Prayukth KV
18 de noviembre de 2025
Más allá del Air Gap: La evolución de las evaluaciones de riesgo de seguridad OT en 2026
Los días de depender de una evaluación estática de riesgos anual realizada en un portapapeles están casi terminados. El panorama operativo ha cambiado de ransomware dirigido por humanos a campañas de phishing complejas, y los organismos reguladores han pasado de "sugerir" directrices a exigir responsabilidad con fuertes sanciones financieras.
Las amenazas han cambiado, las regulaciones han cambiado y es hora de que echemos un nuevo vistazo a los enfoques de evaluación de amenazas.
Si eres un líder de seguridad OT, un CISO o un gerente de sitio, aquí está cómo debe evolucionar tu metodología de evaluación de riesgos en 2026 para sobrevivir en el nuevo entorno de amenazas.
Antes de continuar, no olvides consultar nuestra publicación anterior en el blog sobre Comprender a los actores de amenaza chinos, TTP y prioridades operativas aquí.
Las evaluaciones de riesgo ahora son un ejercicio dinámico
Hace incluso un año, muchas empresas confiaban en un esfuerzo de gestión de riesgos prefabricado que se centraba en evaluar parámetros preestablecidos. Algunos de estos parámetros eran obsoletos o no muy esenciales desde un punto de vista de seguridad. Además, la necesidad de agregar parámetros para hacer que la evaluación sea informada y relevante para las amenazas específicas de seguridad OT y las configuraciones del entorno nunca se sintió anteriormente, excepto por algunos reguladores.
El cambio más significativo en 2026 es la desaparición de la evaluación "instantánea" prefabricada. Ya no se puede confiar en una llamada auditoría de riesgo puntual que se vuelve obsoleta en el momento en que el auditor abandona el sitio.
Característica | Evaluación de riesgos tradicional (pre-2025) | Evaluación moderna (estándar 2026) |
Frecuencia | Anual o bianual | Más frecuente y basada en eventos |
Fuente de datos | Entrevistas y diagramas en papel | Telemetría en tiempo real y captura pasiva de PCAP además de análisis de diagramas de arquitectura |
Métrica de riesgo | Cualitativa (Alta/Media/Baja) | Cuantitativa (Impacto financiero/costos de tiempo de inactividad) |
Enfoque | Gestión de vulnerabilidades | Gestión de consecuencias y resiliencia |
Gobernanza | Aislada (TI vs. OT) | Unificada (Supervisión del Director de Riesgos) |
Gestión de amenazas | Ausente o basada en listas de verificación | Se basa en tomar medidas específicas para abordar amenazas específicas |
Gestión de incidentes | Comprobaciones rudimentarias y confirmaciones basadas en respuestas de empleados | Basada en simulaciones reales de incidentes y calificación de respuestas |
KPI | Ninguno o básico | Medido y alineado con los niveles de seguridad IEC 62443 |
El entorno de amenazas emergente: adversarios "persistentes"
Las evaluaciones de riesgo en 2026 deben tener en cuenta amenazas que son complejas y actúan de manera diferente. Ya no estamos solo defendiendo contra script kiddies o hackers manuales; estamos defendiendo contra agentes de IA entrenados. Además, grupos como ScatteredSpider están atacando sectores y países en su totalidad. Sus campañas están en curso y debemos asegurarnos de que las evaluaciones de amenazas reflejen esta realidad y el desafío que presenta para los operadores de OT.
A continuación se presentan algunos de los otros aspectos relacionados con las amenazas cibernéticas que deben integrarse en cualquier marco de evaluación que estés considerando:
Campañas autónomas: Los agentes de IA ahora pueden sondear, enumerar y moverse a través de redes OT con una intervención humana mínima. Tu evaluación de riesgos debe probar la velocidad de detección (Tiempo Medio de Detección) y respuesta, y no solo enumerar la fuerza de las barreras (esto podría dar una impresión errónea sobre el estado real de la seguridad).
Ingeniería social hiperrealista: El phishing y el vishing ya no tratan sobre correos electrónicos mal escritos. Las solicitudes de voz y video falsificados de "gerentes de planta" que autorizan mantenimiento de emergencia son la nueva norma. Las solicitudes falsas de actores de amenazas que se hacen pasar por fabricantes de equipos originales (OEM) o incluso reguladores son bastante comunes ahora. Las evaluaciones deben incluir simulacros de "ciberseguridad" en la capa humana, no solo pruebas de penetración de firewalls. Esto incluye pruebas aleatorias para verificar si los empleados son víctimas de llamadas falsas de proveedores de servicios.
Viviendo de la Tierra (LotL): Los atacantes están usando herramientas de administración legítimas (PowerShell, WMI) para mimetizarse. Las evaluaciones deben señalar el comportamiento "normal" que en realidad es malicioso, requiriendo una línea base de estados de procesos conocidos como buenos.
Punto clave de la evaluación de riesgos: Tu modelo de riesgo debe asumir que el perímetro ya está violado. La pregunta de evaluación cambia de "¿Pueden entrar?" a "¿Con qué rapidez podemos expulsarlos antes de que los sistemas de seguridad sean comprometidos?"
Gobernanza: La Fusión de "Ciberseguridad"
En 2026, la seguridad OT ya no es solo un problema de TI; es un problema de ingeniería y seguridad.
Integración HSE + Ciber: Las organizaciones innovadoras han fusionado sus evaluaciones de riesgo de Salud, Seguridad y Medio Ambiente (HSE) con las Evaluaciones de Riesgo Cibernético. Una vulnerabilidad cibernética en un sistema instrumentado de seguridad (SIS) se trata con la misma gravedad que una fuga de gas.
El lenguaje de la sala de juntas: No puedes informar "alto riesgo de CVE-2026-1234" a la junta. Debes informar: "Una pérdida potencial de $2.4M por día debido a acceso no mitigado en la línea de empaquetado". Las evaluaciones de 2026 utilizan modelos de Cuantificación de Riesgos Cibernéticos (CRQ) para traducir fallos técnicos en pasivos de balance.
Cumplimiento: Responsabilidad, no solo casillas de verificación
Para 2026, los períodos de gracia para las principales regulaciones han expirado en gran medida, y la aplicación está activa.
NIS2 y CRA (Europa): Para las organizaciones con exposición en la UE, la Ley de Resiliencia Cibernética (CRA) ahora requiere que los productos sean seguros por diseño. Las evaluaciones de riesgos deben verificar la Lista de Materiales de Software (SBOM) para cada dispositivo en el piso de la planta. Si no sabes qué software está dentro de tu PLC, eres no conforme.
Mandatos de Infraestructura Crítica (Global): Desde las reglas de divulgación de la SEC de EE.UU. hasta el Marco de Evaluación Cibernética (CAF) 4.0 del Reino Unido, el enfoque está en la responsabilidad personal de los ejecutivos. Las evaluaciones deben producir evidencia defendible de "debida diligencia" — para demostrar que hiciste todo lo razonablemente posible para evitar la negligencia.
La pila tecnológica: Evaluaciones impulsadas por IA
No puedes combatir las amenazas de IA con hojas de cálculo. Las evaluaciones de riesgo de 2026 aprovechan la tecnología para escalar:
Prueba de esfuerzo de gemelo digital: En lugar de probar en sistemas de producción en vivo (arriesgando tiempo de inactividad), las organizaciones utilizan Gemelos Digitales para simular ataques de ransomware y verificar si la segmentación se mantiene.
Descubrimiento pasivo de activos: No puedes evaluar lo que no puedes ver. Las herramientas modernas escuchan pasivamente el tráfico OT (usando spans/taps) para construir un inventario en tiempo real. Si tu evaluación comienza con "Envíame la lista de activos en hoja de cálculo", ya has fallado.
Lista de verificación resumida: ¿Está lista tu evaluación para 2026?
Si estás planificando tu próxima evaluación, asegúrate de que cubra estos aspectos no negociables:
Línea base técnica primero: No confíes en diagramas de red obsoletos que no se han actualizado en una década e incluyen activos desmantelados. Usa el descubrimiento pasivo para generar un mapa de "verdad básica".
Traducción financiera: Mapea cada riesgo técnico a un impacto operativo específico (tal como "Parada de Línea 1").
Impacto en el seguro: ¿Cómo ayuda la auditoría a reducir las primas de seguro?
Validación SBOM: auditoría específica de componentes de software de la cadena de suministro dentro de tus activos OT.
Prueba de esfuerzo de recuperación: No pruebes solo los mecanismos de defensa; prueba la respuesta al incidente y el proceso de restauración. ¿Puedes reconstruir el HMI desde respaldos en menos de 4 horas?
Alineación de seguridad: Asegúrate de que la evaluación sea revisada por el gerente de seguridad del sitio/planta, no solo por el CISO.
Habla con un experto en evaluaciones de seguridad OT de Shieldworkz.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
