El nivel de sofisticación de los ataques superó la legislación.
No la alcanzó. No la igualó. La superó. La dejó atrás. La convirtió en un documento histórico que describe un mundo que ya no existe.
Y no estoy hablando de un fenómeno gradual. No estoy hablando de una tendencia que «eventualmente» va a ser problema. Estoy hablando de un desfase que ya existe, que ya tiene consecuencias, y que cada día se amplifica. La tecnología de ataque avanza a velocidad de mercado — porque hay dinero, porque hay demanda, porque hay actores estatales y criminales con recursos ilimitados. La legislación avanza a velocidad de burocracia — porque hay procesos, porque hay comisiones, porque hay intereses, porque hay ignorancia.
El resultado es un país cuya infraestructura crítica — la energía, el agua, el transporte, las telecomunicaciones, el sistema financiero, el sistema de salud — está conectada a redes digitales que fueron diseñadas para funcionar, no para resistir ataques. Y protegida por leyes que fueron escritas para un mundo donde el mayor riesgo informático era un virus en un disquete.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. He participado en auditorías de seguridad, en investigaciones de incidentes, en entrevistas de alto nivel sobre ciberseguridad nacional. He visto el problema desde adentro — desde el laboratorio donde se analizan las vulnerabilidades — y desde afuera — desde los foros donde se discuten las políticas. Y lo que veo es una brecha que se está ensanchando.
Este artículo es la pieza de cierre de toda la serie. Es la síntesis de los temas que he abordado a lo largo de 90 artículos: biometría, identidad digital, sistemas industriales, hacking ético, regulación, evidencia digital, fraude, privacidad. Es la visión panorámica que conecta todos los puntos. Porque los puntos están conectados. La vulnerabilidad del sistema biométrico está conectada con la fragilidad de la identidad digital. La fragilidad de la identidad digital está conectada con la inseguridad de la infraestructura. La inseguridad de la infraestructura está conectada con la obsolescencia de la legislación. Y la obsolescencia de la legislación está conectada con la falta de voces técnicas en el debate público.
Todo está conectado. Y todo está en riesgo.
Infraestructura crítica: qué es y por qué debería importarte
Voy a empezar por definir el término porque se usa mucho y se entiende poco.
Infraestructura crítica es todo sistema, instalación, red o activo cuya interrupción, destrucción o disfunción tendría un impacto grave en la seguridad nacional, la economía, la salud pública o el funcionamiento básico de la sociedad.
En concreto:
El sistema eléctrico. Las plantas de generación, las líneas de transmisión, las subestaciones, los sistemas de distribución que llevan electricidad a tu casa, a tu hospital, a tu fábrica. Todos controlados por sistemas digitales. Todos potencialmente vulnerables.
El sistema de agua. Las plantas de tratamiento, las estaciones de bombeo, los sistemas de distribución. Los controles de calidad de agua potable. Los sensores que monitorean niveles de cloro, pH, turbidez. Sistemas digitales que, si se manipulan, pueden afectar la calidad del agua que beben millones de personas.
El sistema financiero. Los bancos, las cámaras de compensación, los sistemas de pagos electrónicos, SPEI, las bolsas de valores. La columna vertebral económica del país. Digital. Conectada. Atacable.
El sistema de salud. Los hospitales, los sistemas de expedientes clínicos electrónicos, los equipos médicos conectados a la red, los sistemas de imagenología, las bombas de infusión programables. Dispositivos médicos que dependen de software para funcionar correctamente. Software que tiene vulnerabilidades.
El sistema de transporte. Los semáforos inteligentes, los sistemas de peaje, los controles de tráfico aéreo, los sistemas ferroviarios automatizados. Cada uno controlado por sistemas digitales que fueron diseñados para la eficiencia, no para la seguridad ante ataques.
Las telecomunicaciones. Las antenas, los routers troncales, los centros de datos, los cables de fibra óptica, los satélites. La infraestructura sobre la que viaja toda la información del país. Si se cae, se cae todo lo demás.
El sector energético más allá de la electricidad. Las refinerías, los gasoductos, los sistemas de distribución de gas, las gasolineras con bombas controladas por computadora. Sistemas SCADA y PLC que controlan procesos industriales críticos.
Ciudadano que me lee y que piensa que la ciberseguridad es un tema de hackers y empresas de tecnología: la ciberseguridad es lo que determina si mañana vas a tener luz en tu casa, agua en tu llave, dinero accesible en tu banco y gasolina en tu coche. No es un tema de tecnología. Es un tema de vida cotidiana. Y la protección de esos servicios contra ataques digitales es tan importante como la protección física de las plantas y las instalaciones.
SCADA y PLC: los sistemas que controlan todo y que nadie protege
Voy a bajar a lo técnico porque aquí es donde la teoría se encuentra con la realidad.
SCADA — Supervisory Control and Data Acquisition — es el tipo de sistema que controla y monitorea procesos industriales a distancia. Es el sistema que le permite a un operador en una sala de control ver en tiempo real qué está pasando en una planta de tratamiento de agua a 200 kilómetros, ajustar válvulas, modificar presiones, activar bombas.
PLC — Programmable Logic Controller — es el dispositivo físico que ejecuta las instrucciones. Es la caja que está conectada directamente a la válvula, a la bomba, al motor, al sensor. Es el cerebro que abre y cierra, que enciende y apaga, que mide y ajusta.
SCADA + PLC = control industrial. Así funcionan las plantas de energía, las potabilizadoras, las refinerías, las líneas de producción, las subestaciones eléctricas, las estaciones de bombeo.
Y aquí viene el problema.
Estos sistemas fueron diseñados hace décadas. Fueron diseñados para funcionar en redes cerradas — redes que no estaban conectadas a internet, que no necesitaban protección contra ataques externos porque no había forma de llegar a ellas desde afuera. La seguridad estaba en el aislamiento.
Pero el mundo cambió. La eficiencia operativa demandó conectividad. Las empresas quisieron monitorear sus plantas desde oficinas centrales. Los proveedores quisieron dar mantenimiento remoto. Los datos de producción quisieron fluir hacia sistemas de análisis corporativos. Y poco a poco, los sistemas SCADA que estaban aislados se fueron conectando. A redes corporativas. A VPNs. A internet.
Y de repente, los sistemas que controlan la infraestructura crítica del país — los sistemas que abren válvulas, que regulan presiones, que controlan temperaturas en procesos químicos, que manejan voltajes en subestaciones — son accesibles desde una red que también es accesible para cualquier atacante con conocimiento suficiente.
Los PLC más antiguos — y muchos de los que están en operación hoy — no tienen autenticación. No piden contraseña. Si puedes llegar a la red donde están, puedes enviarles instrucciones. Así de simple. No hay barrera. No hay verificación de identidad. El PLC ejecuta lo que recibe.
Eso no es un defecto de diseño en el sentido convencional. Cuando se diseñaron, no necesitaban autenticación porque estaban en redes cerradas. Pero ahora están en redes que ya no son cerradas. Y el defecto de diseño se convierte en una vulnerabilidad crítica.
Empresario del sector industrial que me lee y que tiene procesos controlados por SCADA: la pregunta no es si su sistema es vulnerable. La pregunta es si sabe qué tan vulnerable es. La respuesta requiere una auditoría de seguridad hecha por alguien que entienda tanto la informática como los procesos industriales. Porque la seguridad de SCADA no es seguridad de TI convencional. Es un híbrido entre ciberseguridad y seguridad operacional. Y los riesgos no son solo robo de datos. Son interrupción de procesos físicos. Son daños materiales. Son potencialmente daños a personas.
El caso de las gasolineras: la vulnerabilidad que nadie quiere ver
Voy a hablar de un ejemplo concreto que ilustra el problema de manera tangible. Las gasolineras.
Las bombas de gasolina modernas son controladas por computadoras. Los medidores de volumen son digitales. Los sistemas de punto de venta están conectados a redes. Los tanques tienen sensores de nivel monitoreados remotamente. El sistema de facturación está en la nube. El dispensador de combustible es, en esencia, una computadora conectada a una red que controla un flujo de líquido inflamable.
He visto — porque las he auditado y porque las he investigado — estaciones de servicio donde el sistema de control de las bombas tiene la contraseña de fábrica del fabricante. Donde la red WiFi del punto de venta es la misma red donde están los controladores de las bombas. Donde el acceso remoto del proveedor de mantenimiento está habilitado con credenciales genéricas que no se han cambiado en años.
Un atacante que acceda a la red de una gasolinera puede, potencialmente, manipular los medidores de volumen para dispensar cantidades diferentes a las cobradas. Puede alterar los registros de venta. Puede, en escenarios extremos, manipular los sistemas de seguridad que previenen sobrellenado de tanques.
No estoy hablando de ciencia ficción. Estoy hablando de vulnerabilidades que existen hoy, que están documentadas, que han sido explotadas en otros países, y que en México no tienen un marco regulatorio de ciberseguridad específico que obligue a las estaciones de servicio a proteger sus sistemas de control.
La gasolinera de la esquina está tan desprotegida cibernéticamente como lo estaba una red corporativa hace 20 años. Con la diferencia de que la red corporativa almacenaba datos. La gasolinera almacena líquido inflamable.
Biometría e identidad: el eslabón que conecta todo
He dedicado una serie completa a la CURP biométrica. He documentado por qué la concentración de datos biométricos en una base de datos centralizada es el riesgo más grave que México ha asumido en materia de privacidad. He explicado la irrevocabilidad biométrica — si filtran tu cara, no puedes cambiar tu cara. He descrito los tres agujeros del sistema: la inevitabilidad de la filtración (basada en el historial del Estado mexicano), la escala del daño (130 millones de personas) y la irrevocabilidad de las consecuencias.
Pero hay una dimensión del problema biométrico que conecta directamente con la infraestructura crítica y que no he abordado con esta claridad hasta ahora.
Si la identidad biométrica se convierte en el mecanismo universal de autenticación — para acceder a tu banco, a tu expediente médico, a servicios gubernamentales, a instalaciones críticas –, entonces la filtración de la base biométrica no solo compromete tu privacidad. Compromete la seguridad de todos los sistemas que dependen de esa autenticación.
Imagina que el acceso a la sala de control de una planta de energía se autentica con biometría. Y que los datos biométricos de los operadores están en la misma base de datos nacional que fue filtrada. Un atacante con los datos biométricos de un operador autorizado puede, potencialmente, suplantar al operador ante el sistema de acceso.
La biometría como factor único de autenticación para infraestructura crítica es un riesgo que se amplifica exponencialmente con cada filtración de datos biométricos. Y las filtraciones van a ocurrir. No porque sea pesimista. Porque el historial lo demuestra.
Cada sistema que dependa exclusivamente de biometría para autenticación hereda la vulnerabilidad de la base biométrica. Y cuando la base se compromete, todos los sistemas que dependen de ella se comprometen simultáneamente.
Hacking ético: la defensa que México no quiere financiar
Voy a hablar de algo que debería ser política pública y que es, en el mejor de los casos, una iniciativa aislada de empresas con presupuesto y visión.
El hacking ético — las pruebas de penetración, las auditorías de seguridad ofensivas, los ejercicios de red team — es la única forma confiable de saber si un sistema es seguro. No la teoría. No la documentación. No la certificación. La prueba. Alguien que intenta entrar, con las mismas herramientas y técnicas que usaría un atacante real, para descubrir las vulnerabilidades antes de que las descubra el enemigo.
En los países que toman en serio la ciberseguridad de su infraestructura crítica, el hacking ético es obligatorio. Los operadores de infraestructura crítica deben someter sus sistemas a pruebas de penetración periódicas, realizadas por equipos acreditados, con resultados reportados al regulador. No es opcional. No es una recomendación. Es un requisito regulatorio.
En México, no existe esa obligación para la mayoría de los sectores de infraestructura crítica. No hay un regulador que exija pruebas de penetración a las plantas de energía. No hay un marco que obligue a las potabilizadoras a auditar la seguridad de sus sistemas SCADA. No hay un requisito para que las empresas de telecomunicaciones demuestren la resiliencia de su infraestructura ante ataques simulados.
Lo que hay es voluntad individual. Empresas que por iniciativa propia contratan auditorías. Organizaciones que por conciencia interna evalúan su seguridad. Pero la voluntad individual no es política pública. Y la ciberseguridad de la infraestructura de un país no puede depender de la buena voluntad de cada operador.
He formado hackers éticos. He participado en ejercicios de red team. He visto lo que se encuentra cuando alguien con conocimiento real prueba un sistema que se creía seguro. Y lo que se encuentra, casi siempre, es que no era tan seguro como pensaban. Que las defensas que existían protegían contra ataques del 2015 pero no contra los del 2026. Que los sistemas que «nunca habían sido atacados» nunca habían sido atacados porque nadie había intentado — no porque fueran invulnerables.
La diferencia entre un sistema que nunca fue atacado y un sistema invulnerable es la diferencia entre una puerta que nunca intentaron abrir y una puerta que intentaron abrir y no pudieron. Solo la segunda te da confianza. Y para saber si tu puerta resiste, alguien tiene que intentar abrirla.
La legislación: el marco que no existe
México no tiene una ley de ciberseguridad integral. Tiene fragmentos. Tiene artículos dispersos en diferentes leyes. Tiene regulaciones sectoriales incompletas. Tiene pronunciamientos y estrategias nacionales que se quedan en documentos de planeación sin traducirse en obligaciones ejecutables.
Lo que debería existir — y lo que existe en los países que han tomado en serio este tema — es un marco legal que establezca, como mínimo:
Obligaciones de ciberseguridad para operadores de infraestructura crítica. Estándares mínimos de protección. Auditorías obligatorias. Pruebas de penetración periódicas. Planes de respuesta a incidentes. Notificación obligatoria de brechas. Consecuencias por incumplimiento.
Una autoridad de ciberseguridad con dientes. No un comité consultivo. No un organismo de recomendaciones. Una autoridad con facultades de inspección, de sanción, de imposición de estándares. Una autoridad que pueda entrar a una planta de energía y decir «su sistema SCADA tiene estas vulnerabilidades y tiene 90 días para corregirlas.»
Tipificación de delitos cibernéticos actualizada. Los tipos penales actuales fueron escritos para un mundo donde «hackear» significaba entrar a una computadora personal. No contemplan adecuadamente el ataque a infraestructura crítica, la manipulación de sistemas industriales, el sabotaje digital de servicios esenciales. Los delitos evolucionaron. Las leyes no.
Protección legal para hackers éticos. En México, la línea legal entre un hacker ético que descubre una vulnerabilidad y la reporta, y un criminal que accede a sistemas sin autorización, es difusa. Los investigadores de seguridad que encuentran vulnerabilidades en sistemas críticos y las reportan de buena fe necesitan protección legal clara. Sin esa protección, los que descubren las vulnerabilidades callan. Y las vulnerabilidades se quedan ahí, esperando a alguien con peores intenciones.
Legislador que me lee: la ciberseguridad de la infraestructura crítica no es un tema técnico que se pueda delegar a un comité. Es un tema de seguridad nacional que requiere legislación con la misma urgencia que la seguridad pública, la defensa nacional o la salud pública. Porque un ataque exitoso a la red eléctrica o al sistema de agua de una ciudad tiene consecuencias equiparables a un desastre natural. Y contra los desastres naturales tenemos protocolos, instituciones, presupuestos. Contra los ataques cibernéticos a infraestructura crítica, tenemos documentos de planeación.
El debate que falta: voces técnicas en las decisiones políticas
Voy a decir algo que he observado durante 17 años y que considero uno de los problemas más profundos de la ciberseguridad en México.
Las decisiones sobre tecnología, ciberseguridad, biometría, regulación de IA, protección de datos, infraestructura digital, se toman en espacios donde las voces técnicas son minoritarias o inexistentes. Las toman abogados que no entienden los sistemas que están regulando. Las toman políticos cuya asesoría técnica proviene de los mismos proveedores que les están vendiendo los sistemas. Las toman burócratas que evalúan la tecnología por su costo, no por su riesgo.
El resultado son decisiones como la CURP biométrica sin plan de contingencia para filtraciones. Regulaciones de IA que no distinguen entre categorización y verificación. Sistemas de justicia que aceptan capturas de pantalla como prueba. Infraestructura crítica conectada a internet sin auditorías de seguridad. Legislación de delitos cibernéticos que no contempla los ataques que están ocurriendo hoy.
Cada una de esas decisiones habría sido diferente si hubiera habido una voz técnica competente, independiente y sin conflicto de interés en la mesa donde se tomó.
No estoy pidiendo que los técnicos gobiernen. Estoy pidiendo que los técnicos sean escuchados. Que la experiencia de quienes entienden los sistemas tenga peso en las decisiones sobre esos sistemas. Que las políticas de ciberseguridad las diseñen quienes entienden de ciberseguridad, no quienes entienden de política.
El mapa completo: cómo se conecta todo
Voy a cerrar con la visión panorámica que ha sido el hilo conductor de estos 90 artículos.
Las estafas digitales que vacían cuentas bancarias son posibles porque los sistemas de autenticación son frágiles y porque la educación del usuario es insuficiente. La fragilidad de la autenticación se va a amplificar cuando la biometría filtrada permita suplantaciones masivas de identidad. Las suplantaciones de identidad van a llegar a los tribunales, donde los jueces no van a tener herramientas para distinguir entre biometría auténtica y biometría robada. Los tribunales que no pueden manejar evidencia biométrica comprometida son los mismos que aceptan capturas de WhatsApp como prueba. La legislación que no exige estándares de evidencia digital es la misma legislación que no exige estándares de ciberseguridad para infraestructura crítica. Y la infraestructura crítica desprotegida es la que sostiene los servicios de los que depende la vida cotidiana de 130 millones de personas.
Todo está conectado. Los temas que parecen aislados — una captura de WhatsApp en un juicio de divorcio, la CURP biométrica, una gasolinera con la contraseña de fábrica, un deepfake del presidente, una transferencia bancaria fraudulenta — son síntomas del mismo problema: un país que adoptó la tecnología digital a velocidad de mercado y que protege su infraestructura digital a velocidad de burocracia.
Cerrar esa brecha no es un proyecto técnico. Es un proyecto de país. Y requiere que las voces técnicas tengan un lugar en la mesa.
Lo que Duriva representa en este debate
He escrito 90 artículos. He puesto sobre la mesa temas que nadie estaba discutiendo con rigor técnico en español. He explicado cómo funcionan las estafas. He demostrado cómo se fabrican pruebas digitales. He documentado las falacias sobre IA. He dado herramientas a las madres buscadoras. He desmontado argumentos oficiales. He señalado vulnerabilidades. He propuesto soluciones.
Lo he hecho con la autoridad que me dan 17 años de ejercicio profesional, 1,300 peritos formados, un récord invicto contra bancos, seis libros publicados, un laboratorio forense operativo, una distro Linux forense (Tequila SO) y un toolkit (Agave) desarrollados con las manos que escriben estos artículos.
No lo he hecho desde una torre de marfil. Lo he hecho desde la trinchera. Desde el laboratorio donde se examinan los dispositivos. Desde la sala de audiencias donde se defienden los dictámenes. Desde el campo donde se acompaña a las familias. Desde la clase donde se forman los peritos.
Duriva no es una empresa de ciberseguridad. Duriva es el epicentro del debate técnico que México necesita tener sobre evidencia digital, informática forense, ciberseguridad e infraestructura crítica. Un debate que no puede seguir teniendo lugar en conferencias cerradas entre técnicos que ya se conocen. Un debate que tiene que llegar al ciudadano, al abogado, al juez, al legislador, al empresario, a la madre buscadora, al estudiante.
Estos 90 artículos son la contribución de Duriva a ese debate. Son información de calidad, sin costo, sin muro de pago, sin filtro. Son conocimiento técnico traducido a lenguaje humano. Son herramientas que cualquier persona puede usar.
El nivel de sofisticación de los ataques superó la legislación. Y la brecha sigue creciendo.
Cerrarla requiere legislación con dientes. Requiere reguladores con capacidad técnica. Requiere auditorías obligatorias. Requiere voces técnicas en las decisiones políticas. Requiere formación de peritos con estándares internacionales. Requiere que la sociedad entienda que la ciberseguridad no es un tema de técnicos — es un tema de supervivencia institucional.
He dedicado 17 años a esta misión. He formado a 1,300 peritos. He publicado 6 libros. He escrito estos 90 artículos. He construido Duriva pieza por pieza, peritaje por peritaje, juicio por juicio.
Y apenas estamos empezando.
Porque la informática forense no es un servicio. Es una disciplina. Y las disciplinas no se detienen cuando se publica el último artículo. Se profundizan. Se actualizan. Se comparten. Se defienden.
Aut viam inveniam aut faciam.
Encontraré el camino o lo construiré.