«Gracias por no cortarnos el agua»: hackers "jugaron" con las bombas durante dos años porque nadie cambió la contraseña por defecto
Lo más inquietante de esta historia no es la magnitud del ataque, sino su perturbadora simplicidad.
Con la digitalización, las estaciones de agua y las plantas de tratamiento se han convertido en objetivo de actores APT —no como víctimas fortuitas, sino como puntos de presión seleccionados deliberadamente dentro de una estrategia que los analistas de la empresa DomainTools describieron en un informe detallado. Entre 2024 y 2026, Irán y China sondearon sistemáticamente infraestructuras de suministro de agua en EE. UU. y Europa —cada uno con su propósito, pero con un cálculo común: el control del agua crea una palanca de influencia sin declarar formalmente la guerra.
Los hackers iraníes vinculados al Cuerpo de la Guardia Revolucionaria Islámica actuaron de forma más abierta. En 2023, el grupo CyberAv3ngers obtuvo acceso a controladores industriales —dispositivos que gestionan bombas, válvulas y la dosificación de reactivos químicos— utilizando contraseñas estándar de fábrica en equipos israelíes Unitronics instalados en sistemas de agua de EE. UU. En las pantallas de control los atacantes dejaron mensajes políticos. En abril de 2026, la Agencia de Seguridad Cibernética de EE. UU., el FBI, la NSA y la Agencia de Protección Ambiental advirtieron conjuntamente sobre ataques continuos contra instalaciones hídricas.
China optó por otra táctica. En febrero de 2024, los servicios de inteligencia estadounidenses confirmaron que el grupo Volt Typhoon se infiltró en redes de suministro de agua, así como en los sectores energético y de transporte de EE. UU. No causaron daños visibles: su objetivo era afianzarse dentro de los sistemas para un posible conflicto futuro, incluido un enfrentamiento por Taiwán.
En todos los casos documentados, los atacantes explotaron las mismas vulnerabilidades: controladores industriales y paneles de control accesibles desde Internet, contraseñas estándar o simples y la falta de separación entre redes corporativas y de producción. Las agencias recomiendan aislar los sistemas de control del Internet público, cambiar las contraseñas de fábrica, segmentar las redes y establecer monitorización de actividad anómala en los nodos de producción.