Los ciberataques dirigidos contra las infraestructuras conectadas de almacenamiento, distribución y tratamiento del agua van en aumento, causando importantes daños a los municipios, con consecuencias a veces dramáticas. Porque el agua es un recurso vital que hay que proteger. Segundo artículo de una serie sobre cuestiones de ciberseguridad en ciudades conectadas e inteligentes.
Un ciberdelincuente intenta borrar los programas informáticos utilizados para purificar el agua potable y amenaza con envenenar a los habitantes de las ciudades vecinas. No se trata del peor escenario de una novela futurista, sino de lo que le ocurrió a una instalación de tratamiento de aguas de la bahía de San Francisco en enero de 2021, según informó NBC News. Un mes después, otro ciberataque tuvo como objetivo el sistema de suministro de agua de una pequeña ciudad de Florida. Con el crecimiento de la población y el aumento de las temperaturas debido al calentamiento global, la cuestión de la gestión del agua se ha convertido en un problema para la civilización, ya sea en términos de tratamiento de aguas residuales, almacenamiento de agua limpia o su distribución. Con la interconexión de estas infraestructuras, estas redes y equipos se han convertido en objetivos prioritarios para los ciberdelincuentes.
Ciberriesgos asociados a la gestión del agua
Gestión de la temperatura y la presión; optimización de la calidad del agua mediante el control en tiempo real de los distintos componentes químicos; detección de fugas y mantenimiento predictivo; mejora de la sostenibilidad y la rentabilidad de los servicios de gestión; contadores inteligentes: las aplicaciones conectadas para la gestión del agua son numerosas y mejoran la seguridad sanitaria. Pero, ¿es esto a costa de la seguridad digital? La mayoría de estas aplicaciones se basan en una configuración que ha crecido, sobre todo desde la pandemia de COVID-19: el mantenimiento remoto. Un avance en términos de gestión de los servicios públicos, pero que aumenta la superficie de ataque y constituye una amenaza en términos de ciberseguridad.
En los últimos años, la gestión remota ha provocado un aumento de las intrusiones y ataques a los sistemas conectados. Hay que decir que los puntos vulnerables de las interfaces de mantenimiento remoto son numerosos. Dependen tanto de la superficie de interconexión de la infraestructura como de la robustez de las tecnologías elegidas. Estas características son dispares según las ciudades, tal y como señala un estudio del laboratorio de ciberseguridad de la Universidad de Berkeley.
Hay muchos actores en el sector del agua, repartidos en un largo ciclo, desde el tratamiento de aguas residuales y la red de aguas pluviales hasta la red de agua potable y los lugares donde se consume o utiliza el agua. En cuanto a la tecnología, los sistemas industriales de gestión del agua cuentan con diversos equipos operativos, como sistemas de control de procesos industriales (ICS, Industrial Control System), interfaces hombre-máquina (HMI), controladores lógicos programables industriales (PLC) y plataformas en la nube. Sin embargo, todas estas tecnologías están envejeciendo, a menudo son dispares y crean una superficie de ataque vasta y compleja.
Además, existen verdaderas diferencias de madurez entre las entidades de este sector del agua, donde las torres de agua excepcionalmente tienen un buen comportamiento. Sus redes OT están distribuidas por todo el país, pero deben permanecer conectadas. Para los demás actores del ciclo del agua, es frecuente observar una falta de segmentación en las redes industriales, todavía diseñadas en una arquitectura «plana» y vulnerables a la propagación de malware. Los sistemas operativos de las distintas estaciones de trabajo de supervisión y programación pueden ser otro punto de entrada para los ciberdelincuentes, a menudo señalados por la falta de actualizaciones periódicas.
Más allá de los daños relacionados con la salud de los habitantes, un ciberataque exitoso contra el sistema de gestión del agua también podría provocar un desastre medioambiental. Si un ciberdelincuente consigue infiltrarse en los sistemas de gestión, podría, por ejemplo, interferir en las válvulas y cambiar la composición del agua. Otra consecuencia temida en el sector del agua es la interrupción del servicio, esencial para la vida cotidiana. Consecuencias potenciales: una serie de situaciones de emergencia, especialmente en hospitales, fábricas y otros servicios críticos, donde el agua es esencial.
Anatomía de los ciberataques contra las infraestructuras del agua
En los últimos años, los métodos utilizados por los ciberdelincuentes para atacar las infraestructuras de gestión del agua se han caracterizado por su diversidad. El primero es la técnica denominada man-in-the-middle, que consiste en interrumpir, falsificar o corromper las comunicaciones entre interfaces conectadas, como las situadas en una válvula de agua inteligente o las presentes en los centros de tratamiento de aguas. Es posible imaginar un desvío de los flujos de aguas residuales si se compromete un PLC, lo que provocaría un fenómeno de contaminación por su vertido masivo en la cuenca de agua limpia. Y este tipo de escenario ya no es hipotético, sino una realidad. Como prueba, los últimos años se han visto empañados por incidentes cuyas consecuencias podrían haber sido dramáticas.
En 2020, Israel, un país ya en situación de estrés hídrico debido a su geografía, se enfrentó a 3 grandes ciberataques. En abril de este año, ciberdelincuentes sospechosos de estar afiliados al régimen iraní lanzaron ataques contra varias estaciones de bombeo e instalaciones de tratamiento de aguas residuales, intentando aumentar el nivel de cloro en algunos de los sistemas de suministro de agua que abastecen a parte de la población israelí. Unos meses más tarde, en junio, la situación empeoró cuando ataques similares tuvieron como objetivo bombas de agua dedicadas a la agricultura en la región de Galilea, así como un sistema de suministro de agua en la provincia de Mateh Yehuda. Un escenario que se repitió en diciembre con un nuevo ciberataque contra instalaciones de tratamiento de aguas.
Evidentemente, Europa no se libra de esta ciberguerra del agua. En Francia, en 2023, el Servicio Público de Saneamiento de Île-de-France, que gestiona el suministro de agua para 9 millones de habitantes de la metrópolis del Gran París, declaró haber sido víctima de un ciberataque “extenso y virulento” destinado a controlar sus redes y plantas. Ese mismo año, una empresa italiana que suministra agua potable a cerca de medio millón de personas se enfrentó a una interrupción del servicio debido a un ataque de ransomware. Y, con sólo unos meses de diferencia, un ataque similar perturbó el funcionamiento de una infraestructura de gestión del agua en Portugal. El grupo cibercriminal LockBit reivindicó la autoría del ataque.
En Estados Unidos, la amenaza a los servicios de agua es tan grave que varias agencias gubernamentales, entre ellas el FBI y la NSA, están investigando cinco de los mayores ataques perpetrados hasta la fecha contra infraestructuras estadounidenses. En 2023, un grupo de ciberdelincuentes iraníes que operaban bajo el nombre de «CyberAv3ngers» atacaron PLC fabricados por la empresa israelí Unitronics Vision Series, utilizando una brecha de seguridad relacionada con contraseñas. En total, se vieron afectadas más de una docena de infraestructuras de gestión del agua, según informó un sitio especializado.
¿Qué medidas de protección deben adoptar las ciudades inteligentes?
A la vista de estas observaciones, una primera respuesta ha sido introducir normativas más estrictas. A escala europea, la Directiva NIS2 amplía el ámbito de aplicación de las infraestructuras críticas a los sectores de abastecimiento de agua. Este nuevo texto se aplicará tanto a las autoridades locales como a las empresas para reforzar y coordinar los esfuerzos de gestión de los ciberataques. Un endurecimiento legislativo muy necesario, dada la integración cada vez mayor de la tecnología en los entornos urbanos. Ya se trate del mantenimiento predictivo mediante sensores inteligentes en la red de agua para anticipar fugas o de la gestión remota de las infraestructuras hídricas, la ciudad inteligente debe garantizar su ciberseguridad para dar soporte a estos nuevos usos y mejorar su postura de resiliencia.
Para las autoridades locales, las medidas de protección tienen que ver tanto con las buenas prácticas de higiene digital como con la aplicación práctica de soluciones de ciberseguridad adecuadas. Como en otros sectores sensibles, la cuestión de la accesibilidad a la información es fundamental y la implantación de sistemas de control para limitar el acceso a los datos críticos es un primer paso obvio. Dar acceso únicamente al personal autorizado, y suprimir este acceso una vez que la persona ha abandonado la empresa, no debe darse siempre por sentado en todas las empresas... Dado que los accesos son cada vez más remotos, los actores del sector del agua deben asegurarse de que estos flujos de comunicación estén debidamente protegidos, es decir, cifrados y accesibles únicamente a los usuarios autenticados. Para lograrlo, las soluciones de cifrado de datos y los túneles VPN son valiosos aliados para garantizar unas comunicaciones seguras y de confianza.
Además de la protección de datos, tampoco hay que descuidar la protección de las estaciones de trabajo (en las que a menudo se instalan las herramientas de control) y los interfaces hombre-máquina remotos. Las soluciones de protección más sólidas y modernas pueden impedir la manipulación malintencionada a distancia o la contaminación por una simple llave USB.
Para las redes de TI y OT de las ciudades inteligentes, ya existen diferentes niveles de soluciones de ciberseguridad que garantizan su inmunidad a los ataques. La segmentación de la red es un primer nivel de seguridad, de rápida aplicación; separando las diferentes zonas de una red y filtrando las comunicaciones entre estas zonas, es posible limitar las interacciones y, por tanto, la propagación de un ciberataque. La segmentación se consigue con un router, integrado en un cortafuegos con las siguientes funciones de seguridad: protección en tiempo real (prevención y detección de intrusiones, control de aplicaciones, antivirus, etc.), control y supervisión (filtrado de URL, geolocalización IP, detección de vulnerabilidades, etc.), conectividad (gestión de enlaces WAN, gestión de túneles VPN, gestión del ancho de banda, etc.) o comunicaciones seguras (VPN IPsec, VPN SSL, etc.). En cuanto a estos cortafuegos y su versión física, hay que prestar mucha atención a su capacidad de integración y respuesta a las estrictas limitaciones del sector del agua (como la humedad, por ejemplo).
La necesidad de equipar y reforzar el arsenal de protección de las infraestructuras de gestión del agua en las ciudades inteligentes se mide, por tanto, por la gravedad de las consecuencias que podría acarrear un ciberataque exitoso. Y si ya son muchos los conflictos en el ciberespacio, la creciente escasez de agua como recurso plantea otra amenaza geopolítica igualmente real para los Estados. Más que nunca, el agua y su protección se están convirtiendo en una cuestión política.
