La Comisión Nacional del Agua (Conagua) enfrenta un riesgo “sin precedentes” al estar expuesta a la vulnerabilidad más severa jamás registrada en Microsoft, según alertó la unidad de investigación de la empresa de ciberseguridad SILIKN. Cabe destacar que otras 402 instituciones del Gobierno de México también están en riesgo.

Los especialistas mexicanos aseguraron que una posible falla en la Conagua es un asunto de seguridad nacional, pues incluso podría ocurrir una escasez de agua en el futuro.

¿En qué consiste la falla de Microsoft que amenaza a Conagua?

El fallo de Microsoft, identificado como CVE-2025-55315, afecta al servidor web Kestrel y recibió una puntuación del Sistema Común de Puntuación de Vulnerabilidades (CVSS, por sus siglas en inglés) de 9.9, la más alta en la historia de la compañía.

“Esta brecha permite ataques de contrabando de solicitudes HTTP, una técnica que posibilita ocultar peticiones maliciosas dentro de otras legítimas, evadiendo controles de seguridad y comprometiendo servidores y aplicaciones”. SILIKN

De ser explotada, la vulnerabilidad podría permitir a los atacantes acceder a credenciales, manipular archivos o causar interrupciones de servicio, afectando directamente sistemas críticos.

¿Cómo podría impactar a Conagua?

La empresa de ciberseguridad mexicana advirtió que un ataque derivado de la vulnerabilidad podría derivar en fallos operativos con consecuencias graves como:

Escasez de agua

Afectaciones a la producción agrícola

Crisis sanitarias

Cabe destacar que Conagua gestiona el abastecimiento de agua potable, el riego agrícola y el control de inundaciones, por lo que los expertos mostraron su preocupación por posibles vulneraciones.

“La dependencia, pieza clave de la infraestructura nacional, desempeña un papel vital en la prevención de desastres naturales, la protección de ecosistemas acuáticos y la seguridad hídrica del país, por lo que su exposición representa un asunto de seguridad nacional”, remató la empresa del experto Víctor Ruíz.

Soluciones y recomendaciones para evitar ataques

Microsoft ya lanzó parches correctivos dentro de sus actualizaciones de octubre, que incluyen versiones actualizadas de Visual Studio y ASP.NET Core, además de la versión 2.3.6 de Microsoft.AspNetCore.Server.Kestrel.Core.

Asimismo, la empresa exhortó a los desarrolladores y administradores de sistemas a instalar de inmediato las actualizaciones y reforzar las configuraciones de seguridad para evitar que la vulnerabilidad sea explotada.

De igual forma, la unidad de investigación de SILIKN hicieron las siguientes recomendaciones a las autoridades:

Implementar de inmediato los parches de seguridad necesarios

Mantener una vigilancia constante sobre sus sistemas

Reforzar la capacitación del personal con el fin de detectar posibles intentos de intrusión.

“El caso de Conagua evidencia la creciente vulnerabilidad de las infraestructuras críticas ante las amenazas digitales y subraya la urgencia de que México fortalezca la ciberseguridad en sus organismos esenciales, antes de que una falla de software derive en un incidente de gran magnitud”, remató SILIKN.