La empresa británica Southern Water, encargada del suministro de agua y la gestión de aguas residuales para millones de ciudadanos en el sur de Inglaterra, ha revelado que un ciberataque de ransomware ocurrido en febrero de 2024 ha tenido un coste de respuesta de aproximadamente 5,4 millones de euros (4,5 millones en libras). La compañía fue víctima del grupo de cibercriminales Black Basta, conocido por sus ataques a infraestructuras críticas y su agresiva estrategia de extorsión.
Southern Water informó en su momento que la intrusión en sus sistemas de TI no afectó la operación de sus servicios de suministro y gestión de aguas residuales. La empresa abastece diariamente a 2,7 millones de clientes con 570 millones de litros de agua y administra 1.522 millones de litros de aguas residuales a través de un complejo sistema de tuberías y estaciones de tratamiento.
Sin embargo, aunque las operaciones no se vieron interrumpidas, la seguridad de datos sensibles sí estuvo comprometida. Según el informe financiero de la empresa, Black Basta logró acceder a «una parte limitada de los servidores», lo que resultó en el robo de información cuyo alcance aún está siendo investigado.
El ataque a Southern Water es un ejemplo más de la creciente amenaza que enfrentan las infraestructuras críticas a nivel global. La dependencia de sistemas digitales en sectores como el suministro de agua, la energía y el transporte hace que estas industrias sean objetivos atractivos para los ciberdelincuentes.
Costes del ciberataque: Investigaciones, expertos y daño reputacional
El informe financiero de Southern Water detalla que los costes derivados del ataque ascienden a 5,4 millones de euros, cifra similar a la que la empresa invirtió en operativos de gestión de contaminación el año pasado. Los gastos incluyen:
- Contratación de expertos en ciberseguridad para analizar la intrusión y mitigar futuros riesgos.
- Honorarios legales derivados del incidente y la gestión de notificaciones a clientes afectados.
- Implementación de nuevas medidas de vigilancia y monitoreo en la dark web para detectar posibles filtraciones de datos.
A pesar de estas medidas, la compañía no ha revelado detalles específicos sobre el contenido de la información comprometida ni sobre las posibles repercusiones legales y regulatorias que podría enfrentar.
Negociación con los atacantes: ¿Hubo un pago de rescate?
Uno de los aspectos más controvertidos de este ataque es la posibilidad de que Southern Water haya negociado con Black Basta. Según un análisis de chats filtrados de la banda de ransomware, la empresa habría ofrecido pagar 950.000 euros, (£750.000) el 12 de febrero de 2024, una cifra significativamente inferior a los 3,5 millones de euros inicialmente exigidos por los atacantes.
A finales de febrero de 2024, la empresa desapareció de la web de extorsión de Black Basta, lo que sugiere que se pudo haber llegado a un acuerdo entre ambas partes. Sin embargo, cuando se consultó a Southern Water sobre el presunto pago, la empresa se limitó a reiterar declaraciones anteriores sin confirmar ni desmentir la transacción.
El incidente no solo ha representado un golpe financiero para Southern Water, sino que también podría tener implicaciones legales y regulatorias. El robo de datos personales podría colocar a la empresa bajo escrutinio de la Oficina del Comisionado de Información del Reino Unido (ICO), la cual podría imponer sanciones en caso de que se determine que Southern Water no tomó las medidas de seguridad adecuadas para proteger la información de sus clientes.
Además, la pérdida de confianza por parte de los clientes podría afectar su reputación a largo plazo, generando potenciales pérdidas de ingresos y dificultando la captación de nuevos usuarios.
A pesar de las inversiones en ciberseguridad, Southern Water no ha sido la única víctima de este tipo de ataques de ransomware. En los últimos años, otras compañías de servicios esenciales han sido objeto de ataques similares.
