La ciberseguridad en la industria enfrenta un cambio de paradigma que ya no admite la postura reactiva. Esa fue la premisa central de Amanda Redin, Account Executive de Veeam, y Gustavo Dutschmann, Sales Engineer de Object First, en su charla «IA y Ransomware: cuando la amenaza aprende más rápido que la defensa» durante el Industrial Cyber Summit Argentina 2026.

 

En quince minutos, los dos especialistas construyeron un argumento que incomodó con razón: el modelo mental con el que la mayoría de las organizaciones todavía piensa la protección de datos está varios pasos por detrás de cómo los atacantes operan.

 

El número que nadie quiere ver

La charla arrancó con una estadística que no da mucho margen para el optimismo: alrededor del 160% de las empresas reportó haber sufrido un ataque de ransomware relevante en el último período. El porcentaje supera el 100% porque muchas organizaciones fueron atacadas más de una vez en el mismo año.

La proyección a futuro es igualmente contundente. Según datos de Cybersecurity Ventures, el costo global de los ataques de ransomware podría alcanzar los 265.000 millones de dólares para 2031. No es una cifra abstracta: incluye tiempo de inactividad, rescates pagados, costos de recuperación, daño reputacional y el impacto regulatorio que sigue a cada incidente que se hace público.

Lo que cambió en los últimos años no es solo la frecuencia sino la naturaleza del ataque. Dutschmann lo planteó con claridad: antes, un ataque era un evento rápido —un instante, una hora, quizás un día. Hoy los grupos de ransomware hacen ingeniería social sostenida, estudian el ambiente de la organización objetivo, identifican sus puntos más sensibles y actúan cuando el momento es más conveniente para ellos, no cuando la defensa está más alerta. El tiempo de permanencia silenciosa dentro de una red antes de activar el ataque puede medirse en semanas o meses.

 

Data poisoning: el ataque que no se ve

El momento más incómodo de la charla llegó cuando Redin introdujo el concepto de data poisoning. Suena técnico y abstracto. La realidad es más simple y más perturbadora.

El data poisoning no busca que los sistemas fallen. Busca que los datos fallen. Usando inteligencia artificial, los atacantes inyectan información incorrecta dentro de los conjuntos de datos que usa una organización para operar, de forma que los sistemas sigan funcionando con normalidad aparente mientras, por debajo, las decisiones que se toman empiezan a basarse en información contaminada.

El caso real que usaron como ejemplo involucra un sistema de inteligencia artificial para selección de personal: los datos fueron modificados, millones de registros quedaron expuestos, y la IA siguió trabajando normalmente, usando esos datos incorrectos para alimentar procesos futuros. Nadie lo detectó de inmediato.

El problema real no es la inserción del dato falso en sí. Es que los datos contaminados continúan circulando y alimentando decisiones de negocio. El efecto se acumula silenciosamente: la organización empieza a tomar decisiones incorrectas con plena confianza en sus sistemas porque los sistemas no muestran ninguna señal de falla. Cuando el daño se hace evidente, reconstruir qué datos fueron comprometidos, en qué momento y hasta qué profundidad es un trabajo de forense digital extremadamente complejo.

Esta dinámica conecta directamente con uno de los problemas más persistentes en ciberseguridad industrial: la falta de inventario de activos y de trazabilidad sobre qué datos existen, dónde están y cuál es su estado real. Sin esa visibilidad de base, detectar datos corrompidos es casi imposible.

 

La detección ya no alcanza

La segunda conclusión de la charla fue igualmente directa: las estrategias de defensa actuales son, en su gran mayoría, reactivas. Detectan cuando algo ya ocurrió. Bloquean cuando el ataque ya comenzó. Alertan cuando el daño ya está hecho. Y en un entorno donde los atacantes se mueven más rápido que las defensas, estar varios pasos detrás no es una postura aceptable.

Redin planteó el cambio necesario con una palabra: proactividad. No como concepto de marketing, sino como decisión arquitectural. Una organización proactiva no solo detecta y responde: tiene datos que, por diseño, no pueden ser comprometidos. Tiene copias de información que no pueden ser modificadas retroactivamente. Tiene la capacidad de saber, antes de que ocurra un incidente, cuánto tiempo le llevaría volver a operar.

El dato que respalda esa decisión es contundente: las organizaciones que cuentan con backups seguros e inmutables se recuperan dos veces más rápido que las que no los tienen, según el Veeam Data Protection Trends Report 2025. Dos veces más rápido no es un detalle operativo. Es la diferencia entre una interrupción manejable y una crisis que sale en los diarios, con el costo regulatorio, reputacional y financiero que eso implica.

 

Inmutabilidad: la respuesta al dato que no debe morir

El concepto que Dutschmann puso en el centro del argumento fue la inmutabilidad. Una copia de datos inmutable es, por definición, una copia que no puede ser modificada, cifrada ni eliminada una vez creada. No importa que el atacante tenga acceso a la red: si el backup está en almacenamiento inmutable, esa copia permanece intacta.

La combinación de Veeam y Object First apunta específicamente a ese problema. Veeam maneja la orquestación del backup y la recuperación; Object First provee el almacenamiento inmutable sobre el que esos backups se alojan. El principio es simple: separar el software de gestión del hardware de almacenamiento de manera que ninguna credencial comprometida en uno permita modificar el otro.

La arquitectura no es nueva como concepto, pero su adopción en entornos industriales y empresariales todavía está lejos de ser universal. Muchas organizaciones tienen estrategias de backup que lucen bien en papel pero que, ante un ransomware real, descubren que sus propias copias de seguridad también fueron cifradas —porque estaban accesibles desde la misma red que fue comprometida.

Esta vulnerabilidad es exactamente la que el acceso remoto sin VPN para entornos OT busca cerrar desde otro ángulo: limitar el radio de acción de cualquier credencial comprometida para que el daño no se propague lateralmente por toda la infraestructura.

 

La pregunta que pocos pueden responder

Hacia el final de la charla, Redin lanzó una pregunta al público que tuvo el efecto de un espejo: «¿Quiénes de ustedes saben cuánto tiempo tardarían realmente en recuperarse si hoy tuvieran que hacerlo?»

No cuánto dice el plan. No cuánto estimó el equipo en la última reunión de seguridad. Cuánto tardarían realmente, si el ataque ocurriera hoy, con la infraestructura que tienen hoy.

La respuesta honesta, en la mayoría de los casos, es que no se sabe. Los RTO (Recovery Time Objectives) que figuran en los planes de continuidad suelen ser aspiracionales, calculados en condiciones ideales que raramente se dan durante un incidente real. El estrés operativo, la falta de personal disponible en ese momento, la complejidad de las interdependencias entre sistemas y la presión mediática o regulatoria cambian completamente los tiempos teóricos.

La única forma de saber cuánto se tarda realmente en recuperarse es practicarlo. No una vez al año como ejercicio de cumplimiento, sino con la frecuencia suficiente para que el equipo lo domine y para que las debilidades del proceso se identifiquen antes de que un atacante las aproveche. El argumento sobre la simulación operativa apunta exactamente en esa dirección: los ejercicios que sirven son los que revelan lo que no funciona, no los que confirman lo que ya se sabe.

 

El factor humano, siempre

La charla cerró con algo que no suele aparecer en las presentaciones de producto: el costo humano del ransomware. Dutschmann lo planteó con cuidado. Cuando un ataque ocurre, las consecuencias no caen solo sobre la organización como entidad abstracta. Caen sobre equipos concretos, sobre el CISO que tiene que dar la cara, sobre el analista que trabajó toda la noche intentando contener el daño, sobre la persona que, en una empresa pequeña, es la única responsable de seguridad y también del resto de la operación.

La presión, el miedo al error, el burnout que genera estar siempre corriendo detrás de la amenaza son consecuencias reales que no aparecen en ningún informe de impacto económico pero que erosionan la capacidad de respuesta a largo plazo. La resiliencia que proponen Veeam y Object First no es solo técnica: es también organizacional. Saber que hay una copia limpia, que el equipo sabe cómo usarla, que el plan fue probado y que hay un tiempo de recuperación realista y conocido cambia radicalmente la experiencia humana de enfrentar un incidente.

En ciberseguridad industrial, como en cualquier otro campo, la tecnología sin las personas detrás que la entienden y la practican es solo infraestructura. El verdadero blindaje empieza cuando ambas cosas funcionan juntas.

 


Para profundizar en la estrategia de defensa, leé también: Hybris, Aquiles y el caballo de Troya: cultura y seguridad OT y Simulación operativa en ciberseguridad: ¿por qué practicar una vez al año no sirve?