Hacking ONESEC

¡Contáctanos!

Ciberataques y Catástrofes en OT: De la Teoría a la Realidad

Alejandro Cisneros

·

·

, ,

Introducción

Como ya he mencionado en mi artículo anterior IT vs OT: Dos mundos, una convergencia inevitable, que recomiendo ampliamente leer, la Tecnología Operacional (OT por sus siglas en inglés, Operational Technology) solía estar aislada de la Tecnología de la Información (IT por sus siglas en inglés, Information Technology). Esta separación ha ido cambiando con las nuevas tendencias. La nueva exposición de las máquinas y sistemas que operan en nuestro mundo físico, que a veces están conectadas al ciberespacio, plantea nuevos retos en materia de seguridad.

Pero en este artículo quiero mostrar el impacto real, las vidas que están en juego, la seriedad del asunto cuando hablamos de OT.

Los números muestran un peligro creciente. Según un Informe sobre Tecnología Operacional y Ciberseguridad 2024 de Fortinet, el porcentaje de organizaciones que experimentaron intrusiones que impactaron sistemas OT aumentó de 49% en 2023 a 73% en 2024, lo cual muestra un importante aumento en tan solo un año.

Por su parte, Dragos reporta que los ataques de ransomware dirigidos al sector industrial también crecieron de manera notable en 2024, afectando especialmente a la manufactura y demostrando que los adversarios están ampliando sus tácticas para interrumpir operaciones esenciales.

La imagen ilustra el peligro de los ciberataques a la Tecnología Operacional (OT), materializando las consecuencias digitales en un desastre físico (incendios, explosiones y colapsos de infraestructura).

Peligros que van más allá de la pantalla, que viajan por la red y se expresan en nuestro mundo físico: apagones, explosiones, interrupciones potenciales de cadenas de suministro globales. Las consecuencias no solo son económicas, son vidas humanas y daños ambientales irreversibles.

De esto va este artículo: Generar conciencia sobre el tema y dar a conocer ciberataques y catástrofes que han superado la teoría para materializarse en la realidad, cambiando la forma en cómo concebimos la seguridad industrial.

Los Casos que Redefinieron la Seguridad en OT

1. Stuxnet (2010): Cuando el Código se Convirtió en Arma de Guerra

No podemos hablar de ciberataques a OT sin hablar del generado por Stuxnet, posiblemente el ciberataque más popular hacia tecnologías operativas. Un evento que quizá todos deberíamos conocer para dimensionar el nivel de peligro que puede llegar a ser un ataque a OT.

Stuxnet es un gusano informático considerado por muchos expertos como un malware altamente sofisticado. Era algo nunca antes visto en aquellos años de 2010. Por su alto nivel de sofisticación se consideró que su autoría no venía de simples ciberatacantes. Por su diseño parecía orquestado por una nación, una ciberarma. Aunque nunca se ha confirmado oficialmente quién es el autor de este malware, muchos expertos apuntan a una posible cooperación entre Estados Unidos e Israel para la creación de la posiblemente primera ciberarma de la historia de la humanidad que ataca infraestructuras físicas. En particular, esta ciberarma tuvo como objetivo las centrifugadoras de enriquecimiento de uranio en Natanz recordando que a finales de la década de 2000, Irán avanzaba en su programa de enriquecimiento de uranio en dicha planta nuclear.

De acuerdo con Avast, Stuxnet fue creado por un programa de alto secreto denominado “Operación Juegos Olímpicos”, dirigido por los servicios de inteligencia estadounidenses e israelíes. Bajo la dirección de la Agencia de Seguridad Nacional (NSA) de Estados Unidos, la operación conjunta se encargó de desarrollar un virus u otra forma de malware que no se limitara a infectar ordenadores, sino que también pudiera dañar la infraestructura física.

Gusano informático: Software malicioso que busca propagarse a otras computadoras. En este caso, Stuxnet es un gusano informático ya que es un software autorreplicante y autosuficiente, a diferencia de los virus que necesitan un archivo o programa para replicarse o entrar en funcionamiento.

¿Cómo pudieron infectar aquellas centrifugadoras y pasar la seguridad? La respuesta es posiblemente: dispositivos USB con el malware dentro. Se necesitaba que un agente o persona del interior conectara este dispositivo con el malware Stuxnet a los sistemas para que el gusano empezara a hacer de las suyas.

Una vez dentro de los sistemas, Stuxnet:

  1. Se propagó silenciosamente por todos los sistemas Windows
  2. Buscó específicamente software Siemens usado en control industrial
  3. Verificó si estaba controlando las centrífugas específicas de Natanz
  4. Tomó el control y comenzó a manipularlas

Stuxnet aceleró las centrífugas y las hizo girar irregularmente. Los cambios eran sutiles. Los operadores no notaban nada extraño porque el malware falsificaba los datos mostrados en las pantallas. Todo parecía normal mientras las centrífugas se autodestruían lentamente.

Representación fotorrealista de la infiltración de Stuxnet: un gusano digital con forma de escorpión emerge de un puerto USB, extendiéndose como circuitos luminosos hacia un entorno industrial desenfocado que simula una planta de centrifugadoras. El texto 'STUXNET' se encuentra en la base.
El impacto

El ataque destruyó aproximadamente 1,000 de las centrífugas de Natanz. Lo que posiblemente retrasó en años el programa nuclear iraní. Fue el primer malware usado como arma de guerra. Un experto de Kaspersky mencionó lo siguiente sobre Stuxnet: “es un prototipo funcional y aterrador de un arma cibernética que conducirá a una nueva carrera armamentística mundial“.

2. TRITON/TRISIS (2017): El Malware Diseñado para Matar

El contexto

En 2017, técnicos de la planta petroquímica Petro Rabigh en Arabia Saudita enfrentaron un problema preocupante. Un sistema de seguridad Triconex, diseñado específicamente para proteger vidas humanas, estaba causando paros inesperados en la planta.

Estos sistemas de seguridad instrumentada (SIS, por sus siglas en inglés) son la última línea de defensa. Si algo sale mal (temperaturas muy altas, presiones peligrosas, fugas de gas), el SIS detiene todo automáticamente antes de que ocurra una catástrofe. Es como los frenos de emergencia de un tren.

El ataque

Lo que descubrieron fue aterrador. Un malware sofisticado llamado TRITON había tomado control del sistema de seguridad. Los atacantes podían desactivar las protecciones que evitan explosiones, fugas tóxicas o muertes de trabajadores.

Petro Rabigh es un industrial enorme, produce más de 5 millones de toneladas de petroquímicos al año. Maneja materiales extremadamente peligrosos: gases tóxicos, altas presiones, temperaturas extremas. Un fallo en los sistemas de seguridad podría resultar en una catástrofe como la explosión de la refinería BP en Texas City en 2005, que mató a 15 personas y dejó más de 100 heridos o incluso pudo haber sido peor.

TRITON fue diseñado específicamente para sistemas Triconex. Había sido creado mediante ingeniería inversa del protocolo TriStation. Los atacantes tenían conocimiento profundo de sistemas industriales. Robert M. Lee, CEO de Dragos, lo describió como “la primera pieza de malware diseñada específicamente para matar personas“.

El impacto

Por suerte, un error en el código del malware causó que el sistema se apagara en lugar de operar normalmente. Esto alertó a los técnicos de que algo andaba mal. Si no hubiera sido por ese error, los atacantes pudieron haber causado una explosión o liberación de gases tóxicos con consecuencias catastróficas.

La investigación reveló que TRITON fue creado por el Central Scientific Research Institute of Chemistry and Mechanics (TsNIIKhM) en Moscú, un instituto de investigación del gobierno ruso. Estados Unidos posteriormente acusó formalmente a hackers rusos por el ataque.

TRITON cambió el juego. Demostró que los atacantes no solo buscan robar información o pedir rescates. Buscan causar daño físico real. Después de Petro Rabigh, el grupo detrás de TRITON (llamado XENOTIME) continuó atacando instalaciones en Estados Unidos y Asia-Pacífico.

Cabe aclarar que se reconoce a TsNIIKhM como el autor del malware (desarrollo), mientras que XENOTIME es el grupo actor operativo (ataques).

3. Ataque a la Red Eléctrica de Ucrania (2015-2016): El Primer Apagón Cibernético Confirmado

El contexto

Diciembre de 2015. Ucrania estaba en medio de un conflicto con Rusia tras la anexión de Crimea en 2014. El país enfrentaba una guerra híbrida: combates militares en el este y una guerra cibernética invisible en sus sistemas críticos.

El ataque de 2015

El 23 de diciembre de 2015, la red eléctrica en dos regiones occidentales de Ucrania fue hackeada, resultando en apagones para aproximadamente 225,000 consumidores durante varias horas. Es el primer ciberataque exitoso públicamente reconocido contra una red eléctrica.

El ataque fue meticulosamente planeado. Las semillas se plantaron en la primavera de 2015 con una variante del malware BlackEnergy, activado cuando un empleado abrió el archivo Excel adjunto de un correo electrónico de phishing.

Durante meses, los atacantes hicieron reconocimiento. El malware recolectaba datos, saltaba de un sistema a otro, detectaba vulnerabilidades. Llegó incluso a la red OT y realizó actividades de reconocimiento similares. Los atacantes aprendieron el entorno, estudiaron cómo funcionaba todo, planearon cada paso.

Los atacantes tomaron control remoto del mouse de las estaciones de trabajo HMI (interfaz humano-máquina) de los operadores y apagaron los interruptores, uno por uno, mientras los operadores locales intentaban recuperar el control.

Para maximizar el caos, los atacantes también:

  • Instalaron KillDisk, un malware que borró registros del sistema y dejó inoperables computadoras Windows
  • Manipularon firmware de dispositivos seriales a ethernet
  • Lanzaron un ataque de denegación de servicio telefónico contra el centro de llamadas, generando miles de llamadas para evitar que los clientes reportaran los apagones

Como CISA (Cybersecurity and Infrastructure Security Agency) menciona en uno de sus artículos ni BlackEnergy, ni los backdoors no reportados, ni KillDisk, ni las cargas maliciosas de firmware fueron responsables por sí solos del apagón. Cada uno fue simplemente un componente del ciberataque para propósitos de acceso y retraso de restauración. La causa real del apagón fue la manipulación directa de los sistemas de control industrial y la pérdida de control debido a operaciones manuales remotas del adversario.

El ataque de 2016

El ataque de 2016, conducido por los mismos actores del GRU (agencia de inteligencia militar) ruso, se basó en tácticas y técnicas desarrolladas para el ataque de 2015. Este segundo ataque utilizó un malware mucho más sofisticado llamado Industroyer (también conocido como CRASHOVERRIDE), diseñado específicamente para sistemas de control industrial.

El ataque codificó manipulaciones de ICS dentro del software en lugar de depender de interacciones manuales de los hackers con los sistemas, un cambio que hizo el ataque más escalable. Industroyer tiene conocimiento incorporado de los protocolos de comunicación utilizados en equipos de redes eléctricas, lo que le permite controlar directamente equipos remotos sin tener que depender del software que usan los operadores de la red.

Aunque no causó apagones tan extensos como el de 2015, demostró una evolución preocupante en las capacidades de los atacantes.

El impacto

Estos ataques demostraron varios puntos críticos:

  1. Las redes air-gapped no son inviolables: La separación física no es suficiente si hay conexiones entre redes IT y OT, o si los empleados usan dispositivos removibles o abren correos maliciosos.
  2. El factor humano sigue siendo el eslabón más débil: Todo comenzó con un empleado abriendo un archivo Excel malicioso.
  3. Los ataques a OT requieren conocimiento especializado: Los atacantes pasaron meses estudiando el entorno específico de sus víctimas.
  4. La convergencia IT/OT amplifica el riesgo.

4. Colonial Pipeline (2021): Cuando un Ataque a IT Paraliza OT

Colonial Pipeline no fue un ataque directo a sistemas OT. Fue un ataque de ransomware a la red IT (sistemas de facturación y administrativos). Sin embargo, es un caso fundamental que demuestra cómo la convergencia IT/OT significa que un ataque a sistemas de información puede tener consecuencias devastadoras en operaciones de tecnología operacional.

El contexto

Colonial Pipeline opera el sistema de oleoducto de productos refinados más grande de Estados Unidos. Transporta gasolina, diésel y combustible para aviones desde Texas hasta Nueva York. Aproximadamente el 45% de todo el combustible consumido en la Costa Este llega a través de este sistema de oleoductos.

El 7 de mayo de 2021, Colonial Pipeline descubrió que había sido víctima de un ataque de ransomware.

El ataque

Un grupo de hackers conocido como DarkSide obtuvo acceso a la red de Colonial Pipeline a través de una contraseña VPN comprometida. Esto fue posible porque el sistema no tenía protocolos de autenticación multifactor implementados. Una sola contraseña comprometida fue suficiente para iniciar el ataque más disruptivo contra infraestructura crítica en la historia reciente de Estados Unidos.

Durante su intrusión, robaron información. Luego, los hackers infectaron la red con ransomware DarkSide, encriptando datos críticos de los sistemas de facturación y administrativos.

La decisión crítica

Aquí está el punto clave: el ataque se dirigió principalmente a la infraestructura IT a los sistemas de facturación de la compañía. Los sistemas de bombeo de petróleo (OT) permanecieron operacionales y no fueron comprometidos directamente. Sin embargo, Colonial Pipeline tomó la decisión de cerrar todo el sistema de oleoductos como medida preventiva.

¿Por qué cerrar si OT no fue atacado? Porque sin sistemas de facturación funcionales, no podían rastrear qué producto estaba dónde, quién lo ordenó, o cómo cobrarlo. Además, existía la incertidumbre de cuán profunda era la intrusión y el riesgo de que pudiera extenderse a los sistemas OT.

Dentro de horas del ataque, la compañía pagó un rescate de 75 Bitcoins (4.4 millones de dólares USD). El CEO Joseph Blount explicó: “Era lo correcto para el país”, aunque reconoció que era “una decisión altamente controversial”.

El impacto

El cierre del oleoducto duró del 7 al 12 de mayo de 2021. Las consecuencias fueron inmediatas:

  • Desabasto de gasolina en toda la Costa Este
  • El precio nacional promedio de la gasolina subió a altos niveles
  • Más de 1,000 estaciones de gasolina sin combustible
  • Compras de pánico y filas kilométricas en gasolineras
La lección crítica

Colonial Pipeline demuestra que no se necesita atacar OT directamente para paralizar operaciones críticas. En un mundo de convergencia IT/OT:

  • Un ataque a sistemas administrativos, puede forzar el cierre de operaciones físicas
  • La falta de segmentación adecuada entre IT y OT amplifica el riesgo
  • Medidas básicas de seguridad (como autenticación multifactor) pueden prevenir ataques devastadores
  • Las decisiones operacionales durante un incidente pueden tener consecuencias nacionales

Este caso refuerza por qué la seguridad en OT no puede verse aislada de la seguridad en IT. Ambos mundos están conectados, y la vulnerabilidad en uno puede paralizar al otro.

La Seguridad en OT No Es Opcional, Es Vital

Los casos analizados Stuxnet, TRITON, los apagones en Ucrania y Colonial Pipeline nos enseñan que los ciberataques contra entornos OT no son escenarios hipotéticos, son realidades que han paralizado operaciones, causado daños físicos y puesto vidas en riesgo. La convergencia entre IT y OT amplifica la superficie de ataque, y cada brecha puede convertirse en una crisis nacional o global.

La seguridad en OT no puede verse como un complemento, ya que es un pilar de nuestra sociedad. Proteger sistemas industriales significa proteger la continuidad operativa, la economía y, sobre todo, la vida humana. Las organizaciones deben adoptar una postura proactiva: segmentación adecuada, monitoreo continuo, autenticación robusta, planes de respuesta y capacitación del personal.

En un mundo donde el código puede apagar ciudades, explotar plantas petroquímicas o detener el flujo de energía, la ciberseguridad industrial es la nueva frontera de la seguridad física.

Referencias

AVAST Academy – Stuxnet: ¿Qué es y cómo funciona? Recuperado el 26 de noviembre de 2025.

MIT Technology Review – Triton is the world’s most murderous malware, and it’s spreading. Recuperado el 27 de noviembre de 2025.

Dragos – Dragos Reports OT/ICS Cyber Threats Escalate Amid Geopolitical Conflicts and Increasing Ransomware Attacks. Recuperado el 26 de noviembre de 2025.

Dragos – Robert M. Lee. Recuperado el 26 de noviembre de 2025.

Dragos – XENOTIME Development of ICS malware for physical disruption, causing unsafe conditions and long-term persistence. Recuperado el 27 de noviembre de 2025.

CISA – Cyber-Attack Against Ukrainian Critical Infrastructure. Recuperado el 26 de noviembre de 2025.

CISA – The Attack on Colonial Pipeline: What We’ve Learned & What We’ve Done Over the Past Two Years. Recuperado el 27 de noviembre de 2025

ESET – ESET discovers dangerous malware designed to disrupt industrial control systems. Recuperado el 27 de noviembre de 2025.

FBI – FBI Statement on Compromise of Colonial Pipeline Networks. Recuperado el 26 de noviembre de 2025.

MITRE – MITRE ATT&ACK Industroyer. Recuperado el 27 de noviembre de 2025.

CNN Business – Latest on the US gas demand spikes. Recuperado el 27 de noviembre de 2025

CNN Business – Panic buying is emptying gas pumps across the Southeast. Recuperado el 27 de noviembre de 2025.

FOX Business – Colonial Pipeline sparks panic buying, leaving more than 1,000 gas stations across several states without fuel. Recuperado el 27 de noviembre de 2025.

CRN – Colonial Pipeline Hacked Via Inactive Account Without MFA. Recuperado el 26 de noviembre de 2025.

PBS News – Colonial Pipeline confirms it paid $4.4 million to hackers. Recuperado el 26 de noviembre de 2025.

Fortinet – Informe de Fortinet: Los actores de amenazas apuntan cada vez más hacia las organizaciones de OT. Recuperado el 27 de noviembre de 2025.

The Guardian – Triton: hackers take out safety systems in ‘watershed’ attack on energy plant. Recuperado el 27 de noviembre de 2025.

BBC News Mundo – El virus que tomó control de mil máquinas y les ordenó autodestruirse. Recuperado el 26 de noviembre de 2025.

BBC News Mundo – Colonial: por qué es de vital importancia para EE.UU. el oleoducto que fue objeto de un ciberataque a gran escala. Recuperado el 27 de noviembre de 2025.

ISA International Society of Automation – Lessons Learned From a Forensic Analysis of the Ukrainian Power Grid Cyberattack. Recuperado el 27 de noviembre de 2025.

Booz Allen Hamilton – When the Lights Went Out A COMPREHENSIVE REVIEW OF THE 2015 AT TACKS ON UKRAINIAN CRITICAL INFRASTRUCTURE.

Petro Rabigh – About Us. Recuperado el 27 de noviembre de 2025.

U.S. Department of the Treasury – Treasury Sanctions Russian Government Research Institution Connected to the Triton Malware. Recuperado el 27 de noviembre de 2025.

U.S. Department of Energy – Colonial Pipeline Cyber Incident. Recuperado el 27 de noviembre de 2025.

Alejandro Cisneros

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied