Una reciente formación práctica organizada por Communities Unlimited (CU) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sacó a la luz una realidad aleccionadora: los ciberataques no son sólo una amenaza para las grandes ciudades o las empresas tecnológicas. Los sistemas de agua rurales -que a menudo funcionan con personal limitado e infraestructuras anticuadas- pueden estar entre los más vulnerables.
El 25 de junio, la CU organizó su primera formación presencial sobre ciberseguridad centrada específicamente en los servicios rurales de agua y aguas residuales. Celebrada en el Mega Refugio de Alexandria, en el centro de Luisiana, la sesión de medio día fue codirigida por Chris Brunson, Coordinador Estatal de Luisiana de CU con el Equipo de Infraestructuras Comunitarias. El evento reunió a operadores, funcionarios municipales y líderes locales de todo el estado para una poderosa experiencia de aprendizaje centrada en la colaboración y la respuesta a las crisis.
La formación incluyó la Experiencia de Mesa de Preparación Cibernética Comunitaria de la CISA, un modelo nacional que guía a los participantes a través de un ciberataque ficticio. La CISA, que forma parte del Departamento de Seguridad Nacional de EE.UU., se encarga de proteger las infraestructuras críticas del país de las amenazas físicas y cibernéticas. Su participación subrayó la creciente urgencia en torno a la ciberseguridad en las comunidades rurales.
Este acontecimiento no fue algo puntual. Desde marzo, el personal de la CU ha estado trabajando directamente con el CISA para preparar este lanzamiento. Su objetivo: desarrollar un modelo de formación reproducible que los equipos de CU de otros estados del Sur puedan poner en marcha a partir de octubre. Durante la sesión de Alejandría, el personal de las UC de toda la región se unió a distancia a través de Zoom para observar la formación y empezar a planificar talleres similares en sus zonas.
Y la necesidad es real.
En todo EE.UU., los sistemas de agua dependen cada vez más de sistemas de control industrial (ICS) conectados a Internet, como el SCADA (Control de Supervisión y Adquisición de Datos), que permiten a los operadores supervisar y gestionar a distancia los procesos de tratamiento. Cuando esos sistemas se ven comprometidos, las consecuencias pueden ser graves.
A principios de 2024, tres pequeñas ciudades del Panhandle de Texas -Muleshoe, Hale Center y Lockney- fueron blanco de una serie de ciberataques coordinados. En Muleshoe, los hackers provocaron el desbordamiento del sistema de agua antes de que los operadores pudieran recuperar el control manual. En Hale Center hubo más de 37.000 intentos de acceso en sólo cuatro días, antes de que se desconectara el sistema. En Lockney, se detuvo un intento de violación antes de que se produjera ningún daño, pero aun así sirvió de dura advertencia.
La empresa de ciberseguridad Mandiant vinculó al menos uno de los incidentes a CyberArmyofRussia_Reborn, un grupo hacktivista ruso que reivindicó su autoría en Internet. Sin embargo, los analistas creen que es probable que este grupo sea una tapadera o filial de Sandworm, una célebre unidad de la inteligencia militar rusa (GRU) responsable de algunos de los ciberataques más peligrosos del mundo, incluidos los que derribaron partes de la red eléctrica de Ucrania en 2015, 2016 y, de nuevo, durante la invasión de 2022.
Los incidentes de Texas supusieron un escalofriante recordatorio de que incluso las pequeñas comunidades rurales estadounidenses son vulnerables a los mismos actores de la ciberguerra internacional a gran escala.
Catherine Krantz, Directora de Área de Banda Ancha de la CU, dijo que la formación amplió la forma de pensar de los participantes sobre las amenazas a las infraestructuras.
"Tendemos a tener una visión estrecha de la ciberseguridad -como si sólo se tratara de proteger bombas u ordenadores-, pero esta formación fue más allá. Trataba temas como la pérdida de datos de facturación, la importancia de las copias de seguridad recientes y lo que ocurre si confías en otra persona para que gestione tus sistemas. Si se descuidan, tú eres el perjudicado".
– Catherine Krantz, Directora de Área de Banda Ancha de Communities Unlimited
La formación dejó claro que incluso los sistemas con una presencia mínima en Internet -redes sólo locales o sistemas de facturación físicos- siguen estando en peligro. Las contraseñas débiles, el software obsoleto o los proveedores externos pueden servir como puntos de entrada para los malos actores.
Keith Saucier, supervisor de mantenimiento y operador de agua durante muchos años para los sistemas de Ville Platte y Point Blue-Chataignier, dijo que la formación fue una llamada de atención.
“Me hizo darme cuenta de que tenemos que ser más conscientes y cuidadosos con lo que hacemos, con lo que pulsamos y con cómo guardamos las cosas”, dijo.
Se retó a los participantes a pensar en tiempo real: ¿Qué proteges primero? ¿A quién llamas? ¿Qué pasa si se cae tu sistema principal?
Muchos se sorprendieron al saber que el CISA ofrece herramientas y apoyo gratuitos, un salvavidas para las pequeñas comunidades que operan con presupuestos ajustados. Las limitaciones financieras y de personal son exactamente el motivo por el que los legisladores federales están tomando medidas.
La propuesta de Ley de Ciberseguridad para los Sistemas de Agua Rurales de 2025 ampliaría el Programa “Circuit Rider” del USDA para incluir a profesionales de la ciberseguridad que puedan prestar apoyo in situ a las pequeñas empresas de servicios públicos. El proyecto de ley cuenta con apoyo bipartidista y está respaldado por la Asociación Nacional de Aguas Rurales (NRWA), Cyber Solarium 2.0 y la Asociación de Asistencia a Comunidades Rurales (RCAP), una red nacional de organizaciones sin ánimo de lucro que apoyan a la América rural. La CU es el socio oficial de la RCAP para el sur de EEUU.
Drew Jackson, del Distrito de Planificación y Desarrollo Regional Kisatchie-Delta, dijo que la formación le abrió los ojos sobre lo interconectados que están realmente los sistemas.
“Puede ocurrir algo en un área y acabar afectando a un montón de otras”, dijo.
Joy Hicks, concejala del pueblo de Dry Prong, dijo que los escenarios de la vida real hicieron que la ciberseguridad pareciera menos abstracta.
"Cuando oyes la palabra 'ataque', te imaginas algo grande y dramático. Pero en realidad, puede manifestarse de formas más pequeñas e inesperadas, como el retraso en la recogida de basuras o el cierre de escuelas."
– Joy Hicks, Concejala
La operadora certificada Cynthia Alexander salió de la formación sintiéndose mejor equipada.
“Realmente hay recursos ahí fuera, no sólo para mí, sino también para mi empresa”, dijo.
La formación fue aprobada por el Departamento de Sanidad de Luisiana para cuatro Unidades de Formación Continua (CEU), pero la mayoría de los participantes coincidieron en que el mayor valor fue el conocimiento práctico y la confianza que proporcionó.
Según informes recientes del sector, el 62% de las empresas de agua y electricidad de EE.UU. y el Reino Unido sufrieron al menos un ciberataque el año pasado, y el 80% experimentó múltiples incidentes.
La CU y el CISA tienen previsto llevar esta formación a otros estados del Sur en los próximos meses, para garantizar que más comunidades estén preparadas antes de que se produzca una catástrofe.
"La ciberseguridad es un gran problema. Dejó claro lo importante que es proteger nuestros sistemas".
– Keith Saucier, Supervisor de Mantenimiento y Operador de Agua
