Red Seguridad 113

104 red seguridad segundo trimestre 2026 opinión trol (T0831). Una inyección de prompt en un asistente LLM operativo (AML. T0051) podría instruir la supresión de alarmas (T0878) o presentar un estado de proceso ficticio al operador (T0832). Un agente autónomo de optimización secuestrado mediante AI Agent Hijacking podría modificar parámetros fuera de rangos seguros mientras reporta valores normales, combinando Manipulation of Control con Loss of Safety (T0880). Estos no son escenarios de ciencia ficción. Son extensiones lógicas de capacidades adversariales ya documentadas, aplicadas a componentes que ya se están desplegando en entornos industriales reales. Lo que aún no se ha observado es el path completo end-toend en un incidente real; y esa es precisamente la ventana de oportunidad para los defensores. La posición arquitectónica del componente AI/ML resulta determinante. Un modelo de solo lectura sobre historian (nivel 3 de proximidad al proceso) tiene un perfil de riesgo fundamentalmente diferente al de un agente autónomo con capacidad de escritura sobre controladores (nivel 1). Esta distinción, que puede parecer obvia, no está formalizada en ninguno de los dos frameworks y es crítica para priorizar esfuerzos defensivos. Detección sin disrupción Cualquier estrategia de detección para amenazas AI en entornos OT debe calibrarse contra una restricción que no existe en IT: una detección que detenga un proceso industrial puede causar más daño que el ataque que intenta prevenir. El principio operativo que propongo es directo: alertar siempre, bloquear con cautela y aislar solo con autorización explícita de ingeniería OT. Las detecciones de mayor valor inmediato son las de menor impacto operativo. Monitoreo pasivo de red en el boundary IT/OT para detectar reconnaissance AI sobre protocolos industriales. Análisis de logs de historian para identificar escrituras en rangos temporales pasados o modificaciones de datos append-only que podrían indicar data poisoning. Baselining de comportamiento de agentes AI legítimos para detectar desviaciones en frecuencia de escritura, rangos de parámetros o destinos de comunicación. Correlación SIEM entre clasificaciones benignas de motores ML y actividad sospechosa reportada por otras fuentes. Las métricas SOC tradicionales también requieren extensión. No alcanza con medir MTTD y MTTR de forma agregada; es necesario segmentar entre la detección del componente AI y el componente ICS de un mismo incidente. Y emerge una métrica nueva que considero fundamental: el Convergence Gap, definido como el porcentaje de intersecciones clasificadas como factibles o superiores que carecen de detección. Esta métrica conecta directamente con la exposición real de la organización. La ventana está abierta La convergencia de IA y sistemas de control industrial no es una amenaza futura. Es una realidad en desarrollo temprano donde la mayoría de los paths de ataque aún no se han materializado en incidentes documentados. Esa asimetría temporal es una ventaja para los defensores, pero solo si se aprovecha. Inventariar componentes AI/ML en el entorno OT, clasificarlos por proximidad al proceso, implementar detecciones pasivas para las intersecciones de mayor factibilidad y extender las métricas SOC para capturar este nuevo vector son acciones que pueden ejecutarse hoy, sin inversión adicional significativa. Lo que se necesita es un cambio de perspectiva: dejar de tratar la seguridad de IA y la seguridad industrial como dominios separados y empezar a modelar las amenazas en la intersección. Los adversarios no respetan las fronteras entre frameworks. Los defensores tampoco deberían hacerlo.

RkJQdWJsaXNoZXIy MTI4MzQz