Reino Unido: Multan a proveedor de agua con $1.3M tras ciberataque que expuso datos de clientes
La **Oficina del Comisionado de Información (ICO)** del Reino Unido ha impuesto una multa significativa a **South Staffordshire Water Plc** y a su empresa matriz, **South Staffordshire Plc**, tras un ciberataque en 2022. El ataque resultó en la exposición de datos personales de más de 663,000 clientes y empleados, evidenciando fallos críticos en las prácticas de seguridad de datos de la compañía.
### El incidente y su impacto
**South Staffordshire Water**, que suministra agua potable a 1.6 millones de consumidores diariamente, informó de un ciberataque en 2022 que interrumpió sus operaciones de TI. Aunque inicialmente restó importancia a las afirmaciones del grupo de ransomware **Cl0p** (quienes inicialmente identificaron erróneamente a su víctima), la investigación de la ICO confirmó la autenticidad de los datos filtrados, rastreando el compromiso inicial hasta septiembre de 2020.
El anuncio de la ICO declaró: "Hemos multado a South Staffordshire Plc y South Staffordshire Water Plc (conjuntamente South Staffordshire) con £963,900 tras un grave ciberataque que resultó en la extracción y publicación de información personal de 633,887 personas en la dark web."
Según la ICO, los atacantes obtuvieron acceso a través de un ataque de phishing, instalando malware que permaneció indetectado durante 20 meses. Entre mayo y julio de 2022, escalaron privilegios y obtuvieron acceso de administrador de dominio. El incidente solo se descubrió en julio de 2022 debido a problemas de rendimiento de TI.
Los datos comprometidos incluían nombres completos, direcciones, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, credenciales de cuentas de clientes, detalles de cuentas bancarias y datos de recursos humanos de empleados, incluidos números del National Insurance.
### Fallos de seguridad identificados
La ICO identificó varios fallos críticos de seguridad que contribuyeron a la exposición de datos:
* Controles insuficientes para prevenir la escalada de privilegios
* Monitoreo que cubría solo aproximadamente el 5% del entorno de TI
* Uso de software obsoleto, como **Windows Server 2003**
* Mala gestión de vulnerabilidades y parches de seguridad faltantes
* Falta de escaneos de seguridad internos y externos regulares
Estos fallos constituyeron una clara violación de las regulaciones de protección de datos del Reino Unido, lo que llevó a la sustancial multa. La multa inicial se redujo en un 40% debido a que **South Staffordshire** admitió su responsabilidad, cooperó con la investigación y acordó resolver sin apelación.
