Infraestructura Crítica Bajo Ataque: Energía, Agua y Salud como Nuevos Frentes de la Guerra Cibernética
En 2025, el 50% de todos los ataques de ransomware globales afectaron a sectores críticos. El segmento de energía y servicios públicos registró un aumento del 80% en los ataques en comparación con el año anterior. En marzo de 2026, un ataque patrocinado por el estado comprometió 200,000 sistemas del fabricante de dispositivos médicos Stryker. La CISA emitió una alerta formal pidiendo que las organizaciones críticas se preparen para interrupciones cibernéticas.
Las cifras de 2025 eliminan cualquier ambigüedad sobre la dirección de la amenaza: 2,332 de los 4,701 incidentes de ransomware registrados en el año, o el 50% del total, afectaron a sectores críticos como manufactura, salud, energía, transporte y servicios financieros. El sector de energía y servicios públicos registró un aumento del 80% en los ataques con respecto a 2024. Las utilidades americanas sufrieron 1,162 ataques cibernéticos en 2024, un aumento de casi el 70% en comparación con los 689 de 2023.
Los incidentes de 2026 confirman la trayectoria. En marzo, actores patrocinados por el estado comprometieron a Stryker, fabricante de dispositivos médicos, destruyendo o interrumpiendo más de 200,000 sistemas, servidores y dispositivos móviles. En febrero, un ataque de ransomware al University of Mississippi Medical Center obligó al cierre de todos los 35 locales de clínicas del estado y la cancelación de cirugías electivas. En diciembre de 2025, un ataque coordinado afectó aproximadamente a 30 instalaciones conectadas a la red eléctrica de Polonia.
El Cambio en el Vector de Ataque
El patrón más alarmante no es el volumen, es la sofisticación. El FBI identificó al FSB ruso utilizando herramientas personalizadas contra infraestructura Cisco en agosto de 2025. La CISA documentó grupos chinos como Volt Typhoon y Salt Typhoon empleando tácticas "living-off-the-land", utilizando herramientas legítimas del sistema operativo para moverse lateralmente sin activar alertas tradicionales de seguridad.
En infraestructura hídrica, el informe del Drinking Water Inspectorate británico reveló 15 notificaciones de ataques de proveedores de agua entre enero de 2024 y octubre de 2025. En abril de 2025, hackers prorrusos tomaron el control del sistema de una pequeña represa en Noruega y abrieron una válvula durante cuatro horas, explotando credenciales débiles en un panel de control conectado a Internet.
La Superficie de Ataque se Ha Expandido
En abril de 2026, cada incidente grave rastreado por investigadores fue atribuido a un tercero comprometido: proveedor, prestador de BPO o aplicación conectada a través de OAuth. La superficie de ataque dejó de ser el perímetro de la organización para convertirse en la cadena de proveedores digitales. Las organizaciones de infraestructura crítica a menudo operan con redes de tecnología operacional (OT) que fueron diseñadas hace décadas sin consideración de conectividad a Internet.
Lo que la CISA Está Pidiendo
En mayo de 2026, la CISA formalizó la orientación para que las organizaciones de infraestructura crítica preparen planes explícitos para operar bajo interrupción cibernética, incluyendo procedimientos manuales de respaldo para sistemas de control, comunicaciones alternativas cuando las redes primarias estén comprometidas, y ejercicios regulares de simulación de ataque de amplio espectro.
Para los consejos de administración, la cuestión ya no es si ocurrirá un ataque. Es si la organización puede operar cuando ocurra.