El incidente ocurrió la semana pasada y afectó a American Waters Works, que proporciona servicios de agua y aguas residuales a más de 14 millones de personas en 14 estados y en 18 instalaciones militares. El Centro de Análisis e Intercambio de Información sobre el Agua había emitido una alerta Ambar con anterioridad al incidente. CISA también ha advertido sobre el incremente de ciberataques a servicios de aguas en los últimos meses.
American Water Works Company, la mayor empresa pública de servicios de agua y aguas residuales de los Estados Unidos, sufrió un ciberataque la semana pasada, lo que llevó a la desconexión de varios de sus sistemas.
Aunque ninguna de sus instalaciones de agua o aguas residuales se vio afectada por el incidente, la compañía se vio forzada a desconectar su portal de clientes, MyWater, y suspender temporalmente sus servicios de facturación y citas.
En un comunicado presentado a la Comisión de Bolsa y Valores (SEC), la empresa confirmó que estaba trabajando con expertos en ciberseguridad para contener el ataque y evaluar su impacto, aunque no informó la naturaleza del incidente.
El ataque fue detectado el jueves de la semana pasada y, como parte de las medidas de contención, la empresa también desactivó su centro de atención telefónica.
La empresa señaló que todos los servicios de facturación fueron pausados, y enfatizó que mientras los sistemas continúen fuera de línea no se aplicarían cargos por pagos atrasados ni se suspenderán los servicios.
La entidad también informó que las citas programadas por los clientes serán reprogramadas.
A pesar de estas interrupciones, la empresa asegura que ninguno de sus sistemas operativos críticos relacionados con el servicio de agua o las aguas residuales se ha visto comprometido, aunque aún no pueden prever el impacto completo del ataque.
Hasta la redacción de esta nota ningún grupo cibercriminal se ha adjudicado la autoría del ciberataque. La empresa tampoco se ha referido sobre eventuales rescates solicitados por actores manliciosos.
American Water indicó que notificó a las autoridades correspondientes en forma oportuna y que continúa trabajando para proteger los datos de sus clientes, desactivando ciertos sistemas para evitar daños adicionales.
La empresa, que sirve a más de 14 millones de personas en 14 estados y 18 instalaciones militares, reportó ingresos netos de $971 millones de dólares en 2023, provenientes de sus negocios regulados.
Este ciberataque sigue a otro reciente incidente en Kansas, donde una planta de tratamiento de agua tuvo que recurrir a operaciones manuales tras un ciberataque.
Estos incidentes ocurren después de un aviso TLP:AMBAR sobre potenciales ciberataques vinculados a Rusia y dirigidos a este sector, el cual había sido emitido por el Centro de Análisis e Intercambio de Información sobre el Agua (WaterISAC), una organización sin fines de lucro que ayuda a proteger a las empresas de agua de las amenazas cibernéticas.
Incidentes como este han generado preocupación en el sector del agua, con un creciente número de advertencias sobre ataques vinculados a actores estatales de países como Irán y Rusia. En noviembre de 2023, atacantes iraníes vulneraron docenas de instalaciones de agua en Estados Unidos, lo que encendió las alarmas sobre la ciberseguridad en la infraestructura crítica del país.
El ataque también se produce en medio de preocupaciones sobre las vulnerabilidades de ciberseguridad en el sector del agua y las aguas residuales. Según la Agencia de Protección Ambiental (EPA), más del 70% de los sistemas de agua inspeccionados recientemente no cumplen completamente con la Ley de Agua Potable Segura y presentan vulnerabilidades críticas de ciberseguridad, como contraseñas predeterminadas no actualizadas y logins únicos fácilmente comprometidos. Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió recientemente sobre la explotación activa de tecnologías operativas accesibles por internet en el sector del agua y las aguas residuales.