En los últimos 20 años, la preocupación por los ciberataques ha crecido significativamente, comenzando con un ataque en el año 2000 a una empresa de servicios públicos en Queensland, Australia, y llegando hasta los incidentes recientes en el suministro de agua en Israel en 2020 y una planta de tratamiento de agua en Florida en 2021.

La importancia de la ciberseguridad en la infraestructura del agua se destaca cada vez más, especialmente con la introducción de nuevas tecnologías como la automatización, los sistemas de alerta temprana y la medición inteligente. Estas innovaciones, aunque beneficiosas, también presentan nuevos riesgos de ciberataques.

En España, se registraron 107,777 ciberataques en 2023, un aumento del 94% respecto al año anterior, según el Informe Anual de Seguridad Nacional 2023. Los atacantes han mejorado sus capacidades técnicas y operativas, lo que ha incrementado la frecuencia, sofisticación y gravedad de los ataques. La alta dependencia de la sociedad en las tecnologías de la información y las comunicaciones agrava esta situación, haciendo de la vulnerabilidad del ciberespacio la segunda mayor amenaza para España, solo superada por las campañas de desinformación.

Desde el Departamento de Seguridad de la Información de Idrica, sugiere varias estrategias para mejorar la ciberseguridad en el sector del agua: realizar evaluaciones de riesgos periódicas, implementar sistemas de monitoreo continuo, capacitar a los empleados en ciberseguridad, establecer sistemas redundantes y planes de recuperación ante desastres, mantener los sistemas actualizados con los últimos parches de seguridad, y proteger la información confidencial mediante cifrado y autenticación robusta. Estas medidas buscan crear una cultura de seguridad dentro de las organizaciones.

Los gobiernos y otros actores también están fortaleciendo la legislación para mitigar las amenazas cibernéticas. Ejemplos de regulaciones incluyen la ACN en Italia para servicios en la nube, el ENS en España para seguridad de la información, ANSSI en Francia centrada en la certificación de productos, y BIO en los Países Bajos sobre la gestión de sistemas de información. Además, la directiva NIS2 de la Unión Europea establece medidas legales para promover la ciberseguridad, asegurando que los Estados miembros estén bien preparados para responder a incidentes y fomentar una cultura de seguridad en sectores esenciales.