Hackear la red: cómo el sabotaje digital convierte la infraestructura en un arma

La oscuridad que se apoderó de la capital venezolana en la madrugada del 3 de enero de 2026 marcó un profundo cambio en la naturaleza del conflicto moderno: la convergencia de la guerra física y la cibernética. Las fuerzas de operaciones especiales estadounidenses llevaban a cabo la dramática captura del presidente venezolano Nicolás Maduro. Mientras tanto, una ofensiva más silenciosa, pero igualmente devastadora, se desarrollaba en las redes digitales invisibles que ayudan a operar Caracas.

El apagón no fue resultado de torres de transmisión bombardeadas ni de líneas eléctricas cortadas. Fue una manipulación precisa e invisible de los sistemas de control industrial que gestionan el flujo eléctrico. Esta sincronización de la acción militar tradicional con la ciberguerra avanzada representa un nuevo capítulo en los conflictos internacionales. Aquí las líneas de código informático que manipulan infraestructuras críticas se encuentran entre las armas más potentes.

Para entender cómo una nación puede apagar las luces de un adversario sin disparar un tiro, hay que mirar dentro de los controladores que regulan la infraestructura moderna. Son los cerebros digitales responsables de abrir válvulas, hacer girar turbinas y dirigir la energía.

Durante décadas, los dispositivos de control se consideraron simples y aislados. Sin embargo, la modernización de la red los ha transformado en sofisticados ordenadores conectados a internet. Como investigador de ciberseguridad, investigo cómo las fuerzas cibernéticas avanzadas aprovechan esta modernización mediante técnicas digitales para controlar el comportamiento físico de la maquinaria.

Máquinas secuestradas

Mis colegas y yo hemos demostrado cómo el malware puede comprometer un controlador para crear una realidad dividida. El malware intercepta comandos legítimos enviados por los operadores de la red y los reemplaza con instrucciones maliciosas diseñadas para desestabilizar el sistema.

Por ejemplo, el malware podría enviar comandos para abrir y cerrar rápidamente los interruptores, una técnica conocida como flapping. Esta acción puede dañar físicamente transformadores o generadores de gran tamaño. Así se provoca sobrecalentamiento o desincronización con la red. Estas acciones pueden provocar incendios o explosiones cuya reparación puede tardar meses.

Simultáneamente, el malware calcula cómo deberían ser las lecturas de los sensores si la red funcionara con normalidad. Luego, envía estos valores falsos a la sala de control. Es probable que los operadores vean luces verdes y lecturas de voltaje estables en sus pantallas, incluso cuando los transformadores se sobrecargan y los interruptores se disparan en el mundo físico. Esta disociación de la imagen digital de la realidad física deja a los defensores a ciegas. Es por eso que son incapaces de diagnosticar o responder al fallo hasta que es demasiado tarde.

Ejemplos históricos de este tipo de ataque incluyen el malware Stuxnet, que atacó plantas de enriquecimiento nuclear iraníes. Este malware destruyó centrifugadoras en 2009, haciéndolas girar a velocidades peligrosas mientras proporcionaba datos “normales” falsos a los operadores.

Otro ejemplo es el ataque de Industroyer por parte de Rusia contra el sector energético de Ucrania en 2016. El malware Industroyer tenía como objetivo la red eléctrica de Ucrania. Utilizó los propios protocolos de comunicación industrial de la red para abrir directamente los interruptores y cortar la energía a Kiev.

Más recientemente, el ataque Volt Typhoon de China contra la infraestructura crítica de Estados Unidos, revelado en 2023, fue una campaña centrada en el preposicionamiento. A diferencia del sabotaje tradicional, estos hackers se infiltraron en las redes para permanecer inactivos y sin ser detectados. Esto les permitió interrumpir los sistemas de comunicaciones y energía de Estados Unidos durante una futura crisis.

Para defenderse de este tipo de ataques, el Comando Cibernético del ejército estadounidense ha adoptado una estrategia de “defensa avanzada”, buscando activamente amenazas en redes extranjeras antes de que lleguen a suelo estadounidense.

A nivel nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad promueve los principios de “seguridad por diseño”. Insta a los fabricantes a eliminar las contraseñas y utilidades predeterminadas para implementar arquitecturas de “confianza cero” que asumen que las redes ya están comprometidas.

Vulnerabilidad de la cadena de suministro

Actualmente, existe una vulnerabilidad latente en la cadena de suministro de los propios controladores. Un análisis del firmware de los principales proveedores internacionales revela una dependencia significativa de componentes de software de terceros para soportar funciones modernas como el cifrado y la conectividad en la nube.

Esta modernización tiene un costo. Muchos de estos dispositivos críticos funcionan con bibliotecas de software obsoletas, algunas de las cuales han caducado hace años. Esto significa que ya no reciben soporte del fabricante. Esto crea una vulnerabilidad compartida en toda la industria. Una vulnerabilidad en una única biblioteca omnipresente como OpenSSL (un conjunto de herramientas de software de código abierto utilizado en todo el mundo por casi todos los servidores web y dispositivos conectados para cifrar las comunicaciones) puede exponer los controladores de varios fabricantes al mismo método de ataque.

Los controladores modernos se han convertido en dispositivos web que a menudo alojan sus propios sitios web administrativos. Estos servidores web integrados representan una vía de entrada a menudo pasada por alto para los atacantes.

Los atacantes pueden infectar la aplicación web de un controlador, lo que permite que el malware se ejecute en el navegador web de cualquier ingeniero u operador que inicie sesión para gestionar la planta. Esta ejecución permite que el código malicioso se aproveche de sesiones de usuarios legítimos, eludiendo los firewalls y enviando comandos a la maquinaria física sin necesidad de descifrar la contraseña del dispositivo.

La escala de esta vulnerabilidad es enorme y el potencial de daño se extiende mucho más allá de la red eléctrica, incluidos los sistemas de transporte, fabricación y tratamiento de agua.

Utilizando herramientas de escaneo automatizado, mis colegas y yo hemos descubierto que la cantidad de controladores industriales expuestos a la internet pública es significativamente mayor de lo que sugieren las estimaciones del sector. Miles de dispositivos críticos, desde equipos hospitalarios hasta relés de subestaciones, son visibles para cualquiera con los criterios de búsqueda adecuados. Esta exposición proporciona un terreno fértil para que los adversarios realicen tareas de reconocimiento e identifiquen objetivos vulnerables que sirven como puntos de entrada a redes más profundas y protegidas.

El éxito de las recientes operaciones cibernéticas estadounidenses plantea un debate complejo sobre la vulnerabilidad de Estados Unidos. La incómoda realidad es que la red eléctrica estadounidense depende de las mismas tecnologías, protocolos y cadenas de suministro que los sistemas comprometidos en el extranjero.

Desalineación regulatoria

Sin embargo, el riesgo interno se ve agravado por marcos regulatorios que no logran abordar las realidades de la red. Una investigación exhaustiva del sector eléctrico estadounidense, realizada por mis colegas y por mí, reveló una importante discrepancia entre el cumplimiento de las regulaciones y la seguridad real. Nuestro estudio concluyó que, si bien las regulaciones establecen una línea base, a menudo fomentan una mentalidad de lista de verificación. Las empresas de servicios públicos están sobrecargadas con requisitos de documentación excesivos que desvían recursos de medidas de seguridad eficaces.

Este retraso regulatorio es particularmente preocupante dada la rápida evolución de las tecnologías que conectan a los clientes a la red eléctrica. La adopción generalizada de recursos energéticos distribuidos, como los inversores solares residenciales, ha creado una gran vulnerabilidad descentralizada que la normativa actual apenas aborda.

Un análisis respaldado por el Departamento de Energía ha demostrado que estos dispositivos suelen ser inseguros. Al comprometer un porcentaje relativamente pequeño de estos inversores, mis colegas y yo descubrimos que un atacante podría manipular su potencia de salida para causar graves inestabilidades en la red de distribución. A diferencia de las centrales eléctricas centralizadas protegidas por guardias y sistemas de seguridad, estos dispositivos se encuentran en hogares y negocios privados.

Contabilización de lo físico

Defender la infraestructura estadounidense requiere ir más allá de las listas de verificación de cumplimiento que actualmente dominan la industria. Las estrategias de defensa ahora requieren un nivel de sofisticación acorde con los ataques. Esto implica un cambio fundamental hacia medidas de seguridad que consideren cómo los atacantes podrían manipular la maquinaria física.

La integración de computadoras conectadas a Internet a las redes eléctricas, fábricas y redes de transporte está creando un mundo donde la línea entre el código y la destrucción física está irrevocablemente borrosa.

Para garantizar la resiliencia de la infraestructura crítica es necesario aceptar esta nueva realidad y construir defensas que verifiquen cada componente, en lugar de confiar ciegamente en el software y el hardware, o en las luces verdes de un panel de control.

Samán Zonouz es profesor asociado de Ciberseguridad y Privacidad e Ingeniería Eléctrica e Informática en el Instituto Tecnológico de Georgia.

Este artículo se publicó en The Conversation. Lee el original aquí.