Un pirata informático intentó envenenar un suministro de agua de California. Fue tan fácil como ingresar una contraseña.

Un pirata informático intentó envenenar un suministro de agua de California. Fue tan fácil como ingresar una contraseña.

[ad_1]

El 15 de enero, un pirata informático intentó envenenar una planta de tratamiento de agua que abastecía partes del área de la bahía de San Francisco. No pareció difícil.

El pirata informático tenía el nombre de usuario y la contraseña de la cuenta de TeamViewer de un ex empleado, un programa popular que permite a los usuarios controlar de forma remota sus computadoras, según un informe privado compilado por el Centro de Inteligencia Regional del Norte de California en febrero y visto por NBC News.

Después de iniciar sesión, el pirata informático, cuyo nombre y motivo se desconocen y que no ha sido identificado por la policía, eliminó los programas que la planta de agua usaba para tratar el agua potable.

El truco no se descubrió hasta el día siguiente, y la instalación cambió sus contraseñas y reinstaló los programas.

«No se reportaron fallas como resultado de este incidente, y ninguna persona en la ciudad reportó enfermedad por fallas relacionadas con el agua», el informe, que no especificó qué planta de tratamiento de agua había sido violada. señalado.

El incidente, que no se ha informado anteriormente, es uno de un número creciente de ataques cibernéticos a la infraestructura del agua de EE. UU. Que han salido a la luz recientemente. El ataque del Área de la Bahía fue seguido por uno similar en Oldsmar, Florida, unas semanas después. En ese, que llegó a los titulares de todo el mundo, un pirata informático también obtuvo acceso a una cuenta de TeamViewer y elevó los niveles de lejía en el agua potable a niveles venenosos. Un empleado rápidamente captó el movimiento del mouse de la computadora por sí solo y deshizo los cambios del pirata informático.

La administración de Biden y el público están en medio de un ajuste de cuentas de ciberseguridad. Los espías rusos y chinos se han infiltrado en numerosas redes del gobierno federal, a veces sentados durante meses sin ser detectados. Los delincuentes han pirateado prácticamente todas las industrias y extorsionado a las empresas a voluntad, incluidas las que ocupan partes importantes de las cadenas de suministro de EE. UU.

Pero de toda la infraestructura crítica del país, el agua podría ser la más vulnerable a los piratas informáticos: la más difícil de garantizar que todos sigan los pasos básicos de ciberseguridad y la más fácil de causar daños importantes en el mundo real a un gran número de personas.

La infraestructura del agua de EE. UU. Tiene cierta seguridad incorporada, sobre todo su falta de centralización. Un truco de agua generalizado sería difícil de llevar a cabo, al igual que un truco en las elecciones estadounidenses, porque cada instalación funciona de forma independiente, no trabajando en conjunto con otras.

Pero eso también significa que no existe una solución simple para salvaguardar las instalaciones de agua. La El caso del Área de la Bahía todavía está bajo investigación del FBI. No se sabe cómo el pirata informático o los piratas informáticos obtuvieron acceso a esas cuentas de TeamViewer. Pero un elemento básico de los foros de la web oscura son los piratas informáticos que compran, vuelven a empaquetar y venden credenciales de inicio de sesión. Los nombres de usuario y las contraseñas de al menos 11 empleados de Oldsmar se han comercializado en la web oscura, dijo Kent Backman, investigador de la empresa de ciberseguridad Dragos.

Hasta la fecha, una verdadera catástrofe, en la que un pirata informático pudo envenenar el agua potable de una población, causando enfermedades masivas o incluso la muerte, no ha sucedido. Pero varias instalaciones han sido pirateadas el año pasado, aunque la mayoría atrae poca atención. En Pensilvania, un sistema estatal de advertencia de agua alertó a sus miembros sobre dos ataques recientes a plantas de agua en el estado. En otro ataque no denunciado anteriormente, el distrito de agua de Camrosa en el sur de California se infectó con ransomware el verano pasado.

Es imposible saber si los ataques a las plantas de agua se han vuelto más comunes o simplemente más visibles, porque no existe una contabilidad federal o industrial completa de la seguridad de las plantas de tratamiento de agua.

«Es realmente difícil aplicar algún tipo de evaluación de higiene cibernética uniforme, dado el tamaño y la capacidad dispares y la capacidad técnica de todas las empresas de agua», dijo Mike Keegan, analista de la Asociación Nacional de Agua Rural, un grupo comercial del sector.

«Realmente no tienes una buena evaluación de lo que está pasando», dijo.

A diferencia de la red eléctrica, que es administrada en gran parte por un número menor de corporaciones con fines de lucro, la mayoría de las más de 50,000 instalaciones de agua potable en los EE. UU. Son entidades sin fines de lucro. Algunas que sirven a grandes poblaciones son operaciones más grandes con personal dedicado a la seguridad cibernética. Pero las áreas rurales en particular a menudo obtienen su agua de pequeñas plantas, a menudo administradas por un puñado de empleados que no son expertos en ciberseguridad dedicados, dijo Bryson Bort, consultor en sistemas de ciberseguridad industrial.

«Están aún más fragmentados en niveles más bajos que cualquier cosa de la que estamos acostumbrados a hablar, como la red eléctrica», dijo. «Si pudieras imaginar un centro comunitario dirigido por dos viejos que son plomeros, esa es tu planta de agua promedio».

Nunca ha habido una auditoría de ciberseguridad a nivel nacional de las instalaciones de tratamiento de agua, y el gobierno de EE. UU. Ha dicho que no tiene planes para una. Si bien las instalaciones individuales pueden pedir ayuda al gobierno federal para protegerse, pocas lo hacen. En la mayoría de los casos, depende de las plantas de agua individuales protegerse, e incluso si son conscientes de que han sido pirateadas, un gran si, es posible que no estén dispuestas a decírselo al gobierno federal, y mucho menos a sus clientes. Eso significa que los hacks pueden tardar años en salir a la luz, si es que lo hacen.

En marzo, el fiscal estadounidense interino en Kansas acusó formalmente a un ex empleado de una pequeña planta de tratamiento de agua en el condado de Ellsworth por un incidente que había ocurrido dos años antes. Un trabajador del turno de noche que había trabajado en el Distrito de Agua Rural de Post Rock se conectó a un sistema de control remoto en línea e intentó cerrar las operaciones de limpieza y desinfección de la planta en 2019, dijo el Departamento de Justicia. El ex empleado se declaró inocente y su abogado no respondió a una solicitud de comentarios.

Las pequeñas instalaciones de agua rurales tienden a ser reacias a compartir sus vulnerabilidades, dijo Daryn Martin, asistente técnico de la Asociación de Agua Rural de Kansas, una organización comercial para unas 800 instalaciones de tratamiento de agua de Kansas, incluida Post Rock.

«Generalmente, no están reportando al gobierno federal. Hay cierta desconfianza, ya sabes, en una pequeña ciudad del medio oeste de Estados Unidos», dijo.

Pero permitir que los empleados se conecten de forma remota para realizar el trabajo básico ofrece ventajas sustanciales para los trabajadores rurales, quienes periódicamente son alertados sobre problemas menores que necesitan su atención, dijo Martin.

«El acceso remoto hace que no tenga que manejar una instalación las 24 horas del día», dijo. «Tenemos muchos distritos de agua remotos que cubren cientos de millas. ¿Pagarle a un hombre para que maneje 30 millas para encender una bomba y luego tenga que apagarla en 3 horas cuando el tanque se llene? Él puede hacer todo eso de forma remota. Eso ahorra dinero «.

La Agencia de Seguridad de Infraestructura y Ciberseguridad, la principal agencia de defensa de ciberseguridad del gobierno federal, tiene la tarea de ayudar a proteger la infraestructura del país, incluida el agua. Pero no regula el sector y se limita en gran medida a brindar asesoramiento y asistencia a las organizaciones que lo soliciten.

Sólo una pequeña fracción de las instalaciones de agua del país optan por utilizar los servicios de CISA: «varios cientos» de más de 50.000 en todo Estados Unidos, dijo Anne Cutler, portavoz de la agencia.

De los que sí lo hacen, una encuesta interna CISA realizada a principios de este año, cuyos resultados compartió con NBC, arrojó resultados duros. Hasta 1 de cada 10 plantas de agua y aguas residuales había encontrado recientemente una vulnerabilidad crítica de ciberseguridad. Lo más impactante es que más del 80 por ciento de las principales vulnerabilidades que tenían las instalaciones encuestadas eran fallas de software descubiertas antes de 2017, lo que indica un problema desenfrenado de empleados que no actualizan su software.

Algunas cosas están mejorando marginalmente. El Congreso otorgó recientemente a CISA autoridad legal para obligar a los proveedores de Internet a entregar las identidades de las organizaciones que él u otras agencias gubernamentales consideran que están siendo atacadas por piratas informáticos.

La Casa Blanca planea lanzar una colaboración voluntaria de seguridad cibernética entre el gobierno federal y las instalaciones de agua, similar a la anunciada con la industria energética en abril, dijo un portavoz, aunque no se han anunciado fechas.

Sin embargo, los expertos dijeron que nadie afirma que las iniciativas gubernamentales puedan hacer que el agua estadounidense esté completamente a salvo de los piratas informáticos.

«Esos dos plomeros no son diferentes a los de una compañía Fortune 100», dijo Bort.

[ad_2]

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *