La Oficina de Responsabilidad Gubernamental (GAO) de EE. UU. ha emitido una advertencia sobre el creciente objetivo de hackers vinculados a gobiernos extranjeros y grupos criminales en los sistemas de agua potable y aguas residuales en Estados Unidos. Muchas utilidades permanecen desprotegidas ante ciberataques, especialmente debido a la transición hacia sistemas digitales conectados. Recientes incidentes, como el ataque a la Autoridad Municipal de Agua de Aliquippa en Pensilvania, destacan las vulnerabilidades existentes. La infraestructura envejecida y la falta de recursos dificultan la implementación de medidas de ciberseguridad efectivas. A pesar de los esfuerzos federales para evaluar riesgos y desarrollar planes de gestión, muchas acciones siguen siendo voluntarias, lo que deja brechas significativas en la protección del suministro de agua nacional.
El Government Accountability Office (GAO) de Estados Unidos ha emitido una alerta sobre el creciente interés de hackers vinculados a gobiernos extranjeros y grupos criminales en los sistemas de agua potable y aguas residuales del país. Muchos servicios públicos aún no están preparados para enfrentar ciberataques dirigidos a esta infraestructura crítica. Según el informe del GAO, la transición de controles industriales aislados a sistemas digitales conectados ha ampliado las oportunidades para que los atacantes accedan a la tecnología operativa.
Don Tapscott, en su obra «Blueprint to the Digital Economy», señala que los ataques de guerra informática contra la infraestructura informativa de un país son una preocupación cada vez mayor. Los hackers maliciosos han demostrado vulnerabilidades tanto en sistemas informáticos comerciales como gubernamentales. El informe destaca que el sector del agua es particularmente vulnerable debido a su naturaleza altamente descentralizada y a la dependencia de equipos obsoletos.
Uno de los casos más recientes que pone de manifiesto estas exposiciones es el incidente en Aliquippa, Pennsylvania. La Autoridad Municipal de Agua de Aliquippa, un pequeño servicio público en el oeste de Pennsylvania, fue atacada por un grupo presuntamente respaldado por Irán. Los hackers lograron acceder al sistema a través de equipos de control industrial expuestos a Internet, obligando a los operadores a gestionar manualmente el sistema.
Las agencias federales emitieron posteriormente un aviso para 2024 advirtiendo que grupos vinculados a Irán estaban apuntando a tecnologías ampliamente utilizadas en los sistemas de agua estadounidenses. Además, ataques de ransomware han afectado a servicios públicos en California, Nueva Jersey y Nevada, interrumpiendo redes informáticas y forzando algunas operaciones hacia controles manuales.
En Polonia, los servicios de inteligencia detectaron ataques en cinco plantas de tratamiento de agua donde los hackers podrían haber tomado control del equipo industrial, poniendo en riesgo la seguridad del agua. El informe conjunto advierte que tácticas similares han sido empleadas contra instalaciones estadounidenses, con hackers vinculados a Irán interrumpiendo operaciones en instalaciones petroleras, gasísticas y acuáticas.
Las agencias federales han señalado la infraestructura envejecida, la escasez de personal y las limitaciones presupuestarias como desafíos importantes, especialmente para los servicios públicos más pequeños. Muchos sistemas fueron diseñados antes del actual entorno elevado de riesgo cibernético y suelen ser incompatibles con protocolos modernos de seguridad informática. Las prácticas básicas de ciberseguridad siguen siendo inconsistentes, con muchos servicios públicos sin cambiar contraseñas predeterminadas o actualizar software.
La Environmental Protection Agency (EPA) ha identificado limitaciones en su autoridad legal para exigir evaluaciones de ciberseguridad para algunos sistemas de aguas residuales y pequeñas utilidades de agua potable, lo que genera preocupaciones sobre protecciones desiguales entre casi 170,000 sistemas en todo el país. La naturaleza descentralizada del sector del agua complica la supervisión integral. Mientras tanto, la Ley Nacional de Autorización de Defensa para 2021 creó una nueva Oficina del Director Nacional Cibernético, aunque su implementación aún está en proceso.
En respuesta a estos desafíos, la EPA completó una evaluación sectorial del riesgo cibernético y desarrolló un plan de gestión del riesgo a principios de este año. La Comisión del Congreso sobre Ciencia, Espacio y Tecnología celebró una audiencia titulada «Resiliencia impulsada por la investigación: Aplicando ciencia para asegurar los sistemas acuáticos estadounidenses frente a amenazas cibernéticas», donde se examinaron los esfuerzos federales.
A pesar de esto, muchas iniciativas de ciberseguridad siguen siendo voluntarias y posibles reducciones en programas podrían disminuir la asistencia federal para las utilidades. Recientemente, un jefe de inteligencia australiano advirtió que hackers estatales chinos se están posicionando en redes con el fin de interrumpir servicios críticos como agua, energía y telecomunicaciones. El informe estadounidense concluye que es esencial adoptar una estrategia informada por riesgos para el extenso y descentralizado sector del agua ante la evolución continua de las amenazas cibernéticas.
Un ataque cibernético exitoso contra un sistema hídrico podría provocar interrupciones que afectarían la salud pública o el medio ambiente, impactando hospitales, plantas energéticas y otros sectores dependientes. La interconexión moderna significa que una sola brecha podría tener repercusiones en múltiples sectores.
A medida que adversarios extranjeros intensifican sus ataques contra infraestructuras críticas, se vuelve urgente mejorar las medidas de ciberseguridad. Las evidencias sugieren que tanto las autoridades federales como estatales deben abordar las brechas existentes para proteger el suministro nacional de agua.