HARRISBURG, Pensilvania — Tres miembros del Congreso pidieron al Departamento de Justicia de Estados Unidos que investigue cómo piratas informáticos extranjeros violaron una autoridad de agua cerca de Pittsburgh, lo que llevó a la principal agencia de ciberdefensa del país a advertir a otras empresas de agua y tratamiento de aguas residuales que podrían ser vulnerables.
En una carta publicada el jueves, los senadores estadounidenses John Fetterman y Bob Casey y el representante estadounidense Chris Deluzio dijeron que los estadounidenses deben saber que su agua potable y otras infraestructuras básicas están a salvo de “adversarios de los Estados-nación y organizaciones terroristas”.
«Cualquier ataque a la infraestructura crítica de nuestra nación es inaceptable», escribieron Fetterman, Casey y Deluzio en su carta al Fiscal General Merrick Garland. «Si un ataque como este puede ocurrir aquí en el oeste de Pensilvania, puede ocurrir en cualquier otro lugar de Estados Unidos».
El sistema de control industrial comprometido fue fabricado en Israel, y una fotografía de la Autoridad Municipal del Agua de Aliquippa, Pensilvania, sugiere que los «hackivistas» atacaron deliberadamente esa instalación debido al vínculo del equipo con Israel. La imagen de la pantalla del dispositivo muestra un mensaje de los piratas informáticos que decía: «Todos los equipos ‘fabricados en Israel’ son objetivos legales de Cyber Av3ngers».
Un grupo que usaba ese nombre utilizó un lenguaje idéntico en X, anteriormente Twitter, y Telegram el domingo. El grupo afirmó en una publicación en las redes sociales del 30 de octubre haber pirateado 10 estaciones de tratamiento de agua en Israel, aunque no está claro si cerraron algún equipo.
La oficina de Casey dijo que funcionarios estadounidenses le dijeron que creen que Cyber Av3ngers está realmente detrás del ataque. El presidente de la autoridad de agua de Aliquippa, Matthew Mottes, dijo que los funcionarios federales le dijeron que los piratas informáticos también violaron otras cuatro empresas de servicios públicos y un acuario.
«Nos han dicho que no somos la única autoridad afectada en el país, pero se cree que somos la primera», dijo Mottes en una entrevista.
Las empresas líderes en ciberseguridad, Check Point Research y Mandiant de Google, han identificado a Cyber Av3ngers como hacktivistas alineados con el gobierno de Irán.
Desde el comienzo de la guerra entre Israel y Hamas, el grupo se ha expandido y acelerado apuntando a la infraestructura crítica israelí, dijo Sergey Shykevich de Check Point. Irán e Israel estaban involucrados en un conflicto cibernético de bajo nivel antes del ataque de Hamás contra Israel el 7 de octubre y los expertos en ciberseguridad han dicho que esperaban un aumento del hacktivismo en respuesta a los ataques de Israel en Gaza.
El dispositivo pirateado en Pensilvania fue fabricado por Unitronics, con sede en Israel, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Conocido como controlador lógico programable, se utiliza en un amplio espectro de industrias, incluidas empresas de servicios de agua y tratamiento de aguas residuales, compañías eléctricas y productores de petróleo y gas. Regula procesos que incluyen presión, temperatura y flujo de fluido, según el fabricante.
Unitronics no ha respondido a las consultas sobre qué otras instalaciones con sus equipos pueden haber sido pirateadas o podrían ser vulnerables.
Los expertos dicen que muchas empresas de agua no han prestado suficiente atención a la ciberseguridad.
En Pensilvania, el ataque provocó que la autoridad del agua detuviera temporalmente el sábado el bombeo en una estación remota que regula la presión del agua para los clientes en dos pueblos cercanos. Las cuadrillas desconectaron el sistema y cambiaron a operación manual, dijeron los funcionarios.
El ataque se produjo menos de un mes después de que una decisión de un tribunal federal de apelaciones impulsó a la Agencia de Protección Ambiental a rescindir una norma que habría obligado a los sistemas públicos de agua de EE. UU. a incluir pruebas de ciberseguridad en sus auditorías periódicas exigidas por el gobierno federal. La reversión fue provocada por una decisión de un tribunal federal de apelaciones en un caso presentado por Missouri, Arkansas e Iowa, al que se unió un grupo comercial de servicios de agua.
La administración Biden ha estado tratando de reforzar la ciberseguridad de la infraestructura crítica (más del 80% de la cual es de propiedad privada) y ha impuesto regulaciones a sectores que incluyen servicios eléctricos, gasoductos e instalaciones nucleares. Pero muchos expertos se quejan de que a demasiadas industrias vitales se les permite autorregularse.
En su advertencia del martes, la agencia de ciberseguridad de EE. UU. dijo que los atacantes probablemente violaron el dispositivo Unitronics «explotando las debilidades de ciberseguridad, incluida la mala seguridad de las contraseñas y la exposición a Internet».
Mottes dijo que no sabe cómo fue pirateado el dispositivo en Aliquippa, pero que confiaba en el criterio de la agencia federal.