- Hackers iraníes accedieron a dos sistemas de Cal Water y filtraron 5 GB de datos
- Una herramienta GPS mal asegurada les dio a los atacantes un camino directo dentro de Cal Water
- Los certificados administrativos de siete distritos de California se publicaron en línea en texto plano
Handala, el grupo de amenazas vinculado a Teherán, afirma que violó con éxito los servicios de agua de California y publicó un volcado de datos de 5 GB como prueba.
Cal Water es una de las empresas de servicios de agua propiedad de inversores más grandes de los Estados Unidos y presta servicios a millones de clientes residenciales y comerciales en todo California.
Handala describió la violación como una represalia directa por la reciente acción militar estadounidense en Irán, afirmando que podría haber interrumpido el acceso al agua, pero decidió deliberadamente no hacerlo, por ahora.
Cómo una herramienta GPS se convierte en un punto de entrada
La empresa de ciberseguridad Dataminr analizó los datos publicados e identificó dos sistemas separados a los que Handala accedió durante la violación.
La primera era una base de datos de facturación de clientes que contenía nombres, direcciones, números de teléfono, números de cuenta e historial de pagos en varios distritos de Cal Water.
El segundo fue una implementación interna de RTKBase, una plataforma de estación base GPS de código abierto utilizada por equipos de campo para mantener la infraestructura hídrica en toda California.
La instancia RTKBase estuvo funcionando continuamente durante aproximadamente 783 horas durante el acceso, con datos de corrección de GPS transmitiéndose a través de siete distritos identificados de Cal Water.
Estos distritos incluyen Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo y una división regional de ingeniería repartida por California.
Los investigadores creen que la plataforma GPS no era el objetivo final, sino el punto de entrada a una infraestructura más profunda.
Se podía acceder a la interfaz web RTKBase a través del puerto HTTP estándar 10000 en múltiples ubicaciones del distrito, lo que facilitaba la identificación y el acceso de actores externos.
Se implementó en hardware liviano que ofrecía una resistencia mínima al acceso no autorizado desde Internet.
Las credenciales administrativas de la plataforma aparecieron en el volcado publicado en texto plano, dando a cualquiera que lo descargara acceso inmediato a todo el sistema.
Los detalles de toda la infraestructura de red de los siete distritos quedaron igualmente expuestos, sin dejar prácticamente nada intacto que el equipo de seguridad de Cal Water pudiera proteger.
Un patrón que debería preocupar a todas las empresas de agua
La historia de Handala hace que el marco de “no perturbar” merezca ser tratado con considerable escepticismo desde cualquier perspectiva de seguridad seria.
El grupo implementó un limpiador destructivo contra Stryker en marzo de 2026 que interrumpió la fabricación y el envío, siguiendo el mismo patrón de robo de datos primero documentado en esta violación.
“El patrón operativo del controlador a menudo implica un reclamo inicial seguido de una acción incremental”, concluyó el informe de Dataminer.
“Los equipos de seguridad deberían considerar la revelación actual como un precursor potencial de una continuación devastadora y adoptar una postura acorde”.
La Agencia de Seguridad Cibernética y de Infraestructura de EE. UU. (CISA) emitió un aviso este año sobre grupos iraníes que apuntan a la tecnología del sector hídrico estadounidense.
La violación es una indicación de que la amenaza cibernética de Irán a la infraestructura hídrica estadounidense ya no es teórica.
Cal Water no ha reconocido públicamente la infracción, pero los clientes afectados ahora enfrentan un mayor riesgo de phishing porque sus nombres, direcciones, números de teléfono y detalles de cuentas están disponibles públicamente.
A través de problemas de seguridad
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
