La seguridad OT tiene un problema que no se resuelve con tecnología: la cultura organizacional. O más precisamente, la falta de ella. Esa fue la tesis que desarrollaron Luis María Mozzoni, Pedro Cadena y Juan Lucagnoli —representantes de Fortinet, Grupo Vectus y Nozomi Networks— en una de las charlas más originales del Industrial Cyber Summit Argentina 2026, donde usaron la caída de Troya como espejo para mostrar cómo las infraestructuras industriales de hoy cometen los mismos errores que los troyanos hace tres mil años.
La frase de apertura lo resumió todo: Peter Drucker dijo que «la cultura se come a la estrategia en el desayuno». En el contexto de la ciberseguridad industrial, eso significa que podés tener el mejor firewall, el mejor SIEM, los mejores protocolos de respuesta a incidentes, y aun así ser vulnerable. Si la cultura no acompaña, la tecnología sola no alcanza.
La hybris: la vulnerabilidad sin parche
Todo empezó con una pregunta: ¿por qué cayó Troya? No fue por falta de murallas. Las murallas de Troya eran tecnológicamente perfectas, consideradas infranqueables. Troya resistió el asedio griego durante más de diez años. Lo que falló no fue la defensa sino la mente de las personas que defendían esas murallas.
En la cultura griega, esa falla tiene nombre: hybris. Se traduce como confianza extrema, soberbia ciega, la creencia de que uno está suficientemente protegido y no necesita hacer más. En el contexto de una organización industrial, la hybris suena así: «tenemos un air gap, estamos aislados». O: «nunca nos pasó nada». O: «no necesitamos alinearnos a ningún estándar porque así estamos bien».
Lo peligroso de la hybris no es solo lo que impide hacer. Es lo que desencadena. La cultura griega describe una relación causa-efecto directa: cuando aparece la hybris, viene la némesis. La némesis es la ruina total, el equilibrio universal que cobra el precio de la soberbia. Para Troya, la némesis fue el incendio. Para una planta industrial, puede ser una parada de producción, un ransomware que toma los sistemas SCADA, o una filtración de datos operativos críticos.
Como cerró Luis: «la hybris es la única vulnerabilidad para la cual no existe parche.»
El talón de Aquiles de cada infraestructura
Aquiles era el activo más valioso del Ejército griego. Invulnerable, poderoso, conocedor de todas las estrategias de batalla. El activo perfecto que toda organización quiere tener. Pero tenía un punto ciego: el talón, el único lugar del cuerpo que no fue sumergido en el río Estigia cuando lo bañaron para hacerlo invencible. No fue una gran batalla la que lo venció. Fue ese pequeño espacio desprotegido.
La analogía para los entornos industriales es inmediata. Ese PLC con la contraseña de fábrica que nadie cambió porque lleva diez años funcionando sin problemas. El sistema operativo que «no se toca porque está trabajando bien» pero lleva años sin actualizaciones de seguridad. El servidor de historial que no tiene monitoreo porque «nunca lo atacaron». La frase que lo captura: «tu infraestructura es tan frágil como tu activo más olvidado.»
En los relevamientos de visibilidad de activos OT, entre el 60% y el 70% de los dispositivos conectados en redes industriales tienen vulnerabilidades conocidas sin parchear. No porque los equipos de seguridad no lo sepan, sino porque la presión operativa, los ciclos de mantenimiento y la lógica de «si funciona no lo toques» generan una deuda técnica que se acumula silenciosamente.
Cassandra: la analista que nadie escucha
El segundo personaje de la historia es Cassandra, la princesa troyana que nació con el don de predecir el futuro y la maldición de que nadie le creyera. Ella vio venir la caída de Troya. Gritó. Avisó. Fue ignorada.
En una organización de seguridad industrial, Cassandra es el analista del SOC que genera reportes de alertas que nadie lee. Es el CISO que lleva meses advirtiendo sobre una vulnerabilidad crítica en el sistema de control y recibe como respuesta «no hay presupuesto ahora». Es el equipo de seguridad que levanta la mano sobre un dispositivo desactualizado y escucha «está bien, nunca nos pasó nada».
El ataque a Troya no fue una sorpresa. Fue una alerta de seguridad ignorada. La pregunta que planteó Pedro en la charla es directa: ¿tu organización tiene alguna Cassandra hoy? ¿Y si la tiene, alguien la está escuchando?
Este es uno de los argumentos más sólidos para la [simulación operativa en ciberseguridad](https://cybersummit.io/simulacion-operativa-ciberseguridad/): los ejercicios periódicos no sirven solo para probar la tecnología. Sirven para crear el hábito cultural de escuchar las alertas, de tomar en serio las señales débiles antes de que se conviertan en incidentes reales.
El caballo de Troya y el arte del engaño
Con Aquiles fuera de combate y las murallas inexpugnables, los griegos entendieron que la fuerza bruta no iba a funcionar. Necesitaban cambiar de estrategia. La nueva táctica fue la ingeniería social: desviar la atención, relajar el pensamiento crítico del enemigo y hacer que los propios troyanos introdujeran la amenaza dentro de su infraestructura.
El resultado fue el caballo de madera, dejado como ofrenda a las puertas de la ciudad. Fueron los propios soldados troyanos quienes lo arrastraron adentro, a pesar de las advertencias de Cassandra. Esa noche hubo celebración, los guardias se relajaron, y los soldados griegos escondidos dentro tomaron la ciudad sin resistencia.
En el ámbito de la ciberseguridad industrial, este tipo de ataques tiene nombre: técnicas de misdirection o desvío de atención. Un pendrive dejado estratégicamente en la sala de operadores. Un archivo CAD adjunto a un correo dirigido al jefe de planta. Un pedido de apertura de puertos del firewall para «un mantenimiento remoto urgente». Los atacantes estudian el flujo de trabajo normal de la organización y diseñan el engaño para que parezca exactamente una actividad rutinaria.
El truco de magia como lección de seguridad
Uno de los momentos más memorables de la charla fue una demostración en vivo. Juan sacó un pañuelo, anunció que iba a guardarlo en su mano, cerró el puño, ejecutó un «comando» y lo abrió mostrando un huevo. El pañuelo había desaparecido.
La explicación fue inmediata: el pañuelo estaba en el bolsillo izquierdo desde el principio. El huevo, en el derecho. Cuando sacudió el bolsillo izquierdo para «atraer la atención», con la otra mano ya había sacado el huevo. El engaño tuvo dos capas: la distracción visible y la acción invisible que ocurrió mientras todos miraban para el otro lado.
El error de Troya no fue caer en el engaño una vez. Fue creer que una vez que entendieron el truco, ya habían vencido. Esa fue su mayor hybris: creer que habían resuelto el problema cuando en realidad apenas habían visto la primera capa del engaño. Los atacantes actuales diseñan ataques de múltiples capas exactamente para ese momento, cuando el equipo de seguridad piensa que ya cerró el incidente.
Esto aplica directamente al pentesting industrial: las pruebas de penetración más valiosas no son las que encuentran la vulnerabilidad obvia, sino las que simulan la capa de distracción y verifican si el equipo de seguridad sigue pensando críticamente mientras atiende la señal de humo.
Los tres imperativos
La charla cerró con tres conclusiones concretas para los profesionales de seguridad industrial. La primera: proteger el talón de Aquiles. Identificar los activos más olvidados, los que tienen más consecuencias ante un incidente, y tratarlos como prioritarios, no como riesgo aceptable por default. Un war room de ciberseguridad bien ejecutado empieza siempre por tener claro cuáles son esos activos y cuál es el plan de respuesta si fallan.
La segunda: escuchar a las Cassandras. No ignorar las alertas por presión operativa ni por el argumento de que «el negocio es lo primero». El negocio también se ve afectado cuando cae una planta. La cultura de seguridad continua requiere que las señales de alerta tengan un proceso de escalamiento claro y que el costo de ignorarlas sea visible para quienes toman decisiones.
La tercera: no dejar nunca que la soberbia abra las puertas. Cultivar la humildad operativa significa reconocer activamente que toda infraestructura tiene puntos débiles, que la seguridad perfecta no existe y que la confianza extrema en las defensas actuales es en sí misma una vulnerabilidad. Como dijo Luis al cerrar: «Troya cayó por la soberbia, y la hybris es la única vulnerabilidad para la cual no existe parche.»
La tecnología cambia. Los atacantes evolucionan. Los vectores se multiplican. Lo que permanece constante es la naturaleza humana, y esa es exactamente la razón por la que la cultura de seguridad no es un complemento de la estrategia: es su fundamento.
—
¿Querés saber más sobre cómo construir una cultura de seguridad en entornos industriales? Leé también: Innovar con confianza: el cierre de la fortaleza digital y Amenazas OT: los riesgos más críticos para la industria 2025-2026.
