.

Fecha:
3.10.2025 
Autor:
Equipo de Inventia

Hace solo unos años, las amenazas cibernéticas para el sector del agua y el alcantarillado parecían lejanas y teóricas. Hoy en día son una cruda realidad. Las noticias sobre otro ataque a una planta de tratamiento de agua en Polonia demuestran que la infraestructura responsable de los servicios básicos para los ciudadanos se ha convertido en el centro de atención de los ciberdelincuentes.

Algunos de los ciberataques han sido confirmados por el equipo CERT Polska, que opera dentro de las estructuras del NASK, el Instituto Nacional de Investigación. Encontrará más detalles en el artículo publicado en la página web:

Recomendaciones para reforzar la protección de los sistemas OT | CERT Polska

Descubra:

• La creciente ola de ciberataques contra infraestructuras críticas

• NIS2: la base de un nuevo enfoque de la seguridad

• ¿Por qué el sector del agua y el saneamiento es tan vulnerable?

• Descubra qué diferencia a las tecnologías operativas (OT) de las tecnologías de la información.

• Ejemplos de aplicaciones de OT: desde fábricas hasta redes desarrolladas

El problema no afecta solo a Polonia. En Estados Unidos, causó gran revuelo el supuesto ataque al sistema de control de las tuberías de agua en Florida, donde, según los informes, los hackers intentaron aumentar el nivel de sustancias nocivas en el agua. Aunque la información al respecto sigue siendo ambigua, vale la pena prestar atención al problema en sí y sacar conclusiones. También en Europa se han registrado casos de intentos de interferencia en los sistemas de gestión de la energía o el agua. La tendencia es clara: los ataques se dirigen cada vez más a las infraestructuras críticas, ya que atacarlas tiene el mayor efecto desestabilizador.

Las redes de abastecimiento de agua son sistemas dispersos por naturaleza y basados en numerosos dispositivos telemétricos. A menudo conectan múltiples estaciones , estaciones de bombeo, sensores y sistemas de control. Cada uno de estos elementos se convierte en un punto de entrada potencial para un atacante. Si los ciberdelincuentes consiguen acceder a un sistema de este tipo, no solo pueden interrumpir el suministro de agua, sino también intentar manipular su calidad, lo que supone una amenaza directa para la salud y la vida de las personas.

La Unión Europea ha respondido a las crecientes amenazas con la adopción de la Directiva NIS2, que entró en vigor en octubre de 2024. Las nuevas normas amplían considerablemente la lista de sectores y entidades obligados a garantizar un alto nivel de ciberseguridad.
Entre ellos se incluyen:

• la energía,
• el transporte,
• la salud,
• la administración pública
• y, precisamente, el sector del agua y el alcantarillado.

¿Qué significa esto en la práctica? La Directiva impone a los operadores de servicios de agua y alcantarillado ( ) y a los operadores de redes de transporte de energía ( ) la obligación de implementar una serie de mecanismos:

• supervisar y notificar los incidentes a las autoridades nacionales y al CERT,
• gestión de riesgos mediante auditorías periódicas y análisis de vulnerabilidad
• implementación del cifrado de las comunicaciones entre los dispositivos y los sistemas superiores,
• resiliencia operativa, es decir, la capacidad de mantener el funcionamiento de los sistemas incluso en caso de ataque.

La NIS2 también modifica la responsabilidad de los directivos. La dirección de las empresas e instituciones debe ser consciente de su responsabilidad en la implementación de medidas de seguridad. Esto impone una nueva cultura de gestión de TI y OT.

TI (Tecnología de la Información): todos los sistemas informáticos y redes utilizados para el procesamiento de datos: ordenadores, servidores, software ofimático, correo electrónico, bases de datos, sistemas ERP. En resumen, el mundo de la información digital en la empresa.

OT (Operational Technology): tecnología operativa, sistemas y dispositivos que controlan procesos físicos: controladores PLC, SCADA, sensores, líneas de producción, dispositivos industriales, plantas de tratamiento de agua o redes eléctricas. En resumen, el mundo de las máquinas y la automatización industrial.

Los sistemas de abastecimiento de agua se basan en gran medida en dispositivos y software creados hace muchos años, que no fueron diseñados teniendo en cuenta las ciberamenazas actuales. En muchas instalaciones se siguen utilizando protocolos de comunicación no seguros y las actualizaciones se implementan con poca frecuencia, principalmente por temor a interrupciones en el funcionamiento. Como resultado, las cuestiones relacionadas con la seguridad suelen quedar en un segundo plano frente a las tareas diarias de los equipos técnicos.

En la práctica, esto significa que un posible atacante no necesita tener conocimientos avanzados, basta con aprovechar contraseñas débiles, la falta de cifrado de las transmisiones o el software vulnerable a las intrusiones. Por esta razón, el sector del agua y el alcantarillado requiere hoy en día una atención especial y apoyo en lo que respecta a la modernización de los sistemas OT y la mejora del nivel de ciberseguridad.

Las características más importantes de los sistemas OT:

• se utilizan para controlar máquinas y procesos físicos (por ejemplo, en fábricas, energía, transporte, abastecimiento de agua),
• incluyen tanto dispositivos (sensores, controladores PLC, robots, SCADA, DCS) como software que gestiona su funcionamiento,
• su prioridad es la continuidad y la seguridad del proceso, más que la confidencialidad de los datos (a diferencia de los sistemas informáticos clásicos),
• cada vez más a menudo están conectados con sistemas informáticos (por ejemplo, con la nube o ERP), lo que aumenta la eficiencia, pero también los expone a ciberamenazas.

Ejemplos de aplicaciones OT:

• sistemas SCADA en redes de abastecimiento de agua y alcantarillado,
• automatización industrial en plantas de producción, tecnología
• control de redes eléctricas (Smart Grid),
• gestión del tráfico ferroviario o aéreo,
• robótica en logística y almacenes.

Los ataques a infraestructuras críticas no son cosa del futuro, sino del presente. El sector del agua y el alcantarillado, debido a su importancia social, se ha convertido en un objetivo natural para los ciberdelincuentes. La Directiva NIS2 obliga a las entidades a tomar medidas reales en materia de ciberseguridad. Para muchas entidades, esto significa la necesidad de invertir en soluciones modernas y cambiar el enfoque de la gestión de la infraestructura de TI y OT.

El reto es enorme, pero lo que está en juego es la seguridad de los ciudadanos y la economía (la continuidad del suministro de agua). La implementación responsable de las nuevas normas y el uso de tecnologías probadas es la única manera de cumplir eficazmente con los requisitos que plantea la realidad digital.