La progresiva digitalización de las infraestructuras del ciclo integral del agua urbana puede conllevar riesgos que hace falta solventar con una mayor concienciación e inversión. Desde el inicio de la pandemia los ciberataques a todos los sectores han aumentado
Este verano, en Israel se produjo un intento de atentado sin precedentes. Hackers de origen desconocido intentaron provocar daños en el suministro de agua del país con un ataque «sincronizado y organizado» a infraestructuras clave. De hecho, si los técnicos israelíes no hubieran detectado la incursión en tiempo real, los químicos que se usan para depurar las aguas residuales podrían haberse mezclado en proporciones equivocadas, causando un resultado «dañino y desastroso», según explicó Yigal Unna, que lidera la Dirección Cibernética Nacional de Israel.
Y es que la revolución tecnológica que suponen los objetos conectados y la progresiva digitalización de infraestructuras clave, aunque sin duda trae innumerables ventajas desde un punto de vista de la gestión y la eficiencia, también conlleva riesgos derivados del posible mal uso de Internet. Según la Unión Europea, que este octubre celebra el mes de la ciberseguridad, y organizaciones como INTERPOL, desde el comienzo de la pandemia de coronavirus se ha producido un alarmante aumento del número de ciberataques, que cada vez se centran más en objetivos institucionales como los sistemas de salud.
Aquí, el agua puede no ser una excepción sino una regla, por su condición de bien vital y su extendido uso en sectores estratégicos como la industria o la agricultura. De hecho, cada vez es más necesario resguardar las redes de distribución de este recurso natural de posibles ciberataques, ya que el agua es un servicio cuya óptima distribución es indispensable para la población.
Para hacer frente a la ciberdelincuencia, es necesario que los sistemas de seguridad de las infraestructuras de agua se centren en identificar los posibles riesgos y aprender las lecciones de otros actores del sector con experiencia en ciberseguridad. Pero también es recomendable desarrollar una capacidad de simulación de ataques que permita responder a las amenazas y estar un paso por delante de los hackers.
Colaboración entre actores
En este punto, es clave la colaboración entre los diferentes actores que gestionan el ciclo integral del agua urbana para que, mediante el intercambio de información y la concienciación de los empleados, se evite el problema que pueden suponer los ciberataques. Según advierte Sergi Carmona, CISO de la Dirección de Seguridad de SUEZ en España, “compartir la información entre operadores del agua es esencial para prevenir ciberataques y ataques físicos en las infraestructuras críticas del agua”.
En concreto, Carmona considera que “para hacer frente a los más de 1.000 ataques que se suelen recibir en un día, es necesaria una inversión en seguridad integral que ayude a minimizar los riesgos de no estar protegidos”. Sobre todo porque, además, la pandemia ha reforzado el teletrabajo y la gestión a distancia, por lo que la tendencia actual de digitalización hace que cualquier empresa sea más vulnerable a ataques de hackers.
Aunque existen técnicas para reforzar la seguridad de las compañías cuando los trabajadores no están conectados a una red local, como los portales o el doble factor de autenticación, lo más importante a la hora de prevenir ciberataques es potenciar la concienciación en los empleados.
Actualmente, según una investigación de la empresa de análisis de datos CybSafe, el 90% de las filtraciones de datos se deben a errores humanos, lo que significa que el desarrollo de competencias cibernéticas en el personal de cualquier empresa de agua es muy importante. Sobre todo, porque el modelo tradicional por capas ya no es suficiente para abordar una situación de teletrabajo y garantizar un nivel de seguridad que cumpla con las diferentes regulaciones y normativas.
De hecho, la Unión Europea ya está tomando medidas enérgicas para fortalecer las capacidades de ciberseguridad, actualizando la legislación en este ámbito con una nueva estrategia de ciberseguridad que se publicará a finales de 2020, además de invertir en investigación y desarrollo de capacidades en ciberseguridad y en la sensibilización de actores públicos y privados sobre nuevas ciberamenazas y tendencias.
Un proyecto europeo
Precisamente con el objetivo de evitar ciberataques surgió STOP-IT, un proyecto financiado por la UE en el marco del programa Horizon 2020 que cuenta con la colaboración de ocho socios de siete países europeos. Su objetivo es integrar los esfuerzos de múltiples entidades, entre las que están centros de investigación como SINTEF, Cetaqua o IWW y empresas de agua como Berliner Wasserbetriebe, Aigües de Barcelona o Mekorot, para mejorar la detección y prevención de este tipo de intrusismos virtuales en las infraestructuras críticas. Hasta ahora, han desarrollado decenas de herramientas que permiten comprobar el estado de la red en tiempo real o alertar de posibles ataques justo en el momento que se produzcan.
“En total, estamos desarrollando 30 tecnologías que integran capas cibernéticas y físicas de infraestructura, lo que permite a las empresas de agua evaluar el riesgo, simular escenarios y explorar cómo reaccionar”, explica Rita Ugarelli, coordinadora de STOP-IT y experta en ingeniería de aguas residuales, en la revista Global Water Intelligence Magazine. Estas tecnologías van desde cerraduras inteligentes y sensores para detectar la presencia de personal no autorizado en áreas críticas, hasta sistemas de monitoreo en tiempo real que alertan a los operadores sobre anomalías e incluso proponen acciones para mitigar el riesgo.
Aunque el proyecto STOP-IT no culminará hasta mayo de 2021, la importancia de los regímenes de formación y las tecnologías avanzadas que han desarrollado en los últimos tres años son ya una realidad. Eso sí, antes de que finalice oficialmente, sus gestores tendrán que desarrollar planes de negocio para que el sector del agua pueda aprovechar estas tecnologías y mitigar el riesgo de repetir brechas de ciberseguridad anteriores. Actualmente se están celebrando debates sobre patentes, propiedad intelectual y creación de empresas emergentes para llevar estos productos al mercado.
“Lo que hace que el sector del agua sea único en términos de ciberseguridad es que se está produciendo una rápida transformación digital que se suma al envejecimiento y el deterioro de una infraestructura que no está diseñada para hacer frente a las vulnerabilidades cibernéticas, por lo que la integración de la seguridad y la protección en el sector del agua es realmente urgente«, asegura Ugarelli. Es decir que, para poder aplicar medidas correctas de ciberseguridad a todos los niveles de la gestión del agua urbana, será necesaria una mayor inversión no solo en términos digitales, sino también de infraestructuras, algo que el sector del agua lleva tiempo reclamando.
