La seguridad de las infraestructuras hídricas en la era de la ciberguerra

Casi cuarenta años después, esa misma preocupación se ha expandido al mismo ritmo que las nuevas tecnologías y los procesos de digitalización han ido transformado nuestra forma de hacer las cosas. El ataque cibernético sufrido por Estonia en 2007 —que derivó en la creación del Centro de Excelencia de Defensa Cibernética Cooperativa de la OTAN (CCDCOE)—o el de la planta nuclear de Irán en 2010, demostraron la necesidad de disponer de estrategias nacionales para proteger las infraestructuras críticas y los servicios al ciudadano de los ciberataques, los objetivos más deseados.

En un contexto, además, donde el espionaje, el ataque y su influencia están a la orden del día de los conflictos entre países para hallar ventajas políticas, económicas y militares, gobiernos y organizaciones buscan la manera de hacer que las tecnologías digitales hoy aliadas no se conviertan también en las enemigas del futuro. Un ejemplo de esta nueva estrategia la tienen, según la Comunidad de Inteligencia de EE.UU., China y Rusia, principales amenazas de espionaje y ataque cibernético a nivel mundial que, durante los últimos años, han ido recopilando información y se han dirigido a las infraestructuras críticas más sensibles para mantenerlas en el objetivo.

Las infraestructuras hídricas, en el punto de mira de los ciberataques

2020 no solo marcó un punto de inflexión a nivel mundial a causa de la crisis sanitaria global, sino que será recordado como un año disruptivo en el que la transformación digital hizo que estuviéramos más hiperconectados que nunca. Según el informe Ciber: Amenazas y tendencias 2021 de la Capacidad de Respuestas a incidentes de Seguridad de Información del Centro Criptológico Nacional (CNN-CERT), adscrito al Centro Nacional de Inteligencia (CNI) de España, 2020 también fue el año en el que hubo más incidentes de seguridad que nunca y más digitalización forzosa de servicios y negocios. El teletrabajo, la falta de movilidad, el aumento de las videollamadas y la necesidad de estar conectado al mundo desde cuatro paredes durante el confinamiento, hizo que fuera más necesario que nunca extremar las precauciones ante cualquier tipo de comunicación recibida en los dispositivos y apostar por invertir aún más en ciberseguridad, con el fin de garantizar la continuidad de los negocios y los servicios a los ciudadanos, entre ellos los servicios de agua.

2020 fue el año en el que hubo más incidentes de seguridad que nunca y más digitalización forzosa de servicios y negocios

Según la Directiva europea 2008/114/CE del 8 de diciembre de 2008, se entiende por infraestructura crítica “el elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población y cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones”. Dentro de esta definición, los servicios relacionados con el agua son una de las áreas estratégicas que están en el punto de mira de los ciberataques y que, si se tiene en cuenta que además el agua es un factor estratégico en los conflictos bélicos, la preocupación del sector está más que justificada. Si bien no se trata de infraestructuras tan atacadas como otras utilities, un ataque fallido contra el suministro de agua de Israel en 2020 y el ataque contra una estación de tratamiento de agua en Florida en 2021, ha elevado la preocupación de un sector vulnerable debido, precisamente, a su fortaleza dentro del desarrollo económico y social de una región.

“Los principales incidentes ocurridos en los últimos años muestran que un eslabón débil en la cadena de suministro ha resultado el vehículo propiciatorio para penetrar hasta el corazón de las infraestructuras críticas”, cuenta Manuel Carpio, miembro del Foro Nacional de Ciberseguridad. De hecho, en Europa y Estados Unidos la mayoría de las infraestructuras de agua son gestionadas por pequeñas organizaciones como parte de un operador mayor: “En lugar de intentar atacar directamente las defensas de un gran operador, los delincuentes intentan ahora hacerse con el control de los sistemas de alguno de sus pequeños contratistas, pero que tienen derecho de acceso total a los sistemas de su cliente, infraestructura crítica”, explica.

En 2020, los ciberincidentes gestionados en el sector del agua fueron 31, que corresponden al 0,1 % de los incidentes totales de los sectores estratégicos

No obstante, desde la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior de España señalan que, en 2020, los ciberincidentes gestionados en el sector del agua fueron 31, que corresponden al 0,1 % de los incidentes totales de los sectores estratégicos. Esto se debe, explican, a que este sector en concreto tiene poca exposición a Internet comparado con otros sectores: “La mayor parte de sus sistemas son de operación industrial, los cuales se encuentran en su mayoría aislados en las instalaciones, lo que hace que la superficie expuesta a ataques sea menor comparada con otros sectores”. Pero tampoco está exento de riesgos.

La gestión de las infraestructuras críticas es cada vez más digital. En el sector del agua, en concreto, procesos como el abastecimiento, el tratamiento de agua o el control de la calidad, son impensables hoy en día sin el uso de las tecnologías IT (Information Tecnhnologies) y OT (Operational Technology), pues estos procesos son monitorizados mediante la captura de información del entorno físico a través de diversos sensores, con el fin de medir determinados parámetros y actuar sobre dicho entorno ante determinados eventos. “La pandemia ha incrementado de forma aguda nuestra dependencia de los sistemas digitales y, al mismo tiempo, ha llevado a muchas organizaciones a estar más abiertas y expuestas y, en algunos casos, ha mostrado la vulnerabilidad de sus sistemas”, dice Mar Sánchez, Cybersecurity Key Account Manager en SIA, una compañía de Indra.

Entre las principales ciberamenazas a las que se enfrentan las empresas de agua y aguas residuales se encuentran el ransomware —secuestro de información, y la principal preocupación—, el pishing —robo de datos de acceso de usuarios—, la vulnerabilidad del software, los ataques a la cadena de suministro —virus o software malicioso a través de un proveedor—o la vulnerabilidad de la conectividad remota.

El impacto de un ciberataque y sus consecuencias posteriores a las infraestructuras hídricas dependerán de diversos factores, siendo especialmente relevante el tiempo de inactividad, que puede tener grandes repercusiones para la ciudadanía, o el efecto dominó debido a las interdependencias entre sí que presentan algunas de las infraestructuras críticas. “En las instalaciones de tratamiento de agua, a diferencia del entorno de IT, las brechas de seguridad cibernética están entrelazadas con problemas relacionados con la seguridad. Desde el personal y el entorno, hasta las personas destinadas a recibir esos servicios”, comenta Sergio Vidal, Process Automation Sales Director en Schneider Electric.

La ciberseguridad, una prioridad para el sector del agua

“Creo que el próximo Pearl Harbor o el próximo 11 de septiembre será cibernético, y nos enfrentamos a una vulnerabilidad en todos sistemas, pero el agua es uno de los más críticos y creo que uno de los más vulnerables”, declaró el senador Angus King durante una audiencia celebrada en julio de 2021 en el senado estadounidense para abordar las vulnerabilidades de seguridad cibernética que enfrentan las infraestructuras del país.

Desde el inicio de la pandemia, las gestoras de agua han tenido que adaptarse a un nuevo escenario lleno de incertidumbre en el que, eso sí, nos ha hecho mucho más conscientes de la importancia de la gestión del agua y el papel que en ello juega la innovación y la digitalización. La crisis mundial del agua y el impacto del cambio climático demanda hacer un uso inteligente del recurso hídrico y, para ello, las empresas deben adoptar tecnologías capaces de dar respuesta a los retos y reducir no solo la huella hídrica, también la energética y de carbono.

Este proceso de digitalización y transformación de procesos ha puesto en el punto de mira de los ciberdelincuentes a todos los negocios. Escenarios de crisis como los antes mencionados o el suscitado ahora por el conflicto entre Rusia y Ucrania, traen consigo un aumento de los riesgos de ataques e incidentes de ciberseguridad en una guerra dirigida tanto a participantes directos como a los actores que ejercen de apoyo a alguno de los bandos, y que se desarrolla tanto en el terreno físico como en el ciberespacio.

Según el WEF, el riesgo cibernético es el riesgo de sostenibilidad más inmediato y material desde el punto de vista financiero

Según el Foro Económico Mundial (WEF, por sus siglas en inglés), los ataques cibernéticos presentan un riesgo enorme para el valor de las empresas y, en última instancia, para la estabilidad de la sociedad. Así, la ciberseguridad en el sector del agua se ha vuelto trascendental y las empresas deben gestionar la ciberseguridad como parte de su estrategia corporativa, social y ambiental. De hecho, desde el WEF advierten que el riesgo cibernético es el riesgo de sostenibilidad más inmediato y material desde el punto de vista financiero al que se enfrentan las organizaciones en la actualidad.

En SIA, una compañía de Indra, conocen la paradoja a la que se enfrentan las organizaciones en la actualidad, con grandes retos que afrontar, y al mismo tiempo, presupuestos limitados para llevarlos a cabo. Es por ello, que su sólida experiencia en la protección de las infraestructuras críticas y su conocimiento tanto del negocio como de las tendencias actuales en materia de cibercrimen, les permiten asesorar a las gestoras de aguas para ayudarles a priorizar lo que es realmente importante.

Y, es que, en la era de la transformación digital, a medida que los activos operativos se conectan entre sí, se necesitan componentes y sistemas de control más resilientes ante los ciberataques. En este sentido, Schneider Electric es un referente en ciberseguridad de los sistemas de automatización y control. Ofrece un ciclo completo de ciberseguridad para las plantas OT (evaluación, diseño, implementación, mantenimiento y supervisión) que aseguran un conjunto de habilidades y experiencias poco vistas en las compañías de seguridad IT tradicionales: “El ADN de Schneider Electric, arraigado en la industria operativa y de automatización, tiene los recursos necesarios para ayudar a los clientes de OT”, comenta Sergio Vidal.

Una responsabilidad compartida

El entorno complejo en el que nos encontramos, propiciado por la necesidad de desplegar nuevas tecnologías para dar respuesta a las tendencias y retos políticos, sociales y económicos, hace que la seguridad tenga, según el Informe Análisis y Diagnóstico del talento de ciberseguridad en España 2022 del Observatorio Nacional de Tecnología y Sociedad (ObservaCiber), un rol fundamental en todas las iniciativas de transformación digital y los planes de inversión de los próximos años. Sergio Vidal advierte que “las redes o fuentes de tráfico consideradas seguras ya no son de fiar. Las plantas de infraestructura crítica deben tomar medidas de seguridad adicionales, ya que no solo se ocupan de la pérdida de datos, sino que podrían causar una pérdida potencial de vidas a gran escala”. “Los procesos de análisis y gestión de riesgos de ciberseguridad deben considerar, de una manera global e integrada y en sentido amplio, todos los activos que intervienen en la cadena de suministro o valor, y no solo aquéllos que forman parte del perímetro interno de las organizaciones”, dice por su parte Mar Sánchez.

En este sentido, el contexto actual exige que la gestión de las infraestructuras críticas se lleve a cabo dentro de un marco de ciberseguridad cada vez más exigente, donde la responsabilidad recae a todos los niveles: “Se hace necesaria una colaboración público-privada realmente bidireccional, en el que el gobierno tenga en cuenta el esfuerzo inversor realizado por los operadores de servicios esenciales para mantener un nivel de seguridad más allá del que exigen las circunstancias del mercado”, comenta Manuel Carpio.

Podemos decir que la madurez en cuanto a cultura y sensibilización en ciberseguridad es elevada

Y así, dos años después de la pandemia —casi el punto de partida de este nuevo escenario— y casi acostumbrados ya a esa nueva normalidad en la que la digitalización se ha convertido en una herramienta de la que hacer uso, podemos decir que la madurez en cuanto a cultura y sensibilización en ciberseguridad es elevada: “La cultura de la ciberseguridad en infraestructuras críticas está muy arraigada. Los responsables de la seguridad de la información de las mismas, en general, es personal muy comprometido con la ciberseguridad”, señalan desde la OCC. “Además, la colaboración público-privada entre los responsables de la Secretaría de Estado de Seguridad y los responsables de la ciberseguridad de estas infraestructuras se encuentra en un grado de madurez muy alto”.

Finalmente, desde el Foro Nacional de Ciberseguridad, Manuel Carpio señala que “la ciberseguridad forma parte de la agenda de los consejos de dirección de las empresas propietarias de infraestructuras críticas, y por otro lado existen programas de concienciación y educación en ciberseguridad a todos los niveles organizativos”. Sin embargo, advierte: “No debemos caer en la autocomplacencia. Aún queda mucho por hacer”.