Ciberataques contra infraestructuras hídricas: el agua, un recurso vital a proteger

Gestión de la temperatura y la presión; optimización de la calidad del agua mediante el control en tiempo real de los distintos componentes químicos; detección de fugas y mantenimiento predictivo; mejora de la sostenibilidad y la rentabilidad de los servicios de gestión; contadores inteligentes: las aplicaciones conectadas para la gestión del agua son numerosas y mejoran la seguridad sanitaria.

Sin embargo, el hecho de que la mayoría de estas aplicaciones dependan del mantenimiento remoto, una configuración que ha crecido sobre todo tras la pandemia de COVID-19, incrementa la superficie de ataque y constituye una amenaza en términos de ciberseguridad. Tanto es así que, en los últimos años, la gestión remota ha generado un aumento de las intrusiones y ataques a los sistemas conectados, mediante técnicas como la denominada man-in-the-middle, dirigida a interrumpir, falsificar o corromper las comunicaciones entre interfaces conectadas, como las situadas en una válvula de agua inteligente o las presentes en los centros de tratamiento de aguas.

Ante acciones como estas, que, por desgracia, hace años que han dejado de ser ciencia ficción, implementar medidas de protección para salvaguardar estas infraestructuras críticas es una obligación para las ciudades inteligentes.

Proteger un recurso vital

A la vista de estas observaciones, ya se han dado los primeros pasos, con la introducción de normativas más estrictas como la Directiva NIS2 que, a escala europea, amplía el ámbito de aplicación de las infraestructuras críticas a los sectores de abastecimiento de agua. El nuevo texto, que aplicará tanto a las autoridades locales como a las empresas, pretende reforzar y coordinar los esfuerzos de gestión de los ciberataques.

No obstante, y además del cumplimiento de normativas más rigurosas, para las autoridades locales, las medidas de protección deben abarcar también buenas prácticas de higiene digital y la integración de soluciones de ciberseguridad efectivas.

Como en otros sectores sensibles, la cuestión de la accesibilidad a la información es fundamental y la implantación de sistemas de control para limitar el acceso a los datos críticos es un primer paso obvio. Dar acceso únicamente al personal autorizado, y retirarlo una vez que la persona ha abandonado el recinto de la empresa, no funciona siempre. Dado que los accesos son cada vez más remotos, los actores del sector del agua deben asegurarse que estos flujos de comunicación estén debidamente protegidos, es decir, cifrados y accesibles únicamente a los usuarios autenticados. Para lograrlo, las soluciones de cifrado de datos y los túneles VPN son valiosos aliados para garantizar unas comunicaciones seguras y de confianza.

Además de la protección de datos, tampoco hay que descuidar la seguridad de las estaciones de trabajo (en las que a menudo se instalan las herramientas de control) y los interfaces hombre-máquina remotos. Las soluciones de protección más sólidas y modernas pueden impedir la manipulación malintencionada a distancia o la contaminación por una simple llave USB.

Para las redes de TI y OT de las ciudades inteligentes, ya existen diferentes niveles de soluciones de ciberseguridad que garantizan su inmunidad a los ataques. La segmentación de la red es un primer nivel de seguridad, de rápida aplicación. Separando las diferentes zonas de una red y filtrando las comunicaciones entre estas zonas, es posible limitar las interacciones y, por tanto, la propagación de un ciberataque.

La segmentación se consigue con un router, integrado en un cortafuegos con las siguientes funciones de seguridad: protección en tiempo real (prevención y detección de intrusiones, control de aplicaciones, antivirus, etc.), control y supervisión (filtrado de URL, geolocalización IP, detección de vulnerabilidades, etc.), conectividad (gestión de enlaces WAN, gestión de túneles VPN, gestión del ancho de banda, etc.) o comunicaciones seguras (VPN IPsec, VPN SSL, etc.). En cuanto a estos cortafuegos y su versión física, hay que prestar mucha atención a su capacidad de integración y respuesta a las estrictas limitaciones del sector del agua (como la humedad, por ejemplo).

La necesidad de equipar y reforzar el arsenal de protección de las infraestructuras de gestión del agua en las ciudades inteligentes se mide, por tanto, por la gravedad de las consecuencias que podría acarrear un ciberataque exitoso. Y si ya son muchos los conflictos en el ciberespacio, la creciente escasez de agua como recurso plantea otra amenaza geopolítica igualmente real para los Estados. Más que nunca, el agua y su protección se están convirtiendo en una cuestión política.

Por Borja Pérez, Country Manager de Stormshield Iberia