Seguridad en entornos OT para la gestión del agua

La gestión del agua se ha transformado en las últimas décadas gracias a la automatización industrial. Lo que antes era puramente físico y manual, ahora está controlado por tecnologías operativas (OT): PLCs, SCADAs, sensores, RTUs y sistemas de control remoto que gobiernan desde el bombeo hasta la potabilización y depuración. Pero esta digitalización ha traído consigo un nuevo enemigo: la ciberamenaza persistente sobre infraestructuras críticas.

No hablamos de hipótesis futuristas. Hoy ya existen ataques reales y recurrentes a sistemas de agua que exponen vulnerabilidades estructurales, especialmente en lo que respecta a accesos remotos y segmentación de redes IT/OT. La buena noticia es que hay soluciones específicas, sólidas y auditables para proteger estos entornos. La mala noticia es que muchas entidades aún no las aplican.

¿Qué activos debemos proteger en los sistemas de gestión del agua?

Los entornos OT del ciclo integral del agua son complejos, distribuidos y heterogéneos. A menudo operan durante décadas sin grandes modificaciones, lo que los hace funcionalmente estables, pero tecnológicamente frágiles frente a nuevas amenazas.

Principales componentes de una infraestructura de agua digitalizada:

1. Sistemas SCADA
   Son la capa de control y supervisión del proceso completo. Desde una consola central, los operarios pueden iniciar o detener bombas, activar válvulas, regular caudales o recibir alertas de fallos. Su vulnerabilidad radica en que, si son comprometidos, un atacante podría manipular directamente el ciclo del agua, provocando desde cortes de suministro hasta vertidos contaminantes.
2. PLCs (Controladores Lógicos Programables)
   Estos pequeños autómatas ejecutan órdenes en tiempo real: abrir compuertas, dosificar productos químicos o equilibrar presiones. Aunque potentes, suelen carecer de funciones de seguridad integradas. A menudo, ni siquiera tienen autenticación, lo que los convierte en un objetivo fácil si se accede a la red.
3. RTUs (Unidades Terminales Remotas)
   Se utilizan para comunicarse con sensores y actuadores en estaciones remotas. Por su naturaleza, operan en ubicaciones difíciles de proteger físicamente, lo que hace fundamental controlar digitalmente cada conexión que se establece hacia ellas.
4. HMIs (Interfaces Hombre-Máquina)
   Pantallas o terminales desde los que los operarios interactúan con el sistema. Muchas veces están en redes internas sin aislamiento, lo que permite que un ataque lateral desde una red IT corporativa pueda escalar hasta ellas.
5. Sensores y dispositivos IoT industriales
   Dispositivos inteligentes que monitorizan pH, cloro, turbidez, fugas o temperatura. Suelen utilizar protocolos inseguros o incluso conexiones inalámbricas vulnerables. Un sensor manipulado puede provocar decisiones automáticas erróneas en toda la planta.

Todos estos elementos forman parte de una red híbrida IT/OT, donde la superficie de ataque se multiplica si no se toman medidas específicas de ciberseguridad industrial.

Amenazas reales: cuando el agua se convierte en vector de ataque

Los ataques a plantas de agua ya han ocurrido y seguirán ocurriendo por tres razones clave: son sistemas mal protegidos, críticos para la sociedad y relativamente fáciles de atacar en remoto.

Casos representativos:

• Oldsmar, Florida (2021): un ciberdelincuente accedió al SCADA de una planta de tratamiento e intentó aumentar peligrosamente el nivel de hidróxido de sodio en el agua potable. Lo hizo a través de TeamViewer, con credenciales sin control, desde una red expuesta a Internet.

• Israel (2020): sistemas de irrigación y estaciones de bombeo fueron objetivo de una campaña de ataques atribuidos a Irán. El acceso se produjo por dispositivos mal configurados, sin segmentación de red ni autenticación multifactor.

• Thames Water, Reino Unido (2022): la mayor compañía de agua del país sufrió intentos de acceso no autorizado a sus sistemas industriales. La investigación reveló accesos persistentes a través de cuentas de terceros sin trazabilidad ni permisos adecuados.

Estos casos comparten un patrón: los accesos remotos a activos industriales se realizan de forma descontrolada, sin medidas de aislamiento ni trazabilidad robusta. Eso es lo que debe cambiar.

Retos específicos de seguridad OT en la gestión del agua

1. Sistemas legados de larga vida útil

Muchos PLCs, SCADAs o RTUs llevan en funcionamiento más de 15 años. Actualizarlos es caro, difícil, y a veces imposible sin interrumpir el servicio. Además, muchos no soportan mecanismos modernos de autenticación, cifrado o actualizaciones automáticas, lo que los convierte en puntos ciegos de seguridad.

2. Protocolos industriales inseguros por diseño

Protocolos como Modbus, DNP3 o incluso HTTP y FTP aún se utilizan para comunicar activos críticos. El problema: transmiten comandos y datos en texto plano, sin cifrado ni control de integridad. Si un atacante intercepta estas comunicaciones, puede leer, alterar o falsificar información sin ser detectado.

3. Accesos remotos de contratistas sin control

Técnicos de mantenimiento, proveedores de sistemas o integradores necesitan acceder desde ubicaciones remotas. Muchas veces lo hacen mediante VPNs compartidas, escritorios remotos tradicionales o soluciones sin validación ni auditoría, lo cual deja una puerta abierta a accesos maliciosos, errores humanos o robo de credenciales.

4. Falta de visibilidad sobre lo que ocurre en el entorno OT

En muchos casos, no existe registro centralizado de quién accedió, qué hizo, qué comandos ejecutó o si realizó cambios en configuraciones industriales. Esta falta de trazabilidad impide detectar incidentes, auditar acciones o cumplir con normativas.

5. Convergencia IT/OT sin medidas de segmentación

La conexión de entornos OT a redes IT corporativas, cloud, ERPs o entornos de reporting puede ser necesaria para mejorar la eficiencia. Pero si no se segmentan de forma estricta, cualquier incidente en la red IT (malware, phishing, ransomware) puede propagarse directamente al entorno industrial, con consecuencias críticas.

¿Qué exigen las normativas?

En el marco europeo, la protección del sector agua como infraestructura crítica está reflejada en múltiples regulaciones, cada vez más exigentes:

• Directiva NIS2: clasifica la gestión del agua como sector esencial. Obliga a implementar controles de acceso robustos, segmentación de red, autenticación multifactor, monitorización continua y trazabilidad total de los accesos privilegiados.
• Esquema Nacional de Seguridad (ENS): en España, exige medidas proporcionales al nivel de criticidad, incluyendo autenticación robusta, control de privilegios, gestión de incidentes y continuidad operativa.
• ISO/IEC 62443: marco internacional específico para ciberseguridad en automatización industrial. Define requisitos como control de accesos por rol, aislamiento de entornos, gestión de vulnerabilidades y defensa en profundidad.

Todas coinciden en un punto clave: controlar y auditar todos los accesos remotos a sistemas industriales, especialmente si son realizados por usuarios privilegiados.

Endurance: Entorno de Trabajo Remoto Blindado certificado como PAM

Ya no basta con usar soluciones tradicionales PAM pensadas para redes IT. Los entornos OT, especialmente en la gestión del agua, requieren una solución especializada, capaz de actuar como un verdadero entorno de trabajo remoto blindado, certificado y adaptable a las realidades del terreno.

¿Qué es Endurance?

Endurance es un entorno de trabajo desarrollado por Cosmikal que va más allá de un PAM. Se trata de un entorno de trabajo remoto blindado, certificado como PAM por el Centro Criptológico Nacional (CCN), y diseñado para permitir conexiones seguras, auditables y controladas a activos IT y OT desde cualquier lugar del mundo, sin comprometer su integridad ni seguridad.

¿Cómo ayuda Endurance en entornos OT del agua?

1. Aislamiento total del activo industrial
   Los usuarios nunca se conectan directamente al PLC, SCADA o RTU. Endurance actúa como puente seguro, aislando el sistema y canalizando únicamente eventos de teclado, ratón, video y audio. Esto significa que ni el activo ni su red son expuestos directamente, incluso cuando se usan protocolos inseguros como Telnet o Modbus.
2. Acceso por tiempo, rol y contexto
   Los accesos remotos se conceden según el rol del técnico, durante un tiempo limitado, desde ubicaciones autorizadas. No hay accesos permanentes ni credenciales compartidas. Cada conexión está contextualizada, controlada y supervisada.
3. Autenticación robusta y MFA adaptable
   Cada conexión requiere múltiples factores de autenticación (contraseña, token, certificado, etc). Incluso en entornos desconectados o de baja conectividad, Endurance permite validación segura.
4. Trazabilidad completa con grabación de sesiones
   Toda sesión queda registrada y es reproducible. Se puede auditar qué hizo cada usuario, en qué momento y sobre qué dispositivo. Esto facilita el cumplimiento de NIS2, ISO27001 y ENS, además de mejorar la respuesta ante incidentes.
5. No requiere modificar el activo OT
   Endurance no exige instalar agentes, ni modificar el firmware del PLC, ni alterar la lógica del SCADA. La protección es no intrusiva, lo cual es esencial en sistemas industriales delicados.
6. Despliegue ágil y escalable
   Perfecto para entornos distribuidos con muchas estaciones remotas, estaciones de bombeo o plantas dispersas geográficamente. Se puede desplegar en remoto y sin interrumpir la operación.

Conclusión

Proteger los sistemas de gestión del agua no es solo una cuestión técnica, es una cuestión estratégica. El riesgo es real, las normativas ya lo exigen, y las herramientas para mitigar estas amenazas existen. Pero hay que usarlas correctamente.

Endurance no es un simple PAM: es un entorno de trabajo remoto blindado, diseñado para proteger entornos OT reales, sin excusas, sin dependencia de protocolos inseguros, y con el respaldo de una certificación del CCN. Su adopción no solo reduce el riesgo operativo, sino que garantiza el cumplimiento normativo y la tranquilidad de que ningún activo crítico está expuesto sin control.

¿Quieres conocer cómo Endurance protege infraestructuras de agua sin alterar su operación?

Contacta con Cosmikal y solicita una demo.