La ciberseguridad en infraestructuras críticas enfrenta hoy un desafío que va más allá de los ataques conocidos: hay un reloj corriendo, y la mayoría de las organizaciones todavía no lo ven. Esa fue la tesis central de Silvano Sogus —experto en seguridad OT, instructor certificado de SANS y fundador de ShardSec— durante su charla «The Invisible Clock» en el Industrial Cyber Summit Argentina 2026. Su punto no fue que los ataques aumentaron. Fue que el tiempo disponible para responderles se comprime cada vez más, y que esa compresión tiene una dimensión que todavía no está en el radar de muchas organizaciones: la computación cuántica.
El costo de no ver el problema
Sogus abrió su presentación con números que ayudan a dimensionar el riesgo. El costo promedio de una brecha en el sector industrial fue de 5,56 millones de dólares en 2024, un 18% más que el año anterior, según IBM Cost of a Data Breach Report 2024. El impacto en entornos IT de manufactura promedia 4,56 millones, sumando pérdidas de producción, incidentes de seguridad física y penalidades regulatorias. Para los sistemas de mayor criticidad, el costo de inactividad puede alcanzar los 5 millones de dólares por hora.
El panorama operativo es igual de preocupante. El fabricante promedio enfrenta 800 horas de tiempo no planificado de inactividad por año —más de 15 horas por semana—, con pérdidas promedio de 125.000 dólares por episodio, según una estimación de Forbes citada en la presentación. A escala global, el costo de la inactividad no planificada ronda los 50.000 millones de dólares anuales. Y sin embargo, solo el 30% de los fabricantes tiene un plan formal de respuesta a incidentes.
Estos datos no son solo de contexto. Son el marco para entender por qué el tiempo importa tanto: las organizaciones industriales tardan en promedio casi 200 días en identificar una brecha y 73 días en contenerla, según datos de Ponemon Institute. Eso es casi un año desde el compromiso inicial hasta la resolución.
Los cinco pilares de amenaza en entornos OT
Sogus organizó la charla alrededor de cinco áreas de riesgo que considera prioritarias para la seguridad OT en los próximos años: identidad, aceleración por IA, cadena de suministro, ocupación silenciosa de actores estado-nación, y computación cuántica. Los primeros cuatro son, en mayor o menor medida, amenazas familiares. La quinta es la que da nombre a la charla.
La identidad sigue siendo la puerta más usada. Más del 50% de los incidentes de ransomware en 2024 se originaron en alguna forma de acceso remoto comprometido, y el 28% de los incidentes mayores involucraron cosecha de credenciales. El 82% de los entornos OT tienen acceso remoto sin asegurar. Y casi la mitad de las organizaciones anticipa que sus identidades de máquina —cuentas de servicio, API keys, identidades de dispositivos— van a triplicarse en los próximos años, sin que exista todavía una gestión de acceso privilegiado adecuada para gestionarlas.
La aceleración por IA está redefiniendo los tiempos de ataque. El 41% de las vulnerabilidades zero-day de 2025 fueron descubiertas mediante ingeniería inversa asistida por IA, según Forward Edge-AI 2025, y el 60% de los CVEs nuevos son explotados dentro de las primeras 48 horas de su divulgación pública, de acuerdo con Qualys TruRisk Research 2025. Lo que antes requería semanas o meses de trabajo manual hoy se comprime a minutos u horas cuando hay modelos de lenguaje o agentes automatizados del lado del atacante.
La trampa del proveedor confiable
El bloque de cadena de suministro fue uno de los más reveladores. El 97% de los 100 mayores retailers de Estados Unidos sufrió alguna brecha de datos de terceros en el último año, según SecurityScorecard 2024. Para infraestructuras críticas específicamente, entre el 54% y el 55% de las organizaciones en manufactura química, energía y minería reportaron pérdidas superiores a 500.000 dólares en un único incidente relacionado con la cadena de suministro, según Bridewell CNI Cybersecurity Report 2024.
El problema estructural es que los proveedores e integradores necesitan acceso remoto a redes OT para hacer su trabajo, y ese acceso raramente está gobernado con la misma rigurosidad que el acceso interno. El 40% de las organizaciones de infraestructura crítica identifica los servicios en la nube como su principal vector de ataque en entornos OT. Y los mecanismos habituales de evaluación de terceros —cuestionarios de autocertificación— ofrecen, en el mejor de los casos, una comodidad administrativa más que una gestión real del riesgo.
La respuesta pasa por visibilidad completa del ecosistema de proveedores, implementación de Software Bill of Materials (SBOM) para todo el software y firmware OT, acceso Just-in-Time para terceros y verificación criptográfica de integridad antes de que cualquier actualización llegue al entorno productivo.
La ocupación silenciosa
Uno de los conceptos más perturbadores de la charla fue el de «ocupación silenciosa»: actores estado-nación que no atacan de inmediato, sino que se posicionan dentro de redes críticas y esperan. El caso Volt Typhoon confirmó presencia dentro de entornos de infraestructura crítica de Estados Unidos durante al menos cinco años sin ser detectados. El ataque Frostygoop —dirigido a sistemas de calefacción en Ucrania— estuvo activo casi dos años antes de ser descubierto. Y uno de cada cinco incidentes OT todavía requiere más de un mes para ser remediado, incluso después de la detección.
Esto no es casualidad. El 64% de las organizaciones OT carece de monitoreo de red adecuado, según Dragos OT Cybersecurity Year in Review 2025. Los PLCs, RTUs y controladores DCS heredados no generan logs de seguridad por diseño. No hay EDR posible en dispositivos de seguridad crítica. Y los ataques tipo LOTL (Living off the Land) son prácticamente invisibles porque se ven idénticos a operaciones normales. La solución requiere monitoreo pasivo con sensores que entiendan protocolos OT de forma nativa, baselines de comportamiento y programas activos de threat hunting específicos para estos entornos. Este desafío es central en la convergencia IT/OT.
El reloj que da nombre a todo
Hasta acá, la charla describía amenazas conocidas con nueva urgencia. El bloque final fue el que le dio nombre a la presentación: la amenaza cuántica, y por qué es el reloj más invisible de todos.
Una computadora cuántica criptográficamente relevante (CRQC) es un sistema capaz de ejecutar el algoritmo de Shor para factorizar números grandes en primos, lo que rompe prácticamente toda la criptografía asimétrica en la que se basa la seguridad digital actual: RSA, ECC, Diffie-Hellman, TLS 1.2 y 1.3. Esto incluye las VPNs, los certificados de autenticación SCADA, los firewalls perimetrales y la firma de firmware. AES-256 y SHA-256/SHA-3 siguen siendo seguros, pero el resto del stack criptográfico OT estaría expuesto.
Lo que cambió en los últimos dos años es el consenso sobre cuándo. Hace cinco años, había incertidumbre incluso sobre si esto ocurriría en 20 años. Hoy el consenso apunta a entre 2028 y 2030, según análisis del Global Risk Institute y la hoja de ruta del Departamento de Energía de Estados Unidos. El NIST publicó sus estándares finales de criptografía post-cuántica en 2024 con una fecha límite explícita: toda infraestructura crítica migrada antes de fin de 2030.
Para entender por qué hay que actuar ahora, Sogus explicó el Teorema de Mosca con una ecuación simple. Si el tiempo de vida útil de tus datos (x) más el tiempo que llevará migrar a criptografía post-cuántica (y) supera el tiempo estimado hasta que exista un CRQC (z), ya estás en zona de riesgo. Para IT, la migración puede llevar entre 3 y 5 años. Para OT, fácilmente más de 15, considerando ciclos de firmware, certificaciones de seguridad funcional, continuidad operativa y, crucialmente, el hecho de que muchos proveedores OT todavía no tienen una hoja de ruta hacia PQC. Un sistema SCADA en una planta de gas puesto en operación hoy puede estar activo durante 25 a 30 años. La criptografía que protege sus comunicaciones hoy necesita seguir siendo confidencial en 2055.
Y mientras tanto, el robo de datos ya está ocurriendo. La estrategia HNDL (Harvest Now, Decrypt Later) consiste en capturar comunicaciones cifradas hoy para descifrarlas cuando exista un CRQC. El NIST lo reconoce explícitamente en su documento IR 8547: los adversarios están conduciendo operaciones HNDL en este momento.
América Latina y el cambio de modelo mental
Sogus fue directo respecto al estado de la región: las iniciativas de migración a criptografía post-cuántica son todavía individuales y fragmentadas, y corren el riesgo de quedar rezagadas frente a los plazos globales. La adopción de PQC en manufactura, petróleo y gas, minería y salud es tan baja como el 2%, según Keyfactor 2024 PKI & Digital Trust Report. Menos del 10% de las organizaciones a nivel global priorizan la computación cuántica en sus presupuestos de ciberseguridad, y la competencia con las inversiones en IA generativa está retrasando decisiones urgentes.
El cambio de modelo que propone no es solo técnico. La migración PQC no puede ser responsabilidad exclusiva del CISO o del equipo de seguridad: es un problema de soberanía de infraestructura que debe estar en la agenda del directorio, con métricas que van más allá del cumplimiento regulatorio e incluyen índices de agilidad criptográfica. El riesgo de no actuar a tiempo no es una multa de auditoría: es un colapso operativo y la pérdida de inversión extranjera directa.
Los primeros 90 días tienen una hoja de ruta concreta: inventario criptográfico completo del entorno OT, exigir a todos los proveedores nuevos demostrar agilidad criptográfica como condición de contratación, clasificar los datos según su riesgo cuántico usando el criterio de Mosca, consultar a los proveedores críticos sobre su hoja de ruta PQC y, antes del día 90, llevar el tema al directorio con una página que cuantifique la desigualdad y proponga presupuesto.
Como cerró Sogus: «Take action before the clock strikes.» El contador ya empezó. La diferencia entre migrar de forma ordenada o en modo crisis depende de cuándo se toma la decisión de empezar.
