Participamos en el webinar de Incibe y el Catalan Water Partnership hablando de ciberseguridad en el sector del agua

Recientemente hemos participado en el webinar «Experiencias en detección y respuesta a amenazas de ciberseguridad en el sector del agua«, celebrado el pasado viernes 27 de marzo organizado por la Cátedra INCIBE de Digitalización y Ciberseguridad Hídrica de la Universidad de Girona, con apoyo del Catalan Water Partnership.

En esta tercera y última sesión del ciclo se centró en la detección y respuesta ante amenazas de ciberseguridad en el sector del agua, completando las dos sesiones previas, orientadas respectivamente a aspectos generales y al marco normativo. El enfoque de esta sesión fue eminentemente práctico: compartir experiencias reales, protocolos de actuación y lecciones aprendidas en organizaciones del sector.

Contexto y enfoque de la sesión «Experiencias en detección y respuesta a amenazas de ciberseguridad en el sector del agua»

Se subrayó que el sector del agua es un servicio esencial y una infraestructura crítica, por lo que la continuidad operativa, la resiliencia y la capacidad de respuesta ante incidentes deben considerarse prioridades estratégicas. La jornada reunió a perfiles técnicos y responsables de sistemas que expusieron tanto enfoques metodológicos como casos reales sufridos en sus organizaciones.

Principales ideas expuestas:

1. La convergencia IT/OT aumenta la superficie de exposición

Francisco Javier Sánchez, de Neótica 6, puso el foco en la creciente interconexión entre los entornos IT y OT, tradicionalmente separados. Explicó que esta convergencia mejora la eficiencia operativa, pero también facilita que una amenaza pueda desplazarse desde sistemas corporativos hacia sistemas industriales, o viceversa.
La conclusión principal fue que ya no basta con confiar en el aislamiento tradicional: es imprescindible una monitorización continua de ambos entornos para detectar comportamientos anómalos y reducir el tiempo de respuesta.

2. La monitorización 24×7 y la IA son ya elementos clave

Se destacó la necesidad de contar con servicios de operación de ciberseguridad capaces de vigilar de forma ininterrumpida el tráfico, los eventos y los logs de sistemas industriales y corporativos. En este punto, se remarcó el papel de la inteligencia artificial como apoyo imprescindible para procesar grandes volúmenes de información, identificar patrones sospechosos y reducir la saturación de alertas.
El mensaje fue claro: lo que no se conoce ni se monitoriza, no se puede proteger.

3. La resiliencia depende de la capacidad de detectar y responder rápido

Se insistió en que dos métricas deben guiar cualquier estrategia de ciberseguridad:

el tiempo de detección de una amenaza,
y el tiempo de respuesta o contención.

Reducir ambos indicadores es esencial para minimizar el impacto operativo. El objetivo final no es solo “evitar el ataque”, sino asegurar que el incidente no provoque una interrupción significativa del servicio al usuario final.

Casos prácticos compartidos
Sabemsa: recuperación tras ransomware y evolución de la infraestructura

Francisco Joyas expuso la experiencia de Sabemsa tras sufrir en 2019 un ataque de ransomware Ryuk, que afectó a servidores críticos y parte de la red corporativa. La respuesta permitió recuperar la operativa gracias a copias de seguridad recientes, pero el incidente evidenció debilidades importantes: sistemas obsoletos, versiones antiguas de Windows y una infraestructura poco preparada.

A partir de ese punto, la organización impulsó varias mejoras:

• Migración progresiva a sistemas actualizados.
• Virtualización de servidores.
• Traslado del correo a Microsoft 365 con doble factor de autenticación.
• Despliegue de protección avanzada con Sophos MDR 24/7.
• Refuerzo del sistema de copias de seguridad, incluyendo NAS local, copias cifradas en la nube y soportes externos.

También compartió un segundo incidente más reciente, vinculado a un servidor expuesto con un puerto abierto, donde la detección temprana y la virtualización permitieron aislar la amenaza y restaurar el servicio en pocos minutos. Su principal conclusión fue que la virtualización y las copias bien diseñadas reducen drásticamente los tiempos de recuperación.

Aigües de Vic: detección temprana y gestión ordenada del incidente

Paul Parés presentó la experiencia de Aigües de Vic desde una perspectiva muy estructurada, diferenciando entre acción preventiva y reacción organizada. Señaló varios vectores de riesgo frecuentes:

accesos de terceros olvidados o mal controlados,
activos no inventariados o “shadow IT”,
dispositivos OT desactualizados,
conexiones internas que actúan como pasillos de propagación.

Explicó que sus principales herramientas de detección son:

• Un SIEM como núcleo de visibilidad.
• Un EDR para supervisión en tiempo real de endpoints y servidores.
• La protección perimetral mediante firewall
• Sistemas de seguridad de correo para frenar phishing y ataques de tipo man in the middle.

En su caso real, detectaron una intrusión vinculada a una vulnerabilidad en un firewall recientemente adquirido y actualizado. Gracias a las alertas, al aislamiento rápido de sedes y a la coordinación con proveedores y especialistas, pudieron contener el incidente antes de que derivara en un impacto mayor. Como enseñanza, remarcó que la seguridad debe implantarse con criterio y sin bloquear innecesariamente la operativa, priorizando la formación de los usuarios por encima de la prohibición constante.

Depuradores d’Osona: varios incidentes y necesidad de cultura de seguridad

Jordi Viñas aportó una visión especialmente útil por la diversidad de incidentes vividos en su organización. Compartió tres casos:

un cifrado de sistema tras una conexión remota sin VPN desde una red Wi-Fi pública,
la explotación de una vulnerabilidad en radioenlaces no actualizados,
y la intrusión en un firewall durante su propia fase de configuración, aprovechando una vulnerabilidad conocida.

Su intervención dejó dos mensajes importantes. El primero: los ataques no siempre se producen por grandes fallos tecnológicos, sino muchas veces por carencias básicas de control, acceso, actualización o procedimiento.

El segundo: la ciberseguridad no es solo tecnología, sino sobre todo un cambio cultural, que exige documentación, disciplina operativa, revisión continua y concienciación del personal.

También vinculó estas necesidades con el marco de cumplimiento que traerán la NIS2 y el ENS, como guías para estructurar controles, responsabilidades y auditorías.

Intervención de Francisco Javier Sánchez CEO de Neotica Ciberseguridad en el webinar «Uso sostenible del agua en Cataluña»

La ponencia de Francisco Javier Sánchez se centró en la detección temprana de amenazas y la monitorización en entornos híbridos IT/OT, con especial foco en infraestructuras críticas como el sector del agua.

1. El agua como infraestructura crítica (NIS2)

Se destacó que el sector del agua está catalogado como infraestructura crítica bajo la directiva NIS2, lo que implica mayores exigencias en protección, resiliencia y continuidad operativa. La ciberseguridad pasa a ser un elemento estratégico para garantizar el servicio.

2. Desafío principal: convergencia IT/OT

El mayor reto identificado es la integración progresiva entre entornos IT (corporativos) y OT (industriales):

• Históricamente aislados, los sistemas OT (SCADA, PLCs) ahora se conectan con sistemas IT.
• Esta convergencia incrementa la superficie de ataque.
• Un incidente en IT puede propagarse a OT (y viceversa), afectando directamente a la operación.

3. Necesidad de monitorización continua (SOC 24×7)

Se subrayó que la única forma efectiva de protección es la monitorización continua de toda la infraestructura:

• Análisis de tráfico y eventos en tiempo real.
• Identificación de comportamientos anómalos (no solo firmas conocidas).
• Cobertura tanto en IT como en OT.

Principios clave:

“Lo que no se monitoriza, no se puede proteger.”

4. Rol crítico de la inteligencia artificial

La IA se posiciona como habilitador clave para:

• Procesar grandes volúmenes de logs (imposible manualmente).
• Detectar patrones anómalos.
• Reducir la fatiga por exceso de alertas.
• Automatizar respuestas (bloqueo en tiempo real).

5. Capacidades mínimas de un SOC eficaz

Un servicio de operaciones de ciberseguridad debe incluir:

• Monitorización continua.
• Detección avanzada (basada en comportamiento).
• Respuesta rápida y automatizada.
• Capacidad de análisis forense posterior.

6. Métricas clave de ciberseguridad

Se destacaron dos indicadores críticos:

– Tiempo de detección (MTTD)
– Tiempo de respuesta (MTTR)

La mejora continua debe orientarse a reducir ambos valores.

7. Buenas prácticas en entornos IT/OT

1. Segmentación de redes (sustituyendo el aislamiento físico tradicional).
2. Monitorización pasiva en OT para evitar interferencias.
3. Formación y concienciación del personal como elemento transversal

Conclusiones generales del webinar

La sesión dejó varias conclusiones comunes entre todos los ponentes:

1. El sector del agua debe asumir que será un objetivo permanente por su carácter crítico.
2. La separación tradicional entre OT e IT ya no garantiza protección suficiente.
3. La detección temprana exige visibilidad, monitorización continua y herramientas especializadas.
4. La ciberseguridad efectiva combina tecnología, procedimientos, formación y capacidad de recuperación.
5. Las copias de seguridad, la segmentación de redes, la virtualización y la supervisión 24×7 son pilares básicos de resiliencia.
6. No existe el riesgo cero; por ello, compartir incidentes y aprendizajes entre organizaciones aporta un valor real al sector.

La intervención concluyó que la ciberseguridad en el sector del agua debe evolucionar hacia un modelo basado en visibilidad total, monitorización continua y respuesta automatizada, donde la IA y los SOC juegan un papel central para garantizar la resiliencia operativa frente a amenazas cada vez más sofisticadas. Si no pudiste asistir al webinar ponte en contacto con nuestros técnicos especializados en Ciberseguridad para el sector del agua para que puedan resolver todas vuestras inquietudes.