Las plantas de tratamiento de agua de Polonia fueron vulneradas por hackers que usaron contraseñas predeterminadas mientras EE. UU. enfrenta la misma amenaza crítica a la infraestructura.

      TL;DRLos hackers vulneraron cinco plantas de tratamiento de agua en Polonia utilizando contraseñas predeterminadas y sistemas de control expuestos a internet. Polonia está gastando mil millones de euros en ciberseguridad; el 70 por ciento de las empresas de agua estadounidenses no cumplen con los mismos estándares básicos.

      Los hackers vulneraron cinco plantas de tratamiento de agua en Polonia en 2025, accediendo a los sistemas de control industrial que regulan bombas, filtros y dosificación de productos químicos. En algunas instalaciones, los atacantes podrían haber alterado los parámetros operativos del equipo que determina lo que sale del grifo. El vector de ataque, en todos los casos, fue poco notable: contraseñas débiles y sistemas de control conectados directamente a internet.

      La Agencia de Seguridad Interna de Polonia, la ABW, reveló las brechas esta semana en su primer resumen de actividad pública desde 2014, antes de que Rusia anexara Crimea. El informe nombra las instalaciones: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko y Sierakowo, cinco pequeñas localidades cuyas estaciones de tratamiento de agua fueron penetradas por atacantes que la agencia atribuye, con cuidadosa redacción, a “grupos hacktivistas” que son “a menudo personas utilizadas por gobiernos extranjeros, particularmente servicios de inteligencia rusos.”

      Las brechas

      Los incidentes no fueron teóricos. En Szczytno, en mayo de 2025, alguien accedió al sistema de control de supervisión y cambió los ciclos de limpieza mientras la instalación estaba siendo monitoreada en una transmisión en vivo. En Jabłonna Lacka, en septiembre, un video capturó a un intruso iniciando sesión a través de una cuenta de administrador y manipulando los umbrales de bombas y filtros. La ABW dijo que los atacantes tenían la capacidad de alterar los parámetros técnicos de los dispositivos, creando “un riesgo directo” para la continuidad de las operaciones de suministro de agua.

      La agencia identificó dos vectores de ataque principales: contraseñas que no habían sido cambiadas desde los valores predeterminados de fábrica y sistemas de control industrial expuestos directamente a internet. Ninguna de las vulnerabilidades requiere herramientas sofisticadas para ser explotadas. Ambas han sido documentadas en avisos de ciberseguridad durante más de una década.

      El informe de la ABW nombra a grupos APT rusos, incluidos APT28 y APT29, y al grupo vinculado a Bielorrusia UNC1151, como operando contra objetivos polacos. La agencia se abstuvo de atribuir brechas específicas en el tratamiento de agua a grupos específicos, pero el patrón es consistente con una escalada más amplia que el gobierno polaco dice ha convertido al país en el objetivo de entre 20 y 50 ciberataques por día.

      La escalada

      Los ciberataques a Polonia aumentaron después de la elección de su gobierno pro-Ucrania, y el ritmo no ha disminuido. En diciembre de 2025, un ataque coordinado golpeó una planta de energía combinada que suministraba calor a casi 500,000 clientes, junto con múltiples parques eólicos y solares. La firma de ciberseguridad ESET atribuyó el ataque a Sandworm, un grupo que el gobierno de Estados Unidos ha vinculado a la dirección de inteligencia militar de Rusia, el GRU.

      El presupuesto de ciberseguridad de Polonia para 2026 es un récord de mil millones de euros, frente a 600 millones en 2024. De esa cantidad, 80 millones de euros se han asignado específicamente a las defensas cibernéticas de los sistemas de gestión del agua. Alemania ha absorbido el 90 por ciento del récord de financiación tecnológica de defensa de Europa, pero el gasto per cápita de Polonia en ciberseguridad ahora supera al de la mayoría de los miembros de la OTAN.

      El gasto refleja un reconocimiento de que la amenaza ha ido más allá del espionaje. Helsing, la startup europea de IA militar, recaudó 450 millones de euros explícitamente para defender a la OTAN de Rusia, y la aparición de Ucrania como una potencia tecnológica de defensa ha demostrado que los países más cercanos a las fronteras de Rusia están ahora construyendo las capacidades para responder. Pero las plantas de tratamiento de agua en Jabłonna Lacka y Szczytno no fueron vulneradas por amenazas persistentes avanzadas que desplegaran exploits novedosos. Fueron vulneradas porque alguien dejó la contraseña predeterminada en un sistema conectado a internet.

      El paralelo estadounidense

      Estados Unidos enfrenta la misma vulnerabilidad a mayor escala. En 2024, la Agencia de Protección Ambiental encontró que casi el 70 por ciento de las empresas de agua inspeccionadas por funcionarios federales estaban en violación de los estándares básicos de ciberseguridad, incluida la falta de cambio de contraseñas predeterminadas. La mayor empresa regulada de agua y aguas residuales del país, American Water, se vio obligada a cerrar sus sistemas de facturación en octubre de 2024 después de que un ciberataque interrumpiera los servicios para millones de clientes.

      Las amenazas no son hipotéticas. El grupo patrocinado por el estado chino Volt Typhoon ha comprometido los entornos de tecnología de la información de múltiples organizaciones de infraestructura crítica de EE. UU., incluidos sistemas de agua y aguas residuales, en lo que CISA, la NSA y el FBI evalúan como un esfuerzo para preposicionar para ciberataques disruptivos o destructivos en caso de una crisis o conflicto importante. El grupo vinculado a Irán CyberAv3ngers ha atacado controladores lógicos programables en plantas de tratamiento de agua de EE. UU., incluidas instalaciones en Pensilvania.

      La EPA, CISA y el FBI han emitido repetidos avisos. El Congreso restableció temporalmente las autoridades de intercambio de información de ciberseguridad en noviembre de 2025, y luego las dejó expirar nuevamente en enero de 2026. El gobierno federal ha publicado herramientas de planificación de ciberseguridad, plantillas de respuesta a incidentes y listas de verificación de adquisiciones. Las empresas de agua que más las necesitan son las que menos probabilidades tienen de usarlas: pequeños sistemas municipales con presupuestos limitados, infraestructura envejecida y sin personal dedicado a ciberseguridad.

      La brecha

      Las acciones de defensa están en auge en toda Europa mientras los gobiernos inyectan dinero en tecnología militar. Polonia está gastando mil millones de euros en ciberseguridad. La OTAN está financiando aceleradores de innovación y alianzas de IA de defensa. La inversión refleja una evaluación precisa de la amenaza.

      Pero las plantas de tratamiento de agua que fueron vulneradas en Polonia no estaban protegidas por nada de eso. Las instalaciones en Jabłonna Lacka y Szczytno estaban ejecutando sistemas de control con credenciales predeterminadas de fábrica expuestas a internet. Las empresas estadounidenses que la EPA encontró en violación de estándares básicos están ejecutando la misma configuración. La sofisticación del atacante es irrelevante cuando la puerta principal está desbloqueada.

      La ABW de Polonia publicó su primer resumen de actividad en una década porque la magnitud de la amenaza ha hecho que el silencio sea insostenible. Estados Unidos ha publicado aviso tras aviso. El patrón es consistente en ambos países: los gobiernos que mejor comprenden la amenaza son aquellos cuya infraestructura crítica permanece más expuesta, porque los sistemas que tratan el agua potable son operados por municipios que carecen de los recursos, la experiencia o la obligación regulatoria para asegurarla. Los hackers que vulneraron cinco plantas de agua polacas no necesitaban un exploit de día cero. Necesitaban una contraseña.