(por Andrea Pinto) Incluso la gestión de acueductos a lo largo de los años ha pasado de sistemas analógicos a digitales. Una forma innovadora de asegurar el control continuo de la pureza del agua y ahorrar recursos para pagar a los empleados que con el tiempo han tenido que dejar sus puestos de trabajo en favor de unas unidades más especializadas y con mayor nivel de educación. Resultados? No hubo mayores inconvenientes en el suministro de agua y se pudo intervenir a tiempo ante la menor señal de impureza del preciado recurso. El Washington Post abordó el tema, sin embargo, describiendo una vulnerabilidad de los acueductos modernos.
A principios de febrero alguien intentó envenenar el suministro de agua en la ciudad de Oldsmar, en la Costa del Golfo en Florida.
Según el alguacil del condado de Pinellas, un pirata informático logró acceder de forma remota a la red de la planta de tratamiento de agua de Oldsmar aumentando la cantidad de hidróxido de sodio en el agua en 100 veces, lo suficiente como para causar la muerte o causar lesiones graves a ciudadanos desprevenidos.
Afortunadamente, un técnico especializado notó la anomalía y logró desviar al pirata informático fuera de la red antes de que llevara a cabo su ataque. Lo que ha sucedido muestra que el acueducto moderno, aunque hoy está más conectado que nunca, es vulnerable a los ciberataques.
En plantas de energía, acueductos y todo tipo de servicios públicos, las computadoras se conectan a controladores de proceso para hacer girar turbinas, rotar brazos robóticos o, en este caso, abrir válvulas para liberar hidróxido de sodio. Sin embargo, estas estructuras estratégicas nacionales para garantizar la calidad de sus productos finales a menudo tienen que salir de la red interna para intercambiar datos y análisis con organismos externos a través de la red web comercial.
De hecho, los atacantes obtienen acceso a los sistemas de infraestructura crítica cuando los dispositivos de la empresa están conectados a la red comercial de Internet o cuando un administrador de red sufre una estafa informática "spear phishing".
Oldsmar no fue el primer ciberataque a la infraestructura del agua. En abril de 2020 el Dirección Nacional de Cibernética Israel instó a todas las empresas de tratamiento de agua a cambiar sus contraseñas en los sistemas críticos. En 2016, según un informe de la unidad de seguridad de Verizon, hackers vinculados al Siria obtuvieron acceso a un servicio de agua en un país desconocido y lograron "obstaculizar la capacidad de producción y tratamiento de agua".
Sin embargo, lo que sucedió con el acueducto de Oldsmar tranquiliza a los conocedores porque la anomalía se identificó rápidamente ya en la fase inicial del ataque. Los expertos, sin embargo, aseguran que la redundancia de los sistemas habría revelado el intento malicioso antes de la entrega del suministro.
El operador de la planta comenzó a sospechar cuando la flecha del mouse se movió por sí sola e hizo cambios en los procesos críticos de tratamiento de agua. Pero, ¿qué pasa si el operador no tiene el beneficio de una ayuda visual para observar al pirata informático en tiempo real? ¿Qué pasaría si la interfaz hombre-máquina fuera manipulada por malware para indicar "bien" cuando los piratas informáticos aumentaran la concentración de hidróxido de sodio a niveles letales? ¿Se habría detectado la brecha antes de que alguien bebiera o se bañara en el agua adulterada y corrosiva? Los gerentes de acueductos dijeron a los medios: "Afortunadamente, existen sensores para detectar agua tóxica durante tuberías generales. Estos sensores están conectados de tal manera que se comunican y transmiten continuamente datos y encuestas para permitir que los operadores de la planta tomen acciones preventivas."
Esta vez podemos decir que los malos no lo lograron, lo importante es que no debemos bajar la guardia y tomar el caso del acueducto de Odsmare como una lección aprendida para implementar los dispositivos de seguridad para defender nuestras estructuras críticas nacionales.