Un reciente estudio de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) francesa expone los riesgos a los que se enfrentan las empresas y las autoridades locales. Desde 2021, la ANSSI ha examinado al menos 31 situaciones comprometidas que afectan a actores del sector del agua en Francia, advirtiendo de vulnerabilidades claras en los servicios de agua y aguas residuales.
Aunque ya se han hecho algunos esfuerzos, las organizaciones todavía necesitan intensificar su posición defensiva, como corresponde a la naturaleza crítica de su actividad.
Hacer frente a los ciberataques
Como todos los demás sectores industriales, el del agua se ve afectado por ciberataques oportunistas. Pero también es blanco directo de ciberataques deliberados, a menudo perpetrados por agentes estatales o grupos organizados cuyo objetivo es desestabilizar un país o una economía. Al fin y al cabo, el agua es un recurso vital y crítico. Por ello, un ataque exitoso puede tener graves consecuencias si, por ejemplo, provoca cortes en el suministro o la contaminación del agua potable.
Este sector está especialmente expuesto a los ciberataques, no solo por la naturaleza distribuida de la red, sino también por la obsolescencia de ciertos sistemas y la falta de inversión en ciberseguridad. Estas infraestructuras utilizan a veces sistemas operativos arcaicos y sistemas industriales diseñados hace veinte o treinta años. Los componentes y la arquitectura anticuados de los sistemas son a menudo sinónimo de numerosas vulnerabilidades. Además, la creciente conversión de las infraestructuras a la tecnología digital, con la integración de objetos conectados e incluso el IIoT (Industrial Internet of Things), amplía los vectores potenciales de ataque, lo que hace que estas instalaciones sean aún más vulnerables a las ciberamenazas.
Otra debilidad afecta especialmente a las pequeñas y medianas autoridades locales, que carecen de recursos para entender cómo implementar la ciberseguridad de sus sistemas, y algunas de las cuales se encuentran sin un punto de contacto en esta área y sin respuesta a las ciberamenazas.
Confíe en guías y recomendaciones para hacer frente a las ciberamenazas
Por esta razón, las autoridades públicas están endureciendo gradualmente los requisitos de ciberseguridad para las infraestructuras críticas, incluidas las del sector del agua. Se espera que la directiva europea NIS2, que acaba de ser adoptada por el Senado francés y está ahora en manos de su Asamblea Nacional, obligue a las organizaciones del sector del agua a poner en marcha medidas reforzadas de gobernanza, defensa, protección y resiliencia frente a las ciberamenazas. Aunque la directriz pretende proteger mejor los servicios esenciales frente a los ciberataques, su aplicación práctica seguirá requiriendo la adopción de varios decretos por parte del Conseil d'État.
Teniendo esto en cuenta, más allá de la necesidad de cumplimiento, ya es posible aplicar ciertos enfoques para protegerse contra las ciberamenazas. Los agentes del sector del agua pueden seguir las recomendaciones de Astee (asociación líder en el sector del agua en Francia), que ha publicado recientemente una guía dirigida a las pequeñas y medianas autoridades locales para mejorar su nivel de seguridad. También pueden seguir las indicaciones de ANSSI, como la defensa en profundidad. Este enfoque se basa en una serie de principios clave, entre ellos la segmentación de la red, en virtud de la cual se particionan los distintos sistemas para limitar la propagación de un ataque aislando los subsistemas. Se trata de separar las redes informáticas de las redes OT, que incluyen los sistemas operativos que controlan los equipos. Pero la segmentación también puede ser interna, dentro de las propias infraestructuras operativas.
Además, mediante la instalación de cortafuegos reforzados -enfocados al mundo industrial- y sistemas de detección de anomalías, las organizaciones obtienen la capacidad de detectar cualquier intento de manipular los protocolos de red o los comandos de los PLC. Esta mayor vigilancia garantiza la integridad de los procesos y anticipa cualquier amenaza potencial. La industria debe adoptar progresivamente soluciones más seguras, integrando al mismo tiempo los principios de ciberseguridad en cada etapa de las operaciones. Esto implica un esfuerzo continuo de modernización de las infraestructuras y de actualización periódica de los sistemas.
Además, los operadores y gestores de infraestructuras requieren formación en buenas prácticas de ciberseguridad para poder responder eficazmente en caso de incidente. La sensibilización es esencial para desarrollar una cultura de la seguridad e intensificar la resistencia frente a los ataques.
Frente a ciberamenazas cada vez más sofisticadas, la seguridad de las infraestructuras del sector del agua constituye un reto estratégico de primer orden. La modernización de los sistemas, la segmentación de las redes, el despliegue de soluciones avanzadas de vigilancia y la formación continua de los vigilantes de seguridad son esenciales para afianzar la seguridad”.
