La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado a South Staffordshire Water y a la empresa matriz South Staffordshire Plc con £963,900 (1,3 millones de dólares) tras un ciberataque que expuso los datos personales de más de 633.000 clientes y empleados.
Según la ICO, los atacantes accedieron por primera vez a los sistemas de la empresa en septiembre de 2020 mediante un correo electrónico de phishing que contenía un archivo adjunto malicioso. El malware permaneció indetectado dentro de la red durante aproximadamente 20 meses antes de que los atacantes escalaran sus privilegios y se adentraran más en los sistemas de la empresa entre mayo y julio de 2022.
La brecha solo se descubrió después de que problemas de rendimiento informático desencadenaran una investigación interna en julio de 2022. Días después, la empresa encontró una nota de rescate que los atacantes intentaron distribuir a los empleados.
Los investigadores confirmaron posteriormente que se habían publicado más de 4,1 terabytes de datos en la dark web. La información expuesta incluía nombres de clientes, direcciones físicas, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, nombres de usuario, contraseñas de servicios online, números de cuenta bancaria y códigos de ordenación. Los datos de los empleados también incluían registros de RRHH y números de la Seguridad Social.
La ICO indicó que el incidente reveló múltiples fallos de seguridad dentro de la infraestructura de la empresa. Estos incluían sistemas de monitorización inadecuados, controles de privilegios débiles, software obsoleto y malas prácticas de gestión de vulnerabilidades. En el momento del ataque, solo alrededor del 5% del entorno informático de la empresa estaba activamente monitorizado. Algunos sistemas seguían ejecutando Windows Server 2003, que había perdido soporte extendido años atrás.
Los reguladores también descubrieron que vulnerabilidades críticas seguían sin parchear, incluyendo la falla ZeroLogon que los atacantes explotaron posteriormente para obtener privilegios de administrador de dominio. La ICO indicó que la empresa no realizó escaneos regulares de vulnerabilidades internas o externas durante el periodo en que los atacantes permanecieron dentro de la red.
El ciberataque estuvo vinculado al grupo de ransomware Cl0p, aunque inicialmente la banda identificó públicamente a la víctima como Thames Water. South Staffordshire confirmó posteriormente que los sistemas operativos de suministro de agua no se vieron afectados y que los servicios de agua potable continuaron con normalidad durante el incidente.
La ICO planeó inicialmente una sanción económica mayor, pero redujo la cantidad en un 40% después de que South Staffordshire admitiera su responsabilidad desde temprano, cooperara con los investigadores y acordara no apelar la decisión.
El director ejecutivo interino de la ICO, Ian Hulme, criticó las capacidades de detección tardía de la empresa, afirmando que esperar a problemas de rendimiento o notas de rescate para identificar brechas era inaceptable.