Asegurar la infraestructura crítica frente a las ciberamenazas: una llamada de atención para los sectores de la energía y los servicios públicos

En los últimos años, hemos visto cómo empresas de todo el mundo adoptan modelos operativos digitales, y las empresas de servicios públicos no son una excepción. Estas empresas nacionales que mantienen a flote la infraestructura crítica proporcionando agua, gas, electricidad y servicios de tratamiento de residuos están utilizando una plétora de diferentes sistemas, plataformas en línea y aplicaciones para gestionar sus negocios. Estos sistemas aportan una gran cantidad de beneficios, facilitan a los clientes el seguimiento de su uso y facturas en línea y la organización de los pagos, agilizan los modelos operativos y facilitan la estructuración de los procesos y la recopilación y el intercambio de datos en toda la organización. Pero esta dependencia de la infraestructura digital también ha aumentado el alcance de los ciberataques en el sector energético y ha proporcionado nuevos puntos de entrada.

Las recientes advertencias de la agencia de calificación crediticia Moody’s han arrojado luz sobre el elevado riesgo que las empresas de servicios públicos enfrentan por parte de los ciberatacantes que se dirigen a sus operaciones. Moody’s declaró que “los sectores de infraestructura crítica como la electricidad, el agua y otros servicios públicos tienen la mayor exposición al riesgo” debido a una “creciente dependencia de la digitalización”. Destacan que “no significa necesariamente que carezcan de fuertes defensas cibernéticas. Sin embargo, un ataque exitoso a sus activos y servicios puede tener consecuencias significativas” tanto para los hogares como para las empresas.

El sector de los servicios públicos se está digitalizando cada vez más a través de la introducción de contadores inteligentes, portales en línea y aplicaciones de software de terceros, lo que amplía la superficie de ataque para los ciberdelincuentes, ya que buscan infiltrarse en los sistemas, comprometer los datos e interrumpir los suministros. No se trata solo de los datos de los clientes que los hackers buscan robar y explotar, sino que también buscan atacar la tecnología operativa insegura para interrumpir el suministro, causando interrupciones generalizadas como cortes de energía y agua potable contaminada.

Lea nuestra entrada del blog sobre 10 formas de mejorar su ciberseguridad.

Los ciberataques a las empresas de agua están llegando a los titulares
El informe de Moody’s ha enviado un mensaje claro: los ciberataques a las empresas de agua han sido frecuentes y nadie es inmune. Los ataques recientes han afectado a actores conocidos que probablemente ya tienen una sólida postura de ciberseguridad. Recientemente, Southern Water, que abastece a más de 4 millones de clientes en el Reino Unido, declaró que el grupo de ransomware Black Basta afirmó haber accedido a sus sistemas y publicado una “cantidad limitada” de sus datos en la dark web. Además, Staffordshire Water emitió una disculpa después de que los hackers robaran datos personales relacionados con sus clientes, Moody’s estima que los costes relacionados con el hackeo, incluidas las posibles demandas civiles, podrían alcanzar los 10 millones de libras esterlinas. En Irlanda, 180 personas se quedaron sin agua cuando los hackers atacaron un sistema de bombeo de agua tomando el control de un sistema de control industrial mal protegido.

En Estados Unidos se enfrentan a problemas similares. En 2023, los hackers atacaron el sistema municipal de agua de Aliquippa y lograron cerrar una bomba en una línea de suministro que abastecía a más de 6.000 clientes. También se filtraron noticias de un incidente de ciberseguridad en Veolia North America, que suministra agua a la ciudad de Rahway en Nueva Jersey. Moody’s señaló que el uso de la inteligencia artificial (IA) podría acelerar aún más esta preocupante tendencia de ciberataques a los proveedores de servicios públicos.

Sin embargo, Moody’s advirtió que, aunque los ciberataques como las violaciones de datos tienen un impacto significativo en la privacidad y la reputación de los datos, “el mayor riesgo para el sector y la sociedad es si terceros malintencionados pueden acceder a los sistemas de tecnología operativa para dañar las instalaciones de tratamiento de agua potable o aguas residuales.” Estos sistemas a menudo se basan en tecnología operativa (OT) y equipos de control más antiguos que se crearon antes de Internet y que a menudo se han modernizado para el acceso remoto. Esto los hace más fáciles de hackear, ya que este equipo más antiguo carece de protocolos de ciberseguridad modernos. Si los suministros de agua potable se contaminan o se detienen por completo, esto puede causar un impacto significativo en la salud de la población y puede causar una amenaza para la vida, creando la máxima interrupción e impacto de estos ataques maliciosos.

¿Cómo están abordando los reguladores los desafíos de ciberseguridad que enfrentan las empresas de servicios públicos?
Reconociendo la criticidad de la situación, los proveedores de agua, los organismos gubernamentales y los reguladores han reconocido la necesidad de fortalecer las defensas cibernéticas. Ofwat, que regula el sector del agua en el Reino Unido, está evaluando planes para aumentar las facturas de 2025 a 2030 para cubrir los costes adicionales que permitan a las empresas de agua ofrecer un mejor servicio a los clientes y mejorar el medio ambiente, y parte de esto probablemente incluirá inversiones en ciberseguridad. Esta dirección llega en un momento en que la industria del agua se enfrenta a un escrutinio adicional por varios problemas, incluido el vertido de aguas residuales y la remuneración de los ejecutivos.

Tras los ciberataques al sector del agua, la Agencia de Protección Ambiental (EPA) está abogando por que las empresas de agua integren voluntariamente medidas cibernéticas fundamentales en sus procesos de planificación y operativos. El informe de ciberseguridad del sector del agua de la EPA sugiere una serie de controles que las empresas de agua pueden implementar para protegerse de los ataques de ransomware.

Los recientes cambios regulatorios han introducido nuevas regulaciones cibernéticas para las organizaciones que proporcionan Infraestructura Nacional Crítica (CNI), estas incluyen la Ley de Seguridad de las Telecomunicaciones introducida en 2021, DORA, la Ley de Resiliencia Operacional Digital que impactará a las organizaciones de servicios financieros y a sus proveedores de servicios de Tecnología de la Información y la Comunicación (TIC), y la directiva NIS 2.

Es esencial que las empresas de agua y otras en el sector de los servicios públicos reconozcan estas vulnerabilidades destacadas por los reguladores y tomen medidas proactivas para proteger sus operaciones y los datos de los clientes.

¿Qué pueden hacer las empresas de servicios públicos para reforzar las medidas de ciberseguridad?
Hay una serie de pasos que las empresas de servicios públicos pueden tomar para obtener visibilidad de las amenazas de ciberseguridad, fortalecer la infraestructura de TI y reducir el impacto cuando ocurren incidentes.

Por supuesto, hay provisiones técnicas que las empresas pueden tomar, como instalar actualizaciones y parches de seguridad, limitar el acceso a dispositivos y direcciones IP desconocidas y restringir el intercambio de datos entre dispositivos para reducir la superficie de ataque. Pero las empresas también deben identificar las ciberamenazas por adelantado e implementar controles para mitigarlas. Deben implementar políticas y capacitación estrictas en ciberseguridad, gestionar el cumplimiento de las regulaciones de privacidad de datos, implementar procesos para resolver los incidentes cibernéticos rápidamente y garantizar que todo el software, hardware y licencias estén actualizados y tengan las medidas de seguridad correctas.

Para ayudar a tomar el control de sus riesgos de ciberseguridad y proteger su infraestructura de TI, las empresas de servicios públicos deben implementar procedimientos de gobernanza estrictos, introducir un programa de gestión de riesgos cibernéticos de mejores prácticas, aplicar procedimientos de cumplimiento estrictos para garantizar la alineación con las leyes de privacidad de datos e implementar planes sólidos de continuidad del negocio.

Las últimas soluciones de tecnología GRC pueden formalizar estos procedimientos. El software permite a las empresas gestionar todos los aspectos del riesgo y el cumplimiento de TI en una plataforma centralizada y ofrece las siguientes capacidades:

Gestión de riesgos: Los equipos pueden crear un registro de riesgos cibernéticos para capturar los riesgos digitales, crear formularios de evaluación de riesgos en línea personalizados y establecer controles y realizar pruebas de control.
Cumplimiento: Las organizaciones pueden crear una biblioteca de obligaciones de cumplimiento para gestionar los requisitos regulatorios relacionados con la privacidad de los datos y la ciberseguridad. Pueden implementar procedimientos estrictos de gobernanza y flujos de trabajo de gestión de políticas, gestionar el cambio regulatorio y acceder a marcos listos para usar para alinear los procesos con los requisitos de privacidad de datos como GDPR, ISO 27001 y la directiva NIS.
Gestión de riesgos de terceros: Las empresas pueden crear una biblioteca de proveedores en línea, lo que facilita la gestión y el seguimiento de las relaciones con los proveedores y la comprensión de los riesgos que plantean. Pueden implementar evaluaciones de riesgos de proveedores, agilizar el proceso de evaluación comparativa de proveedores e implementar el monitoreo automatizado de métricas clave como SLA, KPI y estándares de referencia de la industria.
Gestión de activos: Los registros de gestión de activos en línea permiten a los equipos realizar un seguimiento de la antigüedad y el uso del hardware, las licencias de software y los activos físicos, lo que garantiza que todos los equipos y licencias estén actualizados y sean adecuados para el trabajo. Los equipos pueden obtener una vista completa de los equipos y licencias obsoletos, lo que simplifica la planificación del presupuesto.
Gestión de políticas: Todas las políticas y procedimientos de TI se pueden gestionar de forma coherente y almacenar en un repositorio central en línea con flujos de trabajo para marcar las fechas de vencimiento y automatizar las firmas, los procesos de aprobación y las certificaciones.
Planificación estratégica: Cree una estrategia de TI, divida los objetivos de primer nivel en tareas, proyectos y acciones más pequeños que se pueden asignar en toda la organización para su finalización. A medida que se cumplen las tareas, se indica el progreso, lo que facilita ver cómo avanza la estrategia en todos los niveles del negocio.
Auditorías: Las empresas del sector de los servicios públicos están sujetas a una amplia variedad de auditorías, inspecciones y controles. Utilizando el software GRC, las organizaciones pueden programar y gestionar auditorías cibernéticas y formalizar los resultados y las acciones requeridas, proporcionando un historial completo de todas las auditorías y sus hallazgos y acciones pendientes.
BCM y resiliencia operativa: El software puede respaldar la creación de planes BCM, evaluaciones de impacto empresarial y modelado de procesos empresariales, lo que facilita la comprensión del impacto de un incidente en términos de coste, tiempo de inactividad y horas de trabajo perdidas, y los planes BCM se pueden activar en función de los incidentes registrados.

Descubra el software de gestión de riesgos de TI de Riskonnect.

Las empresas de servicios públicos deben actuar ahora para asegurar sus operaciones comerciales e infraestructura digital
Las recientes advertencias de Moody’s y la escalada de las ciberamenazas a las empresas de servicios públicos destacan la urgencia de priorizar la ciberseguridad. A medida que el sector se enfrenta a la necesidad de inversiones masivas en ciberseguridad, la protección de la infraestructura crítica es primordial.

En Riskonnect, entendemos la importancia de gestionar los riesgos cibernéticos de forma eficaz y garantizar el cumplimiento de la privacidad de los datos. Nuestra experiencia en gobernanza, riesgo y cumplimiento (GRC) de TI nos permite ofrecer soluciones a medida para abordar los desafíos específicos que enfrentan los sectores del agua y los servicios públicos.

Al colaborar con Riskonnect, las empresas de servicios públicos pueden adelantarse a las amenazas emergentes y garantizar la seguridad de su infraestructura crítica. Podemos apoyar a aquellos en el sector de los servicios públicos para gestionar y mitigar el riesgo cibernético al tiempo que garantizamos el cumplimiento de las regulaciones de privacidad de datos. Póngase en contacto con nosotros para obtener una demostración hoy mismo.

Asegurar la infraestructura crítica frente a las ciberamenazas: una llamada de atención para los sectores de la energía y los servicios públicos

Share This, Choose Your Platform!

Related Posts

Encuesta Riskonnect 2025: Las guerras comerciales, la inestabilidad política y los riesgos de la IA están aumentando más rápido de lo que las organizaciones pueden responder

6 maneras en que los CISO convierten el riesgo de los proveedores en una ventaja de innovación

Las cifras de la OAIC muestran que las filtraciones de datos en Australia están en aumento