Un estudio de OMICRON basado en despliegues reales de su sistema de detección de intrusiones (IDS) en más de cien instalaciones revela que las redes de tecnología operacional (OT) de subestaciones, centrales y centros de control todavía arrastran fallos que las dejan expuestas. Tras conectar sensores pasivos en redes PAC (protección, automatización y control), los equipos detectaron, en muchos casos, problemas críticos en cuestión de minutos: aparatos sin parchear, conexiones externas inesperadas, segmentación deficiente y catálogos de activos incompletos que dificultan comprender qué hay realmente en la red.
La naturaleza de los sistemas eléctricos explica por qué la detección a nivel de red es imprescindible. Muchos dispositivos de automatización industrial no ejecutan sistemas operativos convencionales y, por tanto, no permiten agentes de seguridad clásicos. Por eso, normas y marcos como el NIST Cybersecurity Framework recomiendan capacidades de detección basadas en la red para entornos industriales (NIST), y los estándares sectoriales como IEC 62443 definen controles específicos para OT (ver explicación general en ISA/IEC 62443).
La metodología empleada en el análisis combina monitorización pasiva mediante puertos espejo o TAPs y sondas que observan el tráfico sin interferir en las comunicaciones, con consultas activas cuando el protocolo lo permite. Además, la explotación de descriptores estandarizados como los archivos SCL de IEC 61850 y el uso de MMS para recuperar datos de “nameplate” facilitan construir inventarios automáticos de dispositivos y conocer firmware, fabricante y modelo. Esa mezcla de técnicas ayuda a cerrar la famosa “brecha de visibilidad” en la que muchos operadores siguen atrapados (IEC 61850 — visión general).
Entre los hallazgos técnicos recurrentes figuran equipos PAC con firmware obsoleto que contienen vulnerabilidades conocidas; un ejemplo documentado es la CVE‑2015‑5374, que permite provocar condiciones de denegación de servicio en relés de protección mediante paquetes UDP y para la que existen parches desde hace años (detalle CVE). También se localizaron servicios inseguros que no deberían estar activos, desde compartición de ficheros Windows hasta funciones de depuración en PLCs, y conexiones TCP/IP externas no autorizadas que en algunos emplazamientos sumaban decenas de destinos persistentes. La constatación más preocupante fue la frecuencia de arquitecturas en “flat network”, donde centenares de dispositivos comparten comunicación sin barreras claras, aumentando dramáticamente el alcance de cualquier incidente.
Los despliegues no solo sacaron a la luz riesgos de ciberseguridad: aparecieron problemas operativos que afectan a la disponibilidad y la integridad de las comunicaciones. Saltos erróneos de VLAN y etiquetado inconsistente de mensajes GOOSE, desajustes entre RTU y descripciones SCD que impiden actualizaciones SCADA, errores de sincronización horaria y bucles o configuraciones equivocadas en switches redundantes son ejemplos que evidencian cómo la fragilidad funcional puede amplificar el impacto de una intrusión.
El factor humano y la organización también pesan mucho. OMICRON detectó con frecuencia responsabilidad difusa entre los equipos de IT y OT, carencia de personal dedicado a la seguridad industrial y limitaciones presupuestarias que frenan la implementación de controles. Cuando la seguridad OT se gestiona como una extensión de IT sin adaptar procesos y roles, las medidas a menudo se quedan cortas frente a los requisitos específicos del sector energético.
Una de las ventajas prácticas de un IDS pasivo en estos entornos es su capacidad para ofrecer representación visual del tráfico, generar inventarios de activos automáticamente y señalar conexiones o servicios innecesarios. Eso facilita priorizar parches y controles sin tocar los equipos en producción, minimizando el riesgo de provocar interrupciones. Herramientas con conocimiento de protocolos industriales (IEC 104, MMS, GOOSE, etc.) permiten además detectar desviaciones del comportamiento esperado mediante listas blancas y firmas conocidas, lo que mejora la detección temprana.
Los operadores no tienen que inventar la rueda: existen guías y recursos públicos que ayudan a diseñar controles OT maduros y adaptados a la infraestructura crítica. Agencias como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publican orientaciones para sistemas de control industrial y gestión de incidentes que son útiles para priorizar acciones concretas (CISA — ICS). En Europa, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha trabajado en recomendaciones para proteger el sector energético frente a amenazas modernas (ENISA — energía).
Si hay una lección clara del estudio es que las soluciones deben ser específicas para OT y complementarias: inventarios automatizados que reduzcan la ceguera operativa, segmentación y control de accesos que limiten el radio de efecto, revisiones de servicios activos para cerrar puertas innecesarias, políticas de parcheo adaptadas a la criticidad y rutinas de coordinación entre operaciones y seguridad. No basta con trasladar prácticas de IT a OT sin adaptación: la convergencia exige controles pensados para la disponibilidad y la seguridad simultáneamente.
La senda es exigente, pero práctica: desplegar monitorización pasiva en puntos estratégicos, priorizar activos vulnerables, cerrar conexiones externas no justificadas y resolver errores funcionales detectados (VLAN, sincronización, redundancia) suele ofrecer mejoras rápidas en resiliencia. Junto a esto, la formación de equipos mixtos IT‑OT y la asignación de roles claros de seguridad OT son cambios organizativos igual de decisivos.
El estudio de OMICRON pone en evidencia que muchas infraestructuras eléctricas siguen acumulando riesgos que pueden explotarse con técnicas conocidas. Actuar ahora, con visibilidad y controles específicos, reduce el riesgo sistémico y protege tanto la continuidad del servicio como la seguridad pública. Para profundizar en las soluciones tecnológicas empleadas en estos análisis puede consultarse la página del producto StationGuard de OMICRON (OMICRON StationGuard) y los recursos citados de NIST, CISA y ENISA para alinearse con buenas prácticas probadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...