El personal de sistemas de información (IT) de la Autoridad de Acueductos y Alcantarillados (AAA) restableció, en la noche de ayer, martes, los servicios principales de servicio al cliente luego de que fueran objeto de un ciberataque exitoso mediante ransomware, confirmó el vicepresidente de Planificación Estratégica de la corporación pública, Arnaldo Jiménez Acevedo.

El funcionario explicó, en entrevista con El Nuevo Día, que los equipos y programas de ciberseguridad instalados en los servidores detectaron la intrusión cerca de las 6:30 a.m. del lunes. Jiménez Acevedo resaltó que el personal de IT actuó con rapidez para mitigar el ataque y que contactaron al Servicio de Innovación y Tecnología de Puerto Rico (PRITS) para recibir asistencia con la respuesta e investigación del incidente.

Un ransomware es un malware o programa diseñado para encriptar (cifrar) los datos almacenados en computadoras o servidores. Una vez dicha información es cifrada, el o los perpetradores envían una comunicación en la que solicitan el pago de un “rescate”, usualmente mediante criptomonedas, antes de entregar la “llave” para descifrar la información “secuestrada”.

Jiménez Acevedo recalcó que el o los atacantes solo comprometieron unas partes de los servidores que albergan los programas utilizados por personal de servicio al cliente, al igual que el cuadro telefónico, y que, de momento, no existe evidencia de que adquirieran información de clientes o de empleados.

Nannette Martínez Ortiz, directora ejecutiva de PRITS, indicó a El Nuevo Día que la infraestructura utilizada por la división de servicio al cliente está separada de la infraestructura utilizada para manejar las operaciones de la AAA; en otras palabras, el o los atacantes no tuvieron acceso a los servidores y/o computadoras utilizadas para controlar el sistema de procesamiento y distribución de agua en Puerto Rico.

La AAA, al igual que la Autoridad de Energía Eléctrica (AEE), son catalogadas por los gobiernos estatales y federales como “infraestructura crítica”, pues ofrecen servicios de vital importancia para la ciudadanía y para la operación de ciudades.

“Básicamente, los servicios principales ya están arriba desde anoche (del martes). Nos encontramos en un proceso de restauración de todos los aplicativos de la AAA. Los cuadros telefónicos están operando, al igual que todas nuestras oficinas de servicio al cliente. Estamos procesando querellas y pagos de nuestros clientes”, enfatizó Jiménez Acevedo.

“El ataque comenzó cerca de las 6:30 a.m. del lunes. Ahí perdimos la conectividad con nuestros sistemas, pero nos mantuvimos operando y atendiendo a los clientes que nos visitaron, tomando sus datos para luego proceder con las diferentes querellas. Perdimos conectividad con nuestros centros telefónicos en ese momento, pero ese servicio se restableció anoche”, añadió Jiménez Acevedo.

El vicepresidente de Planificación Estratégica resaltó que los sistemas de protección contra virus/ciberataques detectaron la intrusión e iniciaron un mecanismo de autoprotección para minimizar el daño que pudieran causar. Jiménez Acevedo recalcó que, aunque recibieron una notificación de un grupo con datos para contactarlos, no los contactarán ni pagarán rescate alguno. Añadió que están en el proceso de restaurar sus servidores mediante resguardos (backups).

“Nuestras bases de datos no fueron impactadas, por lo que la información de nuestros clientes y empleados está a salvo, no fue impactada ni cifrada. En cuanto a las aplicaciones, las estamos restaurando de nuestros backups. El sistema de ciberseguridad de la AAA es un robusto, contamos con distintos mecanismos de backups y logramos restaurar nuestros sistemas. No se filtró información sensitiva de nuestros clientes ni de nuestro personal. Hasta la fecha, no se ha detectado ningún tipo de datos que se hayan filtrado”, subrayó Jiménez Acevedo.

PRITS notificó al FBI y a CISA sobre el ciberataque

Por su parte, Martínez Ortiz, explicó a El Nuevo Día que contactaron al Negociado Federal de Investigaciones (FBI) y a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para informales sobre el ciberataque, y que tiene a personal de PRITS en las oficinas de la AAA para asistir con el proceso de recuperación de los sistemas e investigación de lo sucedido.

“Tengo miembros de mi equipo en la AAA ayudando en todo lo que necesiten, con la restauración de los sistemas y en el análisis del impacto y el vector de entrada (la manera en la que el o los atacantes lograron acceso a el o los servidores), qué fue lo que pasó. Dado que la AAA es una agencia de infraestructura crítica, los sistemas de operaciones estaban segmentados (separados) totalmente de los sistemas de información”, explicó.

Martínez Ortiz añadió que ya identificaron el tipo de ransomware y variante utilizado, y que cuentan con datos preliminares que apuntan al vector de entrada, pero declinó ofrecer dichos detalles dado que se encuentran en una investigación activa. Añadió, que indicarán, en un futuro cercano, si el ataque fue perpetrado por una sola persona o por una organización criminal.

“Aunque hubo sistemas que sufrieron un impacto, el impacto no significa que los datos fueron comprometidos. En impacto estamos hablando de una interrupción de servicios. Ahora, no hemos visto evidencia alguna que apunte a que se hayan filtrado datos. Por eso es importante completar el análisis forense, para realmente determinar qué fue lo que ocurrió y si hubo o no una filtración de datos”, detalló Martínez Ortiz.

La directora ejecutiva de PRITS dijo que la AAA cuenta con un proveedor de servicio que podría llevar a cabo la investigación forense, pero recalcó que brindarán los recursos necesarios para apoyar a la corporación pública durante la pesquisa. “Es bien importante que se pueda identificar exactamente cuál fue el vector de entrada y el impacto completo del ataque. Tenemos una idea preliminar, pero es bien importante llegar a una conclusión basado en el análisis forense”, enfatizó.