(CNN) – Se sospecha que un grupo hackers vinculado al Gobierno de Rusia habría llevado a cabo un ciberataque en enero que provocó el desbordamiento de un tanque en una instalación acuífera de Texas, dijeron expertos de la empresa estadounidense de ciberseguridad Mandiant este miércoles.
El ciberataque en la pequeña ciudad de Muleshoe, en el norte de Texas, coincidió con las medidas defensivas de precaución que tomaron al menos otras dos ciudades en el norte de Texas después de detectar actividad cibernética sospechosa en sus redes, dijeron funcionarios de la ciudad a CNN. El FBI estuvo investigando la actividad de piratería, afirmó uno de los funcionarios.
El ataque fue un raro caso en el que piratas informáticos utilizaron el acceso a equipos industriales sensibles para interrumpir las operaciones regulares en una instalación de agua de EE.UU., luego de realizar un ciberataque separado en noviembre pasado contra una planta de agua de Pensilvania que los funcionarios estadounidenses atribuyeron a Irán.
Los incidentes cibernéticos en Texas también ayudan a explicar una inusual advertencia pública que el asesor de seguridad nacional de Estados Unidos, Jake Sullivan, hizo el mes pasado a los funcionarios estatales y a las autoridades del agua para reforzar sus defensas cibernéticas. Los ciberataques están afectando los sistemas de agua y aguas residuales “en todo Estados Unidos”, y los gobiernos estatales y las instalaciones de agua deben mejorar sus defensas contra la amenaza, dijo Sullivan en una carta conjunta con el jefe de la Agencia de Protección Ambiental (EPA, por sus siglas en inglés) dirigida a los funcionarios estatales.
A los funcionarios estadounidenses les preocupa que muchos de los 150.000 sistemas públicos de agua del país hayan tenido dificultades para encontrar el dinero y el personal necesario para hacer frente a las persistentes amenazas de piratería informática por parte de actores criminales.
Los incidentes de piratería informática en Texas tuvieron poca atención nacional cuando ocurrieron mientras persistían las dudas sobre quién estaba detrás de la actividad. Pero, este miércoles, Mandiant expuso públicamente el canal de Telegram, una plataforma de redes sociales, donde los piratas informáticos se atribuyeron la responsabilidad del ataque de Muleshoe con una actividad de piratería previa llevada a cabo por una notoria unidad de la agencia de inteligencia militar rusa GRU.
No estaba claro, dijeron los analistas de Mandiant, si el GRU estaba detrás del ciberataque a las instalaciones de agua de Muleshoe o si otros piratas informáticos de habla rusa que usaban el mismo nombre se estaban responsabilizando por el ataque.
La serie de incidentes no afectó el agua potable en las localidades. Pero si se confirma que el GRU o uno de sus representantes estuvo involucrado, marcaría una escalada en los ataques a la infraestructura vital estadounidense por parte de un grupo ruso conocido por centrarse en Ucrania.
En Muleshoe, una ciudad de aproximadamente 5.000 habitantes, los hackers irrumpieron en un sistema de inicio de sesión remoto para software industrial que permite a los operadores interactuar con un tanque de agua, dijo a CNN el administrador de la ciudad, Ramón Sánchez. El tanque de agua se desbordó durante unos 30 a 45 minutos antes de que los funcionarios de Muleshoe desconectaran la máquina industrial pirateada y cambiaran a operaciones manuales, dijo Sánchez en un correo electrónico. Los funcionarios de Muleshoe reemplazaron el sistema de software pirateado y tomaron otras medidas para proteger la red, dijo Sánchez.
“Las empresas de agua están siendo acosadas por los adversarios, que están aprovechando los blancos más fáciles: servicios vulnerables a los que se puede acceder directamente desde Internet”, dijo Gus Serino, experto en ciberseguridad del sector del agua y presidente de la firma de seguridad I&C Secure.
“Las regulaciones no habían requerido que se trate este tema sencillo”, dijo Serino a CNN. “Esto muestra una necesidad bastante clara de manejar lo básico”.
En octubre, la EPA se vio obligada a rescindir una regulación clave de ciberseguridad para los sistemas públicos de agua luego de un llamado de atención legal por parte de los fiscales generales republicanos.
La regla de la EPA “podría haber implementado medidas simples y haber evitado ataques recientes a los sistemas de agua”, dijo Anne Neuberger, asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes en la Casa Blanca, en un comunicado a CNN este martes. “Sin embargo, seguimos firmes en nuestros esfuerzos para garantizar que los sistemas de agua de los estadounidenses estén seguros contra ataques cibernéticos, y pedimos a los propietarios y operadores que cierren sus puertas digitales”.
La administración Biden-Harris, añadió Neuberger, asesoró recientemente a los funcionarios estatales sobre el establecimiento de planes de seguridad para proteger sus sistemas de agua contra ataques.
“Actividad sospechosa” en localidades cercanas
El ataque en Muleshoe generó preocupación en la región. En Lockney, a unos 120 kilómetros al este de Muleshoe, los funcionarios de la ciudad detectaron “actividad sospechosa” en el sistema SCADA de la ciudad, un tipo de red informática industrial que ayuda a supervisar las plantas de agua, dijo a CNN Buster Poling, administrador de la ciudad de Lockney.
Y en la cercana ciudad de Hale Center, los piratas informáticos también intentaron sin éxito irrumpir en el “cortafuegos” de la ciudad, lo que llevó a la ciudad a desactivar el acceso remoto a su sistema SCADA, dijo el administrador de la ciudad, Mike Cypert, a CNN en un correo electrónico.
Ni Cypert ni Poling identificaron a los piratas informáticos responsables de los intentos de ciberataque; Poling sólo dijo que creía que estaban operando desde un país extranjero, pero se negó a dar más detalles.
Poling cree que los hackers intentaban acceder a los pozos de agua de la ciudad, pero, dijo, los funcionarios de la ciudad pudieron detectar la amenaza a tiempo y evitar que las acciones de los piratas informáticos tuvieran algún impacto.
“Nunca había experimentado esto antes, pero (…) somos conscientes de que esas amenazas existen”, dijo Poling a CNN por teléfono. El FBI estuvo investigando la actividad, dijo.
El FBI se negó a hacer comentarios. CNN le solicitó testimonios a la Embajada de Rusia en Washington, DC, sobre los incidentes de piratería informática.
“Debido a la investigación en curso, la EPA no puede hacer comentarios sobre este incidente específico”, dijo el portavoz de la EPA, Nick Conger, en un comunicado a CNN. “Sin embargo, la EPA está coordinando con el estado de Texas para brindar apoyo según sea necesario”.
En su informe publicado este miércoles, Mandiant encontró múltiples vínculos entre una unidad de sabotaje y espionaje del GRU conocida como Sandworm y la infraestructura online utilizada por piratas informáticos que utilizan una persona llamada “CyberArmyofRussia_Reborn”. Eso incluye un canal de YouTube operado por el personaje hacker que Mandiant cree que fue creado por la unidad patrocinada por GRU.
Sandworm es conocido por una serie de ciberataques disruptivos que cortaron el suministro eléctrico en partes de Ucrania en 2015 y 2016. El grupo había golpeado la infraestructura ucraniana con ciberataques durante la guerra en curso.
Sandworm también utiliza personajes online para amplificar y exagerar los impactos de sus ataques, según los expertos de Mandiant.
El 18 de enero, el día en que Sánchez, el administrador de la ciudad de Muleshoe, le dijo a CNN que los piratas informáticos habían accedido a la red informática industrial de la ciudad, el grupo CyberArmyofRussia_Reborn publicó un video en su canal de redes sociales Telegram que pretendía mostrar la manipulación de las válvulas de agua de Muleshoe.
“La arbitrariedad es parte de su énfasis patológico en el impacto psicológico”, dijo a CNN Dan Black, analista de Mandiant. “Quieren que parezca que están haciendo más de lo que están haciendo en realidad”.