El 20 de diciembre de 2025, mientras Rumania se preparaba para las vacaciones de invierno, se lanzó un asedio digital silencioso contra uno de los pilares más vitales de la nación: Administrația Națională "Apele Române" o Aguas Rumanas.

Mientras que los ciudadanos inicialmente solo vieron un sitio web fuera de línea y correos electrónicos desaparecidos, la realidad era un incidente de ransomware de alto riesgo que paralizó más de 1,000 sistemas informáticos en todo el país. Aquí hay un análisis investigativo de la "Brecha de BitLocker". Este es un ataque que resalta una evolución alarmante en cómo los hackers están convirtiendo las herramientas de seguridad incorporadas contra el estado.

Este ataque también debe verse a la luz de ataques similares a infraestructuras críticas en Francia. El patrón es el mismo: apuntar a una entidad de infraestructura crítica visible al público y dejarla fuera de línea durante un período prolongado para retrasar la recuperación y asegurarse de que los medios se hagan eco del incidente. El sitio web de Aguas Rumanas sigue siendo inaccesible en el momento de escribir esta publicación de blog.

Antes de avanzar, no olvides consultar nuestro blog anterior sobre “Por qué los hackers pro-rusos atacaron La Poste de Francia” aquí.   

La brecha: Un cierre de fin de semana

Aguas Rumanas (Administrația Națională Apele Române) es la principal autoridad de gestión del agua del país. Según el sitio web de Aguas Rumanas, la Administración Nacional "Aguas Rumanas" administra las aguas en el dominio público del estado y la infraestructura del Sistema Nacional de Gestión del Agua, que consiste en reservorios, diques de defensa contra inundaciones, canales, derivaciones entre cuencas, tomas de agua y otras obras específicas, así como infraestructuras de gestión asociadas.

El incidente comenzó el sábado, 20 de diciembre. Para cuando la Dirección Nacional para la Ciberseguridad (DNSC) fue notificada, el daño era extenso. El ataque no solo golpeó la sede central en Bucarest, sino que se extendió a 10 de las 11 administraciones de cuencas hidrográficas regionales de Rumania, incluidos centros clave en Oradea, Cluj, Iași, Siret y Buzău.

El impacto a simple vista:

• Sistemas comprometidos: Aproximadamente 1,000 activos informáticos.

• Infraestructura afectada: Servidores GIS (Sistema de Información Geográfica), bases de datos, servidores web y de correo electrónico, y Servidores de Nombres de Dominio (DNS).

• El ultimátum: Una nota de rescate exigiendo contacto en una semana

El arma elegida: "Viviendo de la Tierra"

El descubrimiento más sorprendente realizado por investigadores del DNSC y el Centro Nacional de Ciberinteligencia (CNC) fue la ausencia de ransomware convencional. En su lugar, los atacantes utilizaron Microsoft BitLocker para bloquear archivos en los sistemas comprometidos.

BitLocker, como muchos de ustedes sabrán, es una característica legítima de Windows diseñada para proteger datos mediante cifrado. Al obtener privilegios administrativos, los atacantes esencialmente "cerraron la puerta principal y tiraron la llave", usando el software de seguridad de la agencia para mantener sus datos como rehenes. Este enfoque en particular recuerda una línea que el personaje de Jeff Goldblum pronunció en el clásico de invasión alienígena Día de la Independencia. “Están usando nuestros sistemas contra nosotros”. Eso es lo que dice David Levinson, un ingeniero satelital educado en el MIT y experto tecnológico cuando descubre que los alienígenas han encriptado un patrón de señal en nuestros propios satélites para ayudar a coordinar sus naves y sus tiempos de ataque.

Levinson, de hecho, descifra rápidamente el cifrado y utiliza un sencillo cálculo para averiguar el tiempo restante para que los alienígenas lancen un ataque coordinado sobre infraestructuras críticas clave en la tierra. Es esta misma desencriptación la que posiblemente ayudó al ingeniero satelital a compilar un malware personalizado más adelante en la película. Usa este malware para infiltrarse y cerrar la nave nodriza alienígena y otras naves participando en el ataque a la tierra. Esa fue una cerrada escapada para la humanidad según Roland Emmerich y los creadores de la primera entrega de Día de la Independencia.    

Disculpas por la digresión. Ahora sumerjámonos de nuevo en el incidente.  

Esta táctica "viviendo de la tierra" (LotL) es notoriamente difícil de detectar para el software antivirus tradicional porque la herramienta utilizada es confiable de manera nativa por el sistema operativo y los servicios extendidos podrían ser transformados dentro de servicios legítimos para mantener las actividades anómalas ocultas.

Resiliencia: Por qué los grifos siguieron abiertos

En la mayoría de los ataques a infraestructuras críticas, el escenario de pesadilla es la pérdida de Tecnología Operativa (OT). Esto incluye los sistemas que controlan físicamente las presas, compuertas y la presión del agua.

La buena noticia: Aguas Rumanas exitosamente segmentó posiblemente sus redes de TI (administrativa) y OT (operativa) haciendo que esta última permaneciera segura. Mientras que el "cerebro digital" estaba alterado, las "manos físicas" permanecieron funcionales y estables.

• Anulación manual: Los despachadores inmediatamente recurrieron a comunicaciones telefónicas y por radio.

• Control local: El personal en los sitios hidrotécnicos gestionó las estructuras manualmente, asegurando que las defensas contra inundaciones y el suministro de agua permanecieran operativos durante toda la crisis.

Un escudo posiblemente ausente

Quizás la revelación más significativa de la investigación es que Aguas Rumanas no estaba integrada previamente de ninguna manera en el sistema nacional de protección cibernética para infraestructuras críticas.

El Centro Nacional de Ciberinteligencia (parte del SRI) gestiona un sofisticado paraguas de defensa para entidades tanto públicas como privadas de importancia nacional. Este incidente ha expuesto un tipo de laguna: uno de los administradores de servicios públicos más críticos del país estaba esencialmente fuera del fuerte.

A la luz del incidente, el DNSC ha iniciado los pasos necesarios para integrar esta infraestructura en los sistemas desarrollados por el CNC para garantizar la protección cibernética tanto para infraestructuras de TI públicas como privadas con significancia crítica para la seguridad nacional, mediante el uso de tecnologías inteligentes. Esto según una nota actualizada publicada por el DNSC.

El estado actual:

• No negociación: Siguiendo la política del DNSC, las autoridades se han negado a contactar a los hackers de cualquier manera.

• Integración: Ahora se están acelerando los procedimientos para incluir la infraestructura de agua bajo el escudo de defensa cibernética nacional.

• Atribución: Aunque ningún grupo se ha adjudicado el crédito, el momento y la metodología reflejan la actividad reciente de grupos de hacktivistas pro-rusos (como Z-Pentest o NoName057) que han atacado servicios públicos europeos a lo largo de 2024 y 2025.

Según el DNSC, actualmente, la situación está bajo control y las actividades esenciales de ANAR continúan sin afectar la monitorización de los recursos hídricos ni la operación de la infraestructura hidrotécnica.

Las principales medidas que se están implementando son las siguientes:

·  La restauración de cuentas de usuario se ha completado. Esto permite la reanudación del acceso seguro de los empleados a los sistemas informáticos necesarios para la actividad actual.

· El servicio de correo electrónico está en proceso de reinicio y se está estabilizando. Los equipos técnicos están trabajando para restaurar completamente las operaciones para todos los usuarios en el menor tiempo posible.

· Con el fin de asegurar la continuidad de las actividades de monitoreo y coordinación críticas, la aplicación de despacho que es esencial para la vigilancia de situaciones hidrológicas se ha reubicado y puesto en funcionamiento en un entorno informático seguro.  

· Paralelamente, se están realizando trabajos técnicos para la reinstalación de la aplicación financiera. Su disponibilidad para los ciudadanos se comunicará públicamente en los próximos días

· Además, se está trabajando para restaurar y asegurar el sitio web www.rowater.ro, para que pueda ser restaurado a plena funcionalidad. El sitio sigue inactivo.

El veredicto: Un llamado de atención para 2026

El incidente de Aguas Rumanas puede considerarse, de hecho, una clase magistral en guerra asimétrica moderna. Los atacantes no necesitaron código personalizado; solo necesitaron un único punto de apoyo para convertir el cifrado propio del sistema en un arma.

Para la comunidad de ciberseguridad, esto es un recordatorio de que "confianza cero" no es solo una palabra de moda, es una necesidad. Cuando tus propias herramientas de seguridad pueden convertirse en una jaula, el perímetro ya no es suficiente.

¿Interesado en una sesión informativa personalizada sobre medidas de seguridad específicas para segmentar tu red OT? Hable con nuestro experto.

Prueba nuestra solución NDR para seguridad OT, aquí.

Para todo lo demás, háganoslo saber aquí.