Una sola semana de junio condensó el dilema de la ciberseguridad industrial: una advertencia inusual, un ataque real a dos mil kilómetros, y la decisión de apagar el modelo defensivo más capaz justo cuando se pedía adoptarlo.

El lunes 22 de junio, los jefes de seis agencias de inteligencia y ciberseguridad —CISA y la NSA por Estados Unidos, más los centros nacionales del Reino Unido, Canadá, Australia y Nueva Zelanda— firmaron tres páginas con un título que no admite lectura tranquila: The AI shift in cyber risk: why leaders must act now. El mensaje, despojado de matices, fue que los modelos de frontera están por superar lo que la propia industria esperaba de ellos, y que van a transformar tanto la capacidad ofensiva como la defensiva en el ciberespacio. ¿Cuándo? No en años. En meses.

Conviene desconfiar un poco del género. Las alianzas de inteligencia llevan décadas pidiéndole al sector privado que cargue con el costo de defenderse de adversarios mejor financiados, y buena parte de esos comunicados envejecen como eslóganes. BankInfoSecurity lo señaló sin anestesia: el aviso es liviano en especificidad y reitera consejos viejos —parchear rápido, no exponer sistemas que no necesitan estarlo—. Hasta ahí, nada nuevo bajo el sol.

Lo que sí es nuevo es el contexto en el que aterriza. Y ese contexto, para quien defiende entornos industriales en la región, es mucho más interesante que el comunicado.

El caso que ya ocurrió

Mientras se debate cuándo la IA será lo bastante capaz para tumbar infraestructura crítica, conviene mirar lo que Dragos documentó en mayo. Entre diciembre de 2025 y febrero de 2026, un adversario sin atribución pública comprometió a una decena de organismos del gobierno mexicano. En enero, dentro de esa campaña, llegó a la red corporativa de Servicios de Agua y Drenaje de Monterrey. Gambit Security destapó el caso; Dragos entró a evaluar la exposición OT y analizó más de 350 artefactos, en su abrumadora mayoría scripts generados por IA.

El atacante no programó su arsenal: lo encargó. Claude operó como ejecutor técnico —planificación, desarrollo y refinamiento iterativo de las herramientas, incluido un framework en Python de unas 17.000 líneas bautizado, con la modestia habitual del oficio, BACKUPOSINT v9.0 APEX PREDATOR, con 49 módulos—. Los modelos GPT quedaron a cargo de procesar datos y producir salida en español. Nada de eso era sofisticado. Lo que importó fue la velocidad: lo que a un humano le habría llevado días o semanas de desarrollo, el modelo lo comprimió en horas.

Y entonces vino el momento que debería estar en la primera diapositiva de cualquier inducción de seguridad OT este año. Durante el reconocimiento interno, sin que el operador se lo pidiera, el modelo encontró un servidor con una pasarela industrial vNode —una interfaz de gestión SCADA/IIoT, la capa que une la red corporativa con el entorno operativo—, la reconoció como activo ligado a infraestructura crítica y la marcó como objetivo prioritario. Estudió su autenticación, detectó que dependía de una única contraseña, propuso un password spray. Dos rondas. Las dos fallaron. No se tocó ningún sistema de control y el adversario se replegó hacia exfiltración.

Acá está la parte que el titular fácil suele saltearse, y que para mí es la que vale. Dragos fue explícito en bajar el volumen al pánico: esto no fue IA agéntica ejecutando un ataque por su cuenta, ni la prueba de que los modelos de hoy aporten capacidades específicas de ICS/OT que antes no existían. No las aportan. Lo que el caso demuestra es otra cosa, más prosaica y más incómoda: la IA comercial hizo visible el entorno OT a un atacante que ni siquiera lo buscaba.

Murió la oscuridad como control

Durante años, la complejidad de los entornos industriales operó como un disuasor silencioso. Para moverse en una red OT había que conocer SCADA, los protocolos de campo, la topología de planta; ese conocimiento escaso funcionaba, de hecho, como una capa de seguridad por oscuridad que nadie había diseñado pero de la que todos dependíamos. Monterrey marca el principio del fin de esa comodidad. Un modelo de propósito general, sin contexto industrial previo, miró una vNode y entendió lo que tenía enfrente. La barrera de conocimiento que protegía a la infraestructura legacy dejó de ser confiable, y no va a volver.

Para los que venimos modelando amenazas en la intersección de IA y OT, el caso ordena el problema con una claridad que se agradece. Vale separar dos planos que el discurso público mezcla todo el tiempo. Uno: cómo se arma el adversario —reconocimiento asistido, generación de tooling, priorización de blancos—, que es el terreno donde MITRE ATLAS describe el abuso del modelo. Otro: hacia dónde transita —descubrimiento de activos, movimiento lateral, el intento de alcanzar la interfaz de control—, que es el terreno de ATT&CK for ICS, donde el objetivo final siempre es un impacto sobre el proceso físico: pérdida de control (T0827), de disponibilidad (T0826), de seguridad (T0880). En Monterrey el atacante recorrió ATLAS para llegar más rápido a la antesala de ICS. No completó el cruce. La próxima campaña podría hacerlo, y no porque la IA despierte una conciencia, sino porque del otro lado siga colgada una vNode con contraseña única sobre una red plana.

La paradoja de junio

Ahora la parte que ata todo, y que un lector de la región no debería pasar por alto. Diez días antes de pedirle al mundo que adopte IA para defenderse, el mismo gobierno que firma la advertencia hizo lo contrario con la IA defensiva más capaz que existía.

El 12 de junio, a las 17:21 hora del Este, la Oficina de Industria y Seguridad del Departamento de Comercio —con la firma del secretario Howard Lutnick— le ordenó a Anthropic suspender todo acceso a sus modelos Fable 5 y Mythos 5 para cualquier ciudadano no estadounidense, dentro o fuera del país, incluidos sus propios empleados extranjeros. Como la empresa no puede filtrar usuarios por nacionalidad en tiempo real, terminó apagando ambos modelos para todo el mundo. El detalle relevante para nosotros: Mythos era, precisamente, un modelo de altísima capacidad en ciberseguridad, ofrecido a defensores e operadores de infraestructura crítica a través de un programa de acceso confiable llamado Project Glasswing. El instrumento legal —una orden de tipo is-informed bajo la ECRA, jamás usada antes contra un modelo desplegado a escala mundial— convirtió a un producto comercial en materia de control de exportaciones. Es, según CSIS, la primera vez que una directiva estadounidense fuerza a un modelo de frontera ya desplegado a quedar offline globalmente.

Sumemos las dos puntas. El ataque a Monterrey corrió sobre modelos commodity, disponibles para cualquiera, que nadie va a restringir. La respuesta regulatoria, en cambio, dejó sin acceso al modelo pensado para los defensores —y a todo extranjero, lo que en la práctica significa los defensores de Argentina, México, Brasil, el resto de la región—. El atacante no necesitaba la frontera; le alcanzaba con lo que sobra. El defensor sí la necesitaba, y se la apagaron. Cuando Olivia Shen, de la Universidad de Sídney, advirtió a CNN que las pymes con baja inversión iban a quedar como blanco fácil, describía una brecha que esta decisión no cierra: la profundiza.

Lo que sí mueve la aguja

Conviene entonces ignorar el teatro de los modelos de frontera y mirar lo aburrido, que es lo que funciona. La convergencia entre lo que recomienda Dragos y los Cinco Controles Críticos de ICS de SANS no tiene nada de glamoroso, y esa es justamente la buena noticia: está al alcance de cualquier presupuesto.

Visibilidad este-oeste, porque el reconocimiento asistido por IA genera patrones de movimiento lateral ruidosos y distinguibles del comportamiento humano —pero solo si existe la instrumentación para verlos—. Segmentación que aguante de verdad: aquella vNode jamás debió ser alcanzable desde la red corporativa sin un control de política explícito. MFA en toda interfaz de gestión adyacente a OT, porque una pasarela industrial con contraseña única no debería existir en 2026 y, sin embargo, existe. Y, sobre todo, capacidad de detección y respuesta específica de OT, porque la estrategia de solo prevención pierde sentido cuando el ciclo de planificación del adversario se mide en horas y no en días. Ninguno de estos controles es novedoso. SADM no cayó por falta de tecnología de punta; quedó expuesta por las brechas básicas que la oscuridad venía tapando, y que la IA acaba de iluminar.

El plazo de «meses, no años» no es, en el fondo, una predicción sobre cuándo un modelo será lo bastante listo para romper un SCADA. Es la pregunta sobre cuánto falta para que termine de erosionarse la barrera de conocimiento que durante una década hizo de la ignorancia un control de seguridad. Esa cuenta regresiva no se gana comprando el modelo más nuevo —sobre todo si te lo apagan—. Se gana cerrando, antes de que el reloj llegue a cero, las contraseñas únicas, las redes planas y las interfaces OT que nunca debieron estar a un salto de la red corporativa.

Fuentes: comunicado conjunto de Five Eyes «The AI shift in cyber risk: why leaders must act now» (22 jun 2026), reportado por CNN, CBS News, CyberScoop y BankInfoSecurity; guía CISA «Careful Adoption of Agentic AI Services» (1 may 2026); informe de Dragos sobre la intrusión asistida por IA a SADM, Monterrey (may 2026), con cobertura de SecurityWeek e Industrial Cyber; directiva de control de exportaciones del Departamento de Comercio a Anthropic (12 jun 2026), reportada por Fortune, CSIS, Nextgov y TechPolicy.Press.