Cal Water cierra su investigación sin evidencia de compromiso OT

California Water Service (Cal Water), una de las principales compañías de distribución de agua del estado californiano, ha dado por concluida la fase de investigación de un incidente de seguridad en el que el grupo hacktivista iraní Handala aseguró haber accedido a sus sistemas con capacidad para alterar el suministro de agua a la población.

Tras contratar los servicios de respuesta a incidentes de Mandiant, la utilidad confirma que no existe ninguna prueba que acredite que los atacantes llegaron a penetrar o manipular la red de tecnología operacional (OT), es decir, los sistemas de control industrial que gestionan físicamente el tratamiento y distribución del agua.

Handala: hacktivismo iraní con historial de exageración

Handala es un grupo de amenaza vinculado a Irán que en el pasado ha combinado intrusiones reales con campañas de desinformación para amplificar su impacto percibido. Su táctica habitual consiste en publicar capturas de pantalla o documentos robados para respaldar afirmaciones que, en la práctica, no siempre se corresponden con el nivel de acceso real obtenido. En este caso, el grupo sostuvo que había comprometido infraestructura crítica con posibilidad de causar daño físico, una afirmación de alto impacto mediático que la investigación forense ha desmentido.

Qué sabemos del incidente

Aunque los detalles técnicos del vector de entrada no han sido divulgados públicamente, la participación de Mandiant apunta a que Cal Water tomó la amenaza con la seriedad que merece cualquier intrusión en infraestructura crítica. La investigación se centró especialmente en verificar si existía movimiento lateral desde la red IT corporativa hacia entornos OT, el escenario de mayor riesgo en ataques a utilities del sector agua.

El resultado es que los sistemas de control industrial permanecieron aislados e intactos durante todo el incidente, lo que sugiere que los controles de segmentación de red existentes funcionaron como barrera efectiva.

Contexto: el sector del agua, objetivo frecuente

Los operadores de infraestructuras hídricas llevan años en el punto de mira de actores estatales y hacktivistas. Incidentes previos en instalaciones de tratamiento de agua en Florida (2021) o el compromiso de sistemas SCADA en municipios de Israel han demostrado que la superficie de ataque real existe. Precisamente por eso, la confirmación de que Cal Water no sufrió impacto OT es relevante, aunque no elimina la necesidad de revisar continuamente la postura de seguridad del sector.


¿Estás cubierto en DefensOps?

Aunque este incidente no tiene técnicas MITRE ATT&CK for ICS específicamente publicadas, los ataques de este tipo —intrusión en IT corporativa seguida de intento de movimiento lateral hacia OT— están cubiertos de forma genérica en DefensOps mediante el motor de correlación disponible desde el plan Essential.

El motor de correlación de DefensOps permite detectar patrones de comportamiento anómalo en la red, incluyendo intentos de acceso entre segmentos IT/OT y actividad lateral sospechosa, incluso cuando el actor emplea técnicas no catalogadas previamente.

¿Quieres saber si tu organización estaría preparada para un escenario similar?
👉 Consulta nuestros planes y solicita una demo en DefensOps


Fuente: SecurityWeek – Cal Water Finds No Evidence of OT Activity After Hackers Claimed They Could Disrupt Water Supply