Por qué la ciberseguridad se ha convertido en una prioridad estratégica en el sector Saneamiento

Impulsadas por la transformación digital, las empresas de saneamiento en Brasil incorporan cada vez más tecnologías inteligentes, desde sensores remotos y sistemas de telemetría hasta plataformas de automatización integradas, para optimizar sus operaciones y reducir las pérdidas. El problema es que este avance amplifica la superficie del ciberataque, y una industria que ha sido cada vez más atacada por delincuentes puede estar expuesta a incursiones de piratería.

El resultado es que la ciberseguridad ya no se considera una cuestión puramente técnica de TI, sino una prioridad estratégica en las empresas de agua y alcantarillado. Las empresas de agua ahora se enfrentan a sofisticadas amenazas cibernéticas, a menudo dirigidas a derribar o manipular sistemas de bombeo, tratamiento o control de calidad.  

Infraestructura crítica a la vista: los ciberataques van en aumento

Las estadísticas confirman una escalada global de ciberataques contra empresas de servicios esenciales, incluido el saneamiento. Según una investigación de Check Point, solo en 2025 los sectores de energía y servicios públicos sufrieron un promedio de 1.872 intentos de ataque por semana por organización en el mundo, un aumento de 53% en comparación con el mismo período del año anterior.  

En Brasil, el sector de servicios públicos registró alrededor de 3.059 intentos de ataque semanales por organización entre septiembre de 2024 y febrero de 2025. Una de las razones es el atractivo estratégico de este tipo de infraestructura: los delincuentes prefieren objetivos que puedan causar perturbaciones y pérdidas masivas porque saben que la sociedad requerirá soluciones rápidas y que a menudo se traduce en el pago de rescates para restablecer los servicios.

Muchas empresas de agua, especialmente aquellas que atienden a poblaciones pequeñas o medianas, operan con sistemas de control heredados que nunca fueron diseñados para abordar el panorama actual de amenazas cibernéticas. Las redes SCADA, los controladores lógicos programables (PLC) y las puertas de enlace de acceso remoto a menudo carecen de controles de seguridad básicos, como comunicación cifrada o mecanismos de autenticación robustos.  

Las actualizaciones y correcciones de seguridad son poco frecuentes o inviables debido a la necesidad de mantener los sistemas en funcionamiento y por razones de compatibilidad. A la luz de esta realidad, las evaluaciones de riesgos y auditorías de sistemas específicas de la industria se vuelven esenciales para comprender y mitigar las vulnerabilidades.

Impactos reales: interrupción del servicio, contaminación y daño a la reputación

Lejos de ser riesgos teóricos, los ciberataques contra los sistemas de saneamiento ya han provocado efectos concretos. Un caso emblemático ocurrió en febrero de 2021 en la ciudad de Oldsmar, Florida (EE.UU.), cuando un atacante obtuvo acceso remoto al sistema de tratamiento de agua y trató de aumentar drásticamente la dosis de hidróxido de sodio (sosa cáustica) en el agua potable de 100 partes por millón a 11.000 ppm.  

Si el equipo no lo hubiera detectado rápidamente, este cambio habría envenenado el agua distribuida, provocando irritación severa, daño a los pulmones e incluso riesgo de ceguera en la población. Afortunadamente, las autoridades notaron el cambio en el tiempo y revirtieron el ajuste antes de que el agua contaminada llegara a los grifos.  

Los ciberataques también pueden interrumpir por completo el servicio de agua o dificultar su funcionamiento, incluso sin causar contaminación. En el Reino Unido, en agosto de 2022, la empresa South Staffordshire Water, que abastece a una red de más de 1,6 millones de personas, sufrió un ataque de ransomware que afectó a su Sistemas informáticos. Los delincuentes afirmaron haber accedido también a la red OT, incluidos los sistemas de seguimiento de los niveles químicos de agua.

Aunque el ataque no provocó una falta inmediata de agua, el tiempo de respuesta consumido y la incertidumbre generada fueron extremadamente perjudiciales. Las situaciones implican, por tanto, gastos operativos adicionales, movilización de equipos de emergencia y un temblor en la confianza de los consumidores. La percepción pública de que los “hackers invadieron el agua” puede manchar la reputación de una empresa de servicios públicos durante años.

Estrategias de defensa

Para proteger sus operaciones, las empresas han adoptado estrategias avanzadas de ciberseguridad. Uno de los enfoques más efectivos es la arquitectura Zero Trust, que supone que no hay acceso de usuarios, dispositivos o aplicaciones y se debe confiar en 'DE de forma predeterminada, incluso si ya está dentro de la red.

Otro pilar es la segmentación entre redes TI (tecnología de la información) y OT (tecnología operativa). Separar los entornos industriales del resto de la estructura corporativa dificulta significativamente la propagación de ataques.  

En muchos casos, sin embargo, las empresas necesitan hacer un análisis más profundo de la infraestructura, que incluye inventario y clasificación de activos y revisión de la arquitectura de la red. A partir de esto, es posible, además de optar por tecnologías más avanzadas, realizar modelos de amenazas para entornos OT y la elaboración de planes de respuesta a incidentes. Expertos externos con experiencia específica en sistemas industriales pueden ofrecer estos servicios sin comprometer la continuidad operativa.

El sector de agua y alcantarillado juega un papel único en la infraestructura nacional: es esencial para la salud pública, altamente descentralizado y opera con un ecosistema tecnológico tan diverso como complejo. Ante las ciberamenazas en constante evolución, es fundamental que este sector madure también su enfoque de la seguridad digital. La experiencia técnica independiente, antes vista como un apoyo complementario, hoy se consolida como un elemento indispensable para asegurar la continuidad de los servicios, preservar la confianza de la población y mantener la resiliencia operativa frente a riesgos cada vez más sofisticados.

Por Eduardo Gomes, director de ciberseguridad de TUV Rheinland