102 red seguridad segundo trimestre 2026 opinión La adopción de inteligencia artificial (IA) en entornos de tecnología operativa (OT) avanza más rápido que la capacidad de los equipos de seguridad industrial para modelar las amenazas que introduce. Modelos de mantenimiento predictivo, detectores de anomalías basados en machine learning, asistentes conversacionales para operaciones y agentes autónomos de optimización de procesos se integran progresivamente en arquitecturas que fueron diseñadas bajo supuestos de aislamiento y determinismo operativo. En paralelo, los adversarios están incorporando IA a sus capacidades ofensivas (los ataques asistidos por IA crecieron un 72 por ciento en 2025, según SecurityWeek Cyber Insights). El problema es que las herramientas conceptuales disponibles para analizar esta convergencia operan en silos. Mitre Atlas, con 16 tácticas y 84 técnicas en su versión actual (v4.6.2, febrero 2026), cataloga amenazas adversariales contra sistemas AI/ML. Y MITRE ATT&CK for ICS, con 12 tácticas y 83 técnicas, modela amenazas contra sistemas de control industrial. Ambos frameworks son rigurosos dentro de sus dominios, pero ninguno responde por sí solo a una pregunta que se vuelve cada vez más relevante: ¿qué ocurre cuando un adversario utiliza técnicas de IA como vector para alcanzar impactos sobre procesos industriales críticos? El espacio no mapeado El análisis de alineación entre ambos frameworks revela tres zonas. Primero, un núcleo compartido de tácticas heredadas de ATT&CK Enterprise (Reconnaissance, Initial Access, Execution, Persistence, entre otras). Segundo, tácticas exclusivas de cada dominio: ATLAS aporta ML Model Access, ML Attack Staging, AI Agent Hijacking y AI Supply Chain Compromise; ATT&CK for ICS aporta Inhibit Response Function e Impair Process Control. La tercera zona, y la más relevante, son los puntos de convergencia: intersecciones donde una táctica exclusiva de un framework habilita directamente una del otro. ML Attack Staging habilitando Impair Process Control, o AI Agent Hijacking facilitando Inhibit Response Function, son ejemplos de paths que no están cubiertos por ninguno de los dos marcos de forma individual. Cuando se cruzan las técnicas adversariales de ATLAS con los nueve tipos de impacto ICS (desde Manipulation of Control hasta Loss of Safety), emerge un mapa de intersecciones que permite clasificar cada path por nivel de factibilidad. La mayoría de estas intersecciones se ubican en el nivel factible: los componentes aislados del ataque funcionan, pero el path completo AI-ICS no ha sido validado en entornos industriales reales. La excepción es la evasión adversarial de modelos ML de detección, que puede clasificarse como demostrado por extensión directa del caso documentado contra Cylance (ATLAS case study AML.CS0003). Que la mayoría de intersecciones sean aún factibles no debería ser motivo de tranquilidad. Los ataques contra ICS tienen un historial de saltar de lo teórico a lo operativo sin dejar evidencia intermedia documentada. Stuxnet era considerado especulación académica hasta que apareció destruyendo centrifugadoras. Industroyer2 y Pipedream/Incontroller demostraron en 2022 que los toolkits diseñados específicamente para impactar procesos industriales ya existen como capacidad adversarial disponible. Cómo se materializa Un modelo de mantenimiento predictivo envenenado mediante data poisoning (AML.T0020) puede generar recomendaciones erróneas de setpoints que un operador ejecute confiando en el sistema, materializando Manipulation of ConIA adversarial en entornos industriales Pablo Bobadilla Analista de ciberseguridad Con la colaboración de
RkJQdWJsaXNoZXIy MTI4MzQz