Hay una conversación que los operadores de telecomunicaciones en Latinoamérica llevan años evitando. No porque no sepan que existe, sino porque sus implicaciones son incómodas.
Durante décadas, mantener separados los sistemas IT de los entornos operativos (OT), como estaciones base, gestión de energía, monitoreo de última milla, era una forma deliberada de aislar el riesgo. De cierta manera, lo que no estaba conectado, no podía ser comprometido; sin embargo, esa lógica dejó de funcionar. La presión por automatizar operaciones fue creando puentes entre mundos diseñados para no tocarse, y la frontera IT/OT no desapareció realmente, sino que se volvió porosa sin que nadie tomara la decisión explícita de abrirla.
Como consecuencia de esto, ahora tenemos una superficie de ataque que los modelos de seguridad tradicionales no anticiparon, porque fueron diseñados para un mundo donde esa frontera todavía existía.
Lo que complica el problema es que la lógica operativa que construyó los entornos OT sigue vigente, pues equipos diseñados para durar décadas, protocolos propietarios sin autenticación moderna, y una cultura donde interrumpir un sistema activo para parchar se percibe como riesgo mayor que dejarlo sin actualizar. En ese contexto, la seguridad siempre perdió la negociación con la continuidad.
Esa cadena de decisiones no la suelen tomar los técnicos de campo, sino que la toman los ejecutivos que priorizaron disponibilidad sobre visibilidad durante años, y compraron tecnología operacional sin preguntarse qué pasaría cuando esos entornos inevitablemente se conectaran al resto de la red.
Las implicaciones de estas decisiones es que un compromiso sobre infraestructura OT en un operador de telecomunicaciones no afecta sólo al operador, afecta a energía, salud, sistemas financieros y gobierno que dependen de esa red. Los contratistas de mantenimiento acceden habitualmente con credenciales de alcance amplio y herramientas de conectividad remota fuera del control del operador, debido a que los accesos que no se monitorean, no se auditan y muchas veces ni siquiera están inventariados. Más que una hipótesis, este es el vector que los equipos de respuesta encuentran con más frecuencia cuando reconstruyen cómo entró el atacante.
Por otro lado, a medida que los marcos de infraestructura crítica se formalizan en la región, la incapacidad de demostrar controles efectivos sobre entornos OT va a dejar de ser una brecha técnica para convertirse en una exposición legal. Los operadores que esperen a que la regulación defina el estándar mínimo para entonces cumplirlo van a descubrir que el estándar mínimo no los protege del atacante.
La dirección correcta apunta a verificación de identidad y contexto sobre cada acceso, mas no perímetro de red. Bajo Zero Trust, un técnico externo puede llegar al sistema que necesita intervenir, durante el tiempo necesario, sin visibilidad sobre el resto de la infraestructura. En entornos OT, implementar ese nivel de control es una negociación entre seguridad, proveedores de equipos, integradores y operación. Quien haya pasado por ese proceso sabe que el mayor obstáculo no es tecnológico.
Pero esa negociación hay que darla, porque la alternativa ya tiene un costo, aunque no sea visible todavía. Muchos operadores en la región podrían estar comprometidos ahora mismo en su entorno OT sin saberlo. El atacante que entra por un acceso remoto no supervisado no anuncia su presencia, pero sí observa, mapea y espera.
La pregunta que cada operador debería hacerse hoy no es si tiene un plan de ciberseguridad sino cuántos accesos a su infraestructura OT no están bajo su control en este momento y si sabe la respuesta.
