La digitalización del sector del agua avanza rápidamente, pero también aumentan los riesgos asociados a la ciberseguridad. Por ello, el Clúster Catalán del Agua, Catalan Water Partnership ha organizado un taller especializado diseñado para profesionales del ciclo urbano del agua que quieran conocer las mejores estrategias para proteger infraestructuras críticas y garantizar la seguridad operativa.
En esta jornada se mostraron los principios fundamentales de ciberseguridad aplicados al sector del agua, amenazas digitales y vulnerabilidades en infraestructuras críticas, estrategias y herramientas para prevenir y responder a ciberataques.
La jornada se dividió en dos bloques. El primero, de carácter más técnico y conceptual, que conto con la participación de Laura Arantegui, doctora en Criminología y técnica investigadora de la Cátedra INCIBE de Digitalización y Ciberseguridad Hídrica de la Universidad de Girona. Que explicó la directiva NIS2 ((UE) 2022/2555)
NIS 2 y su impacto en las empresas del ciclo del agua
La Directiva NIS 2 (Network and Information Security Directive) es la normativa europea que refuerza la ciberseguridad de los servicios esenciales y sustituye a la directiva NIS original de 2016. Entró en vigor en enero de 2023, y los Estados miembros tienen hasta octubre de 2024 para transponerla a sus legislaciones nacionales.
NIS 2 amplía el alcance de la normativa anterior e incluye a nuevos sectores críticos como: Gestión del agua potable y residual, Energía, sanidad, transporte, banca, infraestructuras digitales, administración pública… Por tanto, las empresas del ciclo integral del agua (captación, potabilización, distribución, saneamiento, depuración y reutilización) entran directamente en el ámbito de aplicación de esta normativa.
Las organizaciones afectadas deben:
- Evaluar riesgos y adoptar medidas técnicas y organizativas para mitigar ciberamenazas.
- Notificar incidentes relevantes de ciberseguridad en un plazo de 24 horas.
- Aplicar políticas de seguridad robustas, incluyendo: (Control de accesos, Gestión de vulnerabilidades, Continuidad de negocio y recuperación ante desastres)
Las infraestructuras del agua están cada vez más digitalizadas: Ssensores IoT, sistemas SCADA, plataformas de telegestión, ERPs, sistemas GIS, CDEs…Esto incrementa el riesgo de ataques cibernéticos que pueden afectar al suministro, contaminar el agua o incluso comprometer datos personales o medioambientales. Las empresas del agua son infraestructura crítica, y un ciberataque puede generar consecuencias graves a nivel: Sanitario, Medioambiental, Económico y Social.
Principales riesgos de ciberseguridad en el sector del agua
1. Sistemas SCADA e ICS vulnerables
Los sistemas de control industrial (ICS) y SCADA gestionan procesos clave: bombas, válvulas, estaciones de tratamiento, etc.
Estos sistemas, en muchos casos, no fueron diseñados para estar conectados a Internet, y su protección es limitada.
Un ataque a estos sistemas puede:
- Alterar parámetros de tratamiento (cloración, caudal, presión)
- Interrumpir el suministro de agua o provocar vertidos.
- Generar daños medioambientales o de salud pública
- Exposición de redes OT e IT
2. La convergencia entre las redes de operación (OT) y las de tecnologías de la información (IT) crea nuevas vulnerabilidades:
- Falta de segmentación de redes
- Dispositivos IoT mal configurados
- Accesos remotos inseguros
Los ciberatacantes pueden usar la red IT como punto de entrada para llegar a los sistemas OT y causar interrupciones.
3. Ataques a la cadena de suministro:
Cada vez más empresas del sector del agua dependen de software, sensores, plataformas cloud y servicios de terceros.
Un fallo o brecha de seguridad en un proveedor externo puede comprometer toda la operación, incluyendo:
-
Sistemas de facturación
-
Plataformas GIS
-
Sistemas de planificación y operación
-
Plataformas IoT para monitorización remota
4. Errores humanos y falta de información:
Esto convierte al personal en una de las principales puertas de entrada a los ataques.
- Contraseñas débiles, phishing, errores de configuración…
- Accesos mal gestionados por personal externo.
- Falta de concienciación sobre buenas prácticas.
5. Malware, ransomware y sabotaje:
- Los ataques con ransomware están en aumento y ya han afectado a operadoras de agua en EE. UU. y Europa.
- Este tipo de malware cifra los sistemas y exige un rescate para desbloquearlos.
- También puede haber casos de sabotaje o espionaje industrial, especialmente en infraestructuras estratégicas.
6. Interrupción de servicios esenciales
Un ciberataque puede tener consecuencias directas sobre:
- La salud pública (si se manipula la calidad del agua)
- La continuidad del servicio (si se detienen estaciones de bombeo o depuradoras)
- La confianza ciudadana e institucional
- Posibles sanciones por incumplimiento normativo
Cada vez más empresas del sector del agua dependen de software, sensores, plataformas cloud y servicios de terceros.
Un fallo o brecha de seguridad en un proveedor externo puede comprometer toda la operación, incluyendo:
- Sistemas de facturación
- Plataformas GIS
- Sistemas de planificación y operación
- Plataformas IoT para monitorización remota
- Un ciberataque puede tener consecuencias directas sobre:
Posibles 5 sanciones por incumplimiento normativo
- Aplicar un enfoque proactivo de ciberseguridad (seguridad por diseño)
- Implementar segmentación de redes y doble autenticación
- Adoptar protocolos de cifrado y monitorización continua
- Formar al personal y tener un plan de respuesta a incidentes
- Cumplir con NIS 2, ENS y otras normativas aplicables
La jornada sirvió para poner de relieve una temática que genera interés en el sector por los riesgos que comporta. Sin embargo, se destacó que, mediante la formación, la adquisición de conocimiento y la puesta en común de los retos y las soluciones, es posible hacerle frente y proteger adecuadamente las infraestructuras críticas.
Si no pudiste asistir ponte en contacto con nuestros asesores en ciberseguridad para el sector el agua que te informaran de la mejor alternativa para cada vulnerabilidad.
