Todos los sectores se ven impactados por la ciberdelincuencia. En ese aspecto, hay que tener en cuenta que este 22 de marzo, se celebra el Día Mundial del Agua, y es un momento para reflexionar sobre su valor y la urgencia de cuidarla, pero también, para entender los riesgos y amenazas que, como valioso recurso de la humanidad, debe ser protegido de ataques y afectaciones. El agua es la esencia de la vida, pero en el mundo digital actual, también es un objetivo cada vez más atractivo para los ciberdelincuentes.
Además, Las plantas de tratamiento de agua y los sistemas de distribución dependen de controles digitales que, si se ven comprometidos, pueden tener consecuencias desastrosas, como contaminación, interrupciones del servicio y amenazas a la salud pública.
Así mismo, ujna evaluación realizada en 2024 por la Agencia de Protección Ambiental de Estados Unidos (EPA) reveló que 97 sistemas de agua potable, que abastecen a aproximadamente 26,6 millones de personas, presentaban vulnerabilidades de ciberseguridad críticas o de alto riesgo.
La multinacional Check Point Research, en lo que va de 2025, el sector de la energía y los servicios públicos (incluido el agua) ha sufrido un promedio de 1872 intentos de ataque semanales por organización, lo que representa un aumento del 53 % en comparación con el mismo período del año anterior. Norteamérica ha experimentado el mayor cambio interanual, con un asombroso aumento del 89% en los ataques en comparación con el mismo período del año pasado, seguida de Europa (82%) y África (45%).
También con motivo del próximo Día Mundial del Agua, exploraron el impacto económico de las vulnerabilidades cibernéticas en los sistemas de agua y brindaron información sobre las medidas de seguridad clave para garantizar que las empresas de agua y este preciado recurso sigan siendo seguros para beber gota a gota desde nuestros grifos. Con infraestructuras críticas como las empresas de agua bajo constante amenaza, es solo cuestión de tiempo antes de que un ciberataque logre afectar cientos de miles de vidas.
Ataque al Agua y ciberdelincuentes
Según la empresa, más allá de la salud pública, los ciberataques a la infraestructura hídrica tienen enormes repercusiones económicas. Los proveedores de agua y aguas residuales son objetivos principales de los ciberdelincuentes debido al papel esencial que desempeñan en el sustento de las comunidades locales y sus operaciones diarias. Sin embargo, los riesgos van más allá de las interrupciones operativas. Un sistema comprometido podría resultar en agua potable contaminada, lo que representa una grave amenaza para la salud y la seguridad públicas. Más allá de los hogares, numerosas industrias dependen de un suministro de agua constante y seguro, incluyendo plantas de fabricación y centros de datos, que utilizan agua para sus sistemas de refrigeración. Un ciberataque a estos servicios públicos podría provocar interrupciones generalizadas con graves consecuencias en el suministro, que podrían, paralizar las operaciones industriales, afectar la agricultura y desestabilizar las economías locales.
Por ejemplo, una interrupción de un solo día en el servicio de agua en Estados Unidos podría poner en peligro 43.500 millones de dólares en actividad económica, según la Alianza del Agua de Estados Unidos. Un ejemplo simulado de un ciberataque a Charlotte Water en Carolina del Norte proyectó pérdidas diarias de al menos 132 millones de dólares en ingresos perdidos, con costos de reemplazo superiores a 5.000 millones de dólares, según los resultados de una revisión de las iniciativas de ciberseguridad de la agencia realizada por la Oficina del Inspector General de la Agencia de Protección Ambiental.
Por otro lado, en Italia, Alto Calore Servizi SpA, una empresa italiana que suministra agua potable a 125 municipios de Avellino y Benevento, dos provincias del sur de Italia, sufrió un ataque de ransomware en 2023. La empresa, gestionada por el gobierno, también gestiona los servicios de alcantarillado y depuración de ambas provincias. Si bien el ciberataque no interrumpió la distribución de agua, la base de datos de la empresa se vio comprometida e inutilizó todos sus sistemas informáticos.
Los sistemas de agua, en particular, son altamente vulnerables, ya que la infraestructura obsoleta queda repentinamente expuesta a amenazas de internet, y la posibilidad de interrupción convierte a estas instalaciones en objetivos prioritarios, especialmente para actores estatales. En realidad, una instalación de agua comprometida va más allá de ser un simple incidente cibernético, ya que impacta a todo el país, genera titulares y, lo que es más crítico, representa una amenaza directa para la seguridad pública. El costo económico de un ciberataque exitoso contra las empresas de agua es simplemente demasiado alto como para ignorarlo. Se debe priorizar la resiliencia y las inversiones en ciberseguridad deben considerarse inversiones en estabilidad económica.
Con cuidado
Manuel Rodríguez, Gerente de Ingeniería para NOLA de Check Point Software, aseveró que “a medida que aumentan las ciberamenazas a la infraestructura hídrica, la necesidad de medidas de seguridad proactivas nunca ha sido mayor. Los gobiernos, las empresas de agua y los expertos en ciberseguridad deben colaborar para proteger estos sistemas vitales antes de que nuevos ataques afecten gravemente a esta industria vital”.
Las empresas de agua deben adoptar un enfoque proactivo en materia de ciberseguridad. Según la Agencia de Protección Ambiental de Estados Unidos (EPA), el 98 % de los ciberataques podrían prevenirse o minimizarse con una higiene cibernética básica. Algunos pasos críticos para mejorar la seguridad incluyen invertir en seguridad de endpoints y redes, pues las empresas de agua deben implementar sistemas de detección de amenazas basados en IA para monitorear la actividad de la red y prevenir intrusiones.
Además, las regulaciones cibernéticas para las empresas de agua no son tan estrictas como las de los sectores eléctrico o financiero, por lo que se requiere mayor esfuerzo en este ámbito.
El Centro de Intercambio y Análisis de Información sobre el Agua (WaterISAC) ha identificado la capacitación como una prioridad principal para mejorar la preparación en ciberseguridad, dado que existe una grave falta de capacitación en ciberseguridad entre los operadores de agua, y muchas instalaciones carecen de personal especializado en ciberseguridad, entre otros puntos.
