Los servicios que garantizan el suministro de agua potable y electricidad no sólo son esenciales para el bienestar ciudadano y el funcionamiento de la economía: también se han convertido en un objetivo prioritario para actores maliciosos, incluidos grupos vinculados a Estados. Así lo revela el último estudio elaborado por Semperis, que pone el foco en los desafíos de resiliencia de las infraestructuras críticas frente al auge de ciberataques avanzados.
La encuesta, realizada a 350 profesionales de TI y ciberseguridad en operadoras de agua y electricidad de Estados Unidos y Reino Unido, concluye que el 62 % de estas entidades fue víctima de ciberataques en el último año, y que el 80 % de ellas fue atacada más de una vez. Entre los principales agresores, el informe identifica a China, Rusia, Irán y Corea del Norte, con motivaciones que van desde el espionaje hasta el chantaje económico.
“Los sistemas de identidad, como Active Directory o Entra ID, fueron comprometidos en dos de cada tres ataques. Son el punto débil desde el que escalar privilegios y moverse lateralmente por el entorno”, señala Simon Hodgkinson, ex CISO de bp y asesor estratégico de Semperis.
Identidad digital, un eslabón crítico
Los sistemas de identidad están en el centro de la diana. Según el informe, el 67 % de los ataques afectaron directamente a estos servicios, y un preocupante 15 % de las organizaciones no sabe si se vieron comprometidos. Pese a ello, sólo un tercio de los encuestados los identifica como una prioridad en su estrategia de ciberseguridad.
Este dato pone de relieve una peligrosa disonancia entre los riesgos reales y la percepción interna en las organizaciones. Como recuerda el estudio, la seguridad de Active Directory ha sido señalada como “pilar fundamental de la seguridad de red” por el grupo Five Eyes en su informe conjunto de septiembre de 2024.
El informe recoge ejemplos concretos que demuestran cómo las amenazas se han materializado, como el grupo Volt Typhoon, vinculado a China, que logró permanecer durante casi un año en los sistemas de una operadora eléctrica pública en Massachusetts. También menciona a Southern Water, de Reino Único, que sufrió el robo de millones de registros personales tras un ataque atribuido a Black Basta. Por último, el grupo proiraní que atacó la Autoridad de Agua de Aliquippa (EE.UU.) explotó vulnerabilidades en controladores industriales (PLC).
Aunque el 84 % de las entidades afectadas pudo recuperar el servicio en menos de 24 horas, más de la mitad sufrió interrupciones operativas, corrupción o destrucción de datos y robo de información sensible.
La resiliencia, más allá de la tecnología
El estudio de Semperis subraya la necesidad de adoptar una mentalidad de resiliencia (“assume breach”) que contemple no solo la prevención, sino la capacidad de respuesta y recuperación ante incidentes inevitables. Entre los principales obstáculos para avanzar en este terreno, los encuestados señalan:
- Falta de apoyo del liderazgo corporativo
- Escasez de presupuesto
- Déficit de formación y talento en ciberseguridad
- Ausencia de planificación para la defensa y recuperación de sistemas de identidad
“La ciberresiliencia cibernética ya no es responsabilidad exclusiva del departamento de TI. Es una cuestión estratégica que debe involucrar a toda la organización”, sostiene Mickey Bresman, CEO de Semperis.
