El pied-à-terre silencioso: preposicionamiento, infraestructuras críticas y la nueva geometría del conflicto cibernético

I. Del espionaje al preposicionamiento

El 7 de febrero de 2024, la agencia estadounidense de ciberseguridad CISA, conjuntamente con la NSA, el FBI y una coalición de agencias aliadas, publicó el aviso AA24-038A.^[1] Su evaluación era de una claridad poco habitual. El actor estatal chino rastreado bajo el nombre de Volt Typhoon había comprometido los entornos informáticos de múltiples organizaciones de infraestructuras críticas, «principalmente en los sectores de las comunicaciones, la energía, el transporte, el agua y el saneamiento», y las agencias firmantes consideraban «con un alto grado de confianza» que esas intrusiones tenían por objeto permitir un movimiento lateral hacia los sistemas industriales con el fin de perturbar su funcionamiento.^[1]

El aviso establecía una distinción que merece ser citada: la elección de objetivos y el modo operativo de Volt Typhoon «no son coherentes con operaciones tradicionales de espionaje o de inteligencia».^[1] El actor no leía la red; aprendía a romperla. La CISA señalaba además indicios de un acceso mantenido en algunos entornos «durante al menos cinco años».^[1]

Dos rasgos hacen de esta campaña un cambio de naturaleza, y no un simple grado adicional. El primero es la paciencia. Cinco años de presencia dentro de un operador de electricidad o de agua no corresponden a ningún reconocimiento ordinario; es la construcción de una opción, una capacidad deliberadamente forjada y conservada para una contingencia futura. El segundo es el método. La firma de Volt Typhoon es el recurso a las técnicas denominadas «living off the land»: en lugar de desplegar un malware a medida que un defensor podría interceptar, el actor opera mediante las herramientas de administración legítimas ya presentes en la red, fundiéndose en la actividad rutinaria.^[1]

La unidad de cuenta ha cambiado. Ya no es el documento sustraído, sino la capacidad preplazada, un pied-à-terre que no produce ningún valor hasta el día en que alguien decide utilizarlo.

II. La columna vertebral de las telecomunicaciones como objetivo en sí mismo

Si Volt Typhoon reveló la ambición contra la energía y el agua, la campaña rastreada bajo el nombre de Salt Typhoon reveló su amplitud contra la capa de las comunicaciones. A partir de informes surgidos en 2024, las autoridades estadounidenses divulgaron que un actor afiliado a Pekín había penetrado en las redes de los principales operadores de telecomunicaciones estadounidenses.^[2]^[3] A finales de 2024, la Casa Blanca confirmaba que al menos ocho empresas de telecomunicaciones estadounidenses estaban afectadas y que la operación había alcanzado a «varias decenas» de países.^[3]

El detalle que confiere a esta campaña su peso estratégico radica en lo que los intrusos lograron alcanzar. Según las autoridades estadounidenses, Salt Typhoon accedió a los sistemas mediante los cuales los operadores responden a las requisiciones de interceptación legal al amparo de la ley CALEA, es decir, el propio aparato de las escuchas judiciales.^[2]^[4] La asesora adjunta de seguridad nacional Anne Neuberger indicó que un «gran número» de personas habían visto consultados sus metadatos de geolocalización y de llamadas, y que las comunicaciones de un conjunto más reducido, entre ellas figuras vinculadas a las elecciones presidenciales estadounidenses de 2024, habían sido directamente recopiladas.^[3]^[4] En respuesta, la CISA y sus socios estadounidenses, australianos, canadienses y neozelandeses publicaron en diciembre de 2024 recomendaciones de refuerzo de las infraestructuras de comunicación.^[2]

Las cifras relativas al alcance total de la campaña siguieron creciendo y deben manejarse con la cautela que impone un balance de incidente todavía en evolución: en agosto de 2025, el FBI y sus socios describían Salt Typhoon como habiendo comprometido entidades en unos 80 países.^[4] Sea cual sea el recuento final, la lección es estructural. La columna vertebral de las telecomunicaciones ya no es únicamente el canal a través del cual se alcanzan otros objetivos. Es el objetivo en sí mismo, porque quien la controla controla los sistemas de interceptación legal, los metadatos de una sociedad, y un interruptor que puede accionarse en tiempo de crisis.

RECUADRO MÉTODO: Leer las atribuciones.

Esta Nota privilegia los avisos gubernamentales primarios (CISA, NSA, FBI, ANSSI) y las declaraciones de funcionarios identificados, antes que las síntesis de prensa secundarias. La atribución cibernética es un juicio probabilístico, no una certeza forense; cuando las agencias enuncian un nivel de confianza, lo reproducimos, y cuando ciertas cifras se encuentran todavía en revisión a medida que avanza la divulgación, como el número de países afectados por Salt Typhoon, señalamos la afirmación como provisional. El lector considerará «comprometido» y «preposicionado» como evaluaciones de las agencias firmantes, fundadas en elementos clasificados que no podemos auditar.

III. Los fondos marinos y la capa física

El conflicto cibernético no se detiene en la capa lógica. El mar Báltico se ha convertido en el escenario donde la dependencia digital se encuentra con el sabotaje físico. El 25 de diciembre de 2024, el cable eléctrico Estlink 2 que une Finlandia con Estonia, así como varios cables de telecomunicaciones, fueron seccionados; los investigadores finlandeses concluyeron que el petrolero Eagle S había arrastrado su ancla durante decenas de kilómetros sobre el fondo marino, y un equipo armado finlandés abordó el buque.^[5]^[6] El barco estaba asociado a la «flota fantasma» empleada para comercializar el petróleo ruso eludiendo las sanciones occidentales.^[5]

El incidente se inscribe en un patrón más amplio de daños a cables que ha llevado a los gobiernos europeos a tratar las infraestructuras submarinas como un dominio disputado. El 14 de enero de 2025, la OTAN lanzó la actividad «Baltic Sentry», desplegando fragatas, aviones de patrulla marítima y drones navales para reforzar la protección de las infraestructuras submarinas críticas.^[7] Si cada rotura de cable responde a un sabotaje deliberado o a una negligencia marítima sigue siendo, en varios casos, genuinamente discutido; un tribunal finlandés determinó posteriormente que no podía procesar a los oficiales del Eagle S por hechos cometidos fuera de las aguas territoriales.^[6] Pero el efecto estratégico no depende de la resolución de cada caso. La ambigüedad es en sí misma el arma: una campaña que nunca puede atribuirse con precisión impone un coste, una inquietud y la carga de una patrulla permanente, al tiempo que preserva la negación plausible.

El ingenio de las operaciones en zona gris es que no necesitan ser probadas para tener éxito. La duda, distribuida sobre toda una alianza, es el producto entregado.

IV. Capacidad criminal, efecto estatal

La nítida frontera entre preposicionamiento estatal y extorsión criminal ya no se sostiene. El caso Colonial Pipeline de mayo de 2021, un ataque de ransomware atribuido por el FBI al grupo criminal DarkSide, que llevó al operador a suspender la distribución de combustible durante seis días en una amplia franja de la costa este estadounidense, demostró que una intrusión de motivación financiera puede producir un efecto de seguridad nacional indiscernible de un sabotaje.^[8] En noviembre de 2023, el grupo vinculado a Irán CyberAv3ngers comprometió un autómata programable Unitronics expuesto en Internet en la Municipal Water Authority de Aliquippa (Pensilvania); la CISA documentó posteriormente la explotación del mismo equipamiento en varios estados.^[9] El suministro de agua nunca estuvo amenazado, pero fue el valor de demostración lo que importaba.

La agencia francesa ha nombrado esta convergencia sin rodeos. En su Panorama de la ciberamenaza 2025, la ANSSI observa que técnicas antaño reservadas a los grupos estatales, explotación de vulnerabilidades «zero-day», apropiación indebida de servicios legítimos, preposicionamiento duradero, aparecen ahora en el ecosistema criminal, y que actores tradicionalmente asociados al espionaje, entre ellos China y Corea del Norte, fueron observados en 2025 desplegando ransomware con fines lucrativos.^[10] La ANSSI señala además que el objetivo de las infraestructuras críticas de los sectores de las telecomunicaciones y la energía, incluidos los intentos de sabotaje, sigue siendo muy apreciado por estos actores, y describe un final de 2025 alarmante, marcado por ataques coordinados y de vocación destructiva contra las infraestructuras eléctricas polacas.^[10] El Instituto lee esta convergencia como la tendencia más peligrosa del periodo: colapsa las categorías analíticas de las que depende la disuasión. Si un Estado puede arrendar un proxy criminal, y un criminal manejar una capacidad de nivel estatal, la pregunta «¿quién hizo esto, y fue un acto de guerra?» se vuelve estructuralmente irresoluble en las horas que cuentan.

V. El frente cognitivo

El segundo frente es informacional. El Servicio Europeo de Acción Exterior (SEAE), en sus informes sucesivos sobre la manipulación de la información y la injerencia extranjera (FIMI), ha documentado una infraestructura industrializada de manipulación. Sus trabajos han analizado cientos de incidentes FIMI y decenas de miles de canales, atribuyendo la mayor parte de la actividad a Rusia y, de forma creciente, a China, y cartografiando redes clandestinas persistentes como Doppelgänger, que reproduce la apariencia de medios europeos legítimos para blanquear contenidos hostiles.^[11]^[12] El SEAE señala que los incidentes FIMI de 2024 abarcaron unos 90 países y afectaron a cientos de organizaciones.^[11]

El vínculo con las infraestructuras no tiene nada de accesorio. La confianza de una sociedad en la seguridad de su red eléctrica, en la potabilidad de su agua, en el hecho de que un corte sea un accidente y no un ataque, es en sí misma un objetivo. El preposicionamiento en los sistemas físicos y la manipulación del entorno informacional son las dos mitades de una misma estrategia: la primera crea la capacidad de infligir la perturbación, la segunda moldea la manera en que una población la interpretará cuando se produzca, o el modo en que la temerá.

VI. Los marcos europeo y suizo

La respuesta regulatoria ha sido sustancial pero desigual. La directiva NIS2 de la Unión Europea, en vigor desde enero de 2023, extendió obligaciones vinculantes de ciberseguridad a dieciocho sectores críticos y fijó un plazo de transposición para el 17 de octubre de 2024.^[13] La implementación quedó por debajo de la ambición: solo un puñado de Estados miembros respetó el plazo, y a finales de noviembre de 2024 la Comisión Europea abrió procedimientos de infracción contra veintitrés de ellos.^[13] Una directiva que existe sobre el papel pero no en el derecho nacional no protege a nadie.

Un marco calibrado para «detectar y notificar» está mal armado frente a un adversario cuyo objetivo es estar presente, paciente e inadvertido.

La evaluación del Instituto es que la arquitectura dominante, construida en torno a la notificación de incidentes, la comunicación de brechas y la protección de datos, sigue organizada en torno al paradigma del robo. El preposicionamiento invierte sus presupuestos: el éxito del adversario reside precisamente en la ausencia de un incidente que notificar. Defenderse contra un pied-à-terre exige una búsqueda continua de amenazas dentro de las redes industriales, la capacidad de mantener en funcionamiento los servicios esenciales durante un ciberataque en lugar de simplemente recuperarse después, y la aceptación de esta verdad incómoda: las intrusiones más peligrosas no generan ninguna alerta. Para Suiza, cuya interconexión con los mercados europeos de la energía y las telecomunicaciones es profunda y cuya neutralidad no ofrece ninguna exención a la física de la dependencia, la consecuencia es directa: la resiliencia no se mide por la velocidad de divulgación de una brecha, sino por el tiempo durante el cual un servicio esencial puede seguir funcionando mientras está comprometido.

VII. Conclusión: Defenderse contra la paciencia

La competencia cibernética de esta década no es ante todo una cuestión de robo, y tratarla como tal es un error de categoría con consecuencias operativas. Los gestos decisivos son el pied-à-terre silencioso mantenido durante años en el interior de un operador de servicios, el acceso a la columna vertebral que convierte a un operador de telecomunicaciones en un instrumento, el ancla ambigua sobre un fondo marino en la oscuridad, y la duda fabricada que erosiona la capacidad de una sociedad para distinguir el accidente del ataque. Cada uno está concebido para no madurar en efecto hasta el instante elegido por el adversario.

Defenderse contra la paciencia exige una paciencia simétrica, y una franqueza que la mayoría de las instituciones todavía evita. La medida honesta de la seguridad ya no es la rapidez de la detección, sino la robustez del funcionamiento bajo hipótesis de compromiso. Es un estándar incómodo, porque concede que el pied-à-terre quizá ya está en su sitio. Es también el único a la altura de la amenaza tal como los hechos, hoy, la describen.

Referencias

[1] "PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure," Advisory AA24-038A, CISA / NSA / FBI, 7 February 2024. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[2] "Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications," Congressional Research Service (In Focus IF12798), 2024–2025. https://www.congress.gov/crs-product/IF12798
[3] "At least 8 US telcos, dozens of countries impacted by Salt Typhoon breaches, White House says," The Record (Recorded Future News), December 2024. https://therecord.media/eight-telcos-breached-salt-typhoon-nsc
[4] "Salt Typhoon," Wikipedia (citing U.S. official statements, FBI/NSA reporting; consulted June 2026). https://en.wikipedia.org/wiki/Salt_Typhoon
[5] "Authorities investigate possible Russian 'hybrid warfare' after oil tanker cuts undersea cables," CBS News, 2025. https://www.cbsnews.com/news/eagle-s-baltic-cut-cable-investigation-russia-ties-60-minutes/
[6] "Miles-long anchor drag mark found on Baltic seabed after suspicious cable damage, Finnish investigators say," CNN, 30 December 2024. https://www.cnn.com/2024/12/30/europe/baltic-sea-cable-anchor-drag-russia-intl-latam
[7] "NATO launches 'Baltic Sentry' to increase critical infrastructure security," NATO, 14 January 2025. https://www.nato.int/en/news-and-events/articles/news/2025/01/14/nato-launches-baltic-sentry-to-increase-critical-infrastructure-security
[8] "Colonial Pipeline ransomware attack," Wikipedia (citing FBI attribution and DOJ recovery announcement; consulted June 2026). https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[9] "Pennsylvania water facility hit by Iran-linked hackers," CyberScoop, November 2023. https://cyberscoop.com/pennsylvania-water-facility-hack-iran/
[10] "Panorama de la cybermenace 2025," ANSSI (CERT-FR), 2026. https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
[11] "2024 Report on EEAS Activities to Counter Foreign Information Manipulation and Interference (FIMI)," European External Action Service, 2024. https://www.eeas.europa.eu/eeas/2024-report-eeas-activities-counter-foreign-information-manipulation-and-interference-fimi_en
[12] "3rd EEAS Report on Foreign Information Manipulation and Interference Threats," European External Action Service, March 2025. https://www.eeas.europa.eu/eeas/3rd-eeas-report-foreign-information-manipulation-and-interference-threats-0_en
[13] "NIS2 Directive: securing network and information systems," European Commission, Shaping Europe's digital future, 2024. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Citar esta nota

Benalla A. (2026). «El pied-à-terre silencioso: preposicionamiento, infraestructuras críticas y la nueva geometría del conflicto cibernético». Nota IV·NOTE·005, Institut Vidocq.