California Water Service (Cal Water) confirmó un incidente de ciberseguridad luego de que el grupo hacktivista Handala, asociado públicamente con intereses iraníes, reivindicara el acceso a parte de sus sistemas corporativos y publicara información que atribuye a la compañía a mediados del mes de junio. De acuerdo con un informe de inteligencia de la firma Dataminr, la evidencia disponible indica que la intrusión existió, pero se limitó a activos TI de la empresa, sin señales de compromiso de la infraestructura encargada de operar el servicio de agua.

El análisis de Dataminr señala que los atacantes obtuvieron acceso a una instancia expuesta de RTKBase, una plataforma utilizada para proporcionar correcciones GPS de alta precisión a equipos de terreno. A partir de ese acceso, el grupo aseguró haber obtenido una base de datos de clientes, credenciales administrativas y documentación relacionada con la infraestructura tecnológica de la empresa. La publicación realizada por Handala incluyó aproximadamente 5 GB de información como prueba de la intrusión.

En su comunicado, el grupo afirmó que tenía la capacidad de generar un impacto mayor sobre la infraestructura de la empresa, pero que decidió no hacerlo. Según lo informado por Dataminr, Handala declaró que «podríamos haber cortado fácilmente el suministro de agua a ciudades estadounidenses”. El mensaje fue acompañado por advertencias dirigidas a operadores de infraestructura crítica en Estados Unidos.

Tras conocerse la reivindicación, California Water Service inició una investigación interna con apoyo de especialistas externos. La empresa informó que, hasta el momento, no ha encontrado evidencia de actividad maliciosa en los sistemas responsables de la producción y distribución de agua.

En una declaración oficial entrega al medio Security Week, la empresa reconoció que » Según su investigación, Mandiant ha confirmado que la actividad del atacante se limitó al acceso no autorizado a un pequeño número de cuentas de usuario específicas dentro de dos plataformas de proveedores de servicios externos». Cal Water agregó que “Mandiant no identificó indicios de actividad de actores maliciosos en los entornos de tecnología de la información o tecnología operativa internos de Cal Water”

“La investigación determinó que el atacante accedió a la cuenta en línea de un cliente activo de Cal Water utilizando credenciales de usuario robadas. La cuenta del cliente no proporcionaba acceso al sistema de facturación y no se vio comprometida ninguna información de pago. El atacante también accedió a un sitio web externo de terceros relacionado con una herramienta de corrección de ubicación GPS; sin embargo, dicho sitio web no contiene información confidencial ni sensible”, señalaron desde Cal Water.

El informe de Dataminr también destaca que, si bien la información publicada hace referencia a infraestructura tecnológica y credenciales administrativas, no existen evidencias públicas de que los atacantes hayan accedido a los sistemas de tecnología operacional (OT). La firma recomendó mantener medidas de monitoreo reforzado debido al historial del grupo, cuyas operaciones anteriores han combinado filtraciones de información con campañas de presión pública.

La información disponible —entre lo reconocido por la empresa, los informados por los medios especializados y el informe sobre lo acontecido— coincide en que el incidente afectó sistemas corporativos de TI, mientras que la operación del servicio de agua continuó funcionando con normalidad y sin evidencias de alteraciones en la infraestructura operacional.