Los operadores de sistemas de agua y aguas residuales gestionan los riesgos cibernéticos al tiempo que mantienen las instalaciones en funcionamiento sin interrupciones. Los atacantes se centran tanto en los sistemas empresariales como en los operativos, a menudo a través del intercambio rutinario de archivos y de servicios de terceros. La dispersión de las instalaciones y la actividad de los contratistas aumentan la variabilidad en la forma en que se gestionan los soportes de datos. Es imprescindible contar con controles coherentes y auditables para los soportes extraíbles.
Panorama del sector
Según el informe «Global Cybersecurity Outlook 2025» del Foro Económico Mundial, el 72 % de las organizaciones encuestadas afirma que los riesgos cibernéticos aumentaron durante el último año. El 54 % de las grandes organizaciones señala los retos relacionados con terceros y la cadena de suministro como el mayor obstáculo para la resiliencia, lo que complica los controles entre proveedores y socios sobre el terreno. La preparación regional varía en lo que respecta a incidentes graves dirigidos contra infraestructuras críticas, lo que pone de relieve el riesgo sistémico en caso de que se vean afectadas las empresas de suministro de agua.
La geopolítica influye en la estrategia de casi el 60 % de las organizaciones, lo que aumenta la probabilidad de que se produzcan ataques con repercusiones en infraestructuras críticas. Las entidades del sector público, entre las que se incluyen las empresas de servicios públicos regionales, muestran niveles de confianza en su resiliencia distintos a los de sus homólogas del sector privado.
Amenazas transmitidas por archivos y relevantes para la tecnología operativa
El Informe sobre el panorama OPSWAT de 2025 señala una presión creciente sobre la ciberseguridad de las tecnologías operativas (OT) y las infraestructuras críticas, incluidos los servicios públicos. Los atacantes combinan motivos económicos con el espionaje, lo que aumenta el riesgo de interrupciones operativas. A continuación se enumeran los principales tipos de amenazas transmitidas a través de archivos que afectan actualmente a las tecnologías operativas y a las infraestructuras críticas.
Vectores basados en archivos
Los archivos PDF, los archivos comprimidos y el HTML siguen siendo vectores habituales de malware, y el contrabando de HTML va en aumento.
Ejemplo: Un proveedor llega con una USB un archivo ZIP del proyecto y un PDF con la documentación de presentación. Al descomprimir el archivo ZIP en una estación de trabajo de ingeniería, se activa un script oculto cuyo objetivo es infiltrarse en los sistemas de la planta, a menos que el soporte se escanee al recibirlo y se vuelva a validar en el momento de su uso mediante comprobaciones en los terminales.
Phishing e ingeniería social
Las intrusiones a través del correo electrónico suelen comenzar con el robo de credenciales o con scripts sin archivo que preparan la carga útil. Un estudio mencionado en el OPSWAT registró un aumento del 703 % en las campañas de suplantación de identidad para obtener credenciales.
Ejemplo: El ordenador portátil de un contratista es objeto de un ataque de phishing fuera de las instalaciones y, posteriormente, se utiliza para copiar informes «limpios» a una USB una visita a la planta. La carga útil preparada se transfiere junto con los archivos y se ejecutaría en cuanto se abriera dentro de la planta, sin pasar por ningún proceso de análisis ni validación del terminal.
Cadenas de ataque
El malware de múltiples etapas es cada vez más complejo, y los análisis basados en un solo motor o que se basan únicamente en firmas pueden pasar por alto amenazas que posteriormente se detectan mediante análisis más exhaustivos. OPSWAT muestra un aumento del 127 % en la complejidad de las etapas múltiples, y que el 7,3 % de los archivos que no detectaron las fuentes públicas fueron reclasificados como maliciosos.
Ejemplo: un archivo que contiene un archivo de configuración de apariencia inofensiva supera el análisis de un único motor antivirus y, tras abrirse en un host de salto, descarga un componente de segunda fase. Si no se realizan múltiples análisis antivirus en el momento de la entrada y una validación en el momento del uso, esta activación retardada puede colarse en el entorno de control.

Por qué esto era importante para nuestro cliente
La organización gestiona instalaciones dispersas que, tradicionalmente, aceptan datos procedentes de soportes extraíbles y dispositivos de subcontratistas. Sin un proceso de análisis obligatorio y auditable ni una autorización de los usuarios en los puntos de entrada, un solo archivo infectado podría interrumpir los procesos de tratamiento, provocar costosos tiempos de inactividad o minar la confianza del público. El perfil de riesgo se ajusta a las tendencias del sector, en el que el malware basado en archivos, las intrusiones mediante phishing y las vulnerabilidades de la cadena de suministro se combinan con operaciones ininterrumpidas que dan servicio a millones de personas.
Perímetro reforzado para cada emplazamiento
Una OPSWAT estandarizada controla ahora todos los soportes extraíbles antes de que entren en contacto con las instalaciones o los sistemas de oficina del proveedor de servicios. En la práctica, cada centro cuenta con un punto de entrada predecible, registros coherentes de quién escanea qué y cuándo, y un método repetible para mantener los soportes no verificados fuera de las redes de control. La verificación en el momento del uso se aplica mediante MetaDefender Endpoint en los terminales.

MetaDefender Kiosk y aplicación
Las unidades de escritorio fijas MetaDefender son ahora el primer punto de control para cualquier dispositivo de almacenamiento extraíble, como USB , tarjetas SD o discos, que se conecte a los sistemas operativos. El sistema de gestión de visitantes restringe el uso del quiosco al personal autenticado, por lo que tanto los empleados como los contratistas deben identificarse con las credenciales de la empresa para escanear los soportes y recibir un resultado de «aprobado» o «rechazado».
Kiosk incorpora ahora tres controles avanzados que se suman a Multiscanning. La tecnología Deep CDR™ descompone y regenera los archivos para eliminar el contenido activo, generando copias libres de amenazas para los tipos de archivos permitidos. Proactive DLP™ analiza los archivos en busca de datos confidenciales y, según la política establecida, los bloquea o los censura antes de su publicación. File-based Vulnerability Assessment los instaladores, el firmware y los paquetes de software en busca de vulnerabilidades conocidas y bloquea los elementos que incumplan la política.
Kiosk MetaDefender Kiosk amplía este mismo flujo de trabajo a las estaciones de trabajo autorizadas en oficinas y espacios de ingeniería. Las instalaciones con conectividad limitada siguen los mismos flujos de trabajo, incluida la aplicación de medidas sin conexión, de modo que las ubicaciones aisladas de la red reciben los mismos análisis, desinfecciones, controles de prevención de fugas de datos (DLP) y comprobaciones de vulnerabilidades antes de cualquier transferencia.

Endpoint deEndpoint de MetaDefender
Una vez que MetaDefender Kiosk ha escaneado los archivos, MetaDefender Endpoint comprueba, en el momento de su uso, que los soportes se han escaneado de acuerdo con las políticas establecidas y que los archivos no han sufrido modificaciones.
Si se produce algún cambio, se bloquea el acceso hasta que el elemento se vuelva a escanear y revalidar. De este modo se subsana la laguna habitual por la que un soporte limpio pasa a ser peligroso tras editar su contenido o añadir archivos. Además, se añade una capa de seguridad en los puntos de entrada que no siempre se encuentran cerca de un quiosco, como las redes aisladas o los emplazamientos con poca conectividad.

Metascan: Multiscanning
Metascan™ Multiscanning la primera fase de inspección en el quiosco. Para esta implementación, se ha configurado con 12 motores antivirus con el fin de ampliar la cobertura de detección y reducir los puntos ciegos de un solo motor. La política aplica conjuntos de motores según el tipo de archivo e inspecciona los archivos comprimidos y el contenido anidado antes de tomar cualquier decisión sobre su liberación. Multiscanning de la misma manera en sitios conectados y aislados, y envía los resultados limpios o marcados a la tecnología Deep CDR™, Proactive DLP y a File-based Vulnerability Assessment con el flujo de trabajo del sitio.
Cómo funciona, de principio a fin
- El usuario se autentica en unKiosk MetaDefender Kiosk en una estación de trabajo autorizada e inserta el soporte. Los archivos se analizan mediante Metascan Multiscanning otros controles de política.
- Las medidas de seguridad se aplican según sea necesario, incluyendo la tecnología Deep CDR™, Proactive DLP y las comprobaciones de vulnerabilidades en los archivos, antes de la publicación.
- Kiosk una firma de validación y registra los hash de los archivos que están permitidos.
- MetaDefender Endpoint comprueba la firma del quiosco y los hash de los archivos.
- Los registros de auditoría y los informes documentan quién escanea qué y cuándo, lo que contribuye al cumplimiento normativo.

¿Qué ha cambiado sobre el terreno?
- Control: Media a través de puntos de control supervisados, no mediante dispositivos USB o discos externos no autorizados.
- Autenticación: Solo el personal autenticado puede utilizar los quioscos para escanear y transferir archivos
- Aplicación de políticas de análisis: los dispositivos que ejecutan MetaDefender Endpoint solo permiten el acceso a los soportes y archivos verificados según las políticas aplicadas
- Revalidación: el contenido modificado se marca y se devuelve para volver a escanearlo hasta que se valide
- Coherencia: tanto los centros aislados como los conectados siguen el mismo flujo de trabajo, lo que mejora la coherencia entre todas las ubicaciones
- Se publican los archivos depurados y que cumplen con las políticas, mientras que los elementos vulnerables o confidenciales se bloquean o se ocultan antes de su uso
Creación de una defensa predictiva
Una vez implantado el programa de control de medios, la atención se centra en la ampliación, la visibilidad y la mejora continua. My OPSWAT Central Management los informes y registrosKiosk MetaDefender Kiosk y centraliza los eventos de análisis, los registros de acceso de los usuarios, las acciones de las políticas y los resultados de la validación de los terminales en todas las sedes.
Los equipos de operaciones y seguridad analizan las tendencias, perfeccionan las políticas y planifican la capacidad basándose en una única fuente de información fiable. Ese mismo conjunto de datos sirve de base para la elaboración de informes de cumplimiento normativo y la preparación ante incidentes en todas las instalaciones de abastecimiento de agua y tratamiento de aguas residuales.
Entre las próximas medidas recomendadas se incluyen:
- Análisis centralizado para detectar patrones en el uso de los medios y amenazas bloqueadas
- Ajuste de políticas basado en datos de tendencias, incluyendo la configuración del motor y los flujos de trabajo
- Ampliación gradual a nuevas instalaciones y contratistas para garantizar unos controles coherentes
Plantas más fuertes, una región más segura
La organización sustituyó la gestión de soportes de datos improvisada y sin medidas de seguridad por un proceso coherente y obligatorio en todas las plantas y oficinas. MetaDefender Kiosk, MetaDefender Endpoint y Metascan Multiscanning controles de análisis previo a la entrada (análisis en quiosco antes de la transferencia) y controles de verificación en el momento del uso (comprobaciones en los terminales que solo permiten archivos no modificados y aprobados por el quiosco). El resultado es un menor riesgo operativo, una responsabilidad más clara y una vía repetible hacia la mejora continua.
¿Quieres una demostración práctica? Ponte en contacto con nosotros para ver cómoKiosk funcionar MetaDefender Kiosk en tu entorno.
