Aumentan los ciberataques a infraestructuras críticas en EE.UU. y Reino Unido

Las infraestructuras críticas de agua y electricidad en Estados Unidos y Reino Unido se encuentran bajo una creciente amenaza digital. Así lo revela un nuevo estudio publicado por la firma especializada en ciberresiliencia Semperis, que advierte que el 62% de las empresas de servicios públicos ha sido víctima de al menos un ciberataque en el último año, y que el 80% de estas agresiones se han repetido en más de una ocasión.

Este panorama alarmante pone en evidencia una realidad que inquieta a expertos y autoridades: los operadores de servicios esenciales están siendo blanco de ataques cada vez más sofisticados, en muchos casos orquestados por grupos respaldados por gobiernos extranjeros.

Entre los incidentes más recientes se encuentra una intrusión cibernética vinculada al grupo Volt Typhoon, un colectivo de amenazas patrocinado por el Estado chino. Este grupo habría logrado vulnerar una empresa de servicios públicos en Littleton, Massachusetts. Asimismo, American Water Works, la mayor compañía de agua y tratamiento de aguas residuales en Estados Unidos, reconoció recientemente haber identificado acceso no autorizado en su red informática, lo que afectó sus sistemas de facturación y atención al cliente.

La Agencia de Protección Ambiental de Estados Unidos (EPA) ha emitido alertas instando a las empresas del sector a reforzar sus medidas de detección, respuesta y recuperación ante posibles ataques, ante la creciente evidencia de infiltraciones que podrían tener consecuencias críticas para la salud pública y la seguridad nacional.

Un nuevo estudio de Semperis revela que los ciberataques a empresas de agua y electricidad suponen un riesgo para la seguridad pública y la estabilidad económica

Según el informe, titulado Estado de la resistencia de las infraestructuras críticas, cerca del 60% de los ciberataques registrados fueron ejecutados por grupos vinculados a estados-nación. En más de la mitad de los casos (54%), los atacantes lograron destruir o corromper de forma permanente datos y sistemas operativos. Más preocupante aún es que dos de cada tres ataques comprometieron sistemas de identidad fundamentales como Active Directory, Entra ID y Okta. Además, un 15% de los operadores confesó no saber con certeza si estos sistemas se vieron comprometidos.

Uno de los hallazgos más inquietantes del informe es que el 38% de las empresas creen que no han sufrido ciberataques, lo que, en opinión de los expertos, no implica necesariamente que estén a salvo, sino más bien que podrían no tener la capacidad tecnológica para detectar amenazas activas.

“Es probable que muchas empresas de servicios públicos no se hayan dado cuenta de que China se ha infiltrado en sus infraestructuras. Por ejemplo, se sabe que los actores de amenazas patrocinados por China, como Volt Typhoon, prefieren los ataques Living off the Land, que son difíciles de detectar y pueden permanecer latentes durante meses o incluso años”, advirtió Chris Inglis, asesor estratégico de Semperis y exdirector nacional de ciberseguridad de EE.UU.

Ciberataques a infraestructuras críticas

El informe también destaca el papel fundamental que desempeñan estos servicios para el bienestar colectivo. A diferencia de otros sectores, las consecuencias de una interrupción en el suministro de electricidad o agua potable van más allá de los perjuicios económicos, afectando directamente a la vida cotidiana y la salud de millones de personas.

“Los sistemas que dan servicio a nuestras redes eléctricas y nuestra red de agua potable limpia son la base de todo lo que hacemos. Y, sin embargo, nos dedicamos a otros asuntos confiando en que otro se encargará de ello. Pero no es así. Tenemos que reforzar nuestros sistemas y extraer de inmediato los elementos delictivos”, subrayó Inglis.

En este contexto, Semperis recomienda a las compañías de servicios públicos adoptar una estrategia integral de resiliencia operativa. Esto incluye identificar los componentes de infraestructura más críticos para la recuperación, establecer prioridades claras en la respuesta a incidentes, documentar y ensayar planes de recuperación en escenarios realistas y, sobre todo, asegurar que las copias de seguridad no sean vulnerables a los mismos ataques.

“Si no se mejora la resistencia, los atacantes van a seguir llegando. Las empresas de servicios públicos tienen la oportunidad de afrontar este reto. Han de asumir que se van a producir violaciones y, mediante ejercicios prácticos, pueden ensayar escenarios de ataque que podrían hacerse realidad en el futuro”, concluyó Mickey Bresman, CEO de Semperis.