CNPIC y sector agua: lo que ACUAES y EMASESA tienen en común

El agua es la infraestructura crítica más antigua y, al mismo tiempo, la peor protegida frente a amenazas que ya no respetan la separación entre lo físico y lo digital. Esta es la observación dura desde la que conviene mirar el sector. No es una cuestión de presupuesto ni de buena voluntad, es una cuestión de arquitectura.

ACUAES gestiona aducciones, presas y conducciones de interés general del Estado. EMASESA opera el ciclo integral en el área metropolitana de Sevilla. Sobre el papel, son organizaciones distintas, con gobernanza distinta, con perímetros físicos distintos. En la práctica regulatoria del CNPIC, comparten más de lo que sus organigramas sugieren: ambas figuran en el catálogo de operadores designados del subsector agua, ambas están obligadas a un Plan de Seguridad del Operador y a un Plan de Protección Específico por instalación, y ambas se enfrentan a la misma dificultad estructural, la convergencia entre tecnología operacional heredada y exigencias de ciberseguridad que ningún diseñador de los años noventa anticipó. El sector agua es, en este sentido, un laboratorio. Lo que se resuelva en sus telemandos y SCADAs marcará el patrón para gas, electricidad y transporte ferroviario.

El subsector agua dentro del catálogo CNPIC

El Centro Nacional de Protección de Infraestructuras y Ciberseguridad, dependiente de la Secretaría de Estado de Seguridad, ordena la protección de infraestructuras críticas en doce sectores estratégicos. Agua es uno de ellos, junto con energía, transporte, sistema financiero, salud, alimentación, tecnologías de la información, instalaciones de investigación, espacio, química, nuclear y administración. La Ley 8/2011 y el Real Decreto 704/2011 fijan el marco. La designación como operador crítico no es un sello honorífico, es una obligación. Implica responsable de seguridad y enlace ante el CNPIC, planes auditables, comunicación de incidentes y participación en la planificación estratégica sectorial.

El subsector agua dentro de este catálogo cubre captación, potabilización, almacenamiento, distribución, alcantarillado y depuración. Cubre también las grandes infraestructuras hidráulicas estatales, las presas reguladas por la normativa de seguridad de presas y embalses, y los sistemas de telecontrol que coordinan caudales entre cuencas. La heterogeneidad es enorme. Una sociedad estatal como ACUAES opera activos de hormigón armado y conducciones de gran diámetro repartidos por varias cuencas hidrográficas. Una empresa municipal como EMASESA opera redes urbanas densas, estaciones de tratamiento, telemandos centralizados y, cada vez más, sensores distribuidos en arquetas y depósitos. La distancia técnica entre ambos perfiles es notable. La distancia regulatoria, sin embargo, es nula. Los dos están en la misma lista.

Esta paradoja, idéntica obligación con distintas realidades, es la fuente de la mayor parte de las fricciones que el fabricante observa en campo. Cuando una organización adapta el Plan de Seguridad del Operador a su realidad, se encuentra con que la guía sectorial es necesariamente genérica, y que la traducción a su instalación concreta requiere un trabajo de ingeniería que el regulador no puede hacer en su lugar. Aquí es donde la diferencia entre cumplir y proteger se hace visible. Cumplir es entregar un plan en plazo. Proteger es haber pensado, en serio, qué pasa cuando un atacante combina un acceso físico nocturno a un depósito periurbano con una intrusión lógica en el SCADA central. El CNPIC obliga a pensarlo. La calidad del pensamiento queda en manos del operador.

Lo que ACUAES y EMASESA comparten en la práctica

Más allá del organigrama, ACUAES y EMASESA comparten cuatro condiciones operativas que definen el problema de seguridad del subsector agua. Conviene nombrarlas con precisión, porque la confusión entre niveles es la principal causa de planes de seguridad mal calibrados.

La primera condición es la superficie física dispersa. El agua no es una infraestructura concentrada como una central eléctrica. Es una red. Conducciones de decenas o cientos de kilómetros, depósitos en cota alta a menudo en zonas semirrurales, estaciones de bombeo en polígonos industriales, arquetas en vías públicas, captaciones en márgenes de ríos. Proteger esto con perímetros tradicionales es imposible por coste. La consecuencia operativa es que el control físico se desplaza desde la valla hacia la detección distribuida y la respuesta rápida. La segunda condición es la dependencia de sistemas de telecontrol heredados. Buena parte de los SCADAs en explotación fueron diseñados cuando el aislamiento físico de la red operacional se daba por supuesto. Hoy esa premisa ya no se sostiene. La conectividad ha entrado por puertas que nadie documentó, desde portátiles de mantenimiento hasta enlaces 4G de respaldo. La tercera condición es la presión normativa creciente. Al marco CNPIC se han sumado la transposición de NIS2, las guías del CCN-CERT para entornos OT y, en el ámbito de protección de datos personales asociados a la facturación y al consumo, las exigencias de la AEPD. La cuarta condición es la dependencia de personal con conocimiento específico que el mercado no produce en cantidad suficiente. Operadores con quince años en una sala de control no son sustituibles por una formación de tres semanas.

Cuando se cruzan estas cuatro condiciones, el resultado es siempre el mismo: la organización sabe qué tiene que proteger, sabe que el marco regulatorio lo exige, y se enfrenta a la dificultad práctica de pasar del papel al campo sin desordenar la operación. ACUAES y EMASESA llegan a este punto por caminos distintos. Llegan al mismo punto.

Normas técnicas, guías y el peso del CCN-CERT

El marco aplicable al subsector agua no se agota en la Ley 8/2011. A su alrededor se ha tejido un conjunto de referencias técnicas que el operador debe conocer y, en la medida posible, integrar. La norma IEC 62443, originada en el ámbito industrial, se ha convertido en la referencia de facto para la segmentación de redes operacionales, la gestión de cuentas privilegiadas en entornos OT y la calificación de proveedores. El CCN-CERT, a través de la serie de guías STIC, ha publicado material específico para entornos de control industrial que complementa lo anterior y lo adapta al contexto español. INCIBE, a través de INCIBE-CERT, mantiene un servicio de respuesta a incidentes que cubre tanto operadores estratégicos como ciudadanía, y publica avisos técnicos sobre vulnerabilidades en productos industriales que conviene seguir de cerca. ENISA, en el nivel europeo, orienta la transposición de NIS2 y las obligaciones de notificación que de ella se derivan.

La consecuencia práctica para un operador de agua es que su plan de seguridad ya no puede limitarse a referenciar la normativa nacional. Debe articular cómo la organización aplica IEC 62443 a su SCADA, cómo sigue las guías CCN-STIC en su gestión de identidades industriales, cómo se conecta su capacidad de detección con INCIBE-CERT y CCN-CERT, y cómo cumple, en paralelo, las obligaciones de la AEPD para los datos personales que circulan por sus sistemas de cliente. Es un ejercicio de ingeniería normativa, no de redacción administrativa. Y es aquí donde la mayoría de los operadores, no por falta de voluntad sino por falta de capacidad interna, se quedan cortos.

La diferencia entre un Plan de Protección Específico que sirve y otro que solo cumple en formato se ve a los dos minutos de leerlo. El primero describe controles compensatorios concretos para vulnerabilidades concretas, con responsables, indicadores y plazos. El segundo enumera principios. El CNPIC, en sus revisiones, distingue cada vez con mayor claridad ambos productos. Y la dirección del viento regulatorio es inequívoca: lo segundo dejará de ser aceptable.

Incidentes públicos y lo que enseñan sin nombrar nombres

El sector agua ha sufrido incidentes públicamente documentados que conviene tener presentes sin entrar en atribuciones específicas. En el ámbito internacional, las intrusiones en plantas de tratamiento en Florida y Pensilvania, ampliamente reportadas, mostraron que un atacante con acceso remoto puede modificar parámetros químicos en cuestión de minutos si la segmentación entre la red administrativa y la red operacional es débil o inexistente. En Israel, durante 2020, una serie de intentos coordinados contra sistemas de bombeo agrícola obligó a revisar la arquitectura de telecontrol del país. En el Reino Unido, el regulador del agua ha publicado revisiones que apuntan a brechas sistemáticas en la gestión de credenciales de mantenimiento por parte de proveedores externos.

En España, los incidentes públicos en el subsector agua han sido menos visibles, en parte por la prudencia con que CNPIC y operadores gestionan la comunicación, y en parte porque la mayoría de los intentos quedan en fases tempranas gracias a la detección. Esto no debe interpretarse como ausencia de amenaza. La actividad de reconocimiento contra direcciones IP asociadas a operadores españoles de agua es constante, según los avisos que circulan en los canales restringidos del CCN-CERT. Lo que enseña esta combinación, alta actividad de reconocimiento y baja incidencia pública grave, es que el sector está, por ahora, defendiendo la línea. Esa línea, sin embargo, no se sostiene sola. Se sostiene porque hay personas, procedimientos y tecnología trabajando en silencio. Cualquier debilitamiento de cualquiera de los tres factores cambia la ecuación.

El otro aprendizaje, más incómodo, es que el incidente que termina siendo público no suele ser el peor. Es el que el atacante no consiguió tapar. Los incidentes silenciosos, aquellos en los que el operador detecta tarde y resuelve sin notificación amplia, son la regla en el sector. La obligación de notificación al CNPIC en plazos definidos pretende reducir esta opacidad, pero solo funciona si la cultura interna del operador la respalda. Y aquí, otra vez, ACUAES y EMASESA comparten condición con la mayoría de operadores europeos. La cultura de notificación tarda más en madurar que la tecnología de detección.

Quién paga las mejoras y por qué eso importa más de lo que parece

La pregunta de la financiación atraviesa cualquier conversación seria sobre protección del agua. ACUAES, como sociedad estatal adscrita al Ministerio para la Transición Ecológica, financia sus inversiones a través de fondos europeos, presupuestos generales y, en parte, recuperación tarifaria a través de convenios con usuarios. EMASESA, como empresa pública municipal, depende de la tarifa que aprueba el Ayuntamiento de Sevilla y, cuando procede, de fondos europeos canalizados a través de la Junta de Andalucía o del Estado. Las dos estructuras tienen una característica en común que conviene nombrar: la inversión en seguridad compite, dentro del mismo presupuesto, con la inversión en renovación de redes, en eficiencia energética, en cumplimiento ambiental y en respuesta a la sequía.

En esta competencia, la seguridad pierde casi siempre cuando se presenta como gasto. Gana, en cambio, cuando se presenta como condición habilitante. Una conducción que se renueva sin instrumentación de seguridad es una conducción a la que habrá que volver. Una EDAR que se moderniza sin segmentación OT correcta es una EDAR que entra en NIS2 con deuda técnica. Los fondos Next Generation, los programas PERTE del agua y los mecanismos de financiación de la transición ecológica permiten, cuando se diseñan los proyectos con cabeza, incluir seguridad como capa transversal. La calidad del diseño del proyecto determina si la seguridad se financia con la obra o si queda como una adenda futura que nadie aprobará. Esta es una de las decisiones técnicas más importantes que toma un operador, y se toma demasiadas veces en una reunión de mediodía sin la documentación adecuada.

Los seguros, a través de Unespa y de las aseguradoras especializadas en infraestructuras, están empezando a discriminar primas en función de la madurez de los controles. Aún de forma incipiente, pero la dirección es clara. Un operador con segmentación OT documentada, controles de acceso físico instrumentados y capacidad de detección 24x7 paga menos, a igualdad de exposición, que un operador con un plan en PDF y poco más. Esta señal de mercado, que en sectores como el financiero lleva décadas funcionando, está llegando al agua. Y cuando llegue de pleno, modificará las decisiones de inversión más rápido que cualquier circular del CNPIC.

Convergencia físico-lógica y por qué el sector agua es el banco de pruebas

Hay una razón por la que el subsector agua merece atención especial dentro del catálogo CNPIC, y no es solo la criticidad evidente del bien que distribuye. Es que el agua, por su geografía y su tecnología, es el ejemplo más completo de convergencia entre amenaza física y amenaza lógica. Una intrusión en un depósito periurbano de noche no es solo un problema de seguridad física. Es un problema de seguridad química si se contamina, un problema de seguridad lógica si se manipula la instrumentación, un problema de continuidad de servicio si se interrumpe el bombeo y un problema reputacional si se difunde. Un mismo evento atraviesa los cuatro planos. La organización que lo protege debe estar preparada en los cuatro.

Esto significa que la separación clásica entre el departamento de seguridad corporativa, el departamento de tecnologías de la información y el departamento de operaciones, que en muchos operadores aún sobrevive, no es funcional. Las tres áreas tienen que coordinarse con un protocolo común, una sala de mando compartida o, al menos, conectada, y un responsable de seguridad del operador con autoridad real sobre las tres. La figura del CSO o director de seguridad designada en el plan no es decorativa. Es la pieza que sostiene la coherencia del sistema. Cuando esa figura no tiene presupuesto propio, ni acceso directo al consejo o al equipo directivo, ni autoridad para frenar un despliegue tecnológico que comprometa la postura de seguridad, la organización está expuesta. Lo está sobre el papel, antes de que ningún atacante haga nada.

El sector agua es el banco de pruebas porque obliga a resolver esta integración antes que otros sectores. Una central eléctrica concentra sus activos críticos. Un aeropuerto, también. Una red de agua los disemina, y eso fuerza una arquitectura de protección distribuida que se parece mucho a lo que el resto del catálogo CNPIC va a necesitar en la próxima década. Lo que ACUAES y EMASESA resuelvan ahora, otros operadores lo copiarán después. Y lo que no resuelvan, será réplica también, en la dirección contraria.

Lo que permanece

Quien observa el subsector agua con atención termina llegando a una conclusión que no es cómoda. La regulación es buena, las guías técnicas son sólidas, las capacidades de CCN-CERT e INCIBE son competentes. Lo que falta, en muchos operadores, es la traducción operativa, la pieza de ingeniería que convierte el marco en controles que funcionan a las tres de la madrugada un domingo de agosto. Esa pieza no se compra hecha. Se construye, se prueba y se mantiene. Y se construye antes del incidente, no después.

ACUAES y EMASESA tienen en común algo más profundo que figurar en la misma lista del CNPIC. Tienen en común estar en un momento en que las decisiones de los próximos dieciocho meses, en cuanto a segmentación OT, detección distribuida, gobernanza unificada de seguridad y financiación de la deuda técnica, condicionarán su postura durante los próximos diez años. Esto vale para ellas y vale para los más de cien operadores del subsector agua designados en España. La ventana de oportunidad existe ahora porque coinciden fondos europeos, presión regulatoria y un mercado de seguro que empieza a premiar la madurez. En tres años, los fondos se habrán asignado, la regulación se habrá endurecido y el seguro habrá ajustado primas. Quien no haya movido ficha, llegará tarde.

Quien quiera mover ficha sin comprometerse al primer paso tiene tres caminos posibles. Una conversación confidencial de sesenta minutos con la dirección, donde se contrasta la postura actual contra la realidad del sector, sin coste y sin venta. Una auditoría estructurada de tres a cinco días, con entregables definidos y un informe que el operador puede usar interna o externamente sin quedar atado. O un piloto de noventa días sobre una instalación concreta, con métricas pactadas antes de empezar y datos que permiten decidir la escalada con base, no con intuición. Los tres caminos están descritos en detalle en el libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad, junto con la lógica que los une. El sector agua no necesita más principios. Necesita ejecución.

Preguntas frecuentes

¿Qué pide CNPIC al agua?

El CNPIC exige a los operadores designados del subsector agua dos instrumentos principales. El Plan de Seguridad del Operador, que describe la política, gobernanza y arquitectura general de protección de la organización. Y el Plan de Protección Específico por cada instalación crítica, con controles físicos, lógicos y procedimentales detallados. A esto se suma la designación formal de un responsable de seguridad y enlace, la comunicación obligatoria de incidentes en los plazos establecidos, la participación en ejercicios sectoriales y la revisión periódica de los planes en función de la evolución de la amenaza.

¿Qué operadores designados?

El catálogo de operadores críticos es información sensible y no se publica de forma íntegra. Sí es público que el subsector agua incluye sociedades estatales como ACUAES, grandes empresas metropolitanas como EMASESA en Sevilla, Canal de Isabel II en Madrid, Aigües de Barcelona, EMASA en Málaga, Aguas de Valencia y otros operadores municipales o mixtos en capitales y áreas metropolitanas relevantes. Las confederaciones hidrográficas, en su faceta de operadores de grandes infraestructuras, también participan en el marco. La lista evoluciona conforme se revisan los criterios de designación sectoriales.

¿Qué incidentes públicos?

A nivel internacional, los casos más documentados son las intrusiones en plantas de tratamiento de Oldsmar, Florida en 2021 y en Aliquippa, Pensilvania en 2023, junto con los intentos coordinados contra sistemas de bombeo agrícola en Israel durante 2020. En España, los incidentes públicos en el subsector agua son escasos por la prudencia comunicativa de operadores y CNPIC, lo que no implica ausencia de actividad de reconocimiento, que según los canales restringidos del CCN-CERT es constante. La mayoría de incidentes se gestiona en fases tempranas sin difusión amplia, lo que distorsiona la percepción pública del riesgo real.

¿Quién financia mejoras?

La financiación combina varias fuentes. Los fondos Next Generation y los programas PERTE asociados al ciclo del agua permiten incluir seguridad como capa transversal en proyectos de modernización si se diseñan correctamente desde el inicio. Los presupuestos generales del Estado financian inversiones en sociedades estatales como ACUAES. Las tarifas, aprobadas por administraciones competentes, sostienen la inversión en empresas municipales como EMASESA. Las aseguradoras, a través de Unespa y mediadores especializados, empiezan a discriminar primas en función de la madurez de los controles, generando un incentivo de mercado que complementa, sin sustituir, la financiación pública.