La superficie de amenaza cibernética de la base industrial de defensa solía ser claramente separable. El lado de la tecnología de la información — laptops, correo, ERP, archivos de diseño — era donde caían la mayoría de los ataques. El lado de la tecnología operativa — controladores lógicos programables, máquinas CNC, celdas robóticas — estaba en gran medida aislado físicamente y en gran medida ignorado. Esa separación desapareció. En 2025 y 2026, los actores de ransomware, los APT vinculados a estados y los grupos criminales oportunistas han comenzado a pivotar de forma rutinaria del IT al OT, con consecuencias que ya no se detienen en el límite de la exfiltración de datos. Un incidente de 2026 en un proveedor de turbinas de nivel 2 en el sureste de Estados Unidos — divulgado en marzo mediante un CISA Joint Cybersecurity Advisory — detuvo los envíos a dos grandes fabricantes de motores durante casi tres semanas y expuso cuán débil se había vuelto la postura defensiva de OT en toda la base de proveedores.
La convergencia ciberfísica ya no es una frase futurista. Es la condición operativa de la base industrial de defensa, y las respuestas regulatorias y operativas todavía van a la zaga.
Qué cambió: del IT al OT
Tres cambios estructurales han impulsado el pivote del IT al OT.
1. Conectividad de la Industria 4.0
Los fabricantes conectaron sus PLC, celdas robóticas y sistemas MES de planta a las redes corporativas para habilitar el mantenimiento predictivo, la analítica en tiempo real y la resolución remota de problemas. El argumento de negocio es real. Las implicaciones de seguridad se gestionaron de forma insuficiente. Un informe de Mandiant en 2024 documentó un aumento del 30% en incidentes que tocan el OT solo en la base industrial de defensa (Mandiant M-Trends, 2024).
2. Acceso remoto de proveedores
La mayoría de los proveedores de CNC, robótica y PLC ofrecen acceso remoto para diagnósticos. Estas conexiones — VPN, sesiones tipo Teamviewer, puertas de enlace celulares gestionadas por el proveedor — representan un acceso persistente de terceros a los entornos OT. CISA ha señalado repetidamente el acceso remoto de proveedores como uno de los cinco principales vectores de ataque al OT (CISA Industrial Control Systems, 2025).
3. La brecha de inversión de nivel 2 y nivel 3
La inversión en ciberseguridad en la base industrial de defensa escala con los ingresos y el tamaño del contrato. Los fabricantes de nivel 1 tienen CISO, SOC y monitoreo específico de OT. Los proveedores de nivel 2 y nivel 3 — a menudo fabricantes de mercado medio de propiedad familiar o de capital privado — con frecuencia no tienen ninguno. La encuesta de preparación cibernética de la NDIA de 2024 encontró que el 41% de los proveedores DIB de nivel 2 y nivel 3 no contaban con controles de ciberseguridad específicos de OT (NDIA, 2024).
El incidente del proveedor de turbinas de marzo de 2026
El CISA Joint Advisory emitido en marzo de 2026 — cofirmado por el FBI y la NSA — describió un incidente en el que un actor APT explotó una conexión de acceso remoto de proveedor expuesta a internet para pivotar desde la red IT de un proveedor de nivel 2 hacia su entorno OT. El atacante manipuló los puntos de ajuste del controlador CNC, provocando una deriva dimensional en las piezas mecanizadas que se propagó a través del control de calidad hasta que se detectó por coincidencia de patrones contra los datos de aceptación. Se detuvieron los envíos, el proveedor retiró tres meses de producción y dos fabricantes de motores incurrieron en retrasos de entrega de varias semanas (CISA Joint Advisory, 2026).
El incidente es significativo no porque fuera sofisticado — no lo fue — sino porque ilustró cuán barato y cuán disruptivo puede ser un ataque que toca el OT en un solo proveedor de nivel 2.
Dónde ayuda CMMC 2.0 y dónde no
CMMC 2.0, con las evaluaciones de Nivel 2 ahora requeridas en la mayoría de los proveedores DIB que manejan CUI, ha elevado sustancialmente el piso de ciberseguridad IT en toda la base. Los controles de NIST SP 800-171 — el fundamento del Nivel 2 de CMMC — cubren el control de acceso, la gestión de configuración, la respuesta a incidentes y las medidas de protección que, cuando se implementan, reducen materialmente las superficies de ataque (CMMC PMO, 2025).
Sin embargo, CMMC 2.0 no es un marco de ciberseguridad para OT. Sus controles asumen un contexto IT: laptops, servidores de archivos, correo. Los controles específicos de OT en NIST SP 800-82 — segmentación, firewalls industriales dedicados, registro específico de OT — no forman parte del Nivel 2 de CMMC. El resultado es una base industrial de defensa que es notablemente más difícil de atacar en la capa IT pero que sigue siendo vulnerable en la capa OT.
Segmentación: realidad frente a teoría
La segmentación de red se cita ampliamente como el manual de defensa del OT. En la práctica, la segmentación es más difícil de lo que reconocen sus defensores. Los PLC heredados no toleran la latencia de los firewalls modernos. El acceso remoto de proveedores requiere rutas bidireccionales a través del límite de segmentación. Las estaciones de trabajo de ingeniería necesitan escribir código en los PLC y extraer datos hacia la analítica del lado IT. La arquitectura de 'DMZ industrial' — descrita en ISA/IEC 62443 — proporciona un estado objetivo defendible, pero alcanzarlo es un proyecto plurianual e intensivo en capital que la mayoría de los fabricantes de mercado medio no puede financiar con el flujo de caja de un solo trimestre (NIST SP 800-82r3, 2023).
Qué deberían hacer ahora los proveedores DIB
Inventariar los activos OT con tanto rigor como los activos IT: no se puede defender lo que no se puede ver. Un número sorprendente de fabricantes de nivel 2 y nivel 3 no tiene un inventario actual de activos OT. Dragos, Claroty y Nozomi ofrecen líneas base acotadas.
Desconectar o controlar el acceso remoto de proveedores: las puertas de enlace celulares gestionadas por proveedores y las VPN persistentes son el objetivo de mayor valor para los atacantes. Hay que pasar a un acceso monitoreado y justo a tiempo únicamente.
Adoptar monitoreo específico de OT: la detección de endpoints en una estación de trabajo de ingeniería con Windows no detecta una edición maliciosa de lógica de escalera en un PLC. El monitoreo específico de OT es una categoría de producto diferente, no una función de EDR.
Prefinanciar la segmentación de forma pragmática: la DMZ industrial de estado ideal es plurianual. La mayoría de los proveedores puede mejorar drásticamente su postura en 90 días con firewalls este-oeste entre los controladores de celda y las LAN de planta.
Tratar CMMC 2.0 como un piso, no como un techo: el cumplimiento de NIST 800-171 reducirá de forma notable la superficie de ataque IT. No evitará el próximo incidente que toque el OT. Los fabricantes de defensa exigen cada vez más, por contrato, controles específicos de OT en el flujo hacia el nivel 2.
El ciberseguro y el problema de la transferencia de riesgo
El ciberseguro se ha convertido en una consideración operativa material para los proveedores de defensa. Las primas han subido fuertemente desde 2022, y la cobertura que toca el OT a menudo lleva exclusiones explícitas para actores vinculados a estados. Los proveedores DIB de nivel 2 y nivel 3 descubren cada vez más que el ciberseguro en el que confiaban para cubrir el ransomware y la respuesta a incidentes ya no cubre los escenarios de amenaza que realmente enfrentan. El informe de 2024 de la Federal Insurance Office sobre las brechas de ciberseguro en infraestructura crítica destacó a los proveedores de la base industrial de defensa como una preocupación notable de suscripción (U.S. Department of the Treasury, 2024).
La implicación es que la transferencia de riesgo mediante seguros — una parte estándar de la planificación financiera de cualquier fabricante de nivel 2 — ya no está plenamente disponible para las amenazas que más importan. El autoseguro, las estructuras cautivas y los fondos respaldados federalmente se están explorando, pero ninguno es todavía una alternativa plenamente operativa.
OT de doble uso y procedencia de la cadena de suministro
Una preocupación aparte es la creciente naturaleza de doble uso de la propia cadena de suministro de OT. Los controladores lógicos programables de Siemens, Rockwell, ABB y Schneider Electric sirven tanto a la fabricación comercial como a las operaciones críticas de los proveedores de defensa. Las actualizaciones de firmware que se distribuyen globalmente también llegan a las instalaciones de defensa. El compromiso de un proveedor de OT — como ocurrió en el incidente de ransomware de ABB de 2023 — crea exposición aguas abajo en todos los clientes, sin importar el sector.
Las iniciativas de Hardware Bill of Materials de CISA y el impulso más amplio hacia la transparencia de SBOM/HBOM comienzan a abordar la procedencia, pero la adopción sigue siendo desigual. La Defense Industrial Base Cybersecurity Strategy publicada en 2024 llamó explícitamente a la transparencia de HBOM como un requisito contractual hacia los niveles inferiores, pero el ritmo de adopción de los proveedores depende de la rapidez con que los fabricantes principales hagan fluir ese requisito hacia el nivel 2 y el nivel 3 (Office of the DoD CIO, 2024).
La industria del Ransomware como servicio
El panorama de amenazas de ransomware de 2025–2026 es notablemente distinto del entorno de 2021. Los operadores de Ransomware como servicio han profesionalizado los programas de afiliados, desarrollado manuales específicos por industria y apuntan cada vez más a proveedores de fabricación de nivel 2 cuya postura de seguros y exigencias de continuidad operativa generan pagos de rescate predecibles. Los recientes Joint Cybersecurity Advisories del FBI y CISA han documentado múltiples grupos de ransomware que apuntan específicamente a proveedores de la base industrial de defensa de EE. UU. (FBI Internet Crime Complaint Center, 2025).
La economía del ransomware contra los fabricantes de mercado medio es favorable para los atacantes. Los costos por pérdida de producción suelen superar las demandas de rescate por un amplio margen, creando incentivos de pago predecibles. La respuesta defensiva — mejores copias de seguridad, segmentación, respuesta a incidentes y ejercicios de simulación — es bien conocida pero se implementa de forma inconsistente en toda la base de proveedores. CMMC 2.0 ayuda; no resuelve.
Cuando lo cibernético se vuelve cinético
La base industrial de defensa ha llegado al momento en que un incidente cibernético en un solo proveedor de nivel 2 puede detener una línea de motores, retrasar la entrega de un misil o comprometer un calendario de pruebas de vuelo. La convergencia de IT y OT no es un riesgo futuro. Es la condición operativa del presente. La línea base de CMMC 2.0 ha hecho un trabajo significativo para endurecer la superficie IT. Los próximos dos años se definirán por si la misma energía industrial se aplica a la superficie OT — por la DCSA, por CISA, por los fabricantes principales que hacen fluir los requisitos contractuales, y sobre todo por los proveedores de nivel 2 y nivel 3 cuyos controladores CNC y PLC se sientan ahora en la primera línea de una contienda que no existía cuando se instaló el equipo. La planta de producción es ahora un objetivo cibernético. Su defensa apenas ha comenzado.


