La empresa británica de suministro de agua Southern Water ha revelado que el ataque cibernético que sufrió en febrero de 2024 le costó aproximadamente 5.2 millones de euros en gastos.
El ataque a una infraestructura crítica
Southern Water es una compañía privada que opera en el sur de Inglaterra, proporcionando servicios de agua a 2.7 millones de clientes y servicios de aguas residuales a más de 4.7 millones de personas en Kent (Sussex) Hampshire y la Isla de Wight.
Cada día, la empresa suministra 570 millones de litros de agua a través de una red de 13,973 km y gestiona 1,522 millones de litros de aguas residuales a través de un sistema de alcantarillado de 40,058 km.
Hace aproximadamente un año, Southern Water anunció que había sufrido una brecha de seguridad aunque aseguró que no afectó sus operaciones, sistemas financieros ni plataformas de atención al cliente.
El ataque fue atribuido al grupo de ransomware Black Basta, conocido por no dudar en atacar infraestructuras críticas.
Costos millonarios del ciberataque
Según el informe financiero de la empresa, el costo total del ataque de Black Basta asciende a 5,200,000 € (página 98 del documento, reportado por DataBreaches.net).
“En febrero de 2024 anunciamos que datos de una parte limitada de nuestros servidores fueron robados a través de una intrusión ilegal en nuestros sistemas de TI.”
“Contratamos expertos en ciberseguridad y asesores legales, además de contactar a cualquier persona cuya información personal pudiera estar en riesgo.”
“Hemos incurrido en 5.2 millones de euros en costos para responder a este incidente excepcional durante el año.”
Para poner esto en perspectiva, este gasto equivale al presupuesto que Southern Water destinó el año pasado a operaciones de gestión de contaminación; sin contar el daño reputacional, honorarios legales y posibles sanciones regulatorias que suelen acompañar a incidentes de ciberseguridad.
**¿Pagaron el rescate?
Southern Water afirma que contrató expertos en ciberseguridad para monitorear constantemente la dark web en busca de filtraciones de datos relacionados con la empresa o sus clientes. Hasta la fecha, no se han identificado filtraciones.
Sin embargo, un análisis de los chats internos filtrados del grupo Black Basta reveló que la empresa habría ofrecido pagar 870.000 € el 12 de febrero de 2024.
Inicialmente, los atacantes exigieron un rescate de 3.200.000 € pero a finales de febrero de 2024, el nombre de Southern Water desapareció del sitio de extorsión de Black Basta, lo que sugiere que ambas partes podrían haber llegado a un acuerdo.
Cuando el medio The Register preguntó si la compañía pagó el rescate, un portavoz de Southern Water se limitó a repetir declaraciones anteriores sin aclarar la situación.