oportunidad para atacar tanto a EE. UU. como a Israel en un solo ataque.

"Has sido hackeado, abajo con Israel. Todo equipo 'hecho en Israel' es un objetivo legal de CyberAv3ngers."

Los informes indican que el grupo está realizando ataques oportunistas de bajo nivel dirigidos a equipos fabricados en Israel. Otras investigaciones muestran que los actores de amenazas se están volviendo más sofisticados, utilizando malware personalizado IOCONTROL para infiltrarse en sistemas de agua y estaciones de servicio.

Afiliados de la República Popular China (RPC):

La RPC tiene una fuerza cibernética sofisticada que está organizada en fuerzas militares y no gubernamentales. El Ejército Popular de Liberación (EPL) controla las fuerzas militares, que tienen como objetivo las empresas de satélites y comunicaciones en EE. UU., Japón y Europa. Además de las unidades militares, hay decenas de miles de civiles que ayudan con las actividades de ataque y defensa. La alineación ideológica y la gran cantidad de actores de amenaza militares y civiles hace que la operación cibernética de la RPC sea una de las más formidables del mundo.

La Oficina del Director de Inteligencia Nacional de EE. UU. informa que los ataques afiliados a la RPC están entre las “amenazas más grandes y persistentes a la seguridad nacional de EE. UU.” Esto se debe en gran medida al volumen de ataques y a la sofisticación de las Amenazas Persistentes Avanzadas (APT) patrocinadas por la RPC. La Cámara de Representantes de EE. UU. aprobó por unanimidad la Resolución de la Cámara 9769, que establecería un grupo de trabajo “para abordar las extensas amenazas de ciberseguridad planteadas por actores cibernéticos patrocinados por el estado vinculados a la RPC.”

El actor de amenaza PRC Salt Typhoon está actualmente en los titulares por su ataque masivo a las redes de telecomunicaciones de EE.UU. Los actores de Salt Typhoon son expertos en usar técnicas de vivir de la tierra (LotL) para mantener la persistencia y el sigilo. Actualmente no están vinculados a ataques en sistemas de agua, pero todos los sectores dependen de comunicaciones fiables. Las autoridades han advertido a todas las industrias y sectores que se defiendan contra esta amenaza.

A principios de este año, los funcionarios de EE. UU. descubrieron que el actor de amenazas afiliado a la RPC, Volt Typhoon, había mantenido acceso dentro de los sistemas de infraestructura clave durante al menos cinco años. Este actor de amenazas participa en actividades de ‘pre-posicionamiento’, lo que significa que el atacante se posiciona para realizar ataques futuros. A través de estos actores de amenazas, la RPC tiene acceso inmediato a la infraestructura de EE. UU., que pueden usar a voluntad. Volt Typhoon ataca todos los sectores de infraestructura, con énfasis en energía, comunicaciones, transporte y agua.

El actor de amenazas BlackTech ha atacado sistemas gubernamentales, múltiples sectores de infraestructura y entidades que apoyan a los ejércitos de EE. UU. y Japón. Este grupo es conocido por su longevidad y amplio inventario de malware personalizado y mecanismos de persistencia. BlackTech apunta a firewalls vulnerables que protegen las oficinas remotas o sucursales de empresas más grandes. Una vez dentro, intentan mezclarse con el tráfico de la red, trasladarse a redes más grandes y escalar privilegios hasta tener control administrativo total sobre los activos atacados.

En septiembre de 2023, un aviso conjunto redactado por autoridades de EE.UU. y Japón advirtió al público:

BlackTech ha demostrado capacidades para modificar el firmware del router sin ser detectado y explotar las relaciones de confianza de dominio de los routers para pivotar desde las subsidiarias internacionales hasta las sedes centrales en Japón y EE.UU., los objetivos principales.

La Agencia de Seguridad Nacional de EE.UU. (NSA) se unió a otras agencias de seguridad en advertir al público sobre estas amenazas.

Desafíos para la seguridad de los sistemas de agua y aguas residuales

Las limitaciones presupuestarias, los sistemas heredados/obsoletos y las vulnerabilidades de la cadena de suministro son desafíos para todos los sectores, y las directrices para mitigar estos riesgos serán similares en todos los ámbitos. Sin embargo, la fragmentación de la infraestructura hídrica plantea algunos desafíos únicos.

El 92 % de los sistemas comunitarios de agua son pequeños sistemas públicos de agua (PWS) que sirven a menos de 10,000 clientes. La mayoría de los proveedores de pequeños PWS sirven a menos de 500 clientes, lo que los hace atractivos para actores de amenazas que buscan objetivos fáciles. Los sistemas más pequeños a menudo tienen menos recursos y menos experiencia en ciberseguridad disponible, por eso esas prácticas básicas de higiene cibernética son tan importantes. La gestión disciplinada y consistente de parches y la seguridad de credenciales pueden cerrar muchas de las brechas en estas redes.

 “El riesgo comunitario de los ciberataques incluye que un atacante tome el control de las operaciones de un sistema para dañar la infraestructura, interrumpir la disponibilidad o el flujo de agua, o alterar los niveles químicos, lo que podría permitir que aguas residuales sin tratar se descarguen en un curso de agua o contaminen el agua potable suministrada a una comunidad,” ~ Portavoz de la EPA citado por CNBC: El agua potable de América está bajo ataque, con vínculos hacia China, Rusia e Irán.

Orientación para los operadores del sistema de agua

“El agua está entre las menos maduras en términos de seguridad”, Adam Isles, jefe de práctica de ciberseguridad para Chertoff Group, citado por CNBC: La administración de Biden y los puertos de EE. UU. se preparan para ciberataques mientras la infraestructura nacional es objetivo

La EPA, CISA y otras agencias han publicado mejores prácticas y otras orientaciones para la infraestructura:

• Seguridad de la red: Limite la conectividad a internet de los dispositivos de tecnología operativa (OT) como controladores y terminales remotos. Cuando sea posible, mantenga la segmentación entre los sistemas de TI y OT.
• Control de acceso y autenticación: Cambie las contraseñas predeterminadas inmediatamente y aplique medidas estrictas de control de acceso, incluyendo la autenticación multifactor (MFA) donde sea posible. Despliegue una solución de confianza cero que proteja el acceso a todos los sistemas de TI y OT.
• Gestión de Activos: Mantener un inventario actualizado de activos OT/IT para entender qué necesita protección. Priorizar dispositivos de mayor riesgo como dispositivos automatizados o conectados a internet.
• Copias de seguridad y recuperación: Realice copias de seguridad periódicas de los sistemas OT e IT, utilizando el sistema NIST 3-2-1. Pruebe los procedimientos de respaldo regularmente y monitoree el sistema para detectar nuevos recursos compartidos de archivos y ubicaciones de almacenamiento de datos que puedan estar fuera del conjunto de respaldo actual.  
• Gestión de Vulnerabilidades: Mitigar las vulnerabilidades conocidas y aplicar parches y actualizaciones de seguridad lo antes posible. Priorizar los parches según el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA.
• Formación y Concienciación: Formar al personal y a los contratistas en concienciación sobre ciberseguridad y mejores prácticas. Enseñar a los empleados a reconocer y evitar intentos de phishing.
• Planificación de Respuesta a Incidentes: Desarrollar y probar planes de respuesta y recuperación ante incidentes de ciberseguridad. Establecer procedimientos de emergencia y realizar operaciones manuales de sistemas automatizados en caso de que estos sistemas se vean comprometidos.

La EPA tiene más orientación sobre seguridad aquí.

Orientación al público

CISA y otras agencias también han emitido directrices para el público. Estas van desde prácticas comunes de ciberseguridad hasta defensa de infraestructuras.

• Practica buenos hábitos de ciberseguridad en casa, especialmente si usas medidores de agua inteligentes o dispositivos de agua conectados a internet. Esto incluye utilizar contraseñas fuertes y autenticación multifactor (MFA) para cualquier cuenta relacionada con los servicios de agua.
• Informe sobre comportamientos sospechosos observados cerca de instalaciones de infraestructura hídrica. Estos podrían ser fuentes de agua, plantas de tratamiento, sistemas de distribución u otros elementos de la infraestructura. La entidad gobernante puede ser una autoridad local o una compañía de agua.  
• Interactuar con los funcionarios locales y los servicios públicos para conocer los desafíos del sistema de agua en su comunidad. Abogar por recursos de ciberseguridad adicionales donde sea necesario.

Los usuarios y empleados de los sistemas de infraestructura de agua deben proteger diligentemente sus credenciales. Los atacantes apuntarán estratégicamente a individuos relevantes para el ataque más grande. Hemos visto que esto ha sucedido muchas veces, más recientemente por actores de amenazas de IRGC que están apuntando a individuos que “tienen algún nexo con los asuntos iraníes y del Medio Oriente, como actuales o antiguos altos funcionarios gubernamentales, personal superior de grupos de expertos, periodistas, activistas y cabilderos. Más recientemente, el FBI ha observado que estos actores están apuntando a personas asociadas con campañas políticas de EE.UU.”

Este mismo tipo de amenaza se utiliza contra personas afiliadas a sistemas de agua y otras infraestructuras. La infraestructura crítica es un asunto de seguridad nacional. Cada operador en estos sistemas debería fomentar una cultura de conciencia de seguridad y practicar una buena higiene cibernética.

Nuestro próximo blog sobre infraestructuras cubrirá el sector de las comunicaciones. Si desea obtener más información sobre infraestructuras críticas, el sitio web oficial de EE. UU. tiene un montón de recursos.