Login Probar gratis
Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira

por MataSpam Ciberataques

Los ciberataques a infraestructura crítica —hospitales, redes eléctricas y sistemas de transporte— ya no son escenarios de película. Son incidentes reales que paralizan ciudades, ponen en riesgo vidas y exponen la fragilidad de sistemas que dábamos por indestructibles. Desde el ciberataque a hospitales que obliga a cancelar cirugías hasta el hackeo de eléctricas que deja regiones enteras a oscuras, pasando por ataques a sistemas ICS/SCADA que controlan presas y plantas de tratamiento de agua: el ataque a infraestructura se ha convertido en la herramienta favorita tanto de grupos criminales como de actores estatales. Y lo peor no es que ocurra, sino que muchas de estas instalaciones siguen funcionando con software de hace dos décadas y contraseñas que darían vergüenza a un becario.

Por qué la infraestructura crítica es un blanco tan jugoso

Piensa en un hospital. Tiene historiales médicos, dispositivos conectados (bombas de insulina, monitores cardíacos, sistemas de climatización), redes Wi-Fi para pacientes y personal, y un departamento de IT que probablemente gestiona todo esto con tres personas y un presupuesto que no cubre ni el café. Ahora multiplica esa complejidad por una red eléctrica nacional o un sistema ferroviario.

La superficie de ataque es enorme y la motivación para pagar rescates, altísima. Un hospital no puede "apagar y esperar": hay pacientes conectados a máquinas. Una eléctrica no puede "reiniciar mañana": hay ciudades que dependen de ella. Los atacantes lo saben y ajustan sus demandas en consecuencia.

Además, muchos de estos sistemas operan con tecnología SCADA (Supervisory Control and Data Acquisition) e ICS (Industrial Control Systems) diseñados en los años 90, cuando la ciberseguridad consistía en poner un candado en la sala de servidores. Protocolos como Modbus o DNP3 no fueron pensados para un mundo conectado a internet. No tienen autenticación. No cifran comunicaciones. Funcionan, sí, pero como funcionaría una puerta de madera en un búnker.

Casos reales que deberían quitarte el sueño

Ucrania, 2015 y 2016: las luces se apagan

El grupo Sandworm, atribuido a la inteligencia militar rusa (GRU), ejecutó el primer hackeo de una eléctrica confirmado públicamente. En diciembre de 2015, utilizaron el malware BlackEnergy para acceder a los sistemas de tres distribuidoras ucranianas. Resultado: aproximadamente 230.000 personas sin electricidad en pleno invierno. Un año después repitieron con Industroyer (también llamado CrashOverride), un malware diseñado específicamente para atacar protocolos de ICS/SCADA usados en subestaciones eléctricas.

La lección más perturbadora: los atacantes llevaban meses dentro de las redes antes de pulsar el botón. Habían estudiado los sistemas, identificado los puntos críticos y preparado la operación con precisión militar. Literal.

WannaCry y el NHS británico, 2017

El ransomware WannaCry explotó la vulnerabilidad EternalBlue (CVE-2017-0144) en sistemas Windows sin parchear. El Servicio Nacional de Salud del Reino Unido (NHS) fue una de las víctimas más visibles: se cancelaron aproximadamente 19.000 citas médicas, ambulancias desviadas, quirófanos paralizados. ¿La causa? Miles de máquinas corriendo Windows XP sin soporte desde 2014. Un ciberataque a hospitales que demostró que la falta de actualización mata, a veces literalmente. Si te interesa cómo el ransomware sigue siendo la pesadilla del sector sanitario, tenemos un análisis detallado de ataques de ransomware a hospitales que complementa este panorama.

Colonial Pipeline, 2021

El grupo DarkSide comprometió los sistemas de facturación de Colonial Pipeline, el mayor oleoducto de combustible de la costa este de Estados Unidos. La empresa decidió cerrar preventivamente el oleoducto. Pánico en gasolineras, colas kilométricas, subida de precios. Pagaron un rescate de 4,4 millones de dólares (el FBI recuperó parte después). Todo empezó con una contraseña comprometida en una VPN sin autenticación multifactor.

Agua contaminada en Oldsmar, Florida, 2021

Alguien accedió remotamente al sistema de tratamiento de agua de esta ciudad de 15.000 habitantes e intentó multiplicar por 100 la concentración de hidróxido de sodio (sosa cáustica). Un operador detectó el movimiento del cursor en su pantalla y revirtió el cambio a tiempo. El acceso remoto se hacía a través de TeamViewer con una contraseña compartida entre todos los empleados. Sin firewall. Sin segmentación de red. Sin SCADA protegido.

Anatomía de un ataque a infraestructura crítica

Los ataques a infraestructura crítica rara vez son oportunistas. Siguen un patrón que los equipos de respuesta conocen bien:

  1. Reconocimiento: el atacante mapea la organización. Busca empleados en LinkedIn, escanea puertos expuestos con Shodan (sí, los sistemas ICS/SCADA aparecen en Shodan), identifica tecnologías.
  2. Acceso inicial: phishing dirigido (spear phishing) a un empleado, explotación de una VPN sin parchear, credenciales filtradas. En muchos casos, una simple técnica de DNS spoofing puede redirigir al personal a páginas de login falsas.
  3. Movimiento lateral: una vez dentro de la red corporativa (IT), el atacante busca el salto a la red operacional (OT). La falta de segmentación entre IT y OT es el problema más común.
  4. Persistencia: instalan backdoors o puertas traseras para mantener acceso incluso si se detecta parte de la intrusión.
  5. Ejecución: despliegue de ransomware, manipulación de procesos industriales o exfiltración de datos sensibles.

La diferencia con un ataque corporativo normal es que aquí el impacto trasciende lo digital. Manipular una válvula, alterar el voltaje de una subestación o desactivar un sistema de climatización hospitalario tiene consecuencias físicas directas.

Qué se está haciendo (y qué falta por hacer)

La Unión Europea aprobó la Directiva NIS2 (vigente desde octubre de 2024), que amplía las obligaciones de ciberseguridad para operadores de infraestructura crítica y establece multas de hasta 10 millones de euros o el 2% de la facturación global. En España, el Centro Criptológico Nacional (CCN-CERT) y el INCIBE coordinan la respuesta a incidentes en estos sectores.

Estados Unidos tiene su propia estrategia a través de CISA (Cybersecurity and Infrastructure Security Agency), que publica alertas específicas para sistemas ICS bajo el identificador ICSA. Su base de datos de vulnerabilidades conocidas (KEV, Known Exploited Vulnerabilities) es lectura obligada para cualquier responsable de seguridad industrial.

Pero la realidad sobre el terreno sigue siendo preocupante. Muchas organizaciones de infraestructura crítica:

  • No segmentan redes IT y OT (la red de oficinas y la de control industrial comparten infraestructura).
  • Utilizan sistemas operativos sin soporte (Windows XP, Windows 7, Windows Server 2003).
  • No aplican parches en sistemas SCADA por miedo a interrumpir operaciones.
  • Carecen de monitorización continua de sus redes OT.
  • No tienen un plan de respuesta a incidentes probado y actualizado.

Herramientas como Nozomi Networks, Claroty o Dragos están diseñadas específicamente para monitorizar entornos ICS/OT y detectar anomalías. No son baratas, pero el coste de no usarlas puede medirse en apagones, contaminación de agua o quirófanos paralizados.

Preguntas frecuentes

¿Qué es un ataque a infraestructura crítica?

Es cualquier ciberataque dirigido a sistemas esenciales para el funcionamiento de una sociedad: energía, agua, transporte, sanidad, telecomunicaciones o servicios financieros. A diferencia de un ataque corporativo convencional, sus consecuencias pueden afectar directamente la seguridad física y la salud de la población.

¿Los sistemas SCADA e ICS son realmente tan vulnerables?

Muchos sí. Fueron diseñados para entornos aislados (air-gapped), pero la digitalización los ha conectado a internet sin actualizar su arquitectura de seguridad. Protocolos sin cifrado, autenticación débil o inexistente y sistemas operativos obsoletos son problemas habituales. Plataformas como Shodan permiten localizar dispositivos ICS expuestos en minutos.

¿Qué pueden hacer los hospitales para protegerse de ransomware?

Tres acciones inmediatas: segmentar la red (que un equipo de resonancia magnética no comparta red con el correo electrónico), mantener backups automáticos verificados y desconectados de la red principal, y aplicar autenticación multifactor en todos los accesos remotos. Suena básico, pero la mayoría de incidentes explotan precisamente estas carencias.

¿España ha sufrido ciberataques a infraestructura crítica?

Sí. El INCIBE gestiona miles de incidentes anuales relacionados con operadores esenciales. En 2021, el SEPE (Servicio Público de Empleo Estatal) sufrió un ataque de ransomware Ryuk que paralizó sus servicios durante semanas. Hospitales españoles también han reportado incidentes, aunque muchos no trascienden públicamente por razones de confidencialidad.

¿Los ciberataques a infraestructura pueden considerarse actos de guerra?

Depende del contexto y del actor. La OTAN ha declarado que un ciberataque puede activar el Artículo 5 (defensa colectiva) si su impacto es comparable al de un ataque armado convencional. En la práctica, la atribución es compleja y la línea entre ciberespionaje, sabotaje y guerra sigue siendo difusa.

El siguiente paso

Si trabajas en una organización que gestiona servicios esenciales —o simplemente quieres entender mejor cómo proteger tus propios sistemas—, empieza por una cosa concreta: entra en Shodan (shodan.io) y busca dispositivos de tu sector o tu zona geográfica. Ver lo que un atacante ve desde fuera es el primer paso para entender por qué la segmentación de redes y la monitorización OT no son opcionales. Y si lo que encuentras te asusta, buena señal: significa que tu instinto de supervivencia digital funciona mejor que el de muchas juntas directivas.

infraestructura crítica ciberataque hospital hackeo eléctrica ics scada ataque infraestructura
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware
Ciberataques

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas
Ciberataques

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas

Doble extorsión ransomware: cifran tus archivos y amenazan con publicarlos
Ciberataques

Doble extorsión ransomware: cifran tus archivos y amenazan con publicarlos

← Volver al blog