Las luces parpadean durante 0,3 segundos. En algún lugar de una instalación municipal de tratamiento de agua en el Medio Oeste americano, un terminal SCADA se reinicia sin previo aviso. Una válvula de presión en un centro de distribución de gas natural en Europa Central registra un comando anómalo. Ninguno de estos eventos llega a las noticias de la noche, pero cada uno es un punto de datos en lo que los analistas de ciberseguridad llaman ahora la convergencia más peligrosa en la historia de la infraestructura moderna: el matrimonio de malware avanzado con consecuencias en el mundo físico.
Esto es guerra ciberfísica. Y según la mayoría de las evaluaciones de expertos, la infraestructura crítica del mundo no está preparada para lo que traerá 2026.
El panorama de amenazas ha cambiado fundamentalmente
En 2024, el costo global del cibercrimen superó los 9,5 billones de dólares, según las proyecciones de Cybersecurity Ventures. Para 2026, se espera que esa cifra supere los 12 billones de dólares anuales. Pero el costo financiero bruto oculta la tendencia más alarmante: los ataques ya no apuntan principalmente a robar datos. Apuntan a detener cosas. Bombas. Turbinas. Tuberías. Transformadores.
El giro comenzó en serio con el ataque a la planta de tratamiento de agua de Oldsmar, Florida, en 2021, donde un atacante elevó remotamente los niveles de hidróxido de sodio a 111 veces el umbral seguro antes de que un operador lo detectara. Esa fue una intrusión relativamente poco sofisticada. Lo que los investigadores están documentando en 2026 es categóricamente diferente.
La Evaluación de Amenazas a la Infraestructura Crítica de CISA de 2025 identificó un aumento del 340% en malware diseñado específicamente para atacar Tecnología Operativa (OT) y Sistemas de Control Industrial (ICS) en comparación con las líneas base de 2022. Más preocupante aún: aproximadamente el 67% de esas muestras contenían módulos latentes, código que permanece en silencio dentro de los sistemas durante meses antes de activarse.
Cómo es realmente el malware de 2026
La nueva generación de armas ciberfísicas comparte varias características que las hacen cualitativamente distintas de sus predecesoras:
- Movimiento lateral aumentado por IA: Las cepas modernas utilizan micromodelos de aprendizaje automático incrustados en la propia carga útil para mapear la topología de la red OT sin activar los umbrales de detección de anomalías.
- Explotación consciente del protocolo: A diferencia del malware antiguo que atacaba sin rodeos las redes de TI, las herramientas de la era de 2026 hablan lenguajes ICS nativos — Modbus, DNP3, IEC 61850 — lo que les permite emitir comandos de aspecto plausible que parecen legítimos para los ingenieros.
- Engaño basado en modelos físicos: Algunos grupos de amenazas persistentes avanzadas (APT), particularmente aquellos vinculados a actores patrocinados por estados en Europa del Este y Asia Oriental, han comenzado a implementar malware que modela el comportamiento físico del sistema objetivo, de modo que las lecturas de los sensores que se muestran a los operadores parecen normales incluso cuando los parámetros subyacentes se desvían peligrosamente.
"Lo que estamos viendo es malware que entiende de ingeniería," dice la Dra. Renata Hovsepyan, ex asesora de ciberdefensa de la OTAN y actual investigadora principal en Dragos Inc. "No solo compromete un sistema. Aprende el ritmo de ese sistema y luego explota la física."
Redes eléctricas: La frontera más expuesta
El sistema eléctrico de América del Norte opera a lo largo de aproximadamente 450.000 millas de líneas de transmisión de alto voltaje, gestionado por un mosaico de más de 3.000 empresas de servicios públicos, muchas de las cuales son cooperativas rurales que operan en plataformas SCADA heredadas de hace décadas que nunca fueron diseñadas para la conectividad a internet.
Según el Informe sobre el Estado de la Fiabilidad de 2025 de la Corporación Norteamericana de Fiabilidad Eléctrica (NERC), aproximadamente el 58% de las empresas de servicios públicos de nivel medio no han completado la segmentación total de la red OT de sus entornos de TI. Esto significa que un solo correo electrónico de phishing a un administrador de oficina puede, bajo las condiciones adecuadas, servir como vector de entrada a un sistema de control de subestación.
La campaña Volt Typhoon — atribuida públicamente por primera vez a actores estatales chinos en 2023 — demostró exactamente esta vía. Para 2025, las investigaciones posteriores revelaron que el grupo había mantenido acceso persistente dentro de al menos 23 redes de servicios públicos de EE. UU. durante períodos que oscilaban entre 8 y 26 meses sin ser detectado.
El riesgo de 2026 no es solo la interrupción. Es una interrupción sincronizada. Un ataque simultáneo a 9 subestaciones de transmisión críticas, según un análisis de la FERC de 2022 que sigue siendo válido hoy, podría causar apagones en cascada que afectarían al 70% de los EE. UU. continentales durante hasta 18 meses, un plazo impulsado no por la dificultad de la reparación sino por el tiempo de entrega de 12 a 18 meses para reemplazar los transformadores de alto voltaje, la mayoría de los cuales se fabrican en Alemania, Corea del Sur e India.
Sistemas de agua: Crónicamente subfinanciados, crónicamente expuestos
Si las redes eléctricas son el riesgo principal, los sistemas de agua son la catástrofe silenciosa en ciernes.
Solo en EE. UU. hay aproximadamente 148.000 sistemas públicos de agua, de los cuales la EPA estima que el 70% abastece a poblaciones de menos de 10.000 personas. Estos pequeños sistemas suelen operar con presupuestos anuales de ciberseguridad inferiores a los 50.000 dólares; en muchos casos, con cero personal dedicado a la ciberseguridad. La tecnología que rige la cloración, filtración y gestión de la presión en estas instalaciones a menudo funciona con sistemas Windows 7 sin parches o controladores propietarios sin soporte del proveedor.
Una Evaluación de Riesgos de Ciberseguridad del Sector del Agua de 2025, publicada conjuntamente por la EPA y CISA, encontró que 1 de cada 5 empresas de servicios de agua encuestadas había experimentado al menos un evento de acceso no autorizado en los 24 meses anteriores. De ellas, el 43% no pudo confirmar si la intrusión había llegado a sus sistemas operativos.