La autoridad nacional de gestión del agua de Rumania, Romanian Waters (Administrația Națională Apele Române), confirmó haber sido víctima de un ataque de ransomware durante el fin de semana del 20 de diciembre de 2025.
Según la Dirección Nacional de Ciberseguridad (DNSC), el incidente afectó aproximadamente 1,000 sistemas informáticos en la organización central y en 10 de sus 11 oficinas regionales.
Impacto en Sistemas de TI y OT
El ataque de ransomware interrumpió una variedad de activos de TI, incluyendo servidores del Sistema de Información Geográfica (GIS), bases de datos, servicios de correo electrónico y web, estaciones de trabajo con Windows y servidores de nombres de dominio (DNS).
Las autoridades rumanas destacaron que, si bien los sistemas de TI fueron comprometidos, los sistemas de tecnología operativa (OT) que gestionan la infraestructura hídrica no se vieron afectados. Las operaciones críticas de agua continúan funcionando con normalidad, asegurando el suministro.
Detalles del Ataque y Respuesta
El DNSC fue notificado del incidente el 20 de diciembre. Equipos técnicos del DNSC, Romanian Waters, el Centro Nacional Cyberint del SRI y otras autoridades están investigando activamente el incidente y trabajando para contener su impacto.
Expertos del gobierno confirmaron que los actores de la amenaza utilizaron Windows BitLocker para cifrar los sistemas comprometidos y dejaron una nota de rescate. El vector de ataque inicial aún no ha sido identificado.
Recomendaciones y Contexto de la Amenaza
El DNSC recomendó encarecidamente no contactar ni negociar con los ciberdelincuentes para evitar alentar y financiar el cibercrimen.
El incidente ocurre semanas después de que CISA, junto con el FBI, la NSA y Europol, emitieran una advertencia sobre grupos hacktivistas pro-rusos, como Z-Pentest, Sector16, NoName y el Cyber Army of Russia Reborn, que están atacando activamente organizaciones de infraestructura crítica en todo el mundo.
Conclusiones
Aunque la infraestructura crítica de agua de Rumania logró mitigar el impacto operativo del ataque, el incidente subraya la vulnerabilidad de las redes de tecnología de la información de las infraestructuras críticas ante amenazas de ransomware. La rápida respuesta de las autoridades y la contención del ataque en los sistemas de OT fueron cruciales para evitar interrupciones en los servicios esenciales.
Referencias
- DNSC press release (mencionado en el texto)
- CISA/FBI/NSA/Europol warning sobre grupos pro-rusos (mencionado en el texto)