Durante los tres últimos años, InprOTech ha encabezado, junto a TecdeSoft, el desarrollo de POSEIDÓN: una innovadora plataforma de ciberseguridad diseñada para proteger las infraestructuras del ciclo del agua.
En esta entrevista, Óscar Iglesias, responsable técnico del componente de ciberseguridad en el proyecto, explica cómo la integración de tecnologías como Guardian y el uso de inteligencia artificial han permitido crear una solución no intrusiva, capaz de detectar y anticipar amenazas en entornos OT sin comprometer la continuidad operativa.
1. ¿Podrías contarnos brevemente qué es el proyecto POSEIDÓN y cuál fue tu rol en su desarrollo?
POSEIDÓN es una plataforma de ciberseguridad integral diseñada para proteger infraestructuras del sector del agua, combinando el análisis de procesos operativos con la monitorización de comunicaciones. Fue desarrollada durante los tres últimos años, en el marco de un proyecto CPI de INCIBE conjunto con nuestro partner TecDeSoft. Mi rol desde InprOTech ha sido grosso modo liderar la definición técnica y el desarrollo del componente de ciberseguridad, especialmente en lo relativo a la integración de Guardian y sus tecnologías dentro de la solución global.
2. ¿Cuáles fueron los principales desafíos que enfrentaron al diseñar una plataforma de ciberseguridad para el sector del agua?
El principal desafío fue adaptar la ciberseguridad a entornos OT muy heterogéneos, redes extensas con sistemas legados y alta criticidad operativa. Además, existe una limitación habitual de recursos y personal especializado en el sector. Diseñar una solución que aportase valor sin interferir en la operación, y que además fuese intuitiva y usable por operadores —ya sean internos o de un MSSP (como un SOC)—, fue uno de los grandes retos.
3. POSEIDÓN se caracteriza por ser una solución no intrusiva. ¿Qué significa esto en la práctica y por qué es importante para las infraestructuras críticas?
En la práctica, significa que la plataforma no altera ni interfiere con los sistemas existentes. Se basa en la observación del tráfico y de los datos operativos sin necesidad de modificar configuraciones ni interrumpir procesos. Esto es fundamental en infraestructuras críticas, donde cualquier intervención puede suponer un riesgo para la continuidad del servicio. En estos entornos, las interrupciones no son admisibles.
4. La inteligencia artificial juega un papel fundamental en POSEIDÓN. ¿Cómo se integra esta tecnología en la plataforma y qué beneficios aporta?
La inteligencia artificial se integra principalmente a través de los modelos de detección de anomalías de Guardian. Estos algoritmos utilizan Machine Learning para analizar el tráfico de red a varios niveles —estadísticas, tráfico crudo y variables de proceso— y así detectar inconsistencias. Su principal valor es la capacidad de identificar patrones complejos o desconocidos, lo que permite anticiparse a amenazas tanto de ciberseguridad como de seguridad física. De este modo, podemos identificar desde ciberataques hasta incidencias en procesos químicos de tratamiento del agua, por poner un ejemplo.
5. ¿Podrías explicarnos cómo funcionan los componentes clave como CARMEN y GUARDIAN dentro del sistema?
CARMEN permite llevar a cabo la monitorización operativa: centraliza los datos de proceso del ciclo del agua, proporcionando visibilidad sobre tendencias, variables críticas, gestión de turnos y trabajos, etc. Por su parte, Guardian se encarga de la capa de ciberseguridad, analizando el tráfico, mapeando la red, descubriendo problemas de segmentación y vulnerabilidades, y detectando anomalías que potencialmente constituyan incidentes de seguridad. Incluso incorpora sistemas señuelo integrados artificialmente en la red de producción. La integración de estas dos plataformas da lugar a POSEIDÓN, que permite correlacionar eventos de seguridad con el contexto operativo.
6. ¿Qué impacto ha tenido POSEIDÓN en la gestión del ciclo del agua durante su fase de implementación o pruebas?
Durante las pruebas, especialmente en entornos reales como la plataforma MEDUSA del CITEEC de la Universidad de A Coruña, se ha demostrado una mejora significativa en la visibilidad del sistema y en la capacidad de detección temprana de incidentes. Esto se traduce en una gestión más proactiva y en una reducción de riesgos operativos. Además, hablamos de un sector crítico sujeto a regulaciones exigentes y amenazas externas cada vez más agresivas, como el ataque a una presa noruega a mediados de 2025.
7. ¿Cómo ha sido la colaboración con otros equipos o empresas, como TecDeSoft e InprOTech, durante el desarrollo del proyecto?
La colaboración ha sido muy fluida y complementaria. TecDeSoft ha aportado su experiencia en la ingeniería y gestión de procesos industriales a través de CARMEN, mientras que desde InprOTech hemos contribuido con la capa de ciberseguridad y el conocimiento de riesgos del mundo OT/ICS. Esta sinergia ha sido esencial para construir una solución realmente integrada a nivel de gestión y usuarios.
8. En términos de ciberseguridad, ¿qué tipo de amenazas específicas puede detectar y prevenir POSEIDÓN que otras soluciones no abordan tan eficazmente?
POSEIDÓN destaca en la detección de amenazas que afectan tanto a la red como al proceso. Por ejemplo, manipulaciones sutiles de parámetros operativos que podrían pasar desapercibidas en soluciones tradicionales. Al correlacionar datos de proceso y comunicaciones, es factible identificar ataques avanzados o anomalías complejas. También detecta nuevos dispositivos que aparecen en la red, cambios de puerto o protocolo, intentos de suplantación o de reconocimiento de sistemas para ataques posteriores, así como conexiones externas potencialmente maliciosas, pudiendo incluso bloquearlas de manera preventiva según la política definida por los administradores.
9. ¿Qué aprendizajes o innovaciones surgieron durante el desarrollo que podrían aplicarse a otros sectores industriales?
Uno de los principales aprendizajes es la importancia de integrar ciberseguridad y operación en una única visión. Este enfoque es trasladable sin demasiada fricción a otros sectores industriales —alimentación, automoción, logística, etc.—, donde la convergencia IT/OT es cada vez más relevante. Destacaría especialmente dos capacidades: los modelos de IA/ML diseñados para analizar variables de proceso del ciclo del agua, que permiten detectar anomalías tanto de ciberseguridad como de seguridad operativa, y la capacidad de respuesta activa, que analiza las conexiones externas, recoge información de inteligencia y permite decidir al operador, en tiempo real, si bloquearlas o no.
10. Mirando hacia el futuro, ¿qué evolución o mejoras ves para POSEIDÓN o para la ciberseguridad en el sector del agua?
Hemos construido una solución holística que unifica operación, cumplimiento normativo, identificación, detección y respuesta ante incidentes en el sector del agua y otras infraestructuras críticas. A futuro, veremos una mayor incorporación de modelos predictivos y capacidades de automatización en la respuesta a incidentes, así como la introducción de enfoques de IA agéntica. Esto permitirá gestionar con eficiencia la complejidad de los sistemas, correlacionar señales de múltiples fuentes y agilizar la toma de decisiones.
11. Finalmente, ¿qué mensaje te gustaría transmitir a las organizaciones que están considerando implementar soluciones avanzadas de ciberseguridad en sus infraestructuras críticas?
No nos cansaremos de repetir que la ciberseguridad no es un gasto, sino un habilitador de negocio y una necesidad estratégica. Máxime cuando hablamos de infraestructuras críticas, que son vitales para la seguridad de una nación y el bienestar de sus habitantes. Debemos apostar por soluciones que se adapten a la realidad operativa y aporten valor desde el primer momento, sin comprometer la continuidad del servicio. La proactividad, la anticipación y la visibilidad son claves para garantizar la seguridad y resiliencia.