Vea También
La digitalización representa, sin duda, un avance imprescindible en todos los sectores, el hídrico entre ellos. No obstante, los avances digitales también conllevan nuevas amenazas y, por tanto, una creciente preocupación por la ciberseguridad. Como evidencia de esto, la directiva NIS2 2022/2555 de la Unión Europea incluye tanto el ámbito de agua potable como el de aguas residuales y estipula diversas obligaciones respecto a la gestión de la ciberseguridad para el sector.
Esta preocupación no debe sorprendernos. El del agua es un sector estratégico, vital para la supervivencia humana, con una incidencia crítica en la salud pública, que se nutre de una multitud de datos y que involucra un elevado volumen de recursos económicos. Como consecuencia, es un ámbito que puede ser el objetivo de ciberataques de gran impacto en la sociedad. Las entidades afectadas, en España tanto del sector público como privado, deben, pues, protegerse y cumplir con el actual marco legislativo.
¿Cuáles son las vulnerabilidades a las que se suelen enfrentar las entidades del sector en España y cuál es su madurez en ciberseguridad para hacerlo con éxito? Para responder hemos analizado las bases de datos existentes sobre incidentes de ciberseguridad y realizado un estudio con entrevistas a diversos profesionales del sector.
Los puntos débiles
A medida que las empresas de agua se digitalizan, también experimentan una convergencia entre tecnologías de la información y tecnologías operativas en la que todos los dispositivos digitales deben organizarse y conectarse como un solo sistema. Según los profesionales entrevistados, a causa de esa mayor conectividad, la inaccesibilidad de algunas infraestructuras de tecnologías operativas, que había actuado en parte como barrera a los ciberataques, está dando paso a una exposición cada vez mayor.
Otra vulnerabilidad recurrente e identificada por todos los profesionales es la originada por el error humano, que actúa como facilitador de la entrada de ciberataques. Gracias al uso de la inteligencia artificial, en pleno auge, estos ataques son cada vez más sofisticados y difíciles de detectar, lo que incrementa el riesgo.
Leer más: Los retos jurídicos de la inteligencia artificial a través de seis casos reales
Las amenazas, los actores y los motivos
Las principales ciberamenazas que acechan al sector tienen como objetivo la disponibilidad, la integridad o la confidencialidad de los datos. Los objetivos de un ataque pueden ser diversos, desde la interrupción del suministro de agua hasta la alteración de su calidad, pasando por estafas de elevado importe y robos de datos masivos pertenecientes a los usuarios o a las entidades.
Los profesionales del sector del agua identifican las estafas y los ataques de ransomware (cifrado de datos y posterior chantaje para su recuperación) como los más frecuentes, y los que puedan afectar el suministro o la calidad del agua como los más temidos por sus efectos a nivel sanitario, ambiental y reputacional.
Detrás de los ciberataques ocurridos en España, y según el Centro Criptológico Nacional (CCN-CERT), puede haber individuos aislados, redes u organizaciones delictivas de tipo público o privado (simplificando mucho, podríamos hablar de “hackers o hacktivistas” maliciosos y “actores-Estado”). Sus motivaciones son esencialmente económicas o políticas.
Sin embargo, los datos indican que dichos ciberataques no suelen apuntar a infraestructuras hídricas: de acuerdo con el Repositorio Europeo de Incidentes Cibernéticos (EuRepoC), de los 965 casos denunciados entre 2000 y 2023 en Europa, solamente 18 están relacionados con el sector del agua. Pero el escenario podría cambiar: los profesionales coinciden en que las nuevas tecnologías han creado las condiciones para que la perpetración de un ataque grave que comprometa el suministro o la calidad del agua en España sea solamente cuestión de tiempo.
Leer más: ¿Nos protege la Unión Europea frente a los ciberataques contra infraestructuras críticas?
Cambios para las entidades del sector
Las entidades del sector del agua se enfrentarán a nuevos retos en los próximos años. La nueva directiva de seguridad NIS2, cuya transposición llega con retraso en España –la fecha límite era octubre de 2024 y, de momento, hay un proyecto de ley de finales de enero que aún se está debatiendo–, establece nuevos plazos de gestión y comunicación de los incidentes, así como un sistema de sanciones elevadas en caso de incumplimiento.
Para prevenir las nuevas amenazas de ciberseguridad, las auditorías externas periódicas serán imprescindibles, así como una concienciación de toda la plantilla en este ámbito, junto con una formación intensiva y frecuente adaptada a las necesidades de cada rol.
Laura Arantegui Arràez recibe fondos de INCIBE, ya que actualmente colabora con la Cátedra INCIBE de Digitalización y Ciberseguridad Hídrica.
Ignasi Rodriguez-Roda Layret y Steven Kemp no reciben salarios, ni ejercen labores de consultoría, ni poseen acciones, ni reciben financiación de ninguna compañía u organización que pueda obtener beneficio de este artículo, y han declarado carecer de vínculos relevantes más allá del puesto académico citado.