El 20 de diciembre de 2025, mientras Rumania se preparaba para las fiestas de invierno, se lanzó un asedio digital silencioso contra uno de los pilares más vitales de la nación: la Administrația Națională "Apele Române" o Aguas Rumanas.

Mientras que los ciudadanos inicialmente solo veían un sitio web fuera de línea y correos electrónicos faltantes, la realidad era un incidente de ransomware de alto riesgo que paralizó más de 1,000 sistemas informáticos en todo el país. Aquí tienes un desglose investigativo de la "Infracción de BitLocker". Este es un ataque que destaca una evolución escalofriante en cómo los hackers están utilizando herramientas de seguridad integradas contra el estado.

Este ataque también debe verse a la luz de ataques similares a la infraestructura crítica en Francia. El patrón es el mismo: apuntar a una entidad de infraestructura crítica de cara al público y dejarla fuera de línea por un período prolongado para retrasar la recuperación y asegurarse de que los medios cubran el incidente. El sitio web de Aguas Rumanas sigue inaccesible en el momento de escribir esta publicación de blog.

Antes de avanzar, no olvides consultar nuestro blog anterior sobre “Por qué los hackers pro-Rusos atacaron La Poste de Francia” aquí.   

La infracción: Un cierre de fin de semana

Aguas Rumanas (Administrația Națională Apele Române) es la máxima autoridad de gestión del agua del país. Según el sitio web de Aguas Rumanas, la Administración Nacional “Aguas Rumanas” administra las aguas en el dominio público del estado y la infraestructura del Sistema Nacional de Gestión del Agua, que consiste en embalses, diques de defensa contra inundaciones, canales, derivaciones intercuencas, captaciones de agua y otras obras específicas, así como la infraestructura de gestión asociada.

El incidente comenzó el sábado 20 de diciembre. Para cuando la Dirección Nacional de Ciberseguridad (DNSC) fue notificada, el daño ya estaba extendido. El ataque no solo golpeó la sede central en Bucarest; tuvo repercusiones en 10 de las 11 administraciones regionales de cuencas hidrográficas de Rumania, incluidos nodos clave en Oradea, Cluj, Iași, Siret y Buzău.

El impacto a simple vista:

• Sistemas comprometidos: Aproximadamente 1,000 activos informáticos.

• Infraestructura afectada: servidores GIS (Sistema de Información Geográfica), bases de datos, servidores web y de correo electrónico, y servidores de nombres de dominio (DNS).

• El ultimátum: Una nota de rescate demandando contacto dentro de una semana

El arma elegida: "Vivir de la tierra"

El descubrimiento más impactante hecho por los investigadores de la DNSC y el Centro Nacional de Ciberinteligencia (CNC) fue la ausencia de ransomware convencional. En su lugar, los atacantes usaron Microsoft BitLocker para bloquear archivos en los sistemas comprometidos.

BitLocker, como muchos de ustedes saben, es una funcionalidad legítima de Windows diseñada para proteger los datos a través de la encriptación. Al obtener privilegios administrativos, los atacantes esencialmente "bloquearon la puerta principal y tiraron la llave", usando el propio software de seguridad de la agencia para mantener sus datos como rehenes. Este enfoque particular recuerda una línea que el personaje de Jeff Goldblum pronunció en el clásico de invasión alienígena Día de la Independencia: “Están usando nuestros sistemas contra nosotros”. Eso es lo que dice David Levinson, un ingeniero de satélites con educación del MIT y experto tecnológico, cuando descubre que los alienígenas han cifrado un patrón de señal en nuestros propios satélites para ayudar a coordinar sus naves y sus tiempos de ataque.

De hecho, Levinson descifra rápidamente la encriptación y utiliza un cálculo simple para determinar el tiempo restante para que los alienígenas lancen un ataque coordinado contra infraestructuras críticas clave en la Tierra. Es esta misma des-encriptación la que posiblemente ayudó al ingeniero de satélites a compilar un malware personalizado más adelante en la película. Utiliza este malware para infiltrar y desactivar la nave nodriza alienígena y otras naves que participan en el ataque a la Tierra. Fue un resuello cercano para la humanidad según Roland Emmerich y los creadores de la primera entrega de Día de la Independencia.    

Perdón por la digresión. Ahora sumergámonos de nuevo en el incidente.  

Esta táctica de "vivir de la tierra" (LotL) es notoriamente difícil de detectar para los antivirus tradicionales porque la herramienta utilizada es de confianza nativa por el sistema operativo y los servicios extendidos podrían transformarse dentro de servicios legítimos para mantener ocultas las actividades anómalas.

Resiliencia: Por qué los grifos siguieron funcionando

En la mayoría de los ataques a infraestructuras críticas, el escenario de pesadilla es la pérdida de Tecnología Operativa (OT). Esto incluye los sistemas que controlan físicamente represas, compuertas de esclusas y presión del agua.

Las buenas noticias: Aguas Rumanas posiblemente segmentó exitosamente sus redes de IT (administrativa) y OT (operacional) haciendo que esta última estuviera segura. Aunque el "cerebro digital" fue reordenado, las "manos físicas" permanecieron funcionales y estables.

• Anulación manual: Los despachadores de inmediato se revirtieron a comunicaciones por teléfono y radio.

• Control local: El personal en los sitios hidrotécnicos gestionó las estructuras manualmente, asegurándose de que las defensas contra inundaciones y los suministros de agua permanecieran operativos a lo largo de la crisis.

Un posible escudo faltante

Quizás la revelación más significativa de la investigación es que Aguas Rumanas no estaba previamente integrada de ninguna manera en el sistema nacional de protección cibernética para infraestructuras críticas.

El Centro Nacional de Ciberinteligencia (parte del SRI) gestiona un sofisticado paraguas de defensa para entidades tanto públicas como privadas de importancia nacional. Este incidente ha expuesto una brecha de algún tipo: uno de los gestores de servicios públicos más críticos del país estaba esencialmente fuera del fuerte.

A la luz del incidente, la DNSC ha iniciado los pasos necesarios para integrar esta infraestructura en los sistemas desarrollados por el CNC para asegurar la protección cibernética tanto para infraestructuras IT&C públicas como privadas con significancia crítica para la seguridad nacional, a través del uso de tecnologías inteligentes. Esto según una nota actualizada emitida por la DNSC.

El estado actual:

• Sin negociación: Siguiendo la política de la DNSC, las autoridades han rehusado contactar a los hackers de cualquier manera.

• Integración: Ahora se están acelerando los procedimientos para cubrir la infraestructura hídrica bajo el escudo de ciberdefensa nacional.

• Atribución: Aunque ningún grupo ha reclamado crédito, el momento y la metodología reflejan la actividad reciente de grupos hacktivistas pro-Rusos (como Z-Pentest o NoName057) que han atacado servicios europeos a lo largo de 2024 y 2025.

Según la DNSC, actualmente, la situación está bajo control, y las actividades esenciales de ANAR continúan sin afectar la supervisión de los recursos hídricos ni la operación de la infraestructura hidrotécnica.

Las principales medidas que se están implementando son las siguientes:

·  La restauración de las cuentas de usuario se ha completado. Esto permite la reanudación del acceso seguro de los empleados a los sistemas informáticos necesarios para la actividad actual.

· El servicio de correo electrónico está en proceso de reinicio y se está estabilizando. Los equipos técnicos están trabajando para restaurar completamente las operaciones para todos los usuarios en el menor tiempo posible.

· Para asegurar la continuidad de las actividades críticas de monitoreo y coordinación, la aplicación de despacho que es esencial para la vigilancia de situaciones hidrológicas ha sido reubicada y puesta en operación en un entorno informático seguro.  

· En paralelo, se están realizando trabajos técnicos para la reinstalación de la aplicación financiera. Su disponibilidad para los ciudadanos será comunicada públicamente en los próximos días.

· Además, se está trabajando para restaurar y asegurar el sitio web www.rowater.ro, de modo que pueda restaurarse a plena funcionalidad. El sitio sigue caído.

El veredicto: Un llamado de atención para 2026

El incidente de Aguas Rumanas puede considerarse efectivamente como una lección magistral en guerra asimétrica moderna. Los atacantes no necesitaron código personalizado; solo necesitaban un único punto de apoyo para usar la propia encriptación del sistema como arma.

Para la comunidad de ciberseguridad, esto es un recordatorio de que "cero confianza" no es solo una palabra de moda, sino una necesidad. Cuando tus propias herramientas de seguridad pueden convertirse en una jaula, el perímetro ya no es suficiente.

Interesado en un informe personalizado sobre medidas de seguridad específicas para segmentar tu red OT Habla con nuestro experto.

Prueba nuestra solución NDR para seguridad OT, aquí.

Para todo lo demás, háznoslo saber aquí.