A crescente digitalização transformou estações de tratamento de água e sistemas de saneamento em alvos para hackers APT (Advanced Persistent Threat). Longe de serem vítimas acidentais, esses alvos são escolhidos deliberadamente como pontos de pressão em uma estratégia descrita em um relatório detalhado pela DomainTools. Entre 2024 e 2026, instalações de abastecimento de água nos Estados Unidos e na Europa foram sistematicamente sondadas por diferentes grupos ligados a governos, cada um com seus próprios objetivos, mas com um cálculo em comum: o controle sobre o fornecimento de água cria uma alavancagem de influência sem a necessidade de uma declaração formal de guerra.
Os hackers iranianos, associados ao Corpo da Guarda Revolucionária Islâmica, agiram de forma mais ostensiva. O grupo CyberAv3ngers, em 2023, obteve acesso a controladores industriais – dispositivos que gerenciam bombas, válvulas e a dosagem de reagentes químicos – explorando senhas de fábrica padrão em dispositivos Unitronics israelenses instalados em companhias de água americanas. Os invasores deixaram mensagens políticas nas telas de controle. Em abril de 2026, a Agência de Cibersegurança dos EUA (CISA), o FBI, a NSA e a Agência de Proteção Ambiental emitiram um alerta conjunto sobre os ataques contínuos a instalações hídricas.
A China, por outro lado, adotou uma tática diferente. Em fevereiro de 2024, agências de inteligência americanas confirmaram que o grupo Volt Typhoon havia se infiltrado nas redes de companhias de água, instalações de energia e transporte nos EUA. Os hackers não causaram danos visíveis; sua missão era estabelecer uma presença persistente dentro dos sistemas, em preparação para um futuro conflito, incluindo um possível confronto em torno de Taiwan.
Em todos os casos documentados, os invasores exploraram as mesmas fraquezas: controladores industriais e painéis de controle acessíveis pela internet, senhas padrão ou simples, e a falta de segmentação entre redes corporativas e de produção. As agências recomendam o isolamento dos sistemas de controle do acesso público à internet, a alteração das senhas de fábrica, a segmentação das redes e a implementação de monitoramento para detectar atividades anômalas nos nós de produção. A exploração dessas vulnerabilidades básicas, como o uso de credenciais padrão, demonstra uma falha crítica na segurança cibernética de infraestruturas essenciais, deixando-as suscetíveis a ataques que podem ter consequências devastadoras para a sociedade.
