Infraestructura hídrica mexicana bajo fuego: ciberataques continuos sin respuesta gubernamental ponen en riesgo a millones
Imagen: AdadiaBlack | https://www.deviantart.com/adadiablack
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
En México se han revelado diversas filtraciones de datos que afectan a organismos operadores de agua y ponen en riesgo tanto la información de millones de usuarios como la continuidad de servicios esenciales. Uno de los casos más relevantes ocurrió en Agua de Puebla, institución responsable de los servicios de agua y alcantarillado en el estado, donde se expusieron más de 738,000 registros de clientes con datos sensibles como nombre completo, fecha de nacimiento, correo electrónico, teléfono y domicilio.
A esto se suman cerca de 650,000 registros de facturación con información relacionada con consumos, adeudos, direcciones y números de contrato. La combinación de estos datos representa una amenaza considerable, ya que puede ser utilizada para localizar a personas y empresas y facilitar distintos tipos de fraudes, en especial los telefónicos.
De manera similar, otra filtración afectó a los organismos SIAPA Jalisco y SEAPAL Puerto Vallarta, donde se comprometieron más de 1,246,000 registros de usuarios de los servicios públicos de agua en Jalisco, que incluían nombres completos, domicilios, datos fiscales y detalles de consumo. La amplitud y el nivel de detalle de esta información elevan de manera significativa el riesgo, ya que abre la puerta a suplantaciones de identidad y posibles estafas.
En julio de 2025, el organismo Agua y Drenaje de Monterrey (AyD) también fue blanco de un ataque cibernético perpetrado por un ciberdelincuente, quien obtuvo aproximadamente 50,000 recibos de clientes, equivalentes a 19 gigabytes de datos, que fueron publicados en la Dark Web con una demanda de rescate de 10,000 dólares. La información comprometida incluía nombres, domicilios, RFC y otros datos confidenciales, lo que genera riesgos serios de suplantación de identidad, fraudes financieros y uso indebido en trámites oficiales.
La Comisión Nacional del Agua (Conagua) también ha sido víctima de incidentes de gran magnitud. En abril de 2023, un ciberataque ejecutado mediante el ransomware BlackByte cifró archivos con una antigüedad de hasta 15 años, afectando servidores centrales, órganos de cuenca y oficinas regionales, lo que derivó en la suspensión de trámites durante varios meses.
Posteriormente, la Auditoría Superior de la Federación (ASF) señaló irregularidades en pagos relacionados con servicios de ciberseguridad por un monto de 28.6 millones de pesos, además de deficiencias críticas en los controles de defensa digital que comprometieron la continuidad operativa de la dependencia. Este hecho se enmarca en lo que fue calificado como un “triple hackeo”, que mantuvo los sistemas de Conagua en estado crítico durante al menos 83 días, poniendo en riesgo la integridad de archivos históricos y limitando su capacidad para gestionar trámites esenciales. Incluso, la institución argumentó la imposibilidad de atender solicitudes de transparencia, como las vinculadas al Parque Ecológico Lago de Texcoco, bajo el pretexto de que sus sistemas se encontraban comprometidos, lo que le permitió suspender plazos administrativos.
A esta situación se suman vulnerabilidades críticas en el entorno tecnológico. En agosto de 2024 se identificó la falla CVE-2024–38063 en el protocolo TCP/IP de Windows, que permite la ejecución remota de código en sistemas con IPv6 habilitado y fue clasificada con una severidad de 9.8/8.5 en CVSS. El hecho de que el código de prueba de concepto esté disponible públicamente, incluso en canales de Telegram, incrementa el nivel de amenaza y compromete a más de 53,000 equipos en México, incluidos los de Conagua, exponiéndolos a posibles ataques si no se aplican de inmediato los parches de seguridad.
Asimismo, un informe de la unidad de investigación de SILIKN publicado en noviembre de 2024 advirtió sobre una nueva versión del troyano de acceso remoto Remcos, el cual utiliza avanzadas técnicas de evasión y representa un riesgo para organismos operadores de agua en Cajeme (Sonora), Atlixco (Puebla), Toluca (Estado de México), León (Guanajuato) y Zacatecas.
Estos hechos confirman que la ciberseguridad en organismos gubernamentales de agua es un asunto estratégico de infraestructura crítica. Un ataque que afecte sus sistemas no solo compromete la privacidad de datos personales, financieros y técnicos, sino que puede tener consecuencias directas en la distribución de agua potable, el tratamiento de aguas residuales, la operación de presas y sistemas de bombeo, impactando en la salud pública, la economía y la seguridad nacional.
Las recientes experiencias en México han demostrado que la falta de protección digital puede derivar en la paralización de trámites, la exposición de millones de registros y pérdidas económicas significativas. Por ello, fortalecer la ciberseguridad en este sector no debe considerarse únicamente como un desafío tecnológico, sino como una prioridad nacional, que asegure la continuidad de los servicios esenciales y salvaguarde a la población frente a amenazas cada vez más sofisticadas. Debemos recordar que proteger el agua en México significa proteger a nuestra gente; cada ciberataque a sus sistemas amenaza directamente la vida diaria y la tranquilidad de millones de hogares.
Para más información, visite: https://www.silikn.com/