Contenido
Desde principios del año pasado, los proveedores de agua potable de Gran Bretaña han sido objetivo de hackers en cinco ciberataques registrados. Estos incidentes fueron reportados a la Drinking Water Inspectorate (DWI) y parcialmente revelados a Recorded Future News mediante solicitudes de libertad de información. Aunque ninguno de estos ataques comprometió el suministro real de agua potable segura, sí afectaron a las organizaciones que gestionan los sistemas de agua. Este aumento en la actividad cibernética, el más alto en cualquier período de dos años, subraya las advertencias de la inteligencia británica sobre la creciente amenaza que representan los actores cibernéticos maliciosos para la infraestructura crítica de la nación.\n\nEntre enero de 2024 y octubre de 2025, la DWI recibió 15 informes de proveedores de agua bajo el Reglamento de Redes y Sistemas de Información (NIS), parte del marco legal que supervisa la seguridad del agua en el Reino Unido. Cinco de estos informes se referían a incidentes de ciberseguridad relacionados con sistemas fuera del estricto alcance del NIS, mientras que los casos restantes fueron problemas operativos no vinculados a ciberataques. Debido a las reglas actuales del NIS, solo deben reportarse los incidentes cibernéticos que causen una interrupción directa en los servicios esenciales. Esto significa que si los proveedores fueron hackeados de maneras como la campaña de preposicionamiento Volt Typhoon, no estarían legalmente obligados a divulgarlo. La DWI aclaró que los cinco informes de ciberseguridad se compartieron voluntariamente porque representaban riesgos potenciales para la resiliencia del suministro de agua.\n\nLas autoridades del Reino Unido esperan enmendar estos requisitos de reporte mediante el próximo Proyecto de Ley de Ciberseguridad y Resiliencia, que busca fortalecer las defensas cibernéticas y mejorar la transparencia. Un portavoz del gobierno enfatizó que el proyecto de ley, que se presentará al Parlamento a finales de este año, está diseñado para proteger los servicios públicos vitales de amenazas cibernéticas cada vez más sofisticadas e implacables.\n\nLos expertos en ciberseguridad ven el reporte voluntario como una señal positiva. Don Smith, vicepresidente de investigación de amenazas en Sophos, señaló que los proveedores de infraestructura crítica enfrentan ataques diarios de grupos criminales, por lo que los incidentes son inevitables a pesar de los esfuerzos de cumplimiento. Compartir informes más allá de lo que exigen las regulaciones ayuda a todos los operadores a comprender mejor tanto las amenazas cibernéticas comunes como las avanzadas, fomentando una cultura de intercambio de información que amplía la conciencia general.\n\nAunque han ocurrido ataques de ransomware contra sistemas informáticos de empresas de agua, como en South Staffs Water en el Reino Unido y Aigües de Mataró en España, las interrupciones en el suministro real de agua siguen siendo raras. Una excepción notable ocurrió en diciembre de 2023 cuando un grupo de hackers proiraní causó varios días sin agua en una zona remota de Irlanda al atacar equipos de tecnología operativa (OT). El gobierno de EE. UU. había emitido advertencias sobre vulnerabilidades en los controladores lógicos programables (PLC) Unitronics, ampliamente usados en la infraestructura del sector hídrico, que son una preocupación clave para los defensores de la infraestructura crítica.\n\nLos esfuerzos para mejorar la seguridad de los sistemas de agua en EE. UU. han enfrentado retrocesos, especialmente cuando grupos de la industria del agua trabajaron con legisladores republicanos para bloquear iniciativas federales a pesar del aumento de ataques de ransomware y patrocinados por estados. Mientras tanto, las autoridades canadienses reportaron recientemente que hacktivistas manipularon la presión del agua en una empresa local en medio de una serie de intrusiones en sistemas de control industrial.\n\nEn el Reino Unido, el Centro Nacional de Ciberseguridad aconseja a los proveedores de agua mantener sus sistemas informáticos y de tecnología operativa debidamente segmentados para limitar el impacto de las intrusiones cibernéticas. La agencia también publicó un Marco de Evaluaciones Cibernéticas en agosto para ayudar a las organizaciones a mejorar la resiliencia. Smith recomienda priorizar las defensas contra amenazas cibernéticas cotidianas y comunes en lugar de enfocarse excesivamente en ataques raros y exóticos. Advierte que el mayor riesgo podría provenir de ransomware que derribe infraestructura crítica simplemente porque no se aseguraron adecuadamente los aspectos básicos, más que de adversarios altamente sofisticados.
