/ Segundo semestre 2025 36 Infraestructuras críticas Monográfico sectores de servicios públicos e infraestructuras críticas están entre los más afectados por ataques con motivación geopolítica. En este entramado aparece también con fuerza el rol de los Initial Access Brokers (IAB). Son actores que se especializan en obtener accesos no autorizados a redes corporativas (ya sea mediante VPN, RDP o credenciales comprometidas) y luego venden ese acceso a otros grupos (ransomware, espionaje, sabotaje...) en mercados y foros clandestinos de la Dark Web. Según estudios recientes, los IAB permitieron a grupos de ransomware “saltarse” la fase de intrusión, lo que reduce el tiempo de ataque y amplifica el riesgo. Por menos de 3.000 dólares, un actor puede comprar acceso remoto a tu red corporativa, sin necesidad de habilidades de hacking avanzadas. Desde la perspectiva de un CISO o CEO que lidera una infraestructura crítica, estas dinámicas implican que la superficie de ataque (todos los posibles vectores de entrada, internos y externos) se multiplica rápidamente, y no basta con proteger el núcleo: hay que gobernar las interdependencias, los accesos externos de terceros, las conexiones OT Si Colonial se hubiera defendido mejor (autenticación fuerte, segmentación estricta entre redes IT y OT, monitoreo continuo y respuesta rápida), el ataque habría tenido menor impacto o ni siquiera habría alcanzado la red OT. ‘Cyber Threat Intelligence’ Cuando hablamos de defender infraestructuras críticas hoy, no solo nos referimos a firewalls. Hablamos de conocer al adversario, sus motivaciones y vectores de ataque, así como de interconectar esa información en el diseño estratégico de la organización: eso es a lo que se refiere el concepto de Cyber Threat Intelligence (CTI). Un buen programa de CTI permite anticipar ataques, entender qué grupos (ya sean criminales, estatales o hacktivistas) están detrás y adecuar la defensa en consecuencia. Por ejemplo, los actores patrocinados por Estados (state-sponsored threat actors) han escalado sus capacidades para apuntar a redes OT y redes de servicios esenciales: técnicas de espionaje, sabotaje, desinformación, manipulación de control... En Europa, el informe de la European Union Agency for Cybersecurity (ENISA) de 2025 indica que los ras, retrasando los objetivos estratégicos del régimen iraní por años. Stuxnet marcó un punto de inflexión: un arma cibernética con impacto físico directo. Antes de eso, muchos incidentes eran robos de datos o disrupciones limitadas; Stuxnet mostró que el software puede causar destrucción industrial con precisión. Además, el hecho de que el sistema atacado estuviera air-gapped (aislado de redes públicas) subraya que las barreras tradicionales de aislamiento ya no garantizan la seguridad absoluta: la infección se propagó mediante USB infectados introducidos en la red de la planta iraní. Colonial Pipeline En mayo de 2021, el oleoducto más grande de Estados Unidos, la de la compañía Colonial Pipeline, fue víctima de un ataque de ransomware perpetrado por el grupo DarkSide. El vector inicial fue sorprendentemente simple: una contraseña comprometida de una cuenta VPN sin autenticación multifactor, que permitió el acceso a la red corporativa. Para contener el ataque, se detuvo totalmente el oleoducto por varios días, interrumpiendo el suministro de combustible en la costa este de Estados Unidos. Se pagaron unos 75 bitcoins (unos 4,4 millones de dólares) para obtener la herramienta de descifrado. Las lecciones son reveladoras: no fue un complejo ataque estatal con múltiples puertas traseras; fue un fallo cotidiano de seguridad básica (credenciales, autenticación multifactor, segmentación). El impacto, sin embargo, fue estratégico: combustible escaso, pánico social, costes millonarios, implicaciones geopolíticas... Tras el incidente, Estados Unidos reforzó sus normas de reporte de incidentes, exigió mayores controles para operadores de oleoductos y endureció regulaciones de ciberseguridad.
RkJQdWJsaXNoZXIy MTI4MzQz