“Con conflictos regionales y tensiones entre potencias, parte de la confrontación se traslada al ciberespacio”, Carlos Castañeda, Serval Networks

¿Cómo es el volumen actual de ciberamenazas a las infraestructuras críticas?

El volumen de ciberamenazas contra infraestructuras críticas no deja de crecer y es cada vez más sofisticado, con un protagonismo cada vez mayor de ransomware dirigido a sectores críticos como energía, salud, transporte y telecomunicaciones. A esta tendencia se suman dos factores que amplifican el riesgo. La irrupción de la inteligencia artificial se está convirtiendo en una palanca para los atacantes. Hoy es posible automatizar fases del ataque —desde el reconocimiento de vulnerabilidades hasta la generación de malware más evasivo—, lo que multiplica la velocidad y escala de las campañas.

Además, la situación geopolítica internacional, marcada por conflictos regionales y tensiones entre potencias, ha trasladado parte de la confrontación al ciberespacio. En este escenario, las infraestructuras críticas son vistas como un objetivo estratégico para presionar, desestabilizar o enviar mensajes políticos sin necesidad de un enfrentamiento directo. Las amenazas no solo aumentan en número, sino también en intensidad, velocidad y motivación, situando a las infraestructuras críticas en el centro del ciber conflicto global.

 

¿Qué tipo de ciberataques son los más habituales?

En el caso de infraestructuras críticas, los ataques más comunes y preocupantes son:

• Ransomware dirigido (Ransomware 2.0 y RaaS – Ransomware as a Service). Se ha convertido en la principal amenaza para operadores industriales. Ya no se trata solo de cifrar datos, sino de paralizar procesos OT, detener líneas de producción o interrumpir servicios esenciales (agua, energía, salud). El modelo RaaS ha democratizado el acceso al ransomware: grupos criminales alquilan kits listos para usar, lo que multiplica la frecuencia de los ataques y permite que incluso actores poco sofisticados puedan comprometer infraestructuras críticas.
• Explotación de vulnerabilidades no parcheadas. Muchos sistemas OT funcionan con firmware o software obsoleto y carecen de mecanismos de actualización frecuentes. Esto los convierte en objetivos fáciles para ataques que buscan acceso inicial y movimiento lateral dentro de la red.
• Ataques a la cadena de suministro y terceros. Los proveedores de mantenimiento remoto, integradores y servicios cloud que soportan operaciones industriales son cada vez más explotados como puerta de entrada. Aquí, la IA facilita la identificación de “eslabones débiles” y la orquestación de ataques en cadena.
• Ingeniería social avanzada y phishing. El uso de IA generativa permite crear correos de phishing altamente personalizados, en el idioma local y con apariencia legítima. También emergen técnicas como deepfakes de voz o vídeo para suplantar órdenes de directivos u operadores, generando confusión y decisiones erróneas.
• Ataques de denegación de servicio (DoS/DDoS). Aunque clásicos, siguen siendo relevantes en sectores como transporte y telecomunicaciones, donde la saturación de sistemas puede paralizar servicios esenciales.

 

¿Cuáles son las motivaciones de los atacantes y cuál el impacto de la geopolítica?

Las motivaciones de los atacantes que ponen en riesgo las infraestructuras críticas se pueden agrupar en tres grandes categorías:

• Económicas: el ransomware y la extorsión siguen siendo el motor principal. Los atacantes buscan obtener beneficios rápidos bloqueando procesos esenciales o amenazando con la filtración de datos sensibles.
• Estratégicas y de sabotaje: actores más sofisticados persiguen la interrupción de servicios esenciales para generar presión social, desestabilizar gobiernos o influir en la economía.
• Espionaje: el robo de propiedad intelectual, secretos industriales o datos operativos que confieren ventaja competitiva o militar.

La geopolítica multiplica este riesgo. Las infraestructuras críticas se convierten en un objetivo estratégico para ejercer presión o incluso como “campo de pruebas” para nuevas tácticas.

 

¿Considera adecuadas las normativas existentes en el entorno europeo para la protección de estas infraestructuras?

Marcos como NIS2 (y DORA en el sector financiero) son adecuados como base: obligan a gobernanza del riesgo, medidas técnicas/organizativas y notificación de incidentes. El reto está en la implementación efectiva en OT: inventario real de activos, segmentación, planes de respuesta específicos a ransomware y continuidad operacional. Las buenas prácticas internacionales (p.ej., NIST CSF, IEC 62443) deben ponerse operativas con auditoría y métricas de madurez; además, son clave la coordinación nacional, la notificación obligatoria y los ejercicios conjuntos.

 

¿Qué medidas de ciberseguridad recomienda a las empresas del sector?

Desde Serval Networks, recomendamos las siguientes:

• Inventario y clasificación de activos OT: no se puede proteger lo que no se conoce. Es clave contar con un inventario automatizado y clasificación por criticidad para priorizar riesgos y cumplir con normativas como NIS2.
• Segmentación de redes OT e implementación de zonas seguras: separar entornos críticos mediante zonificación y DMZ industriales limita el movimiento lateral de atacantes y evita que un incidente se propague por toda la red.
• Gestión continua de vulnerabilidades con priorización de riesgo: la clave no es identificar más vulnerabilidades, sino priorizar las que tienen explotación activa o afectan a procesos esenciales para reducir exposición real.
• Políticas de acceso reforzadas y privilegio mínimo: la mala gestión de credenciales sigue siendo un punto débil. Recomendamos multifactor, PAM y trazabilidad de acciones bajo un modelo Zero Trust.
• Plan de copias de seguridad y continuidad operacional: el ransomware se combate con backups inmutables y offline. Deben probarse regularmente para garantizar recuperación rápida sin comprometer la operación.
• Capacidades de detección y respuesta a incidentes: un incidente puede controlarse si se detecta a tiempo. Contar con un CIRT propio o gestionado permite aislar sistemas y coordinar la respuesta eficazmente.
• Gestión de terceros y cadena de suministro: muchos ataques llegan por proveedores con accesos remotos. Es vital exigir cláusulas de seguridad, notificación de incidentes y auditorías periódicas.
• Formación y concienciación del personal: el error humano sigue siendo la principal puerta de entrada. La capacitación práctica y simulaciones en entornos OT reducen drásticamente el riesgo de ataques.

 

¿Qué soluciones particulares tiene su compañía para este sector?

Serval Networks ofrece un catálogo OT centrado en continuidad y resiliencia que incluye el análisis de vulnerabilidades OT no intrusivo y la gestión de riesgos priorizada por criticidad; las arquitecturas OT seguras (zonificación/segmentación IEC 62443, IDMZ); el despliegue y soporte de firewalls industriales y el control de accesos en entornos OT; el inventario y la clasificación automática de activos con informes para cumplimiento (NIS2, ENS).

Complementamos nuestros servicios con fabricantes líderes que conocen el ámbito industrial: Claroty (visibilidad OT/IoT e inteligencia específica ICS para mejorar inventario, exposición y telemetría); Fortinet OT Security (firewalls industriales, NDR/SIEM y FortiGuard como threat intelligence global aplicada a eventos); Qualys (priorización de riesgo por vulnerabilidades explotables – enfoque TruRisk– que ayuda a decidir dónde actuar primero).

En acceso seguro, acompañamos la transición desde VPN obsoletas hacia Zero Trust con Netskope ZTNA (acceso contextual y de mínimo privilegio a apps) e Illumio ZTSegmentation (microsegmentación para frenar movimiento lateral). Nuestro objetivo es ayudar a reducir superficie de ataque, contener impacto y sostener la operación mientras se cumple con la regulación.