Ultima revision
2 de julio de 2026
Fuente
NIST CSRC News
Cuando falla un banco, saltan las alarmas. Cuando falla un hospital, hay titulares inmediatos. Cuando falla una planta de agua, el problema tarda un poco mas en hacerse visible, pero puede golpear a una ciudad entera. A estas alturas de 2026, que NIST haya decidido dedicar una pieza especifica a la ciberseguridad del sector de agua y aguas residuales no es una nota de color. Es una senal bastante clara de que uno de los eslabones mas fragiles de la infraestructura critica sigue necesitando que alguien le recuerde lo obvio.
La novedad publicada por el NIST Cybersecurity Resource Center este año, bajo el titulo Cybersecurity for the Water and Wastewater Sector, importa por una razon sencilla: el agua ha dejado de ser un asunto sectorial. Es seguridad nacional, continuidad operativa, salud publica y, cada vez mas, cumplimiento normativo. Y si alguien todavia piensa que esto va solo de proteger estaciones de bombeo o sistemas SCADA veteranos, va tarde. El problema real esta en la mezcla: tecnologia operativa antigua, conectividad creciente, proveedores remotos, credenciales mal gobernadas y una cultura historicamente mas centrada en la disponibilidad fisica que en la resistencia digital.
La pieza de NIST no llega en el vacio. Llega despues de años de avisos, de incidentes muy concretos y de un endurecimiento regulatorio que ya no permite tratar la ciberseguridad industrial como un asunto de segunda division. En Europa, NIS2 mete de lleno a los sectores de agua potable y aguas residuales dentro del perimetro de entidades esenciales o importantes, segun el caso, con obligaciones de gestion de riesgos y notificacion de incidentes en sus arts. 21 y 23. En Estados Unidos, el debate ha oscilado entre guias, intentos regulatorios y litigios sobre el alcance de la autoridad federal. Lo interesante de la salida de NIST no es solo el mensaje tecnico. Es el reconocimiento institucional de que el sector sigue necesitando traduccion practica: convertir marcos generales de ciberseguridad en decisiones operativas para instalaciones que no pueden permitirse apagar y reiniciar como si fueran una aplicacion SaaS.
Hay comunicados que solo reciclan doctrina. Este no deberia leerse asi. Cuando NIST publica una noticia centrada en agua y saneamiento desde su CSRC, el subtexto es claro: el problema persiste y la adopcion de buenas practicas sigue siendo demasiado desigual. NIST lleva tiempo promoviendo enfoques basados en riesgo, y desde la actualizacion a NIST CSF 2.0 en febrero de 2024 el mensaje se volvio aun mas util para sectores industriales: gobernanza arriba, controles abajo y menos religion de checklist.
CSF 2.0 incorporo una funcion de Govern que antes no existia como tal. Parece un ajuste de arquitectura del framework, pero para el sector del agua cambia bastante la conversacion. Ya no basta con tener medidas tecnicas desperdigadas entre OT, IT y proveedores. Hay que demostrar que la direccion entiende que una mala decision sobre acceso remoto, segmentacion o soporte de equipos puede traducirse en interrupciones de suministro, afectacion a la calidad del agua o incumplimientos de seguridad. En sectores maduros esto ya suena a minimos. En agua, en demasiados casos, sigue siendo trabajo en curso.
La utilidad del mensaje de NIST esta precisamente en eso: no presupone una madurez que el sector no tiene de forma uniforme. Muchas utilities pequenas y medianas operan con presupuestos limitados, plantillas cortas y equipos industriales desplegados durante decadas. Algunas dependen de integradores externos para tareas basicas de mantenimiento. Otras siguen usando conexiones remotas heredadas, software sin soporte o inventarios incompletos de activos. Hablarles de zero trust sin haber resuelto antes quien se conecta, desde donde y con que privilegios es un poco como recomendar alta cocina en una cocina sin agua corriente. Conceptualmente elegante, operativamente inutil.
Quien piense que este sector solo interesa a los reguladores porque queda bien en las estrategias nacionales deberia revisar la hemeroteca. El episodio de Oldsmar, en Florida, detectado en 2021, se convirtio en el ejemplo mas citado porque era pedagogico hasta el extremo: acceso remoto comprometido y manipulacion de parametros quimicos. El ataque no acabo en desastre porque un operador vio en pantalla movimientos no autorizados y actuo a tiempo. En otras palabras, la barrera final fue un humano atento. Mejor eso que nada, desde luego, pero no parece la arquitectura de defensa ideal para un servicio esencial.
En 2023 y 2024, varias agencias estadounidenses, entre ellas EPA, FBI y CISA, alertaron sobre la exposicion de sistemas de agua a grupos vinculados a estados y a actores oportunistas que explotaban tecnologia OT conectada, interfaces HMI accesibles y credenciales por defecto. Uno de los nombres que mas aparecio fue el de Volt Typhoon, atribuido por autoridades estadounidenses a la Republica Popular China, con tecnicas de living-off-the-land y foco en infraestructura critica. Que un actor de ese perfil tenga interes en utilities no significa necesariamente sabotaje inminente en cada caso. Significa algo mas inquietante: posicionamiento. Persistencia. Opciones abiertas para el dia en que alguien quiera convertir dependencia digital en palanca geopolitica.
El sector de agua y saneamiento tiene una caracteristica que lo hace especialmente atractivo: no siempre cuenta con la visibilidad y la inversion de otros verticales criticos, pero su interrupcion tiene efectos inmediatos en salud publica, industria, servicios municipales y confianza ciudadana. Una parada prolongada afecta abastecimiento, tratamiento, bombeo, vertidos y cumplimiento ambiental. Tambien puede activar una cascada regulatoria y reputacional. Si ademas hay datos personales implicados —por ejemplo, informacion de clientes, empleados o sistemas de facturacion— entran en juego obligaciones de privacidad. Es el tipo de incidente que demuestra lo artificial que resulta seguir separando IT, OT, continuidad de negocio y compliance en compartimentos estancos.
La superficie de ataque del sector no es misteriosa. Lo inquietante es que sigue siendo bastante predecible. Y cuando los problemas son previsibles, la indulgencia regulatoria dura cada vez menos.
El primer fallo recurrente es el inventario. Muchas organizaciones no pueden responder con precision a tres preguntas elementales: que activos OT tienen, que software corre en ellos y quien puede acceder. Sin esa base, cualquier programa de gestion de vulnerabilidades o segmentacion nace cojo. NIST SP 800-82 Rev. 3, publicada en 2023 como guia de seguridad para sistemas de control industrial, insiste justo ahi: conocer activos, comunicaciones y dependencias antes de imponer controles que puedan romper operaciones. Parece basico. Lo es. Y aun asi, en entornos industriales sigue sin estar universalmente resuelto.
El segundo problema es el acceso remoto. En agua y saneamiento, el soporte de terceros es casi estructural: fabricantes, integradores, contratistas de mantenimiento, proveedores de software, especialistas en PLC, operadores regionales. Cada acceso remoto mal delimitado es una puerta que alguien dejara abierta mas tiempo del debido. No hace falta una vulnerabilidad de pelicula; basta una VPN heredada, un escritorio remoto expuesto o credenciales compartidas entre turnos. La leccion que DORA ha intentado meter a martillazos en finanzas sobre terceros ICT tiene una traduccion obvia aqui, aunque no aplique directamente al sector del agua: si no gobiernas al proveedor, el proveedor te gobierna a ti.
La tercera grieta es la convivencia desordenada entre IT y OT. Durante años, la segregacion fisica servia como consuelo psicologico. Hoy no basta. Los datos fluyen a plataformas corporativas, cuadros de mando, sistemas cloud, herramientas de analitica, portales de mantenimiento y acceso remoto. Esa conectividad aporta eficiencia, claro. Tambien multiplica rutas laterales para un atacante. NIS2 art. 21 exige medidas tecnicas, operativas y organizativas apropiadas y proporcionales, incluyendo seguridad en redes y sistemas de informacion, gestion de incidentes, continuidad, cadena de suministro y uso de criptografia cuando proceda. Traducido al lenguaje de planta: segmentacion real, control de accesos, monitorizacion, backups probados y capacidad de operar degradadamente si la parte digital se tuerce.
La cuarta debilidad es cultural. No por falta de profesionalidad de los operadores, sino por prioridades historicas. En muchas utilities, la continuidad fisica y el cumplimiento ambiental han pesado tanto que la ciberseguridad se ha tratado como una capa adicional, no como condicion de operacion segura. Ese enfoque ya no se sostiene. Si un cambio malicioso en un sistema de dosificacion quimica puede alterar procesos, la ciberseguridad deja de ser un tema de “TI” para convertirse en seguridad del servicio.
Aunque la noticia nace en NIST y, por tanto, en el ecosistema estadounidense, el encaje europeo es directo. La Directiva (UE) 2022/2555, conocida como NIS2, incluye entre los sectores de alta criticidad el agua potable y las aguas residuales. No es un detalle administrativo. Es un cambio de estatuto regulatorio.
El art. 21 de NIS2 obliga a las entidades a adoptar medidas apropiadas y proporcionadas de gestion de riesgos de ciberseguridad. Entre ellas figuran analisis de riesgos, gestion de incidentes, continuidad de negocio, seguridad de la cadena de suministro, seguridad en adquisicion, desarrollo y mantenimiento de redes y sistemas, evaluacion de eficacia de medidas, higiene cibernetica basica, formacion, criptografia y autenticacion multifactor o soluciones equivalentes cuando proceda. No es una carta a los Reyes Magos. Es un menu de deberes.
El art. 23 fija la disciplina de notificacion de incidentes significativos: alerta temprana en 24 horas desde que se tenga conocimiento, notificacion del incidente en 72 horas y, en su caso, informe final en un mes. Para utilities con operaciones OT y escasa automatizacion de respuesta, ese reloj puede ser brutal. Si todavia dependes de llamadas, hojas Excel y una separacion confusa entre operadores, IT, legal y direccion, llegar a 24 horas con criterio y evidencias no es trivial.
El art. 20 introduce otro punto que muchos equipos tecnicos ya han comprendido y algunos consejos de administracion aun no: la responsabilidad de los organos de direccion. NIS2 exige que los directivos aprueben las medidas de gestion de riesgos, supervisen su aplicacion y reciban formacion. La epoca de derivar todo a “los de sistemas” se esta cerrando. Despacio en algunas jurisdicciones, pero se esta cerrando.
El problema practico, claro, es la transposicion y aplicacion nacional. A mediados de 2026, Europa sigue mostrando velocidades distintas. Algunas autoridades nacionales han avanzado mas en guias y esquemas de supervision; otras mantienen cierto terreno brumoso entre la letra de la directiva y la aplicacion real. Pero el mensaje para operadores de agua es identico en todos los paises: esperar a la ultima aclaracion formal para empezar a madurar controles es una mala idea. Y una mala coartada.
NIS2 obliga. NIST ayuda a aterrizar. Esa es la diferencia central.
Los textos regulatorios europeos son deliberadamente tecnologicamente neutrales. Tiene sentido: una directiva no va a decirte como segmentar una red de control entre una planta de tratamiento, una estacion de bombeo y el entorno corporativo. Para eso sirven guias tecnicas. Y aqui NIST sigue siendo util incluso fuera de Estados Unidos, porque dispone de un cuerpo de conocimiento muy reutilizable para sectores industriales.
NIST CSF 2.0 ofrece una estructura de gobierno y gestion del riesgo comprensible por ejecutivos y tecnicos. NIST SP 800-82 Rev. 3 entra en seguridad de ICS con bastante mas detalle operativo. NIST SP 800-61 Rev. 2, aunque veterana, sigue ayudando a pensar respuesta a incidentes. La combinacion permite hacer algo que muchos operadores necesitan desesperadamente: convertir obligaciones abstractas en controles secuenciados y defendibles.
Por ejemplo, si una utility quiere demostrar alineacion razonable con NIS2 art. 21, no le basta con afirmar que tiene firewall, antivirus y buena voluntad. Necesita poder evidenciar segmentacion entre IT y OT, acceso remoto controlado, inventario de activos, registro de cambios, capacidad de restauracion, procesos de gestion de terceros y ejercicios de respuesta. NIST no sustituye esa obligacion, pero si ofrece un idioma comun para construirla.
Hay un matiz adicional que merece atencion. CSF 2.0 pone mas peso en la gobernanza y la cadena de suministro. Eso encaja casi quirurgicamente con el sector del agua, donde las dependencias de terceros suelen ser altas y las asimetrias tecnicas enormes. Una utility pequeña puede depender de un fabricante para tocar un PLC critico; de un integrador para mantener comunicaciones; de un proveedor cloud para telemetria; y de una empresa externa para gestionar parte de su IT corporativa. El riesgo ya no vive dentro del perimetro tradicional. Vive en la suma de dependencias. El regulador europeo lo sabe. NIST tambien. Quien aun no lo asuma en el consejo de administracion esta pidiendo a gritos una sorpresa desagradable.
Hay una razon por la que el sector de agua va mas lento que otros en determinadas medidas. No es pereza. Es fisica operativa. Parchear, reiniciar o reconfigurar en OT puede tener impacto sobre procesos continuos, calidad del agua, cumplimiento ambiental o seguridad del personal. El viejo chiste de “aplica el parche el domingo por la noche” funciona peor cuando tu instalacion no cierra nunca.
Eso no convierte la inaccion en estrategia. Solo obliga a hacerlo bien. La gestion de vulnerabilidades en entornos de agua no puede copiar y pegar el manual de oficina. Requiere clasificar activos por criticidad de proceso, entender ventanas de mantenimiento, probar cambios en banco cuando sea posible y definir compensaciones cuando no se puede parchear de inmediato. Segmentar, limitar privilegios, desactivar servicios no necesarios, monitorizar trafico anomalo y reforzar accesos remotos puede reducir mucho riesgo incluso cuando el parche ideal debe esperar.
Esta tension explica por que tantos marcos hablan de enfoque basado en riesgo y tan pocas organizaciones lo ejecutan de verdad. Decir “basado en riesgo” es facil. Lo dificil es documentar por que una vulnerabilidad critica en un servidor HMI no se corrige hoy, que controles compensatorios aplicas, quien lo aprueba y cuando vuelves a revisarlo. Ahí es donde compliance deja de ser burocracia y se convierte en disciplina de supervivencia operativa.
La peor reaccion posible ante la pieza de NIST seria tratarla como lectura inspiracional. No lo es. Es una oportunidad para revisar prioridades con bastante mas concrecion.
Primero, inventario y clasificacion de activos. No un listado decorativo para auditorias, sino una relacion viva de PLC, RTU, HMI, estaciones de ingenieria, servidores historiadores, sistemas SCADA, comunicaciones, software, versiones, dependencias y propietarios. Si no puedes mapear que controla cada activo y que ocurriria si falla o se manipula, vas a ciegas.
Segundo, acceso remoto bajo disciplina estricta. Acceso nominal, temporal, justificado y trazable. MFA donde sea tecnicamente viable. Prohibicion de cuentas compartidas. Revision de proveedores con acceso persistente. Registro y monitorizacion de sesiones privilegiadas. Si una empresa externa necesita acceso permanente a una joya operativa, el problema no es la comodidad del proveedor: es tu modelo de riesgo.
Tercero, segmentacion con sentido industrial. No basta con separar “OT” de “IT” como si fueran dos continentes puros. Hay que definir zonas, conductos, servicios permitidos y rutas de administracion. Las plantas suelen acumular excepciones heredadas que convierten la segmentacion en ficcion. Revisarlas lleva tiempo, si. Tambien evita que un incidente de phishing en oficina termine curioseando en sistemas de control.
Cuarto, copias de seguridad y restauracion probada. La coletilla “probada” no es opcional. Muchos equipos descubren demasiado tarde que sus backups no capturan configuraciones completas de PLC, que restaurar un historiador lleva mas de lo previsto o que las dependencias de licencias y hardware convierten la recuperacion en un puzzle. La continuidad en OT no se demuestra con una politica PDF. Se demuestra restaurando.
Quinto, deteccion y respuesta adaptadas a OT. Las utilities no necesitan todas el mismo stack ni el mismo SOC, pero si necesitan visibilidad minima sobre lo que ocurre en redes de control, cambios de configuracion, conexiones remotas y actividad anomala. Y necesitan un playbook que responda a preguntas concretas: quien para una conexion, quien habla con el proveedor, quien decide operar en modo manual, quien notifica al regulador, quien preserva evidencias y quien evalua si hay impacto en calidad, disponibilidad o seguridad.
Sexto, gobierno. Si el consejo no recibe indicadores comprensibles sobre exposicion en terceros, activos sin soporte, accesos privilegiados, tiempo de restauracion y resultados de ejercicios, no esta supervisando nada. Esta esperando noticias.
Hay dos palabras que describen buena parte del riesgo del sector: legado y dependencia.
El legado tecnico es evidente. Sistemas desplegados hace 10, 15 o 20 años siguen sosteniendo procesos esenciales. Algunos no admiten MFA moderno. Otros requieren software desfasado. Algunos fabricantes limitan lo que puede tocarse sin perder soporte. El problema es conocido; la excusa, cada vez menos aceptable. No todo se puede sustituir ya, pero todo debe estar al menos catalogado, aislado y gobernado.
La dependencia de terceros es aun mas delicada. Integradores, OEMs, empresas de mantenimiento, proveedores de comunicaciones, software industrial y servicios cloud. En muchos casos, la utility no tiene capacidad interna para validar a fondo lo que hace cada proveedor en OT. De ahi que la madurez contractual y de supervision sea tan importante como el control tecnico.
Aqui el paralelismo con DORA vuelve a ser util, aunque el sector del agua no este sujeto a ese reglamento. DORA art. 28 y siguientes obligan al sector financiero a gestionar riesgo de terceros ICT con inventario, evaluacion precontractual, clausulas minimas, derechos de acceso, monitorizacion y estrategia de salida. El agua no tiene hoy ese texto exacto como ley sectorial paneuropea equivalente, pero la logica regulatoria va por el mismo camino: conocer dependencias, evaluar criticidad, exigir condiciones y no descubrir en mitad de una crisis que el proveedor clave no te da logs, no garantiza tiempos razonables o entra por una VPN que nadie revisa.
Hay otro error habitual: pensar que un incidente en agua sera solo “ciber”. En realidad, puede ser simultaneamente operativo, regulatorio y de privacidad.
Si el ataque afecta sistemas de clientes, facturacion o portales, puede activarse el GDPR. El art. 33 obliga a notificar una violacion de seguridad de los datos personales a la autoridad de control sin dilacion indebida y, de ser posible, no mas tarde de 72 horas desde que se tenga constancia, salvo que sea improbable que la violacion constituya un riesgo para los derechos y libertades de las personas fisicas. Si ademas el incidente compromete disponibilidad o integridad de servicios esenciales, entra NIS2 con su propio reloj. Si hay implicaciones para calidad del agua o seguridad de procesos, aparecen autoridades sectoriales y de salud publica. Y si hay vertidos o incumplimientos ambientales asociados a la interrupcion, la cadena se alarga.
En otras palabras: un mismo incidente puede activar varios marcos temporales y varios interlocutores. Esta es una de las razones por las que el mensaje de NIST deberia leerse tambien por responsables de compliance y legal, no solo por ingenieros de control. El equipo que solo ensaya la contencion tecnica se queda corto. Hay que ensayar la coordinacion institucional.
Si uno revisa la evolucion de los ultimos años, la tendencia es bastante clara. Los reguladores ya no se conforman con programas formales de ciberseguridad. Empiezan a mirar si las decisiones de gobierno, compras, arquitectura y terceros tienen coherencia con la criticidad del servicio. Esa exigencia pega especialmente fuerte en agua porque el sector arrastra una deuda historica de modernizacion desigual.
La publicacion de NIST este año tiene valor precisamente porque ayuda a empujar ese cambio de expectativa. Ya no vale decir “somos pequeños”, “nuestro entorno es especial” o “nunca nos ha pasado nada grave”. Lo primero puede ser verdad. Lo segundo tambien. Lo tercero suele ser una mezcla de suerte, falta de visibilidad o ambas.
Hay ademas un cambio geopolitico de fondo. La proteccion de infraestructura critica se ha convertido en una prioridad transversal para gobiernos y agencias. El agua encaja de lleno porque combina impacto civil inmediato, dependencia territorial y complejidad operativa. No hace falta imaginar escenarios hollywoodienses. Basta con pensar en degradacion de servicio, interrupciones parciales, manipulación de setpoints, indisponibilidad de telemetria o bloqueo de acceso remoto en una red de plantas dispersas. El daño no siempre sera espectacular. A veces sera simplemente persistente, caro y publicamente incomodo. Que, para un operador esencial, ya es bastante desastre.
Seamos honestos. NIST no ha descubierto de repente que el agua existe. Tampoco ha presentado una tecnologia milagrosa. Lo relevante es otra cosa: confirma que, en 2026, el sector sigue siendo lo bastante vulnerable y estrategicamente relevante como para requerir atencion especifica desde el principal escaparate federal de ciberseguridad tecnica de Estados Unidos.
Eso deberia incomodar un poco. Porque significa que los avisos previos no han bastado. Significa que la brecha entre lo que sabemos hacer y lo que muchas utilities realmente hacen sigue siendo amplia. Significa, tambien, que el debate ha dejado de ser academico. La ciberseguridad del agua ya no compite solo por presupuesto con otras prioridades tecnicas. Compite por credibilidad institucional.
La buena noticia es que el sector no parte de cero. Hay marcos utilizables, guias especificas, obligaciones regulatorias mas claras y experiencias acumuladas de incidentes y ejercicios. La mala noticia es que ninguna de esas herramientas sirve si la organizacion sigue tratandolas como una capa paralela a la operacion real.
Aqui esta el quid. La madurez en este sector no se medira por cuantos documentos cuelgan en el sistema de gestion, sino por cuantas decisiones dificiles se han tomado de verdad: restringir accesos de terceros aunque moleste, segmentar aunque complique proyectos, sustituir equipos sin soporte aunque duela al presupuesto, ensayar restauraciones aunque interrumpa agendas, formar a directivos aunque alguno ponga cara de que eso “es de IT”.
La pieza de NIST es, en el fondo, una advertencia formulada con modales institucionales. El agua y el saneamiento ya estan dentro del radar de seguridad nacional y regulatoria. Quien siga operando como si la ciberseguridad fuera un complemento, no una condicion del servicio, se expone a algo peor que una observacion de auditoria: descubrirlo en plena crisis.
En los proximos meses, merece la pena seguir tres frentes. El primero es la evolucion de guias practicas que traduzcan CSF 2.0 y seguridad ICS a operadores con menos madurez y menos recursos. El segundo es la aplicacion nacional de NIS2 al sector del agua en Europa, especialmente en supervision, criterios de incidentes significativos y expectativas sobre terceros. El tercero es la actividad de agencias y CERTs en torno a vulnerabilidades y campañas dirigidas a infraestructura critica, porque el valor de estos avisos no esta solo en la atribucion geopolítica, sino en los patrones repetidos: credenciales, accesos remotos, equipos expuestos y mala segmentacion.
Si eres CISO, responsable de OT o compliance en una utility, la pregunta util no es si la noticia de NIST te parece razonable. La pregunta util es bastante menos filosofica: si mañana tuvieras que explicar a tu regulador, a tu consejo y a tu ayuntamiento como controlas accesos remotos, restauras configuraciones y notificas un incidente en plazo, ¿lo harias con evidencias o con esperanza?
Guía de referencia
Todo sobre NIST CSF 2.0: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en NIST CSF: las funciones del marco y el mapeo de controles.
¿Necesitas la checklist ya? Empieza un GAP Assessment NIST CSF o descarga plantillas en el Marketplace.
El NIST CSF 2.0 se organiza en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar.
El NIST CSF es un marco voluntario de buenas prácticas, muy usado como referencia internacional para estructurar un programa de ciberseguridad y mapear controles.
Recursos oficiales
Descarga políticas, checklists y frameworks de cumplimiento elaborados por expertos en regulación Cyber.