La Administración Nacional “Apele Române” confirmó un incidente de ciberseguridad que impactó a casi todas sus oficinas regionales, aunque las operaciones críticas de agua y presas continúan funcionando con normalidad.
La Administración Nacional “Apele Române” (Administrația Națională Apele Române), organismo público encargado de la gestión de los recursos hídricos en Rumania, informó haber sido víctima de un ataque de ransomware ocurrido durante el pasado fin de semana. De acuerdo con la Dirección Nacional de Ciberseguridad (DNSC) de ese país, el incidente comprometió aproximadamente mil sistemas informáticos y se extendió a 10 de las 11 administraciones regionales de cuencas hidrográficas del país.
Las autoridades detallaron que el ataque afectó servidores de aplicaciones de sistemas de información geográfica (GIS), bases de datos, servidores de correo electrónico y web, servidores de nombres de dominio (DNS), así como estaciones de trabajo y servidores Windows. Como consecuencia, el sitio web institucional permanece fuera de línea y parte de las comunicaciones internas debieron trasladarse a canales alternativos, como el uso de teléfonos y radios.
Pese al alcance del incidente, la DNSC subrayó que los servicios críticos que se sostienen en sistema OT, encargadas de controlar infraestructuras críticas como presas, defensas contra inundaciones y otras instalaciones hidrotécnicas, no se vieron comprometidas. “Las estructuras hidrotécnicas son seguras y están siendo operadas localmente por personal de servicio, coordinado a través de centros de despacho”, señaló la institución, agregando que las actividades de pronóstico y protección contra inundaciones continúan “dentro de parámetros normales”.
Las primeras investigaciones indican que los atacantes utilizaron BitLocker, una herramienta legítima de cifrado integrada en el sistema operativo Windows, para bloquear los archivos de los equipos comprometidos. Esta técnica, conocida como “living off the land”, permite a los atacantes abusar de herramientas ya presentes en los sistemas, lo que dificulta su detección por los controles de seguridad tradicionales. Según las autoridades, los atacantes dejaron una nota de rescate en la que se exige a la agencia establecer contacto en un plazo de siete días, este es, hasta el próximo sábado.
No obstante, la DNSC reiteró su postura oficial frente a este tipo de incidentes: “Reiteramos que la política y recomendación estricta de la DNSC hacia todas las víctimas de ataques de ransomware es no contactar ni negociar con los ciberatacantes, para evitar fomentar o financiar el fenómeno del cibercrimen”. Asimismo, el organismo pidió evitar contactar a los equipos de TI de Apele Române mientras se concentran en la recuperación de los servicios afectados.
El ataque también dejó en evidencia que la infraestructura informática de la autoridad del agua no estaba integrada previamente al sistema nacional de protección de infraestructuras críticas operado por el Centro Nacional Cyberint, dependiente del Servicio Rumano de Inteligencia. Las autoridades confirmaron que ya se iniciaron los pasos para incorporar estos sistemas a los mecanismos de monitoreo y defensa cibernética.
Hasta ahora, ningún grupo de ransomware ni actor estatal ha reivindicado la autoría del ataque, y el vector inicial de intrusión sigue bajo investigación. El incidente se suma a otros ciberataques relevantes sufridos por Rumania en los últimos años, incluidos ataques contra el sector eléctrico y el sistema hospitalario.