A menos de un mes del inicio de los Juegos Olímpicos de Invierno Milán-Cortina 2026, el evento ya ha captado la atención de actores maliciosos en el ciberespacio. Según el informe Cyber Threats to Milan-Cortina 2026 , publicado por Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, la magnitud, visibilidad y complejidad operativa del evento lo convierten en un objetivo especialmente expuesto a campañas de ciberataques sofisticados.
El estudio, que analiza el ecosistema digital que rodea a los Juegos, advierte de una superficie de ataque ampliada por la concentración de infraestructuras críticas, sistemas interconectados y datos sensibles. Desde el transporte y la energía hasta los sistemas de ticketing y pago, la interdependencia tecnológica multiplica los vectores de entrada para atacantes con motivaciones diversas.
Durante ediciones anteriores, los incidentes no fueron anecdóticos. En PyeongChang 2018 se registraron interrupciones de red y sabotajes digitales. Tokio 2020 fue blanco de operaciones de espionaje atribuidas a actores rusos, y en París 2024 se documentó un repunte de ataques DDoS y campañas de phishing temáticas. En este contexto, el informe de Unit 42 sitúa a Milán-Cortina en una posición especialmente vulnerable, no solo por su escala, sino por el actual entorno geopolítico, marcado por tensiones crecientes entre potencias.
“En eventos de esta magnitud no solo está en juego la infraestructura, también las personas”, señala Ángel Serrano, Senior Manager de Technical Solutions para Iberia en Palo Alto Networks. Serrano advierte del riesgo que suponen las campañas de phishing impulsadas por inteligencia artificial, que podrían dirigirse a los miles de españoles que viajarán a Italia con correos que simulen comunicaciones sobre entradas o reservas.
El informe identifica tres perfiles de amenaza con alta probabilidad de actividad durante los Juegos. Por un lado, los grupos de ransomware, centrados en la extorsión mediante cifrado y exfiltración de datos, como Dark Scorpius, vinculado a más de 500 ataques desde 2022. Por otro, los actores estatales, cuyo objetivo es la obtención de inteligencia estratégica, con precedentes como Fighting Ursa (APT28), asociado a Rusia y activo en París 2024. Y, finalmente, los colectivos hacktivistas, que buscan impacto mediático mediante ataques disruptivos como filtraciones o desfiguración de sitios web.
España, como nodo logístico y digital dentro del ecosistema europeo, no queda al margen. Serrano menciona la necesidad de vigilar posibles acciones de grupos como Muddled Libra, especializado en ransomware, o Salt Typhoon, con historial en ciberespionaje, especialmente contra proveedores y operadores críticos.
Más allá de las motivaciones, el estudio de Unit 42 detalla un repertorio de técnicas recurrentes. El phishing, en sus múltiples variantes, sigue siendo el vector de entrada más habitual, especialmente en fraudes financieros y suplantaciones de identidad corporativa. La explotación de vulnerabilidades en software y APIs, muchas veces derivadas de configuraciones apresuradas o versiones sin parchear, también figura entre los métodos más utilizados. A esto se suma el uso de credenciales previamente comprometidas, disponibles en mercados clandestinos, y la ausencia de autenticación multifactor como facilitador clave.
Los ataques DDoS, aunque a menudo considerados ruidosos pero inofensivos, se emplean como distracción para operaciones más complejas. La ingeniería social, en sus formas más elaboradas, incluye desde la suplantación de personal técnico hasta el uso de deepfakes para engañar a empleados o proveedores. También se documentan campañas ClickFix, que inducen a ejecutar código malicioso, y técnicas de SEO poisoning, que posicionan sitios fraudulentos en buscadores para captar víctimas desprevenidas.
La sofisticación de estas tácticas no es solo técnica. El uso de IA permite escalar campañas, personalizar mensajes y automatizar la generación de contenido engañoso. Esto plantea un reto adicional para las organizaciones implicadas, que deben anticiparse no solo a los ataques directos, sino a las formas en que estos se camuflan entre flujos legítimos de información y actividad digital.
Frente a este panorama, Unit 42 propone una serie de medidas orientadas a reforzar la resiliencia de los sistemas. La primera, mejorar la visibilidad y la capacidad de respuesta del centro de operaciones de seguridad (SOC), integrando datos desde la red hasta la nube y aplicando IA para filtrar señales relevantes. También se recomienda acelerar la adopción de modelos de zero trust, eliminando la confianza implícita y verificando continuamente usuarios y dispositivos.
En el plano operativo, se subraya la necesidad de proteger el ciclo completo de desarrollo de aplicaciones, desde la fase de codificación hasta la producción, mediante controles como el acceso just-in-time y la monitorización continua. Finalmente, se enfatiza la automatización de la detección y respuesta, apoyada en análisis de comportamiento y técnicas de threat hunting proactivo.
La preparación para los Juegos Olímpicos de Invierno no se limita a la logística física o la seguridad en los estadios. La competición digital, menos visible pero igual de crítica, ya ha comenzado. Y aunque los focos se encenderán el 6 de febrero, los sistemas que sostienen el evento —y a quienes lo rodean— llevan tiempo siendo puestos a prueba.
