Cómo proteger Sistemas de Agua y Aguas Residuales
La Agencia de Protección Ambiental (EPA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU, a menudo identifican Interfaces Hombre-Máquina (HMI) expuestas a internet mediante escaneos a través de plataformas de búsqueda web disponibles públicamente. Las HMI permiten a los propietarios y operadores de tecnología operativa (OT) leer sistemas de Supervisión, Control y Adquisición de Datos (SCADA) conectados a controladores lógicos programables (PLC). En ausencia de controles de ciberseguridad, los usuarios no autorizados pueden explotar las HMI expuestas en los Sistemas de Agua y Aguas Residuales para:
- Ver el contenido de la HMI (incluida la interfaz gráfica de usuario, mapas del sistema de distribución, registros de eventos y configuraciones de seguridad).
- Realizar cambios no autorizados y potencialmente interrumpir el proceso de tratamiento de agua y/o aguas residuales de la instalación.
Ataques recientes
Los hackers han demostrado la capacidad de encontrar y explotar fácilmente las HMI expuestas a internet con debilidades en ciberseguridad. Por ejemplo, en 2024, hacktivistas pro-Rusia manipularon HMI en Sistemas de Agua y Aguas Residuales, haciendo que las bombas de agua y el equipo de soplado excedieran sus parámetros operativos normales. En cada caso, los hacktivistas maximizaban los puntos de ajuste, alteraban otras configuraciones, apagaban los mecanismos de alarma y cambiaban las contraseñas administrativas para bloquear a los operadores de servicios de agua. Estos incidentes resultaron en impactos operativos en los sistemas de agua y obligaron a las víctimas a volver a operaciones manuales. (Para más información, consulta la hoja informativa conjunta Defendiendo Operaciones OT Contra la Actividad Ongoing de Hacktivistas Pro-Rusia).
La EPA y la CISA están publicando esta hoja informativa para proporcionar a los Sistemas de Agua y Aguas Residuales recomendaciones. De esta forma prentenden limitar la exposición de las HMI en internet y protegerlas contra actividades cibernéticas maliciosas.
Mitigaciones
La EPA y la CISA recomiendan encarecidamente a los Sistemas de Agua y Aguas Residuales implementar las siguientes mitigaciones para fortalecer el acceso remoto a las HMI. Las organizaciones pueden necesitar consultar con sus integradores de sistemas y solicitar la implementación de estas mitigaciones.
- Realizar un inventario de todos los dispositivos expuestos a internet.
- Si es posible, desconectar las HMI y todos los demás sistemas accesibles y no protegidos de internet.
- Si no es posible desconectar el dispositivo, asegúralo creando un nombre de usuario y una contraseña fuerte para evitar que un actor de amenazas vea y acceda fácilmente a los dispositivos. Cambia las contraseñas predeterminadas de fábrica.
- Implementar una contraseña fuerte y autenticación multifactor (MFA) para todo acceso a la HMI y la red OT.
- Implementar segmentación de red habilitando una zona desmilitarizada (DMZ) o un host bastión en el límite de la red OT.
- Implementar geocercas en toda la red y hacer cumplir la segmentación de la red basada en ubicaciones específicas.
- Mantener todos los sistemas y software actualizados con parches y actualizaciones de seguridad necesarias.
- Establecer una lista de permitidos que solo permita direcciones IP autorizadas para acceder a los dispositivos.
- Registrar los inicios de sesión remotos a las HMI; estar al tanto de los intentos fallidos y los horarios inusuales.
- Implementar las recomendaciones de tu proveedor para asegurar mejor tu producto.
- Inscribirse en el servicio gratuito de escaneo de vulnerabilidades cibernéticas de CISA para identificar vulnerabilidades de software. Y para confirmar que los parches están actualizados y se aplican correctamente.
Recursos
La hoja informativa conjunta Principales Acciones Cibernéticas para Asegurar Sistemas de Agua proporciona acciones que los Sistemas de Agua y Aguas Residuales pueden tomar para reducir el riesgo y mejorar la resiliencia contra actividades cibernéticas maliciosas y proporciona servicios, recursos y herramientas gratuitos para apoyar estas acciones.
La Guía de la EPA sobre la Mejora de la Ciberseguridad en Sistemas de Agua Potable y Aguas Residuales ayuda a los propietarios y operadores a evaluar las brechas en sus prácticas y controles actuales de ciberseguridad. e identificar acciones que pueden reducir su riesgo de ciberataques. El documento también proporciona información sobre cómo recibir asistencia técnica, capacitación en ciberseguridad y financiamiento para ciberseguridad.
El Stuff Off Search de CISA proporciona orientación para identificar activos expuestos a internet.
Para obtener orientación sobre el acceso remoto a OT, consulta NIST TN 2283 (Borrador Público Inicial): Ciberseguridad para el Sector de Agua y Aguas Residuales: Construir Arquitectura. Acceso Remoto a Tecnología Operativa.
Para más información sobre Mitigaciones en Sistemas de Agua y Aguas Residuales contacta con ACIBIN