Cómo proteger Sistemas de Agua y Aguas Residuales

Cómo proteger Sistemas de Agua y Aguas Residuales
Cómo proteger Sistemas de Agua y Aguas Residuales

La Agencia de Protección Ambiental (EPA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU, a menudo identifican Interfaces Hombre-Máquina (HMI) expuestas a internet mediante escaneos a través de plataformas de búsqueda web disponibles públicamente. Las HMI permiten a los propietarios y operadores de tecnología operativa (OT) leer sistemas de Supervisión, Control y Adquisición de Datos (SCADA) conectados a controladores lógicos programables (PLC). En ausencia de controles de ciberseguridad, los usuarios no autorizados pueden explotar las HMI expuestas en los Sistemas de Agua y Aguas Residuales para:

  • Ver el contenido de la HMI (incluida la interfaz gráfica de usuario, mapas del sistema de distribución, registros de eventos y configuraciones de seguridad).
  • Realizar cambios no autorizados y potencialmente interrumpir el proceso de tratamiento de agua y/o aguas residuales de la instalación.

Ataques recientes

Los hackers han demostrado la capacidad de encontrar y explotar fácilmente las HMI expuestas a internet con debilidades en ciberseguridad. Por ejemplo, en 2024, hacktivistas pro-Rusia manipularon HMI en Sistemas de Agua y Aguas Residuales, haciendo que las bombas de agua y el equipo de soplado excedieran sus parámetros operativos normales. En cada caso, los hacktivistas maximizaban los puntos de ajuste, alteraban otras configuraciones, apagaban los mecanismos de alarma y cambiaban las contraseñas administrativas para bloquear a los operadores de servicios de agua. Estos incidentes resultaron en impactos operativos en los sistemas de agua y obligaron a las víctimas a volver a operaciones manuales. (Para más información, consulta la hoja informativa conjunta Defendiendo Operaciones OT Contra la Actividad Ongoing de Hacktivistas Pro-Rusia).

New CISA and EPA guidelines aim to shield water and wastewater systems from cyber threats

La EPA y la CISA están publicando esta hoja informativa para proporcionar a los Sistemas de Agua y Aguas Residuales recomendaciones. De esta forma prentenden limitar la exposición de las HMI en internet y protegerlas contra actividades cibernéticas maliciosas.

Mitigaciones

La EPA y la CISA recomiendan encarecidamente a los Sistemas de Agua y Aguas Residuales implementar las siguientes mitigaciones para fortalecer el acceso remoto a las HMI. Las organizaciones pueden necesitar consultar con sus integradores de sistemas y solicitar la implementación de estas mitigaciones.

  • Realizar un inventario de todos los dispositivos expuestos a internet.
  • Si es posible, desconectar las HMI y todos los demás sistemas accesibles y no protegidos de internet.
  • Si no es posible desconectar el dispositivo, asegúralo creando un nombre de usuario y una contraseña fuerte para evitar que un actor de amenazas vea y acceda fácilmente a los dispositivos. Cambia las contraseñas predeterminadas de fábrica.
  • Implementar una contraseña fuerte y autenticación multifactor (MFA) para todo acceso a la HMI y la red OT.
  • Implementar segmentación de red habilitando una zona desmilitarizada (DMZ) o un host bastión en el límite de la red OT.
  • Implementar geocercas en toda la red y hacer cumplir la segmentación de la red basada en ubicaciones específicas.
  • Mantener todos los sistemas y software actualizados con parches y actualizaciones de seguridad necesarias.
  • Establecer una lista de permitidos que solo permita direcciones IP autorizadas para acceder a los dispositivos.
  • Registrar los inicios de sesión remotos a las HMI; estar al tanto de los intentos fallidos y los horarios inusuales.
  • Implementar las recomendaciones de tu proveedor para asegurar mejor tu producto.
  • Inscribirse en el servicio gratuito de escaneo de vulnerabilidades cibernéticas de CISA para identificar vulnerabilidades de software. Y para confirmar que los parches están actualizados y se aplican correctamente.

Recursos

La hoja informativa conjunta Principales Acciones Cibernéticas para Asegurar Sistemas de Agua proporciona acciones que los Sistemas de Agua y Aguas Residuales pueden tomar para reducir el riesgo y mejorar la resiliencia contra actividades cibernéticas maliciosas y proporciona servicios, recursos y herramientas gratuitos para apoyar estas acciones.

La Guía de la EPA sobre la Mejora de la Ciberseguridad en Sistemas de Agua Potable y Aguas Residuales ayuda a los propietarios y operadores  a evaluar las brechas en sus prácticas y controles actuales de ciberseguridad. e identificar acciones que pueden reducir su riesgo de ciberataques. El documento también proporciona información sobre cómo recibir asistencia técnica, capacitación en ciberseguridad y financiamiento para ciberseguridad.

El Stuff Off Search de CISA proporciona orientación para identificar activos expuestos a internet.

Para obtener orientación sobre el acceso remoto a OT, consulta NIST TN 2283 (Borrador Público Inicial): Ciberseguridad para el Sector de Agua y Aguas Residuales: Construir Arquitectura. Acceso Remoto a Tecnología Operativa.

Para más información sobre Mitigaciones en Sistemas de Agua y Aguas Residuales contacta con ACIBIN

×