Introducción.

El día de ayer (22 de julio), el Subcomité de Ciberseguridad e Infraestructura Crítica del Comité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos celebró una audiencia titulada “Stuxnet a 15 años: protegiendo las tecnologías operativas (OT) de las amenazas cibernéticas”. El objetivo fue examinar el grado de preparación de la nación frente a amenazas cibernéticas que puedan afectar infraestructura crítica, especialmente aquellas relacionadas con sistemas de tecnología operativa e industrial.

Durante la sesión, tanto los legisladores como los testigos coincidieron en que Stuxnet fue un punto de inflexión en la historia de la ciberseguridad industrial, al demostrar que es posible usar malware para provocar efectos físicos en el mundo real. Se señaló que, a pesar de que han transcurrido 15 años desde su descubrimiento, muchas infraestructuras críticas en EE. UU. —incluyendo plantas de tratamiento de agua, redes eléctricas, servicios de salud y transporte— siguen enfrentando vulnerabilidades similares o incluso más graves.

El presidente del subcomité, el representante Andrew Garbarino, abrió la audiencia recordando que Stuxnet demostró cómo una amenaza cibernética puede producir daños físicos tangibles y reiteró que las tecnologías OT no deben ser tratadas como una “nota al pie” en las estrategias de ciberseguridad. En la misma línea, la representante Sheila Jackson Lee señaló que las amenazas han evolucionado, incluyendo actores como Irán, China y Rusia, que ahora poseen capacidades más avanzadas que las demostradas en 2010.

Los testigos invitados —representantes de Dragos, el Center for Strategic and International Studies (CSIS), SCADAhacker y el Idaho National Laboratory— brindaron un panorama detallado de las amenazas actuales y los desafíos que enfrenta la protección de infraestructura crítica. Coincidieron en que la ciberseguridad OT requiere atención prioritaria, inversión sostenida, colaboración público-privada, y una estrategia clara de largo plazo.

Entre los temas abordados estuvieron la falta de regulación específica para los sistemas OT, las limitaciones de recursos en gobiernos estatales y locales, la necesidad de establecer estándares mínimos obligatorios, y la importancia de mejorar el intercambio de información entre el gobierno federal y la industria. También se enfatizó que las tecnologías OT, por su diseño heredado y su rol esencial en la operación de servicios vitales, no pueden ser protegidas únicamente con las herramientas ni el enfoque tradicionales de ciberseguridad de IT.

Opiniones de Expertos.

Durante la audiencia, cuatro expertos en ciberseguridad industrial brindaron testimonio ante el subcomité. Sus intervenciones coincidieron en que las amenazas al entorno OT han crecido en complejidad y severidad desde Stuxnet, y que Estados Unidos no está adecuadamente preparado para enfrentarlas. A continuación, se sintetizan sus principales aportes:

• Robert M. Lee – CEO y Cofundador de Dragos Inc.
  Alerta sobre vulnerabilidades persistentes: Señaló que, a pesar del tiempo transcurrido desde Stuxnet, muchas organizaciones críticas siguen sin contar con visibilidad básica de sus activos OT, ni con capacidades de monitoreo continuo.
  
• Crítica al abordaje federal: Destacó que no existe una estrategia nacional unificada para ciberseguridad OT, y que el gobierno federal no ha definido con claridad su rol frente a esta problemática.
• Propuesta de acción:
  o Desarrollo de una estrategia nacional específica para OT.
  o Inclusión obligatoria de mínimos controles de seguridad para las infraestructuras críticas.
  o Colaboración público-privada continua, con liderazgo desde el sector industrial.

James Andrew Lewis – Vicepresidente Senior y Director del Programa de Tecnología Estratégica del CSIS

• Stuxnet como advertencia ignorada: Consideró que el impacto estratégico de Stuxnet no fue debidamente internalizado por los responsables de formular políticas públicas. El gobierno no desarrolló una respuesta regulatoria o doctrinaria efectiva.
• Insuficiencia de marcos regulatorios actuales: Criticó la dependencia de
  marcos voluntarios como el NIST CSF, que considera adecuados pero
  insuficientes si no hay mecanismos de cumplimiento y supervisión real.
• Necesidad de liderazgo federal claro: Propuso designar una autoridad central para coordinar los esfuerzos de ciberseguridad OT, con presupuesto, atribuciones y una estrategia de largo plazo.
  

Dale Peterson – Fundador de Digital Bond y SCADAhacker

• Fragilidad estructural del ecosistema OT: Afirmó que los sistemas industriales actuales se construyen sobre tecnologías obsoletas, con serias limitaciones en su capacidad para resistir ataques deliberados.
• Falta de métricas y visibilidad real: Cuestionó la falta de indicadores claros
  sobre el nivel de seguridad OT a nivel nacional, y propuso exigir a las empresas informes públicos básicos sobre su postura cibernética.
• Énfasis en inversión y resiliencia: Argumentó que el problema no se resolverá sin inversión sostenida, entrenamiento especializado, y una cultura que priorice la resiliencia desde el diseño.

Marianne Bailey – Idaho National Laboratory (INL)

• Importancia de la formación de talento: Recalcó la necesidad urgente de
  formar profesionales capacitados específicamente en ciberseguridad OT, y no asumir que expertos en IT pueden cubrir este campo.
• Coordinación interagencial deficiente: Destacó que hay múltiples agencias
  involucradas en iniciativas relacionadas con ciberseguridad OT, pero sin
  coordinación efectiva ni objetivos comunes claramente definidos.
• Llamado a la acción inmediata: Instó al Congreso a impulsar una estrategia
  federal con recursos, estándares, incentivos e implementación gradual pero obligatoria, advirtiendo que esperar un incidente catastrófico sería un error estratégico.

En conjunto, los expertos coincidieron en que el statu quo es insostenible: Estados Unidos enfrenta amenazas cibernéticas crecientes contra sus sistemas de control industrial y, sin una respuesta decidida y estructurada, la probabilidad de un evento disruptivo mayor es elevada.

Conclusión.

A quince años de la revelación pública de Stuxnet, su legado continúa siendo un llamado de atención que, aunque ampliamente citado, no ha sido plenamente atendido.
La audiencia celebrada en el Congreso de EE. UU. dejó en evidencia una verdad incómoda: las vulnerabilidades que hicieron posible Stuxnet persisten en gran parte de las infraestructuras críticas del país, y en muchos casos se
han visto amplificadas por la convergencia de IT y OT, el crecimiento del IoT industrial, y la digitalización acelerada impulsada por eficiencia operativa.
Los expertos convocados coincidieron en un diagnóstico claro: Estados Unidos carece de una estrategia nacional unificada para la protección cibernética de sus sistemas OT.

La seguridad sigue recayendo sobre marcos voluntarios, prácticas desiguales y una fragmentación institucional que debilita la respuesta frente a actores estatales y no estatales cada vez más sofisticados. En este contexto se podría afirmar que Stuxnet no fue una anomalía histórica, sino un precursor de una nueva forma de guerra y sabotaje digital.

El caso Stuxnet dejó una lección clave: la capacidad de generar efectos físicos mediante medios digitales no es ciencia ficción, sino un hecho comprobado y replicable. Ignorar este precedente —como lo ha hecho buena parte del sector público y privado— es aceptar un riesgo inaceptable. Por ello, el verdadero homenaje a esa lección no debe ser retórico, sino operativo: pasar de la evocación a la acción estratégica, con inversión sostenida, regulación eficaz y cooperación multisectorial.

Fuente

"Fully Operational Stuxnet 15 Years Later & the Evolution of Cyber Threats to Critical Infrastructure", disponible en https://www.youtube.com/watch?v=jLROmU7j57Q