La oscuridad que cayó sobre la capital de Venezuela en las horas de la mañana del 3 de enero de 2026 señaló un cambio profundo en la naturaleza del conflicto moderno: la convergencia de la guerra física y cibernética. Mientras las fuerzas de operaciones especiales estadounidenses llevaban a cabo la dramática toma del poder del presidente venezolano Nicolás Maduro, una ofensiva mucho más silenciosa pero igualmente devastadora estaba teniendo lugar en las redes digitales invisibles que ayudan a Caracas a operar.
El apagón no es el resultado de líneas eléctricas bombardeadas o caídas, sino más bien de la manipulación precisa e invisible de los sistemas de control industrial que gestionan el flujo de electricidad. Esta sincronización de la acción militar tradicional con la guerra cibernética avanzada representa un nuevo capítulo en el conflicto internacional, en el que las líneas de código informático que manipulan la infraestructura crítica se encuentran entre las armas más poderosas.
Para entender cómo una nación puede apagar las luces de un adversario sin disparar un solo tiro, hay que observar los controladores que regulan la infraestructura moderna. Son los cerebros digitales encargados de abrir las válvulas, hacer girar las turbinas y dirigir la potencia.
Durante décadas, los dispositivos de control se consideraron simples y aislados. Sin embargo, la modernización de la red los transformó en sofisticados ordenadores conectados a Internet. Como investigador de seguridad cibernética, observo cómo los poderes cibernéticos avanzados aprovechan esta modernización mediante el uso de técnicas digitales para controlar el comportamiento físico de la maquinaria.
maquinas robadas
Mis colegas y yo demostramos cómo el malware puede comprometer un controlador para crear una realidad dividida. El malware intercepta comandos legítimos enviados por operadores de red y los reemplaza con instrucciones maliciosas diseñadas para desestabilizar el sistema.
Por ejemplo, el malware puede enviar comandos para abrir y cerrar interruptores rápidamente, una técnica conocida como aleteo. Esta acción puede dañar físicamente transformadores o generadores masivos al provocar que se sobrecalienten o se desalineen con la red. Estas acciones pueden provocar incendios o explosiones que tardan meses en repararse.
Al mismo tiempo, el malware calcula cómo deberían verse las lecturas del sensor si la red estuviera funcionando normalmente y envía estos valores fabricados a la sala de control. Es probable que los operadores vean luces verdes y lecturas de voltaje constantes en sus pantallas incluso cuando los transformadores se sobrecargan y los disyuntores se disparan en el mundo físico. Este desacoplamiento de la imagen digital de la realidad física deja a los defensores sorprendidos, incapaces de diagnosticar o reaccionar ante una falla hasta que es demasiado tarde.
Los transformadores eléctricos actuales son accesibles para los piratas informáticos. GAO
Ejemplos históricos de este tipo de ataque incluyen el malware Stuknet que tuvo como objetivo las instalaciones de enriquecimiento nuclear de Irán. El malware destruyó centrifugadoras en 2009, haciéndolas girar a velocidades peligrosas mientras alimentaba a los operadores con datos “normales” falsos.
Otro ejemplo es el ataque de Industroier de Rusia al sector energético de Ucrania en 2016. El malware de Industroier tenía como objetivo la red eléctrica de Ucrania, utilizando los propios protocolos de comunicación industrial de la red para abrir directamente disyuntores y cortar el suministro eléctrico a Kiev.
Más recientemente, el ataque del tifón Volt de China a infraestructuras críticas de Estados Unidos, revelado en 2023, fue una campaña centrada en el preposicionamiento. A diferencia del sabotaje tradicional, estos piratas informáticos se infiltraron en las redes para permanecer inactivos y pasar desapercibidos, adquiriendo la capacidad de interrumpir las comunicaciones y los sistemas de energía de los Estados Unidos durante una crisis futura.
Para defenderse de este tipo de ataques, el Comando Cibernético del Ejército de EE. UU. ha adoptado una estrategia de “defender hacia adelante”, buscando activamente amenazas en redes extranjeras antes de que lleguen a suelo estadounidense.
A nivel nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad está promoviendo principios de “seguridad por diseño”, instando a los fabricantes a eliminar las contraseñas y utilidades predeterminadas para implementar arquitecturas de “confianza cero” que asumen que las redes ya están comprometidas.
Vulnerabilidad de la cadena de suministro
Hoy en día, existe una vulnerabilidad acechando dentro de la cadena de suministro de los propios controladores. Una disección del firmware de los principales proveedores internacionales revela una dependencia significativa de componentes de software de terceros para admitir funciones modernas como el cifrado y la conectividad en la nube.
Esta modernización tiene su precio. Muchos de estos dispositivos críticos funcionan con bibliotecas de software obsoletas, algunas de las cuales ya tienen años de soporte al final de su vida útil, lo que significa que ya no cuentan con soporte por parte del fabricante. Esto crea una fragilidad común en toda la industria. Una vulnerabilidad en una biblioteca única y ubicua como OpenSSL (una herramienta de software de código abierto utilizada por casi todos los servidores web y dispositivos conectados para cifrar las comunicaciones en todo el mundo) podría exponer a los controladores de múltiples proveedores al mismo método de ataque.
Los controladores modernos se han convertido en dispositivos habilitados para la web que a menudo albergan sus propios sitios web administrativos. Estos servidores web integrados representan un punto de entrada que los adversarios suelen pasar por alto.
Los atacantes pueden infectar la aplicación web del controlador, permitiendo que se ejecute malware dentro del navegador web de cualquier ingeniero u operador que inicie sesión para operar la planta. Esta ejecución permite que el código malicioso cambie a sesiones de usuarios legítimas, eludiendo los firewalls y emitiendo comandos a la maquinaria física sin necesidad de descifrar la contraseña del dispositivo.
El alcance de esta vulnerabilidad es enorme y el potencial de daño se extiende mucho más allá de la red eléctrica, incluidos los sistemas de transporte, manufactura y tratamiento de agua.
Utilizando herramientas de escaneo automatizado, mis colegas y yo descubrimos que la cantidad de controladores industriales expuestos a la Internet pública es significativamente mayor de lo que sugieren las estimaciones de la industria. Miles de dispositivos críticos, desde equipos hospitalarios hasta relés de subestaciones, son visibles para cualquier persona con los criterios de búsqueda correctos. Esta exposición proporciona un rico terreno de caza para que los adversarios realicen reconocimientos e identifiquen objetivos vulnerables que sirvan como puntos de entrada a redes más profundas y protegidas.
El éxito de las recientes operaciones cibernéticas estadounidenses está obligando a una conversación difícil sobre la vulnerabilidad de Estados Unidos. La incómoda verdad es que la red eléctrica de Estados Unidos depende de las mismas tecnologías, protocolos y cadenas de suministro que los sistemas comprometidos en el extranjero.
La red eléctrica de Estados Unidos es vulnerable a los piratas informáticos. Incumplimiento normativo
Sin embargo, al riesgo interno se suman los marcos regulatorios que luchan por responder a las realidades de la red. Una investigación exhaustiva del sector energético estadounidense que mis colegas y yo llevamos a cabo reveló una discrepancia significativa entre el cumplimiento normativo y la seguridad real. Nuestro estudio encontró que, si bien las regulaciones establecen una línea de base, a menudo fomentan una mentalidad de lista de verificación. Las empresas de servicios públicos están cargadas con requisitos de documentación excesivos que desvían recursos de medidas de seguridad efectivas.
Este retraso regulatorio es particularmente preocupante dada la rápida evolución de las tecnologías que conectan a los consumidores a la red eléctrica. La adopción generalizada de recursos energéticos distribuidos, como los inversores solares residenciales, ha creado una gran vulnerabilidad descentralizada que las regulaciones actuales apenas abordan.
Un análisis respaldado por el Departamento de Energía encontró que estos dispositivos a menudo no son seguros. Al comprometer un porcentaje relativamente pequeño de estos inversores, mis colegas y yo descubrimos que un atacante podría manipular su producción de energía para provocar inestabilidades graves en la red de distribución. A diferencia de las centrales eléctricas centralizadas protegidas por guardias y sistemas de seguridad, estos dispositivos están ubicados en hogares y empresas privadas.
Contabilidad física
Defender la infraestructura de Estados Unidos requiere ir más allá de las listas de verificación de cumplimiento que actualmente dominan la industria. Las estrategias defensivas ahora requieren un nivel de sofisticación acorde con los ataques. Esto implica un cambio fundamental hacia medidas de seguridad que tengan en cuenta cómo los atacantes pueden manipular las máquinas físicas.
La integración de computadoras conectadas a Internet en redes eléctricas, fábricas y redes de transporte está creando un mundo en el que la línea entre el código y la destrucción física se vuelve irreversiblemente borrosa.
Garantizar la resiliencia de la infraestructura crítica requiere aceptar esta nueva realidad y construir defensas que verifiquen cada componente, en lugar de confiar incondicionalmente en el software y el hardware, o en una luz verde en un tablero.
Descubre más desde USA Today
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Spanish 