Ciberataques estatales: la nueva normalidad y lo que las empresas deben aprender ahora

“Tenemos alrededor de cuatro incidentes cibernéticos de importancia nacional a la semana”, aseguró Richard Horne, director del National Cyber Security Centre (NCSC) del Reino Unido, en su discurso durante la conferencia CyberUK en Glasgow. Esa afirmación no es una hipérbole: refleja un paisaje en el que actores estatales y sus proxies elevan el umbral del riesgo digital de forma sostenida.

El contexto geopolítico: entre la paz y la guerra

La era pos-2014 y, sobre todo, tras la invasión rusa de Ucrania en febrero de 2022, dejó en claro que los conflictos armados ya no se limitan al terreno, el aire y el mar. Las acciones en el ciberespacio —operaciones de espionaje, sabotaje y desinformación— forman parte del repertorio estratégico de las grandes potencias y de actores subordinados a ellas. Blaise Metreweli, jefe del servicio secreto británico MI6, llegó a decir que el mundo opera hoy “en un espacio intermedio entre la paz y la guerra”. Esa descripción encaja con la proliferación de operaciones híbridas que combinan coacción, ciberataque y guerra informativa.

¿Por qué los ataques estatales son diferentes a la ciberdelincuencia común?

La mayoría de las organizaciones empresariales ya conoce amenazas como el ransomware, el phishing masivo y el fraude por compromiso de correo. Sin embargo, Horne subrayó una distinción clave: mientras que incidentes criminales suelen buscar lucro y, en algunos casos, permiten a las víctimas recuperar sistemas mediante pagos (aunque no es recomendable), los ciberataques estatales persiguen fines políticos, militares o estratégicos y pueden estar diseñados para negar servicios, destruir infraestructuras o robar información sensible sin intención de “negociar”.

En términos prácticos, esto significa que frente a un ataque patrocinado por un Estado, pagar un rescate no es una solución: la prioridad debe ser la resiliencia, la preparación y la capacidad de operar bajo degradación.

Actores principales y tácticas observadas

Según la evaluación pública de autoridades como el NCSC y diversos informes de inteligencia abiertos, tres países se mencionan recurrentemente por la escala y la sofisticación de sus operaciones: Rusia, China e Irán.

• Rusia: ha refinado tácticas usadas en el contexto de la guerra en Ucrania y las ha exportado más allá del frente; esto incluye operaciones híbridas que combinan sabotaje, ataques a infraestructuras críticas y campañas de engaño para crear caos o desestabilizar la confianza pública.
• China: combina capacidades de vigilancia extremadamente avanzadas con operaciones dirigidas a la adquisición de propiedad intelectual, espionaje económico y acceso prolongado a redes objetivo. El NCSC afirma que agencias militares y de inteligencia chinas muestran “un nivel de sofisticación asombroso”. (Fuente: discurso de Richard Horne, CyberUK 2026).
• Irán: suele usar operaciones cibernéticas para objetivos políticos y represivos, incluidas acciones que afectan a disidentes o comunidades en el extranjero, como advirtió Horne en Glasgow: “Irán está casi con certeza utilizando la actividad cibernética para apoyar la represión de individuos británicos vistos como una amenaza al régimen”. (Fuente: NCSC, CyberUK 2026).

Impacto en infraestructuras críticas: casos y lecciones

Los ataques a sistemas que controlan suministro eléctrico, plantas de calefacción, presas y redes hídricas dejaron en evidencia una vulnerabilidad estructural en varios países europeos. En años recientes se han reportado incidentes que afectaron desde plantas de calefacción hasta el control de flujos de agua en represas. Más allá del daño técnico, el efecto político y social es el que puede amplificar una crisis: cortes de servicio en ciudades, picos de desconfianza pública y presión sobre los gobiernos para responder rápida y contundentemente.

Lección clave: las defensas deben integrar los vectores cibernéticos con la gestión de continuidad de negocio y la planificación de emergencias ciudadanas. Un fallo en la ciberseguridad que afecte la liturgia básica de la vida urbana (agua, luz, transporte) se convierte en un asunto de seguridad nacional.

¿Qué puede y debe hacer una empresa hoy?

La recomendación del NCSC es clara: no esperar a ser objetivo. Las organizaciones —tanto grandes como medianas y pequeñas— deben asumir que la posibilidad de ser afectadas es real y prepararse en consecuencia. A continuación, medidas prácticas y priorizadas:

1. Inventario y segmentación: conocer y clasificar activos críticos, con especial atención a sistemas OT (operational technology) e IoT conectados a procesos industriales.
2. Zero Trust y defensa en profundidad: incorporar políticas de Zero Trust que minimicen privilegios implícitos y segmenten la red para contener intrusiones.
3. Ejercicios y simulacros: realizar pruebas de intrusión, ejercicios de mesa y simulacros de respuesta a incidentes que incluyan interrupciones a gran escala.
4. Copias de seguridad resistentes: mantener backups aislados y validados, con playbooks claros para recuperación sin depender de actores externos para restaurar sistemas críticos.
5. Relaciones con autoridades: establecer canales con centros nacionales de ciberseguridad y fuerzas regulatorias para coordinación rápida en caso de incidentes transfronterizos.
6. Protección de la cadena de suministro: evaluar riesgos de proveedores y requerir controles mínimos verificables; un eslabón débil puede comprometer a toda la organización.

Preparación organizacional: gobernanza y cultura

La tecnología sin gobernanza no alcanza. Es necesario que los directorios y equipos ejecutivos entiendan el riesgo cibernético de forma estratégica. Preguntas que todo consejo debe poder responder: ¿qué servicios son esenciales para la operación? ¿cuánto tiempo podemos permanecer fuera de línea antes de sufrir daño irreparable? ¿cuál es nuestra estrategia de comunicación en caso de crisis? Convertir estas respuestas en políticas y presupuestos es fundamental.

Además, la formación continua del personal operativo y no operativo es crítica: errores humanos siguen siendo la puerta de entrada más común para actores que buscan acceso inicial.

Cooperación internacional y normativas emergentes

El carácter transnacional de los ataques obliga a la cooperación: intercambio de indicadores de compromiso, apoyo técnico entre estados y sanciones coordinadas contra actores responsables. Al mismo tiempo, la regulación sobre ciberseguridad corporativa se está endureciendo en varias jurisdicciones, exigiendo estándares de reporte y controles mínimos en sectores críticos.

Para las empresas que operan globalmente, esto significa alinearse no solo con leyes locales, sino también con marcos internacionales que exigen transparencia y capacidad de recuperación.

Mirando hacia adelante: tendencias que conviene vigilar

• Automatización de ataques: el uso de inteligencia artificial por parte de atacantes para identificar vectores y generar malware adaptativo aumentará la velocidad y sofisticación de las intrusiones.
• Economía de la coerción digital: además de destruir, los actores estatales podrían optar por operaciones de coerción que mezclen filtraciones, interrupciones y presión económica selectiva.
• Mayor atención a OT/ICS: los sistemas de control industrial seguirán siendo objetivos prioritarios por su impacto físico directo.

Como recalcó Horne, “el ciberespacio es parte del concurso geopolítico”. Esa afirmación implica que la seguridad digital dejó de ser un gasto operativo opcional para convertirse en pilar estratégico. Las empresas que internalicen esa verdad y actúen con anticipación no solo reducirán su exposición, sino que contribuirán a una red empresarial y social más resiliente frente a las tensiones del siglo XXI.

Fuentes citadas:

• Discurso de Richard Horne, director del NCSC, CyberUK, Glasgow, 2026 (previo de prensa del NCSC).
• Declaraciones públicas de Blaise Metreweli, jefe del MI6, sobre el entorno de seguridad posterior a 2022.