La digitalización del ciclo del agua está avanzando con rapidez en los últimos años impulsada por tecnologías como el Internet de las Cosas (IoT), la sensorización de infraestructuras y los sistemas de telelectura de contadores (Smart metering). Gracias a estas soluciones, hoy se puede disponer de información mucho más precisa y en tiempo casi real sobre el estado de las redes de abastecimiento, los patrones de consumo o posibles incidencias en la infraestructura.
Sin embargo, esta transformación digital también plantea nuevos desafíos. La conexión de miles de sensores, contadores inteligentes y sistemas de control convierte las redes de agua en infraestructuras cada vez más interconectadas, donde la protección de los datos, la seguridad de las comunicaciones y la resiliencia de los sistemas adquieren un papel crítico. En este contexto, normativas como la directiva europea NIS2 refuerzan los requisitos de ciberseguridad para sectores considerados esenciales, entre ellos el del agua.
Para analizar cómo afecta este nuevo escenario a la digitalización del ciclo del agua, hablamos con Nerea Míguez, directora de soluciones de negocio de Vodafone Empresas, ingeniera de telecomunicaciones con más de quince años de experiencia en el desarrollo de soluciones de conectividad avanzada e IoT para empresas, y con Roberto Lara, director de la unidad de negocio de ciberseguridad de Vodafone Empresas, profesional con cerca de dos décadas de trayectoria liderando proyectos estratégicos de seguridad, operaciones SOC y gestión de incidentes en entornos críticos.
Ambos comparten su visión sobre los retos que plantea la sensorización masiva de infraestructuras, las implicaciones prácticas de la directiva NIS2 para el sector del agua y el papel que la conectividad segura y la ciberseguridad deben desempeñar para garantizar la resiliencia de las utilities en un entorno cada vez más digital.
1. La digitalización del ciclo del agua está avanzando rápidamente gracias al despliegue de tecnologías IoT y smart metering. ¿Cómo está transformando esta sensorización masiva la gestión del agua por parte de utilities y administraciones públicas?
Nerea Míguez: La digitalización está cambiando profundamente la forma en la que se gestiona el ciclo integral del agua. Tradicionalmente, muchas decisiones se tomaban a partir de datos que se recogían de forma manual o con periodicidades muy largas. Con el despliegue de sensores y contadores inteligentes conectados a redes IoT, hoy es posible disponer de información prácticamente en tiempo real sobre lo que ocurre en la red.
Esto permite detectar fugas con mucha mayor rapidez, optimizar la presión en las tuberías, anticipar incidencias en infraestructuras críticas o ajustar el bombeo en función de la demanda real. En definitiva, pasamos de un modelo reactivo a uno predictivo y basado en datos.
Desde Vodafone Business estamos viendo cómo esta transformación se apoya en tres pilares: dispositivos conectados, plataformas de gestión de datos y una conectividad IoT robusta que permita gestionar millones de dispositivos distribuidos en el territorio de forma segura y eficiente. De hecho, en Vodafone ya hemos alcanzado los 1,8 millones de dispositivos IoT conectados solo para la vertical de agua, y, en el cómputo global, superamos los 16 millones.
2. A medida que se conectan contadores inteligentes, sensores y estaciones de bombeo, el sector del agua pasa a operar con infraestructuras cada vez más digitalizadas. Desde el punto de vista de la ciberseguridad, ¿cómo cambia el perfil de riesgo de estas infraestructuras críticas?
Roberto Lara: La digitalización aporta enormes beneficios operativos, pero también implica que la superficie de exposición a ciberataques aumenta. Cuando hablamos de infraestructuras críticas como el agua, cualquier interrupción del servicio puede tener un impacto directo en la población, por lo que la seguridad debe ser una prioridad desde el primer momento.
"Con el despliegue de sensores y contadores inteligentes conectados a redes IoT, hoy es posible disponer de información prácticamente en tiempo real sobre lo que ocurre en la red" (Nerea Míguez)
En los sistemas tradicionales, muchos procesos estaban aislados o eran manuales. Sin embargo, al conectar sensores, contadores o sistemas de control industrial a redes de comunicaciones, esos sistemas pasan a formar parte del ecosistema digital y, por tanto, deben protegerse como tal.
Esto implica adoptar un enfoque integral de ciberseguridad que abarque desde la protección de los dispositivos IoT hasta la seguridad de las redes, las plataformas de gestión de datos y los sistemas de operación. La clave está en incorporar la seguridad como parte del diseño de la arquitectura tecnológica, lo que se conoce como security by design, no como una capa añadida posteriormente.
En Florida (Estados Unidos), por ejemplo, se dio un caso que ejemplifica la importancia de la ciberseguridad en infraestructuras críticas. Hace unos años, una planta de tratamiento de agua sufrió un ciberataque que permitió a los atacantes acceder remotamente al sistema de control y modificar los niveles de productos químicos utilizados en el proceso de potabilización. La intrusión se produjo, entre otros factores, por el uso de accesos remotos sin las medidas de seguridad adecuadas, lo que evidenció cómo vulnerabilidades aparentemente básicas pueden tener consecuencias potencialmente graves para la salud pública. Este tipo de incidentes pone de manifiesto que la digitalización de las infraestructuras del agua amplía su exposición, reforzando la necesidad de integrar la ciberseguridad desde el diseño y de establecer mecanismos de monitorización y respuesta continua.
3. En los proyectos de digitalización del ciclo del agua, la conectividad es un elemento clave para garantizar la fiabilidad del sistema. ¿Qué papel juegan tecnologías como NB-IoT o 5G en la gestión remota de contadores y sensores distribuidos en la red?
Nerea Míguez: La conectividad es uno de los elementos fundamentales para que todo el ecosistema funcione. En el sector del agua hablamos de millones de dispositivos distribuidos en entornos muy diversos: arquetas subterráneas, estaciones de bombeo, depósitos, zonas rurales o áreas urbanas densas.
Tecnologías como NB-IoT están especialmente diseñadas para este tipo de casos de uso. Ofrecen una gran capacidad de penetración en interiores o entornos subterráneos, bajo consumo energético, lo que permite que los dispositivos tengan una autonomía acompasada a la durabilidad de los proyectos, que suele rondar la docena de años, y la posibilidad de conectar un número muy elevado de sensores.
Además, al apoyarse en redes gestionadas por operadores como Vodafone, se garantiza un nivel de fiabilidad, cobertura y seguridad que es fundamental cuando se trata de gestionar servicios públicos esenciales. La combinación de conectividad IoT, plataformas de gestión y analítica de datos permite a las utilities operar sus redes de forma mucho más eficiente.
4. Los sistemas de telelectura y sensorización generan enormes volúmenes de datos operativos y de consumo. ¿Cuáles son los principales riesgos asociados a la protección de estos datos y qué medidas deberían adoptar las utilities para garantizar su integridad y confidencialidad?
Roberto Lara: El dato es uno de los activos más valiosos en los proyectos de digitalización del agua. Por un lado, tenemos datos operativos sobre el estado de la red; por otro, información relacionada con el consumo de los usuarios. Ambos deben protegerse adecuadamente.
Los principales riesgos están relacionados con el acceso no autorizado a los sistemas, la manipulación de los datos o la interrupción del servicio. Un atacante podría intentar alterar lecturas, bloquear comunicaciones o comprometer sistemas de control si la arquitectura no está bien protegida. Además, si estos datos sensibles se ven comprometidos, los usuarios pueden quedar expuestos a riesgos como el phishing, la suplantación de identidad o fraudes asociados al uso indebido de su información.
Para evitarlo es necesario aplicar múltiples capas de seguridad: cifrado de las comunicaciones, autenticación robusta de los dispositivos, segmentación de redes, monitorización continua y sistemas de detección de amenazas. Además, es fundamental contar con centros de operación de seguridad capaces de supervisar en tiempo real lo que ocurre en la infraestructura.
5. La Directiva NIS2 refuerza los requisitos de ciberseguridad para sectores considerados esenciales, entre ellos el agua. ¿Qué cambios introduce esta normativa y por qué supone un punto de inflexión para las utilities?
Roberto Lara: NIS2 representa un cambio importante porque eleva el nivel de exigencia en materia de ciberseguridad para sectores considerados esenciales o importantes, entre los que se encuentra el agua.
"El dato es uno de los activos más valiosos en los proyectos de digitalización del agua" (Roberto Lara)
La directiva establece obligaciones más estrictas en aspectos como la gestión del riesgo, la protección de las infraestructuras digitales, la notificación de incidentes o la responsabilidad de los órganos directivos en materia de ciberseguridad. En este sentido, refuerza la idea de que la seguridad no es solo un asunto técnico, sino un elemento clave para garantizar la continuidad de servicios críticos para la sociedad.
En este contexto cobra especial relevancia el servicio de CiberOT, que se centra en la protección de los entornos de tecnología operacional donde se conectan estos dispositivos. En proyectos de digitalización del ciclo del agua, los dispositivos IoT pasan a formar parte de la infraestructura operativa, por lo que es necesario aplicar medidas específicas de seguridad que permitan proteger tanto los equipos como las comunicaciones y los sistemas de control asociados.
Es importante señalar que España aún no ha traspuesto formalmente esta normativa al ordenamiento jurídico nacional. No obstante, el marco europeo ya está definido, ya que la fecha límite para que los Estados miembros realizaran su trasposición fue el pasado 17 de octubre de 2024.
En la práctica, lo que estamos viendo es que a través de NIS2, Europa quiere impulsar un cambio cultural dentro de las organizaciones. De forma que la ciberseguridad deja de ser un asunto puramente técnico para convertirse en un elemento estratégico de gestión del riesgo.
6. En un contexto marcado por NIS2, ¿cómo deben adaptarse los proyectos de smart metering y sensorización IoT para cumplir con los nuevos requisitos regulatorios desde su diseño?
Nerea Míguez: La principal implicación es que la seguridad debe integrarse desde la fase de diseño del proyecto. Cuando se diseñan despliegues de smart metering o redes de sensores IoT, ya no basta con pensar únicamente en la eficiencia operativa o en la conectividad. En un entorno crítico como el del agua, es necesario proteger todos los elementos del sistema, desde los dispositivos hasta las plataformas de gestión y las comunicaciones.
Por otra parte, hay que evaluar cómo se van a proteger los dispositivos, cómo se van a gestionar las identidades de los sensores, cómo se cifrarán las comunicaciones o cómo se controlará el acceso a las plataformas de datos. Y a todo ello, se suma la necesidad de asegurar toda la cadena de suministro: los proveedores deben cumplir con los mismos estándares de seguridad, ya que los ciberdelincuentes tienden a explotar los eslabones más débiles de la cadena para acceder a las infraestructuras.
En Vodafone Business trabajamos con un enfoque de arquitectura integral que combina conectividad segura, plataformas de gestión de dispositivos y analítica de datos, de manera que las utilities puedan desplegar soluciones IoT escalables cumpliendo al mismo tiempo con los requisitos regulatorios y de seguridad.
7. Cada vez se habla más de aplicar el concepto de security by design en infraestructuras críticas. ¿Qué significa realmente este enfoque en un entorno de IoT para el ciclo del agua?
Roberto Lara: Security by design significa que la seguridad se integra en todas las fases del ciclo de vida de la tecnología: desde el diseño de la arquitectura hasta la operación diaria del sistema, garantizando que todos los elementos estén siempre protegidos y bajo control.
"En un entorno crítico como el del agua, es necesario proteger todos los elementos del sistema, desde los dispositivos hasta las plataformas de gestión y las comunicaciones" (Nerea Míguez)
En entornos IoT esto es especialmente importante porque hablamos de miles de dispositivos desplegados durante muchos años. Si un sensor o contador se instala hoy, probablemente seguirá funcionando dentro de diez o quince años, por lo que es imprescindible asegurar su protección de forma continua a lo largo de todo ese ciclo de vida.
Por eso es fundamental que esos dispositivos cuenten con mecanismos de autenticación, actualización remota de firmware, cifrado de comunicaciones y sistemas de gestión que permitan controlar su estado de seguridad a lo largo del tiempo.
8. Cuando una utility gestiona miles o incluso cientos de miles de dispositivos conectados, la gestión remota y segura se vuelve esencial. ¿Qué capacidades tecnológicas son necesarias para garantizar esa operación a gran escala?
Nerea Míguez: La gestión masiva de dispositivos requiere plataformas capaces de administrar todo el ciclo de vida de los equipos conectados: desde su activación hasta su mantenimiento o actualización.
Esto incluye funcionalidades como la gestión remota de dispositivos, actualizaciones de firmware a distancia, configuración de políticas de comunicación o monitorización del estado de la red. Todo ello debe poder realizarse de forma centralizada y segura.
En Vodafone Business contamos con plataformas de gestión de conectividad y dispositivos IoT que permiten visualizar el estado de miles de sensores, gestionar incidencias o adaptar las políticas de funcionamiento de forma remota. Esto reduce desplazamientos, mejora la eficiencia operativa y permite mantener un control constante sobre la infraestructura digital.
9. La ciberseguridad en infraestructuras críticas requiere coordinación entre múltiples actores. ¿Qué papel deben desempeñar las utilities, los proveedores tecnológicos y las administraciones para fortalecer la resiliencia del sector del agua?
Roberto Lara: La ciberseguridad es un desafío compartido. Ninguna organización puede abordarlo de forma aislada, especialmente cuando hablamos de infraestructuras críticas.
Las utilities deben incorporar la seguridad dentro de su estrategia de gestión del riesgo y dotarse de capacidades para detectar y responder a incidentes. Los proveedores tecnológicos, por nuestra parte, debemos diseñar soluciones seguras desde el origen y ofrecer servicios que ayuden a proteger las infraestructuras. Y por otra, el resto de proveedores de la cadena de suministro, como puntualizaba Nerea, deben cumplir los mismos estándares de ciberseguridad para no poner en riesgo al resto de eslabones. Especialmente, cuando hablamos de infraestructuras críticas como el agua.
"Las utilities deben incorporar la seguridad dentro de su estrategia de gestión del riesgo y dotarse de capacidades para detectar y responder a incidentes" (Roberto Lara)
Finalmente, las administraciones y reguladores tienen un papel clave a la hora de establecer marcos normativos claros y fomentar la cooperación entre los diferentes actores del ecosistema. La resiliencia del sector depende en gran medida de esa colaboración.
10. De cara a los próximos años, ¿cuáles serán los principales retos y oportunidades en la protección de las infraestructuras digitales del ciclo del agua?
Nerea Míguez: Uno de los principales retos estará en el propio ecosistema de fabricación de dispositivos, especialmente en lo relativo a la disponibilidad de materiales y a la capacidad de producción a nivel global. A medida que crece la demanda de soluciones IoT, garantizar el suministro y la calidad de estos equipos será un factor clave para el desarrollo de los proyectos.
Por otro lado, será fundamental contar con profesionales cualificados capaces de desplegar, operar y mantener estas infraestructuras. La tecnología está cada vez más preparada, pero su implementación efectiva depende en gran medida del talento disponible.
En este contexto, más allá de la conectividad, que ya está madura y disponible, el foco estará en reforzar el ecosistema de fabricantes y en desarrollar las capacidades necesarias para asegurar una implantación eficiente, segura y sostenible de estas soluciones.
Roberto Lara: Desde el punto de vista de la ciberseguridad, el desafío será acompañar esa transformación garantizando que las infraestructuras digitales del agua sean seguras y resilientes. Normativas como NIS2 van en esa dirección y ayudarán a elevar el nivel de protección en todo el sector. En este contexto, la cadena de suministro adquiere un papel especialmente relevante, ya que en muchos casos está formada por empresas más pequeñas que necesitan apoyo para alcanzar los niveles de seguridad exigidos. Fortalecer estos eslabones es clave para evitar vulnerabilidades que puedan comprometer al conjunto de la infraestructura.
Si la digitalización se hace de forma segura, el resultado será un sistema mucho más eficiente, transparente y preparado para afrontar los desafíos futuros.