Una empresa británica de servicios públicos que suministra agua potable a 1.6 millones de personas no descubrió a los hackers ocultos en su red informática durante casi dos años antes de que la intrusión saliera a la luz debido a una ralentización del rendimiento de TI, según ha determinado el regulador de protección de datos del Reino Unido. ### La ICO multa a South Staffordshire Water La **Oficina del Comisionado de Información (ICO)** multó a **South Staffordshire Water** con £963,900 ($1.3 millones) el lunes por un ataque del grupo de ransomware **Cl0p** que provocó la publicación de datos personales de 633,887 clientes y empleados en agosto de 2022. Según el aviso de sanción, el acceso inicial se produjo casi dos años antes, en septiembre de 2020, cuando un empleado abrió un archivo adjunto de correo electrónico malicioso, instalando software que dio al atacante un punto de apoyo en la red corporativa. El actor de la amenaza permaneció oculto hasta mayo de 2022 antes de comenzar a moverse lateralmente por los sistemas utilizando una cuenta de administrador de dominio, el nivel más alto de acceso al sistema disponible. La empresa no identificó la intrusión hasta julio de 2022, cuando los problemas de rendimiento de TI provocaron una investigación interna. Dos semanas después, la empresa descubrió una nota de rescate que el atacante había intentado sin éxito distribuir a ciertos miembros del personal. Tras el incidente, South Staffordshire detectó aproximadamente 4.1 terabytes de datos publicados en la dark web, incluyendo nombres, direcciones, fechas de nacimiento, números de cuenta bancaria y códigos de clasificación, números de seguro nacional y, para un pequeño porcentaje de clientes en el Registro de Servicios Prioritarios de la empresa, información de la que se podían inferir discapacidades. ### Fallos de seguridad expuestos La investigación de la ICO identificó cuatro fallos de seguridad específicos, entre ellos no implementar el principio de privilegio mínimo —un control estándar que limita el acceso del usuario solo a lo necesario para su función— lo que permitió al actor de la amenaza moverse libremente por la red utilizando una cuenta de administrador de dominio. En diciembre de 2021, más de un año después de que el atacante obtuviera acceso por primera vez, un centro de operaciones de seguridad externalizado monitorizaba solo el 5% del entorno de TI de la empresa. El tercero no fue identificado en el informe de la ICO, que indicaba que la telemetría de los puntos finales y el registro no estaban integrados en la plataforma de monitorización de seguridad de la empresa. Algunos dispositivos todavía ejecutaban **Windows Server 2003**, un sistema operativo cuyo soporte extendido finalizó en julio de 2015. Cuando la ICO solicitó a la empresa registros de escaneos de vulnerabilidades internos o externos realizados entre septiembre de 2020 y mayo de 2022, la empresa confirmó que no existían tales escaneos para ninguna de las categorías. Dos controladores de dominio también permanecieron sin parches contra una vulnerabilidad crítica conocida como **ZeroLogon**, que permite una rápida escalada de privilegios y se publicó por primera vez en agosto de 2020. El atacante explotó con éxito esta vulnerabilidad durante el incidente. “Esperar problemas de rendimiento o una nota de rescate para descubrir una brecha no es aceptable”, dijo Ian Hulme, Director Ejecutivo Interino de Supervisión Regulatoria de la ICO, y añadió que “la seguridad proactiva es un requisito legal, no un extra opcional”. ### Detalles del incidente y reacciones La brecha se hizo pública en agosto de 2022 cuando, en un intento de extorsión fallido, el grupo **Cl0p** afirmó haber robado datos de un proveedor de agua diferente, **Thames Water**, que atiende a unos 15 millones de personas en Londres y sus alrededores. En ese momento, el grupo afirmó ser capaz de alterar la composición química del suministro de agua, aunque esto fue disputado por South Staffordshire. El aviso de sanción no hace referencia a ninguna compromiso de los sistemas operativos o de tratamiento de agua. La ICO clasificó las infracciones en la categoría de gravedad media y redujo la multa total debido a la cooperación de South Staffordshire, la admisión temprana de responsabilidad y las medidas de mitigación. Se aplicó una reducción discrecional adicional, aunque el razonamiento está redactado en el aviso publicado. South Staffordshire llegó a un acuerdo voluntario a principios de este año, obteniendo un descuento del 40%, y ha acordado no apelar la decisión de la ICO. ### Crecientes ciberataques a proveedores de agua del Reino Unido La multa se produce mientras los proveedores de agua británicos se enfrentan a un número creciente de ciberataques. Se informaron cinco incidentes a la Inspección de Agua Potable entre enero de 2024 y octubre de 2025 — un número récord en cualquier período de dos años, según informó Recorded Future News, que obtuvo las cifras en virtud de las leyes de libertad de información en noviembre de 2025. Esos informes se realizaron voluntariamente. Según las actuales Regulaciones NIS, los proveedores de agua solo están obligados a notificar a las autoridades los incidentes cibernéticos que causen una interrupción real de los suministros. La brecha de South Staffordshire, que se hizo pública en 2022, no cumplió ese umbral. Se espera que el proyecto de Ley de Ciberseguridad y Resiliencia del gobierno del Reino Unido, destinado a ampliar los requisitos de notificación obligatoria y mejorar las normas de seguridad para los operadores de infraestructuras críticas, se presente al Parlamento este año. ### Implicaciones globales para la infraestructura hídrica Aunque ha habido ataques de ransomware contra los sistemas de oficinas de TI utilizados por las empresas de agua —incluidas las empresas que realizaron los informes anteriores en el Reino Unido y Aigües de Mataró en España— es extremadamente raro que los ciberataques a los proveedores de agua interrumpan realmente los servicios. En un caso raro de ataque exitoso a un componente de tecnología operativa (OT), los residentes de un área remota en la costa oeste de Irlanda se quedaron sin agua durante varios días en diciembre de 2023 cuando un grupo de hackers pro-Irán atacó indiscriminadamente instalaciones utilizando un equipo que los hackers se quejaron de que estaba hecho en Israel. El gobierno federal de EE. UU. había emitido una advertencia sobre la explotación de controladores lógicos programables (PLC) de **Unitronics** utilizados por muchas organizaciones en el sector del agua. Los ataques a los PLC, componentes tecnológicos centrales en muchos sistemas de control industrial, son una de las principales preocupaciones de los defensores de infraestructuras críticas. Las iniciativas para mejorar la seguridad de los sistemas hídricos en Estados Unidos fracasaron bajo la administración Biden cuando los grupos de la industria del agua se asociaron con legisladores republicanos para detener los esfuerzos federales, a pesar de los importantes aumentos en el número de ataques de ransomware e intrusiones patrocinadas por el estado. El año pasado, las autoridades canadienses advirtieron sobre un incidente en el que hacktivistas cambiaron la presión del agua en una utilidad local entre una serie de ataques que interferían con los sistemas de control industrial. El director ejecutivo de South Staffordshire, Charley Maher, dijo: “Aceptamos la decisión de la Oficina del Comisionado de Información relativa al ciberataque que sufrió nuestro Grupo en 2022, y lamentamos la preocupación y la inquietud que causó a clientes y empleados. Tomamos medidas inmediatas para contener el incidente, apoyar a los afectados y reducir el riesgo de recurrencia. “Hemos invertido significativamente para fortalecer aún más nuestra resiliencia en ciberseguridad, gobernanza y monitorización, y continuamos mejorando nuestras capacidades a medida que evoluciona el panorama de amenazas. Proteger la información de clientes y empleados es una responsabilidad que tomamos muy en serio, y seguimos centrados en aprender de este incidente y mantener sólidas salvaguardias en todo el Grupo”. <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">Más información.</a> <a rel="noopener" href="https://therecord.media/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a> <a href="https://therecord.media/author/alexander-martin"><img src="https://cms.therecord.media/uploads/headshot_79eb085f87.jpeg" data-nimg="1" decoding="async" height="384" width="384" loading="lazy" alt="Alexander Martin"></a>