Entre septiembre y diciembre de 2025, el Grupo de Respuesta a Emergencias Cibernéticas (CSIRT) de la Sección Colombia realizó una auditoría técnica voluntaria en 23 operadores de infraestructura crítica nacional: 8 del sector eléctrico, 6 del sector agua, 5 del sector telecomunicaciones y 4 del sector hidrocarburos.
Hallazgos principales
Los resultados revelan brechas significativas en la convergencia OT/IT. El 61% de los operadores auditados mantenía sistemas de control industrial (SCADA/ICS) con vulnerabilidades críticas conocidas sin parchear, algunas con antigüedad superior a 18 meses desde la publicación del CVE correspondiente.
- 61% con CVEs críticos (CVSS ≥9.0) sin parchear en sistemas OT
- 78% sin segmentación de red adecuada entre OT e IT corporativa
- 43% con credenciales por defecto en PLCs y RTUs
- 91% sin capacidad de detección de intrusiones en red OT
- 17% con acceso remoto a sistemas OT sin MFA
El problema del parche en OT
A diferencia de los entornos IT, parchear un sistema SCADA en operación continua es un proceso que puede requerir ventanas de mantenimiento de 48-72 horas y coordinación con el regulador sectorial. Este factor explica —sin justificar— los retrasos en la aplicación de parches críticos en el sector eléctrico y agua.
Recomendaciones prioritarias
- Implementar monitoreo pasivo de red OT (Claroty, Dragos, o solución open-source como Zeek)
- Segmentar redes OT con DMZ industrial y firewall unidireccional
- Establecer proceso de gestión de vulnerabilidades OT con SLA diferenciado del IT
- Capacitar al personal de planta en reconocimiento de ataques tipo phishing dirigido