Cibercriminales acechan a Conagua: fallas en la infraestructura hídrica ponen en riesgo a millones
Imagen: Ozy
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
Los sistemas de agua y de aguas residuales, fundamentales para la salud pública y la seguridad de las comunidades, se han convertido en objetivos prioritarios de ciberataques, muchos de ellos respaldados por actores estatales. Los recientes incidentes en Noruega, Polonia y Estados Unidos han puesto en evidencia la fragilidad de estas infraestructuras críticas, con señalamientos directos hacia atacantes rusos en Europa. Estos sucesos reflejan el creciente peso de los factores geopolíticos en las operaciones cibernéticas y subrayan la urgencia de fortalecer la protección digital en el sector hídrico.
Durante 2025, los sistemas de agua, pieza clave de la infraestructura crítica global, han sido objeto de múltiples ofensivas cibernéticas que demuestran su vulnerabilidad frente a grupos criminales y a actores patrocinados por gobiernos. En Noruega, se responsabilizó a hackers rusos por un ataque en abril que logró abrir una compuerta de una represa hidroeléctrica, liberando 500 litros de agua por segundo durante cuatro horas. El ataque buscaba exhibir capacidad y sembrar temor. En Polonia, otro ataque atribuido a Rusia puso en riesgo el suministro de agua de una gran ciudad, confirmando que la infraestructura esencial se ha convertido en un terreno de confrontación geopolítica. En Estados Unidos, el panorama tampoco es alentador: el 19% de las empresas de agua reportaron incidentes de ciberseguridad en el primer trimestre de 2025, entre ellos un caso en Massachusetts en el que un grupo chino mantuvo acceso a la red durante más de 300 días, aprovechándose de sistemas obsoletos y presupuestos limitados.
México no ha quedado exento de esta tendencia. En los últimos años, los sistemas administrados por la Comisión Nacional del Agua (Conagua) han sido blanco de ciberataques que revelan la fragilidad de su infraestructura crítica. En junio de 2023, se registró un ataque significativo que pudo comprometer el control de compuertas de presas con capacidad de hasta 13 mil millones de metros cúbicos de agua, lo que representaba un riesgo potencial de inundaciones de gran escala. Este hecho evidenció no solo la dependencia de tecnologías obsoletas, sino también la carencia de medidas preventivas sólidas para resguardar estos sistemas estratégicos.
Meses antes, en abril de 2023, Conagua enfrentó un ataque de ransomware atribuido a la variante BlackByte, el cual fue documentado por la unidad de investigación de SILIKN. Este incidente afectó a múltiples delegaciones y subdirecciones, cifrando archivos acumulados durante los últimos 15 años y afectando equipos de cómputo en todo el país. Además, puso en riesgo a instituciones relacionadas como la Secretaría de Medio Ambiente y Recursos Naturales, el Servicio Meteorológico Nacional y el Instituto Mexicano de Tecnología del Agua. La naturaleza del ataque, caracterizada por su capacidad de movimiento lateral, demostró el nivel de amenaza que enfrenta la infraestructura crítica mexicana.
Si bien la intervención del personal técnico de Conagua, con apoyo de la Guardia Nacional y de la empresa Scitum, permitió contener la situación, el incidente dejó al descubierto vulnerabilidades graves. El uso de sistemas obsoletos y la ausencia de mecanismos de seguridad robustos aumentan el riesgo de interrupciones en el suministro de agua y de posibles desastres derivados del manejo indebido de compuertas en las presas.
La situación se agravó en julio de 2025, cuando la unidad de investigación de SILIKN identificó una campaña avanzada encabezada por el grupo Prophet Spider. Esta operación explotaba fallas en aplicaciones ASP.NET y utilizaba claves de máquina filtradas para ejecutar cargas maliciosas mediante la técnica de deserialización del estado de vista. Entre las organizaciones afectadas se encontraban instituciones de infraestructura crítica como la Comisión Federal de Electricidad (CFE) y nuevamente la Conagua, lo que confirma la persistencia de ataques altamente sofisticados contra los sistemas estratégicos del país.
La falta de personal especializado en ciberseguridad y la ausencia de una Ley Federal que establezca un marco normativo específico agravan el problema, dejando a instituciones clave como Conagua expuestas a amenazas cada vez más complejas. Ejemplos como el hackeo masivo a la Secretaría de la Defensa Nacional en 2022, que resultó en la filtración de 6 terabytes de información, o el ataque de ransomware que paralizó a Pemex en 2019, muestran la magnitud de las consecuencias que puede tener la debilidad estructural en la protección de la infraestructura nacional.
La urgencia de reforzar la seguridad digital en el sector hídrico mexicano es evidente. Un ataque exitoso podría afectar el acceso al agua potable, la producción agrícola y la generación de energía, con consecuencias potencialmente devastadoras que van desde la interrupción de servicios básicos hasta desastres ambientales de gran escala.
Para hacer frente a esta amenaza, resulta indispensable que el gobierno implemente controles críticos de ciberseguridad en sistemas de control industrial, promueva la segmentación de redes, fomente la capacitación de personal especializado y modernice la infraestructura tecnológica obsoleta. La colaboración con expertos externos se vuelve un componente esencial para construir resiliencia, garantizar la seguridad nacional y proteger el bienestar de la población.
Es importante señalar que los sistemas de agua representan objetivos particularmente atractivos para los atacantes debido a su rol estratégico y a las vulnerabilidades que presentan. Muchos dependen de entornos de tecnología operacional (OT) que carecen de una adecuada segmentación y que operan con firmware desactualizado. Factores como el uso de contraseñas predeterminadas y la exposición de servicios remotos inseguros, entre ellos Telnet o SSH, incrementan de manera significativa el nivel de riesgo.
A diferencia de los ataques de ransomware motivados por ganancias económicas, las ofensivas más recientes contra los sistemas de agua obedecen a intereses estatales. Estas operaciones buscan demostrar poder, generar inestabilidad o preparar el terreno para interrupciones futuras de mayor escala.
Ante este escenario, la unidad de investigación de SILIKN ha emitido recomendaciones concretas. Entre ellas destacan la implementación de inventarios de dispositivos, configuraciones seguras, reducción de la superficie de ataque, monitoreo continuo y planes de respuesta a incidentes específicos para entornos de control industrial. Asimismo, resulta prioritario actualizar los sistemas obsoletos, aplicar parches de seguridad de manera oportuna y eliminar prácticas inseguras como el uso de contraseñas por defecto o la exposición de servicios remotos innecesarios. La capacitación de personal en ciberseguridad aplicada a tecnologías operativas (OT), junto con auditorías y simulaciones regulares, es clave para anticipar riesgos antes de que puedan ser explotados. Del mismo modo, el establecimiento de una Ley Federal de Ciberseguridad resulta fundamental para fijar estándares obligatorios en todo el país.
Proteger esta infraestructura vital requiere de una acción coordinada que integre inversión en tecnología, capacitación constante y un marco jurídico sólido. Solo mediante este enfoque integral será posible asegurar el suministro de agua y reducir los riesgos que representan los actores cibernéticos, tanto nacionales como internacionales.
Para más información, visite: https://www.silikn.com/