%3Aquality(100)&w=640&q=75){kind=logo}
¿La seguridad de las operaciones o la de los operadores? ¿Qué es más importante?
Las nuevas directrices de seguridad de la CISA para las tecnologías operativas ponen de relieve una laguna crítica en las comunicaciones industriales.
27 de abril de 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
El 10 de febrero de 2026, la CISA publicó «Barreras para la comunicación OT segura: por qué Johnny no puede autenticarse», un documento orientativo elaborado a partir de entrevistas directas con propietarios de activos de los sectores del agua, el transporte, el químico, el energético y el agroalimentario. Las conclusiones confirman lo que la comunidad de infraestructuras críticas sospechaba desde hace tiempo: los protocolos industriales heredados siguen careciendo de protecciones básicas de autenticación e integridad, y las versiones seguras que existen desde hace más de 20 años apenas se han adoptado.
Las directrices de la CISA se centran directamente en la seguridad de las operaciones: los protocolos de comunicación entre máquinas que garantizan el suministro eléctrico, la calidad del agua y el funcionamiento de los sistemas. Ese enfoque es necesario. Pero, de manera implícita, también plantea una cuestión igualmente urgente: ¿quién vela por la seguridad de los operadores?
Lo que descubrió la CISA
El estudio de la CISA ofrece una imagen clara de la situación. Los protocolos OT heredados, como Modbus, DNP3, CIP y OPC DA, se diseñaron pensando en la fiabilidad, no en la seguridad. Carecen de protecciones de integridad, autenticación de dispositivos y confidencialidad de los datos. Un atacante con acceso a la red puede suplantar la identidad de un dispositivo o modificar un comando mientras está en tránsito. Ataques anteriores, como el de Industroyer, podrían haberse detectado y evitado mediante una comunicación OT autenticada.
Las versiones seguras de los protocolos existen desde principios de la década de 2000. Sin embargo, su adopción sigue siendo mínima. El estudio de la CISA sobre la opinión de los clientes identificó tres categorías que impiden a los operadores implementar estos protocolos: el coste (adquisición, implementación y mantenimiento continuo), los temores sobre la disponibilidad (pérdida de observabilidad, impacto de la latencia, falta de confianza en una implementación sin interrupciones) y la complejidad de la PKI (suministro de certificados, gestión del ciclo de vida y riesgos de conectividad). Casi todos los operadores entrevistados citaron las dificultades de la PKI como principal factor disuasorio.
La guía señala como amenaza principal a los actores patrocinados por el Estado de la República Popular China que mantienen un acceso persistente a las infraestructuras críticas de Estados Unidos. Recomienda a los operadores que den prioridad a la firma de todas las comunicaciones de tecnología operativa (OT), que cifren el tráfico de gestión sensible (contraseñas, intercambios de claves, actualizaciones de firmware) y que busquen productos con «criptoagilidad» para garantizar que sus inversiones estén preparadas para el futuro frente a los cambios de algoritmos, incluida la inminente transición a la criptografía poscuántica.
La mitad que falta: garantizar la seguridad de los operadores
Las directrices de la CISA señalan acertadamente que un atacante en la red de tecnología operativa (OT) puede suplantar la identidad de un dispositivo o alterar un mensaje. Sin embargo, los mismos actores estatales responsables de campañas como Salt Typhoon «Volt Typhoon» han demostrado al mismo tiempo su capacidad para comprometer la infraestructura de telecomunicaciones de la que dependen los operadores para coordinar respuestas, enviar actualizaciones y gestionar credenciales.
Es aquí donde la distinción entre operaciones y operadores se vuelve peligrosa. Piénsalo:
La CISA recomienda cifrar el tráfico de gestión, incluidos los cambios de contraseña, los intercambios de claves y las actualizaciones de lógica. Pero, ¿cómo transmiten los operadores esas credenciales? Si un técnico de campo recibe una contraseña temporal a través de una aplicación de mensajería para consumidores que transita por una red de un operador comprometida, el cifrado a nivel de protocolo carece de importancia.
La guía señala que la implementación de una PKI requiere la coordinación entre técnicos de campo, integradores de sistemas y equipos de seguridad, y que muchos operadores necesitan recurrir a proveedores de servicios externos para estas actividades. Esa coordinación exige un intercambio seguro de información. Si el canal se ve comprometido, toda la implementación de la PKI se ve comprometida desde el principio.
Cuando falla la seguridad de los sistemas de tecnología operativa (OT), la respuesta ante una crisis depende por completo de la integridad de los canales de comunicación humanos. Si los operadores no pueden coordinarse de forma segura durante un incidente, este se agrava.
Todos los gobiernos del G7 y 18 de los del G20 confían en BlackBerry para sus comunicaciones seguras. Más del 70 % del personal del Gobierno federal de EE. UU. cuenta con la protección de las comunicaciones BlackBerry AtHoc .
La respuesta: Proteger tanto las operaciones como a los operadores. A continuación te explicamos cómo
No es posible garantizar la seguridad de las operaciones de forma significativa sin garantizar la seguridad de los operadores. Ambas cosas son interdependientes. No se trata de una preocupación teórica, sino de la realidad operativa que describe la propia investigación de la CISA.
BlackBerry® Secure Communications está diseñado específicamente para esta convergencia. Mientras que las directrices de la CISA abordan la capa de protocolo, BlackBerry garantiza todo el entorno de comunicaciones humanas que hace que la seguridad a nivel de protocolo sea implementable y sostenible. Se verifica cada identidad. Se confía en cada dispositivo. Se aplica cada política. Las organizaciones no solo envían mensajes cifrados; se comunican con participantes garantizados, dispositivos controlados y control soberano.
Verificación continua de identidad
BlackBerry® SecuSUITE® verifica criptográficamente a cada usuario y dispositivo antes de conceder acceso a cualquier comunicación. BlackBerry® UEM la identidad digital a las credenciales emitidas por la organización a través de Active Directory. Esto es el equivalente en el ámbito humano de lo que exige la CISA a nivel de protocolo: no hay comunicación sin identidad verificada. En un entorno regulado, los clientes autorizan explícitamente y verifican continuamente a cada participante, impidiendo que usuarios externos obtengan acceso con solo un número de teléfono.
PKI fácil de gestionar
BlackBerry® Servicios profesionales se encargan de la gestión del ciclo de vida de los certificados, la documentación de acreditación y la implementación, eliminando precisamente la carga que casi todos los entrevistados de CISA mencionaron como su principal obstáculo. BlackBerry UEM una distribución centralizada de certificados a los dispositivos gestionados. Los operadores obtienen un aprovisionamiento de claves simplificado sin necesidad de desarrollar conocimientos internos sobre PKI desde cero.
Canales seguros para la gestión de sistemas OT sensibles
Voz, mensajería y uso compartido de archivos con cifrado de extremo a extremo para el tráfico de gestión que, según la CISA, debe estar cifrado: credenciales, cambios de configuración, actualizaciones de firmware y coordinación de la respuesta ante incidentes. BlackBerry SecuSUITE el cifrado en redes móviles, Wi-Fi, satelitales y de operadores públicos.
Control soberano total
Implementación local o en nube soberana. Claves de cifrado propiedad del cliente. Protección de metadatos que protege no solo lo que dice, sino también cómo opera. Diseñado partiendo de la premisa explícita de que las redes de telecomunicaciones ya están comprometidas, abordando precisamente el entorno de amenazas que describe la guía de la CISA. La competencia opera en la nube, donde los datos y las claves residen en sus servidores. BlackBerry permite a los clientes decidir dónde residen sus datos.
BlackBerry Secure Communications cuenta con las certificaciones NIAP/Common Criteria, NATO Restricted, BSI, NSA CSfC, FedRAMP High y FIPS 140-2/3. Los entornos de misión crítica requieren comunicaciones certificadas para tales fines.
Independencia en la comunicación de crisis
BlackBerry® AtHoc® ofrece una coordinación de crisis cifrada y multicanal que funciona de forma independiente de la infraestructura de red OT. Cuando la red OT se ve afectada o sufre un ataque activo, los operadores siguen disponiendo de una plataforma segura y resistente para coordinar la respuesta. BlackBerry AtHoc sustituye los sistemas de notificación fragmentados por una plataforma de operaciones unificada que crea un ciclo continuo desde la detección hasta la recuperación.
La necesidad imperiosa de la convergencia
Las directrices de la CISA constituyen un paso necesario para garantizar la seguridad de las operaciones industriales. Sin embargo, proteger los protocolos sin proteger a las personas que los implementan, gestionan, supervisan y responden ante ellos supone dejar el trabajo a medias. Las organizaciones que traten la seguridad de las operaciones y la seguridad de los operadores como problemas independientes descubrirán que comprometer uno de ellos supone comprometer ambos.
BlackBerry Secure Communications garantiza la integridad total de las comunicaciones: el estándar certificado para misiones que abarca a las personas, los dispositivos y la coordinación necesarios para poner en práctica las directrices de la CISA, desde el nivel de protocolo hasta el nivel humano.
¿La seguridad de las operaciones o la de los operadores? ¿Qué es más importante?
Las nuevas directrices de seguridad de la CISA para las tecnologías operativas ponen de relieve una laguna crítica en las comunicaciones industriales.
27 de abril de 2026
·Blog
·Jay Goodman
El 10 de febrero de 2026, la CISA publicó «Barreras para la comunicación OT segura: por qué Johnny no puede autenticarse», un documento orientativo elaborado a partir de entrevistas directas con propietarios de activos de los sectores del agua, el transporte, el químico, el energético y el agroalimentario. Las conclusiones confirman lo que la comunidad de infraestructuras críticas sospechaba desde hace tiempo: los protocolos industriales heredados siguen careciendo de protecciones básicas de autenticación e integridad, y las versiones seguras que existen desde hace más de 20 años apenas se han adoptado.
Las directrices de la CISA se centran directamente en la seguridad de las operaciones: los protocolos de comunicación entre máquinas que garantizan el suministro eléctrico, la calidad del agua y el funcionamiento de los sistemas. Ese enfoque es necesario. Pero, de manera implícita, también plantea una cuestión igualmente urgente: ¿quién vela por la seguridad de los operadores?
Lo que descubrió la CISA
El estudio de la CISA ofrece una imagen clara de la situación. Los protocolos OT heredados, como Modbus, DNP3, CIP y OPC DA, se diseñaron pensando en la fiabilidad, no en la seguridad. Carecen de protecciones de integridad, autenticación de dispositivos y confidencialidad de los datos. Un atacante con acceso a la red puede suplantar la identidad de un dispositivo o modificar un comando mientras está en tránsito. Ataques anteriores, como el de Industroyer, podrían haberse detectado y evitado mediante una comunicación OT autenticada.
Las versiones seguras de los protocolos existen desde principios de la década de 2000. Sin embargo, su adopción sigue siendo mínima. El estudio de la CISA sobre la opinión de los clientes identificó tres categorías que impiden a los operadores implementar estos protocolos: el coste (adquisición, implementación y mantenimiento continuo), los temores sobre la disponibilidad (pérdida de observabilidad, impacto de la latencia, falta de confianza en una implementación sin interrupciones) y la complejidad de la PKI (suministro de certificados, gestión del ciclo de vida y riesgos de conectividad). Casi todos los operadores entrevistados citaron las dificultades de la PKI como principal factor disuasorio.
La guía señala como amenaza principal a los actores patrocinados por el Estado de la República Popular China que mantienen un acceso persistente a las infraestructuras críticas de Estados Unidos. Recomienda a los operadores que den prioridad a la firma de todas las comunicaciones de tecnología operativa (OT), que cifren el tráfico de gestión sensible (contraseñas, intercambios de claves, actualizaciones de firmware) y que busquen productos con «criptoagilidad» para garantizar que sus inversiones estén preparadas para el futuro frente a los cambios de algoritmos, incluida la inminente transición a la criptografía poscuántica.
La mitad que falta: garantizar la seguridad de los operadores
Las directrices de la CISA señalan acertadamente que un atacante en la red de tecnología operativa (OT) puede suplantar la identidad de un dispositivo o alterar un mensaje. Sin embargo, los mismos actores estatales responsables de campañas como Salt Typhoon «Volt Typhoon» han demostrado al mismo tiempo su capacidad para comprometer la infraestructura de telecomunicaciones de la que dependen los operadores para coordinar respuestas, enviar actualizaciones y gestionar credenciales.
Es aquí donde la distinción entre operaciones y operadores se vuelve peligrosa. Piénsalo:
La CISA recomienda cifrar el tráfico de gestión, incluidos los cambios de contraseña, los intercambios de claves y las actualizaciones de lógica. Pero, ¿cómo transmiten los operadores esas credenciales? Si un técnico de campo recibe una contraseña temporal a través de una aplicación de mensajería para consumidores que transita por una red de un operador comprometida, el cifrado a nivel de protocolo carece de importancia.
La guía señala que la implementación de una PKI requiere la coordinación entre técnicos de campo, integradores de sistemas y equipos de seguridad, y que muchos operadores necesitan recurrir a proveedores de servicios externos para estas actividades. Esa coordinación exige un intercambio seguro de información. Si el canal se ve comprometido, toda la implementación de la PKI se ve comprometida desde el principio.
Cuando falla la seguridad de los sistemas de tecnología operativa (OT), la respuesta ante una crisis depende por completo de la integridad de los canales de comunicación humanos. Si los operadores no pueden coordinarse de forma segura durante un incidente, este se agrava.
Todos los gobiernos del G7 y 18 de los del G20 confían en BlackBerry para sus comunicaciones seguras. Más del 70 % del personal del Gobierno federal de EE. UU. cuenta con la protección de las comunicaciones BlackBerry AtHoc .
La respuesta: Proteger tanto las operaciones como a los operadores. A continuación te explicamos cómo
No es posible garantizar la seguridad de las operaciones de forma significativa sin garantizar la seguridad de los operadores. Ambas cosas son interdependientes. No se trata de una preocupación teórica, sino de la realidad operativa que describe la propia investigación de la CISA.
BlackBerry® Secure Communications está diseñado específicamente para esta convergencia. Mientras que las directrices de la CISA abordan la capa de protocolo, BlackBerry garantiza todo el entorno de comunicaciones humanas que hace que la seguridad a nivel de protocolo sea implementable y sostenible. Se verifica cada identidad. Se confía en cada dispositivo. Se aplica cada política. Las organizaciones no solo envían mensajes cifrados; se comunican con participantes garantizados, dispositivos controlados y control soberano.
Verificación continua de identidad
BlackBerry® SecuSUITE® verifica criptográficamente a cada usuario y dispositivo antes de conceder acceso a cualquier comunicación. BlackBerry® UEM la identidad digital a las credenciales emitidas por la organización a través de Active Directory. Esto es el equivalente en el ámbito humano de lo que exige la CISA a nivel de protocolo: no hay comunicación sin identidad verificada. En un entorno regulado, los clientes autorizan explícitamente y verifican continuamente a cada participante, impidiendo que usuarios externos obtengan acceso con solo un número de teléfono.
PKI fácil de gestionar
BlackBerry® Servicios profesionales se encargan de la gestión del ciclo de vida de los certificados, la documentación de acreditación y la implementación, eliminando precisamente la carga que casi todos los entrevistados de CISA mencionaron como su principal obstáculo. BlackBerry UEM una distribución centralizada de certificados a los dispositivos gestionados. Los operadores obtienen un aprovisionamiento de claves simplificado sin necesidad de desarrollar conocimientos internos sobre PKI desde cero.
Canales seguros para la gestión de sistemas OT sensibles
Voz, mensajería y uso compartido de archivos con cifrado de extremo a extremo para el tráfico de gestión que, según la CISA, debe estar cifrado: credenciales, cambios de configuración, actualizaciones de firmware y coordinación de la respuesta ante incidentes. BlackBerry SecuSUITE el cifrado en redes móviles, Wi-Fi, satelitales y de operadores públicos.
Control soberano total
Implementación local o en nube soberana. Claves de cifrado propiedad del cliente. Protección de metadatos que protege no solo lo que dice, sino también cómo opera. Diseñado partiendo de la premisa explícita de que las redes de telecomunicaciones ya están comprometidas, abordando precisamente el entorno de amenazas que describe la guía de la CISA. La competencia opera en la nube, donde los datos y las claves residen en sus servidores. BlackBerry permite a los clientes decidir dónde residen sus datos.
BlackBerry Secure Communications cuenta con las certificaciones NIAP/Common Criteria, NATO Restricted, BSI, NSA CSfC, FedRAMP High y FIPS 140-2/3. Los entornos de misión crítica requieren comunicaciones certificadas para tales fines.
Independencia en la comunicación de crisis
BlackBerry® AtHoc® ofrece una coordinación de crisis cifrada y multicanal que funciona de forma independiente de la infraestructura de red OT. Cuando la red OT se ve afectada o sufre un ataque activo, los operadores siguen disponiendo de una plataforma segura y resistente para coordinar la respuesta. BlackBerry AtHoc sustituye los sistemas de notificación fragmentados por una plataforma de operaciones unificada que crea un ciclo continuo desde la detección hasta la recuperación.
La necesidad imperiosa de la convergencia
Las directrices de la CISA constituyen un paso necesario para garantizar la seguridad de las operaciones industriales. Sin embargo, proteger los protocolos sin proteger a las personas que los implementan, gestionan, supervisan y responden ante ellos supone dejar el trabajo a medias. Las organizaciones que traten la seguridad de las operaciones y la seguridad de los operadores como problemas independientes descubrirán que comprometer uno de ellos supone comprometer ambos.
BlackBerry Secure Communications garantiza la integridad total de las comunicaciones: el estándar certificado para misiones que abarca a las personas, los dispositivos y la coordinación necesarios para poner en práctica las directrices de la CISA, desde el nivel de protocolo hasta el nivel humano.
%3Aquality(100)&w=3840&q=75)