Security

Preparación de seguridad de infraestructuras críticas 2026

3 min de lectura

Resumen

Microsoft afirma que el modelo de amenazas para las infraestructuras críticas ha pasado de ataques oportunistas a accesos persistentes, impulsados por la identidad y diseñados para futuras interrupciones. Para los líderes de TI y seguridad, el mensaje es claro: reducir la exposición, reforzar la identidad y validar ahora la preparación operativa, mientras aumentan las regulaciones y la actividad de los estados nación.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Las organizaciones de infraestructuras críticas se enfrentan a un tipo diferente de riesgo cibernético en 2026. Según Microsoft Threat Intelligence, los atacantes ya no se centran solo en el robo de datos o en interrupciones a corto plazo: están estableciendo acceso persistente que puede utilizarse más adelante para maximizar el impacto operativo.

Esto es importante para los administradores de seguridad y TI porque la identidad, los servicios en la nube y el acceso remoto ahora conectan los sistemas tradicionales de TI con la tecnología operativa (OT). Una sola debilidad en esa cadena puede provocar interrupciones reales en los servicios.

Novedades en la evaluación más reciente de Microsoft

Microsoft destaca cinco realidades principales que están moldeando la resiliencia de las infraestructuras críticas en 2026:

  • La identidad es ahora la principal vía de ataque. Más del 97 % de los ataques basados en identidad se dirigen a la autenticación basada en contraseñas, a menudo mediante password spray e intentos de fuerza bruta.
  • Los entornos híbridos y cloud amplían el alcance de los atacantes. Microsoft informa que los incidentes en entornos cloud e híbridos aumentaron un 26 % a principios de 2025, y los activos expuestos a la web y los servicios remotos expuestos siguen siendo puntos de entrada comunes.
  • El posicionamiento previo de estados nación continúa. Campañas como Volt Typhoon muestran cómo los actores de amenazas utilizan credenciales válidas y técnicas living-off-the-land para mantener un acceso silencioso y duradero.
  • Las configuraciones incorrectas siguen impulsando los compromisos. Las cuentas privilegiadas inactivas, las VPN expuestas, las identidades obsoletas de contratistas y los tenants cloud mal configurados siguen facilitando el acceso inicial.
  • La interrupción operativa es el objetivo final. Los atacantes apuntan cada vez más a sistemas que afectan la disponibilidad, los procesos físicos y los servicios críticos, no solo a los datos sensibles.

Por qué esto importa para los administradores

Para los administradores de infraestructuras críticas, el artículo refuerza que la preparación en ciberseguridad es ahora una cuestión de resiliencia operativa. Los sistemas de identidad son la capa de control en cloud, TI y OT, por lo que una autenticación débil y rutas de acceso sobreexpuestas pueden tener consecuencias desproporcionadas.

Microsoft también señala un impulso regulatorio creciente en EE. UU., Europa, Japón y Canadá. Eso significa que las organizaciones deben ir más allá de la concienciación y avanzar hacia una preparación verificada con controles medibles, ejercicios prácticos y planes de respuesta probados.

Próximos pasos recomendados

Los equipos de seguridad deben priorizar algunas acciones inmediatas:

  1. Reducir el riesgo de identidad dejando atrás, siempre que sea posible, el acceso dependiente de contraseñas y revisando las cuentas privilegiadas.
  2. Auditar la exposición del acceso remoto incluidas las VPN, los sistemas expuestos a la web y las cuentas de contratistas.
  3. Revisar las configuraciones cloud e híbridas para identificar desviaciones, permisos excesivos y activos no administrados.
  4. Fortalecer la visibilidad entre TI y OT para que la actividad sospechosa que utiliza herramientas legítimas sea más fácil de detectar.
  5. Poner a prueba la resiliencia operativa mediante ejercicios de simulación, validación de respuesta ante incidentes y formación de preparación específica del sector.

El mensaje central de Microsoft es claro: las organizaciones de infraestructuras críticas deben asumir que ya son objetivos y centrarse en una preparación continua ahora, no más adelante.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Sherrod DeGrippo
critical infrastructurecybersecurityidentity securityoperational resilienceMicrosoft Threat Intelligence

Artículos relacionados

Security

Seguridad de AI: guía práctica para CISOs

Microsoft aconseja a los CISOs proteger los sistemas de AI con los mismos controles básicos que ya aplican al software, las identidades y el acceso a los datos. La guía destaca el mínimo privilegio, las defensas frente a prompt injection y el uso de la propia AI para detectar problemas de permisos antes que los atacantes o los usuarios.

Security

Campaña de malware en WhatsApp con VBS y MSI

Los expertos de Microsoft Defender descubrieron una campaña de finales de febrero de 2026 que usa mensajes de WhatsApp para entregar archivos VBS maliciosos y luego instala paquetes MSI sin firmar para persistencia y acceso remoto. El ataque combina ingeniería social, utilidades de Windows renombradas y servicios cloud de confianza para evadir la detección, lo que hace que los controles de endpoint y la concienciación de los usuarios sean fundamentales.

Security

Copilot Studio frente a riesgos OWASP de Agentic AI

Microsoft explica cómo Copilot Studio y la próxima disponibilidad general de Agent 365 pueden ayudar a las organizaciones a abordar el OWASP Top 10 for Agentic Applications. La guía es relevante porque los sistemas de agentic AI pueden usar identidades, datos y herramientas reales, creando riesgos de seguridad que van mucho más allá de respuestas inexactas.

Security

{{Protección HVA de Microsoft Defender contra ataques}}

Microsoft detalló cómo Microsoft Defender usa la conciencia de activos de alto valor para detectar y detener ataques dirigidos a controladores de dominio, servidores web e infraestructura de identidad. Al combinar el contexto de Security Exposure Management con detecciones diferenciadas y disrupción automatizada, Defender puede elevar los niveles de protección en activos Tier-0 y reducir el alcance de intrusiones sofisticadas.

Security

Seguridad de identidad en Microsoft Entra: RSAC 2026

Microsoft está posicionando la seguridad de identidad como un plano de control unificado que combina infraestructura de identidad, decisiones de acceso y protección contra amenazas en tiempo real. En RSAC 2026, la compañía anunció nuevas capacidades de Microsoft Entra y Defender, incluido un panel de seguridad de identidad, puntuación de riesgo de identidad unificada y remediación adaptativa del riesgo para ayudar a las organizaciones a reducir la fragmentación y responder más rápido a los ataques basados en identidad.

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.