El abordaje de la ciberseguridad en el sector del agua clausura la sala técnica de SSWS2024
La última jornada del Spain Smart Water Summit ha arrancado en la sala Terranova con una sesión de radiante actualidad y relevancia para el futuro del sector hídrico: "Ciberseguridad: ¿Están a salvo nuestras infraestructuras hídricas?". En un entorno cada vez más digitalizado, el debate sobre la protección de los sistemas de gestión del agua se ha convertido en una prioridad absoluta. Un panel de expertos del ámbito de la ciberseguridad se ha reunido en la sala técnica para explorar la creciente vulnerabilidad de las infraestructuras hídricas frente a ciberataques y ofrecer soluciones para mitigar sus efectos.
Spain Smart Water Summit no sería posible sin el apoyo del Ministerio para la Transición Ecológica y el Reto Demográfico e ICEX, y de los patrocinadores: Autodesk Water y Terranova como Gold Sponsor; ACCIONA, Xylem Water Solutions España, Minsait, Siemens, Hach, SDG Group, Aqualia, Hidroconta, Tedagua, EVIDEN, Netmore y Telefónica Tech como Silver Sponsor; y TFS Grupo Amper, Gestagua, Hidroglobal, Qatium, LACROIX, Esri, NTT Data, Adasa Sistemas, Global Omnium, Vodafone Business, ARUP y Molecor, como Bronze Sponsor.
Spain Smart Water Summit 2024: Utilities Digitalizadas, de la Inteligencia a la Eficiencia
La sesión ha comenzado con la intervención de Alfonso López-Escobar, Jefe de Seguridad de la Información en Emasesa, tratando un tema de máxima relevancia: la creciente amenaza de los ciberataques contra las infraestructuras hídricas. En su intervención, ha subrayado los graves riesgos que estos ataques representan tanto para la seguridad del agua como para la continuidad del servicio, un desafío cada vez más urgente en un mundo interconectado.
Durante su ponencia, Alfonso ha presentado varios casos recientes que evidencian la vulnerabilidad de los operadores de agua ante los ataques cibernéticos. Entre los ejemplos mencionados, ha destacado los incidentes de Oldsmar, en Florida, y Staffordshire, en Inglaterra. En ambos casos, los atacantes lograron penetrar en sistemas críticos, como los de control industrial SCADA, comprometiendo tanto la calidad del agua suministrada como la seguridad de los datos de los clientes. Estos sucesos, ha señalado, ponen de relieve las posibles consecuencias catastróficas que un ciberataque puede tener sobre la salud pública y la reputación de las empresas afectadas.
López-Escobar ha explicado que estos ataques suelen ser facilitados por vectores comunes como el phishing o la compra de credenciales en mercados ilegales. En este contexto, ha advertido que la falta de medidas de seguridad adecuadas expone a las infraestructuras hídricas a riesgos innecesarios y evitables.
López-Escobar ha explicado que estos ataques suelen ser facilitados por vectores comunes como el phishing o la compra de credenciales en mercados ilegales
Como respuesta, ha propuesto un conjunto de medidas clave para fortalecer la ciberseguridad en este sector crítico. Entre ellas, ha destacado la importancia de evitar que los sistemas industriales estén conectados directamente a internet, implementar la autenticación multifactor (2FA), cambiar las contraseñas predeterminadas y realizar copias de seguridad periódicas de los equipos más críticos. También ha subrayado la necesidad de segmentar las redes, una estrategia que permite limitar la exposición de los sistemas más vitales a redes menos confiables y, por tanto, más vulnerables.
Con estas prácticas, EMASESA busca blindar sus infraestructuras ante la creciente amenaza cibernética, asegurando que los servicios de agua continúen operando de manera segura y eficiente. La intervención de Alfonso López-Escobar ha sido un claro recordatorio de que la ciberseguridad es hoy en día una prioridad absoluta en la gestión de infraestructuras esenciales, y que la adopción de medidas preventivas puede marcar la diferencia entre un servicio resiliente y una crisis de consecuencias incalculables.
A continuación, Lydia González, Product Manager Digital Connectivity &-Value Sales Enablement for Process Industries - Water de Siemens, ha presentado una ponencia clave sobre los desafíos que enfrentan las infraestructuras hídricas en el ámbito de la ciberseguridad. Durante su intervención, ha destacado la creciente amenaza que representa la conectividad entre los sistemas operativos y de tecnología de la información (OT/IT) y su impacto en la gestión eficiente del agua.
La falta de personal cualificado, sumada a la creciente complejidad en la gestión de datos y redes abiertas, figura entre los principales retos que enfrentan las empresas del sector hídrico
González ha subrayado que la digitalización y la integración de sistemas industriales, como SCADA y otras plataformas de control de procesos, han incrementado la exposición a ciberamenazas. La falta de personal cualificado, sumada a la creciente complejidad en la gestión de datos y redes abiertas, figura entre los principales retos que enfrentan las empresas del sector hídrico.
Asimismo, ha recordado que la normativa NIS2 nos va a tocar de lleno en el sector del agua. Esta normativa trae bastantes cambios, sobre todo, orientados a la alta dirección, que habrá de responsabilizarse tanto de conocer sus riesgos como de solventarlos. Además, conlleva nuevos requisitos técnicos y metodológicos, así como la entrada de nuevas infraestructuras como, por ejemplo, las de agua residual.
Ante esta realidad, Siemens ha desarrollado una solución innovadora denominada "Secure Reference Architecture", la cual combina comunicación cifrada, gestión de activos y detección de anomalías para proteger los sistemas industriales frente a posibles ataques. Según González, este enfoque es crucial para reducir la vulnerabilidad de las infraestructuras críticas.
Con estas innovaciones, Siemens está contribuyendo a que las infraestructuras críticas, como las de agua, operen de manera segura y eficiente en un entorno digital cada vez más interconectado.
Continuando con la sesión, María del Prado Torrecilla, Product Manager de Conectividad Digital y Servicios Técnicos en LACROIX, ha profundizado en la ciberseguridad en el marco de la nueva normativa europea. Durante su presentación, Torrecilla ha puesto especial énfasis en dos regulaciones clave que están transformando la protección de las infraestructuras hídricas: la Directiva NIS2 y el Cyber Resilience Act (CRA).
En su intervención, María del Prado ha explicado con claridad que la Directiva NIS2, cuya transposición a la legislación española, se encuentra en proceso de implementación, y se espera para octubre. Esta directiva tiene como objetivo principal proteger los sistemas de información y redes de las empresas del sector del agua ante las ciberamenazas, que son cada vez más sofisticadas y complejas. Esta normativa, según ha detallado, exige a las organizaciones implementar una serie de políticas esenciales: análisis de riesgos, gestión de incidentes, continuidad de la actividad y la seguridad en la cadena de suministro, lo que refuerza la capacidad del sector para enfrentar posibles ataques.
Torrecilla ha puesto especial énfasis en dos regulaciones clave que están transformando la protección de las infraestructuras hídricas: la Directiva NIS2 y el Cyber Resilience Act (CRA)
Además, ha subrayado la relevancia del Cyber Resilience Act, una normativa dirigida a asegurar que los productos con componentes digitales, que se comercializan en la Unión Europea, sean más seguros. Ha explicado que esta ley obliga a los fabricantes a mantener actualizados y protegidos sus productos a lo largo de todo su ciclo de vida, lo que mejora tanto la transparencia como la seguridad del hardware y software empleados en las infraestructuras hídricas. Este enfoque, ha destacado, refuerza la protección frente a vulnerabilidades que podrían ser explotadas por cibercriminales.
María del Prado ha aprovechado la ocasión para destacar el trabajo que LACROIX ha venido realizando en este ámbito. La empresa ha integrado soluciones de ciberseguridad desde el diseño mismo de sus productos, asegurando que cumplan con los estándares más estrictos, como el IEC 62443, lo cual permite a las operadoras de agua proteger sus sistemas críticos frente a posibles ataques cibernéticos. Gracias a estas normativas y a la proactividad de empresas como LACROIX, el sector del agua en Europa avanza hacia una mayor resiliencia frente a las crecientes amenazas en el mundo digital.
Llegó el turno de Jairo Alonso Ortiz, Manager de Ciberseguridad OT en SIA, que ha comenzado su ponencia resaltando la importancia de proteger las infraestructuras OT (Tecnología Operativa) y ha subrayado la necesidad de desarrollar estrategias integrales que garanticen la continuidad de las operaciones en las redes industriales, especialmente en un contexto en el que las amenazas cibernéticas son cada vez más frecuentes y sofisticadas.
A lo largo de su intervención, Jairo ha puesto el foco en la transformación digital que vive el sector y cómo la creciente interconexión entre los sistemas IT (Tecnología de la Información) y OT ha elevado el riesgo de ciberataques en infraestructuras hídricas críticas. A medida que los activos de las plantas de tratamiento de agua y saneamiento se conectan a Internet, emergen nuevas vulnerabilidades que deben gestionarse de manera eficaz y proactiva. Según Jairo, más del 90% de las empresas industriales ha experimentado algún tipo de ciberataque en los últimos años, lo que ha causado importantes impactos en la continuidad operativa de estos sistemas vitales.
La creciente interconexión entre los sistemas IT (Tecnología de la Información) y OT ha elevado el riesgo de ciberataques en infraestructuras hídricas
Entre las soluciones propuestas, Jairo ha destacado la implementación de evaluaciones OT para el descubrimiento e inventario de activos, la gestión de vulnerabilidades y la segmentación de redes como medidas fundamentales para fortalecer la seguridad: “Lo que no se conoce, no se puede proteger. Es de vital importancia la gestión del inventario”.
Además, ha hecho hincapié en el uso de tecnologías avanzadas, como los Servicios de Operación de la Ciberseguridad (SOC), que proporcionan capacidades de detección y respuesta a incidentes las 24 horas del día, los 7 días de la semana. Igualmente, ha mencionado la importancia de aplicar arquitecturas seguras en los Sistemas de Control y Automatización Industrial (IACS), garantizando que las infraestructuras críticas operen de manera segura y confiable.
Finalmente, Jairo ha insistido en la necesidad de asegurar el cumplimiento normativo y de promover una cultura de seguridad robusta dentro de las organizaciones. Para ello, ha subrayado la importancia de capacitar tanto a los administradores como a los operadores en la protección de infraestructuras críticas, asegurando que estos cuenten con las herramientas y conocimientos necesarios para enfrentar las amenazas cibernéticas que desafían diariamente al sector del agua.
La sesión concluyó con la intervención de Jesús Feliz, CIO y Gerente de TI y Arquitectura de Seguridad en INCIBE, que ha comenzado incidiendo en la importancia crítica de proteger las infraestructuras del agua, las cuales, debido a su creciente digitalización, están más expuestas a ciberamenazas. Con el respaldo de INCIBE-CERT, se ha puesto de relieve el papel fundamental de este centro de referencia en la detección, prevención y mitigación de incidentes cibernéticos que podrían comprometer servicios esenciales como el suministro de agua.
En 2023, se registraron más de 266.000 incidentes, siendo el 20% de ellos dirigidos a operadores de infraestructuras hídricas
Durante su intervención, Jesús ha destacado el aumento de los incidentes de ciberseguridad en sectores estratégicos como el del agua. En 2023, se registraron más de 266.000 incidentes, siendo el 20% de ellos dirigidos a operadores de infraestructuras hídricas. Estos ataques incluyen fraudes, malware, intrusiones y robo de información. Frente a este panorama, INCIBE actúa como un actor clave al coordinar la gestión de vulnerabilidades y ofrecer servicios de alerta temprana, que permiten a las organizaciones anticiparse y reaccionar con rapidez ante posibles amenazas.
Finalmente, Jesús ha subrayado la importancia de la colaboración público-privada para fortalecer la protección de las infraestructuras críticas. Además, ha hecho énfasis en la implementación de normativas europeas, como la Directiva NIS 2 y el Cyber Resilience Act, que obligan a las organizaciones a adoptar medidas más estrictas para garantizar la ciberseguridad. Gracias a estos esfuerzos conjuntos, y al apoyo de organizaciones como INCIBE, se está construyendo un entorno digital más seguro y resiliente para proteger nuestras infraestructuras más esenciales.
Tras tres reveladoras jornadas, Spain Smart Water Summit 2024 concluye con una clara reafirmación de la importancia de la digitalización en la gestión del agua, subrayando su papel como motor de eficiencia, sostenibilidad y resiliencia en un contexto de creciente desafío climático. En esta prolífica edición se exploraron soluciones innovadoras como los gemelos digitales, el uso de inteligencia artificial y la tecnología IoT para optimizar la infraestructura hídrica. Además, se destacaron casos de éxito en la reducción del Agua No Registrada y en la gestión de redes urbanas mediante sistemas avanzados de monitorización y telelectura. Este foro se ha consolidado como un espacio clave para el debate y la colaboración en la implementación de tecnologías que prometen transformar el ciclo integral del agua en España.