Las interdependencias de infraestructuras son hoy una de las variables más subestimadas en la gestión de riesgo cibernético. Cuando energía, telecomunicaciones y finanzas dejan de ser sistemas separados para convertirse en una red de servicios mutuamente dependientes, cualquier incidente en uno de ellos puede activar un efecto dominó que arrastra al resto en cuestión de horas. La ciberseguridad industrial dejó de pensarse en términos de planta o de empresa para mirar todo el ecosistema productivo de un país.
Para CISOs, gerentes de OT y reguladores, entender estas interdependencias ya no es un ejercicio académico. Es la base sobre la que se construyen los planes de continuidad, las inversiones en resiliencia cibernética y las decisiones difíciles que se toman cuando la presión es máxima y el reloj corre en contra.
Por qué el efecto dominó dejó de ser una metáfora
Durante años, la idea del “efecto dominó” entre sectores críticos sonaba a ejercicio teórico, útil para presentaciones pero alejado de la realidad operativa. Los incidentes recientes terminaron de demostrar lo contrario. Un ataque a una proveedora de energía deja sin combustible las antenas de telecomunicaciones; los cortes de telco impiden que las plantas industriales reciban telemetría; sin telemetría, los sistemas de pago a distancia se vuelven inestables y los clientes corren al efectivo. En menos de un día, un incidente puntual termina afectando rubros que parecían lejanos.
El Global Cybersecurity Outlook 2025 del World Economic Forum reportó que dos tercios de las grandes organizaciones ya identificaron incidentes con impacto en proveedores o socios, y que el 54% de los líderes consultados ven en la complejidad de la cadena de suministro una de las mayores barreras para sostener la ciberresiliencia. La frontera entre “incidente nuestro” e “incidente del ecosistema” se borró.
A esto se suma un contexto regulatorio creciente. Marcos como NIS2 en Europa, las nuevas leyes sobre operadores de importancia vital en Chile y los avances en Argentina obligan a las organizaciones a documentar formalmente sus dependencias. En el blog ya analizamos esa transformación en regulación de infraestructura crítica en Argentina y en la nota sobre gobernanza de ciberseguridad en el sector público para infraestructuras críticas.
Tres sectores que ya operan como un solo sistema
Energía, telecomunicaciones y finanzas conforman el triángulo más visible del riesgo sistémico, pero la realidad incluye también agua, transporte, salud y manufactura. Cada uno depende de los otros de maneras que muchas veces solo se vuelven evidentes cuando algo falla.
La energía sostiene el resto. Una subestación comprometida no solo apaga luces: deja sin servicio centros de datos, antenas de telco y bombas de agua. Las telecomunicaciones, a su vez, son la columna vertebral del monitoreo: sin red, los SCADAs pierden visibilidad, los pagos digitales se cortan y las pantallas operativas quedan ciegas. Las finanzas cierran el círculo: cuando los sistemas bancarios se ralentizan, las cadenas de suministro se traban porque proveedores y operadores no pueden ejecutar pagos críticos en tiempo y forma.
Esta cadena se enlaza a través de proveedores comunes, software compartido y, sobre todo, datos en tránsito. La pregunta ya no es si un sector puede arrastrar a otro, sino con qué velocidad lo hace y qué tan preparado está cada uno para amortiguar el golpe.
La convergencia IT/OT amplifica el riesgo
La digitalización de los procesos físicos llevó a IT y OT a un punto de fusión que abre oportunidades enormes pero también nuevos vectores. Cuando un atacante compromete un sistema corporativo, el camino hacia la planta puede estar a un movimiento lateral de distancia. Y desde la planta, las consecuencias dejan de ser virtuales: válvulas mal operadas, líneas detenidas, parámetros adulterados.
Por eso, las prácticas de segmentación de redes IT/OT y de resiliencia operativa industrial no son recomendaciones técnicas aisladas: son los frenos que evitan que un incidente cibernético salte de un sector a otro a través de las plantas que comparten proveedores, plataformas y modelos de operación.
El reporte Cost of a Data Breach 2024 de IBM Security cifró en USD 4,88 millones el costo medio global de una brecha, con sectores como energía, salud y finanzas siempre en la franja superior. Pero el dato más interesante para nuestro tema no es el costo individual: es que los incidentes que involucraron a terceros tardaron en promedio 26 días más en contenerse. Cada día adicional es una oportunidad para que el dominó siga cayendo.
Mapear las interdependencias antes de que las descubra el atacante
Una organización puede invertir millones en defensa y aun así quedar vulnerable si no entiende su propia red de dependencias. La buena noticia es que el mapeo no requiere herramientas mágicas; requiere disciplina, mesas con todos los actores y voluntad de documentar lo que muchas veces se asume como obvio.
| Tipo de dependencia | Ejemplos típicos | Pregunta clave |
|---|---|---|
| Funcional | Energía, telco, agua, transporte | ¿Qué servicios externos detendrían mi operación si fallaran? |
| Tecnológica | Proveedores de software, librerías, firmware | ¿Qué pasa si un componente común se compromete? |
| Humana | Especialistas, contratistas, sindicatos | ¿Qué actividades dependen de personas únicas o externas? |
| Geográfica | Sitios concentrados, corredores logísticos | ¿Qué cae si una zona específica queda inaccesible? |
Mapear las dependencias funcionales es el punto de partida obligado, pero las tecnológicas suelen ser las más explotadas en ataques cibernéticos. Conocer en detalle qué componentes de software comparte tu sector con otros (gestores de identidad, plataformas de monitoreo, ERPs sectoriales) permite anticipar qué tan extenso podría ser un ataque a la cadena de suministro.
Documentar también las dependencias humanas y geográficas evita la sorpresa típica del primer simulacro: descubrir que la única persona que entiende un PLC viejo está de vacaciones y vive en otra provincia.
Estrategias para frenar el dominó
Una vez mapeadas las interdependencias, la pregunta práctica es cómo intervenir para que un incidente no se propague. Cuatro líneas de trabajo concentran la mayor parte del retorno.
La primera es la diversificación de proveedores críticos. Una sola plataforma de identidad o un único proveedor de conectividad pueden volverse el eslabón más débil. La segunda es la segmentación lógica y física entre dominios, que reduce la velocidad de propagación entre sistemas. La tercera es la ejercitación conjunta entre sectores: simulacros que pongan en la misma sala a equipos de energía, telco y finanzas para entender cómo se comunican y se ayudan en una crisis real. La cuarta, y muchas veces la más postergada, es la planificación de degradación controlada, ese arte de operar en modo reducido sin colapsar.
En la nota sobre continuidad operativa en infraestructuras críticas profundizamos esa última idea: prepararse no para que nada falle, sino para fallar con elegancia.
La resiliencia compartida como nueva regla del juego
La gestión de interdependencias de infraestructuras pide un cambio de mentalidad. Ya no alcanza con que cada empresa cuide su propio perímetro: la resiliencia se construye con vecinos. Compartir información en tiempo real, alinear tiempos de respuesta y acordar protocolos comunes con sectores aledaños es la única forma de evitar que el efecto dominó nos encuentre desprevenidos.
Las organizaciones que mejor lo entienden son las que tratan a sus pares como aliados estratégicos en ciberseguridad industrial, incluso cuando compitan en el mercado. Saben que un ataque al ecosistema golpea a todos por igual, y que la mejor defensa colectiva nace cuando los actores se reconocen mutuamente como parte del mismo sistema.
Mirando hacia adelante, los líderes que inviertan ahora en mapear, diversificar y entrenar conjuntamente serán los que mejor resistan el próximo gran incidente. Los que sigan pensando “eso le pasa a otros” descubrirán, demasiado tarde, que el dominó nunca se detuvo en la frontera de su empresa.
