CIBERSEGURIDAD DE LAS OBRAS HIDRÁULICAS

Ciberseguridad Tabla de contenidos Enlaces rápidos:

• • Incidentes de ciberseguridad que afectan a la industria del agua
  • Respuesta a un incidente de ciberseguridad
  • Evaluación de la ciberseguridad
  • Implementación de controles de ciberseguridad
  • Recursos adicionales de ciberseguridad
  • Resultados de la encuesta de ciberseguridad y gestión de emergencias

La Oficina de Agua Potable recomienda encarecidamente a las empresas hidráulicas que evalúen sus prácticas de ciberseguridad e implementen controles de ciberseguridad adecuados a las tecnologías que utilizan.  Para una empresa hidráulica nueva en ciberseguridad, la simple implementación de prácticas básicas de ciberseguridad puede reducir en gran medida su exposición a ataques cibernéticos que pueden amenazar su sistema de agua, software de facturación/financiero u otros sistemas críticos.  Algunos ejemplos de prácticas básicas de ciberseguridad son el uso de software antivirus y malware, la actualización periódica del software, el establecimiento de contraseñas seguras, la utilización de la autenticación multifactor, la realización de copias de seguridad de los datos con regularidad, la realización de formación en materia de ciberseguridad y la protección de las redes inalámbricas.  Para garantizar la implementación de prácticas de ciberseguridad, las obras hidráulicas deben designar un líder de ciberseguridad para la organización.

Incidentes de ciberseguridad que afectan a la industria del agua

• SonicWall publica un aviso luego de un incidente de ciberseguridad (septiembre de 2025)

  Esta alerta está destinada a los sistemas de agua y aguas residuales que emplean firewalls SonicWall, especialmente aquellos con archivos de preferencias respaldados en MySonicWall.com. La alerta proporciona pasos de corrección para ayudar a los clientes a determinar su vulnerabilidad y describe las acciones que se deben tomar si se ven afectados. En general, el exploit no debe implicar directamente a los sistemas OT y, como tal, no comprometería la capacidad de una compañía de agua para proporcionar agua limpia y segura. Vea el pdf de la EPA aquí.

• Identificar y mitigar el posible compromiso de los dispositivos Cisco (septiembre de 2025)

  Esta alerta tiene como objetivo informar a los sistemas de agua y aguas residuales sobre una campaña de explotación en curso por parte de un actor de amenazas avanzado dirigido a Cisco Adaptive Security Appliances (ASA). La alerta enlaza con la Directiva de Emergencia publicada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que proporciona una guía detallada paso a paso y recursos para ayudar a implementar cada mitigación. Si bien la Directiva de Emergencia está dirigida a las agencias federales, la EPA recomienda que los sistemas de agua y aguas residuales la revisen y sigan los pasos de mitigación según corresponda. Actualmente, no hay indicios de que esta vulnerabilidad implique directamente a los sistemas de OT y no comprometa la capacidad de una compañía de agua para proporcionar agua limpia y segura, de ahí la designación de nivel medio. Vea el pdf de la EPA aquí.

• Vulnerabilidades de Microsoft SharePoint (julio de 2025)

  La EPA de EE. UU. está emitiendo esta alerta para informar a los propietarios y operadores de sistemas de agua y aguas residuales sobre la necesidad de una mayor vigilancia en torno al uso de Microsoft SharePoint.  Si bien se siguen evaluando el alcance y el impacto, la cadena, reportada públicamente como "ToolShell", proporciona acceso no autenticado a los sistemas y acceso autenticado a través de la suplantación de identidad, respectivamente, y permite a los actores maliciosos acceder completamente al contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red.  Vea una actualización completa sobre este comunicado en la sitio web de CISA.

• El conflicto de Irán aumenta la probabilidad de ataques cibernéticos de bajo nivel contra las redes de EE. UU. (julio de 2025)

  La EPA de EE. UU. está emitiendo esta alerta para informar a los propietarios y operadores de sistemas de agua y aguas residuales sobre la necesidad de una mayor vigilancia ante posibles actividades cibernéticas en los Estados Unidos debido al entorno geopolítico actual. Puede encontrar más información aquí.

• Incidentes cibernéticos que involucran el software Cityworks (julio de 2025)

  La EPA emite esta alerta para informar a los propietarios y operadores de sistemas de agua y aguas residuales sobre incidentes cibernéticos que involucran al software Cityworks. La plataforma Cityworks (propiedad de Trimble) es ampliamente utilizada por municipios estatales, locales, tribales y territoriales, incluidos los sistemas de agua y aguas residuales.  Lea más sobre esta alerta aquí.

Respuesta a un incidente de ciberseguridad

Si una planta de tratamiento de agua sufre un incidente de ciberseguridad, ODW recomienda que la planta haga lo siguiente:

• Informe al Equipo de Inteligencia Cibernética del Centro de Fusión de Virginia sobre el incidente a través de su Formulario de Incidente Cibernético. El Código de Virginia exige que los organismos públicos informen de los incidentes cibernéticos al Centro de Fusión de Virginia.

• Comuníquese con la oficina regional de ODW para informarles sobre el incidente. La información de contacto está disponible aquí.
• Informar a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del incidente a través de su Sistema de Reporte de Incidentes.

Es posible que Waterworks desee utilizar la Hoja informativa de informes de incidentes cibernéticos de la EPA para ayudar en sus esfuerzos por informar incidentes cibernéticos al gobierno federal.

Evaluación de la ciberseguridad

Las empresas hidráulicas deben evaluar de forma rutinaria sus medidas de ciberseguridad existentes para determinar dónde se necesitan controles adicionales para abordar las vulnerabilidades.  También se debe realizar una evaluación de ciberseguridad cuando se implementan nuevos sistemas de control de supervisión y adquisición de datos (SCADA), software de facturación/financiero u otras tecnologías que están sujetas a ataques cibernéticos y son críticas para las obras hidráulicas.

Para las obras hidráulicas que deseen realizar una autoevaluación de ciberseguridad, la Asociación Estadounidense de Obras Hidráulicas (AWWA) ha desarrollado una herramienta de evaluación para evaluar cómo las empresas de servicios públicos están utilizando diversas tecnologías y generar una lista personalizada y priorizada de controles que son más aplicables a las aplicaciones tecnológicas de las empresas de servicios públicos.  La AWWA también ha desarrollado una Guía de Sistemas Pequeños para ayudar a las pequeñas empresas rurales de servicios públicos a mejorar sus prácticas de ciberseguridad.  Puede encontrar más información sobre los recursos de ciberseguridad de AWWA en https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance

Para las obras hidráulicas que buscan asistencia para realizar una evaluación de seguridad cibernética, la Agencia de Protección Ambiental de EE. UU. (EPA) ofrece evaluaciones de seguridad cibernética gratuitas para las obras hidráulicas a través de su Programa de Evaluación de Ciberseguridad del Sector del Agua.  Este programa llevará a cabo una evaluación de seguridad cibernética utilizando la lista de verificación de la EPA en su guía sobre la evaluación de la seguridad cibernética en las encuestas sanitarias de PWS, y desarrollará un plan de mitigación de riesgos que identifique los controles de seguridad cibernética recomendados.  Para obtener esta asistencia de la EPA, complete el formulario de solicitud del Programa de Evaluación de Ciberseguridad del Sector del Agua de la EPA aquí.

Otros recursos

• Herramienta de Evaluación de Ciberseguridad del Agua y Plan de Mitigación de Riesgos de la USEPA - Este formulario de 33preguntas está diseñado para ser completado por personas moderadamente conocedoras de la informática sin experiencia en IT. Además de servir como una evaluación de seguridad cibernética dirigida a elementos que la EPA considera prioritarios, esta herramienta también ayuda al desarrollo de planes de mitigación de riesgos para abordar las brechas identificadas por la evaluación.
• CIS RAM v2.1 para CIS Critical Security Controls v8 y NIST Cybersecurity Framework v1.1 son herramientas de evaluación adicionales utilizadas por la industria de la ciberseguridad con aplicaciones más allá de los sistemas de agua potable. Estas herramientas requieren un grado mucho mayor de experiencia en tecnología de la información que la Herramienta de Evaluación AWWA o la Herramienta de Evaluación de Ciberseguridad del Agua y el Plan de Mitigación de Riesgos de la USEPA.
• EPA - Ciberseguridad de la EPA para el sector del agua | Agencia de Protección Ambiental de EE. UU.
• Ciberseguridad y orientación de AWWA | Asociación Americana de Obras Hidráulicas (awwa.org)
• Página de inicio de CISA | CISA - Alertas y Avisos de Ciberseguridad de CISA
• Herramientas WaterISAC | AguaISAC
• Ciberseguridad del NIST | NIST
• Laboratorio Nacional de Idaho Protección de Infraestructuras Críticas - Laboratorio Nacional de Idaho (inl.gov)
• MS-ISAC - MS-ISAC (cisecurity.org)

Implementación de controles de ciberseguridad

Recursos adicionales de ciberseguridad

Lista de verificación de acción ante incidentes de la EPA : la EPA proporciona una lista de verificación de acciones para prepararse para un incidente cibernético, para responder a un incidente cibernético y para recuperarse de un incidente cibernético.

Guía de participación del sector de agua y aguas residuales del Virginia Fusion Center - Guía y recursos de ciberseguridad para el sector del agua y las aguas residuales

Resultados de la encuesta de ciberseguridad y gestión de emergencias

La Oficina de Agua Potable envió una encuesta sobre ciberseguridad y gestión de emergencias a todas las obras hidráulicas. Más de 660 obras hidráulicas respondieron. Los resultados clave de la encuesta se pueden encontrar aquí.