La obsolescencia tecnológica se ha convertido en un punto débil para sectores que dependen de infraestructuras continuas y difíciles de renovar. El dato sorprende incluso en un mercado acostumbrado a convivir con sistemas heredados: el 48% de los activos de red del mundo está obsoleto o fuera de soporte. Esa proporción amplifica la exposición de ámbitos como agua, energía o sanidad, donde cualquier interrupción puede comprometer servicios esenciales o interrumpir operaciones críticas. La aceleración de las amenazas basadas en inteligencia artificial está empeorando el escenario y dejando en evidencia que, sin cambios estructurales, los incidentes seguirán explotando vulnerabilidades conocidas.
El estudio Update Critical: Counting the Cost of Cybersecurity Risks from End-of-Life Technology on Critical National Infrastructure, elaborado por WPI Strategy, retrata este problema como una deuda tecnológica que arrastra presupuestos y desvía recursos hacia el mantenimiento reactivo. Lo llamativo es que esa desviación no responde a una estrategia deliberada, sino a la creciente dependencia de sistemas que no siempre admiten actualizaciones simples. Entre 2022 y 2023, el 60% de las brechas de seguridad registradas en Europa aprovecharon fallos ya documentados y con parche disponible, lo que revela una desconexión persistente entre capacidad de actualización y ritmo de explotación por parte de los atacantes.
Estados Unidos muestra un patrón similar, aunque más pronunciado en términos presupuestarios. Cerca del 80% del gasto federal en TI se destina a mantener sistemas existentes, muchos de ellos con más de una década de servicio. Esa estructura de gastos deja poco margen para sustituir equipos que, pese a funcionar, ya no pueden incorporar medidas de seguridad contemporáneas. En realidad, este ciclo de dependencia es común a las infraestructuras complejas: cada sistema heredado condiciona a los que están conectados a él, generando capas que se actualizan a velocidades distintas.
Entre los sectores analizados por WPI Strategy, la sanidad aparece como el más vulnerable. No solo por la antigüedad de parte de su equipamiento, también por la diversidad de dispositivos conectados que requieren interoperabilidad permanente. Equipos de diagnóstico, sistemas clínicos, comunicaciones internas y plataformas de soporte forman una red heterogénea donde cualquier nodo sin soporte puede convertirse en vía de entrada. Aunque a menudo se pasa por alto, esa heterogeneidad hace que aplicar parches no sea solo un asunto técnico: implica verificar compatibilidades, autorizar ventanas de mantenimiento y asumir riesgos operativos que muchas organizaciones prefieren posponer.
Los actores maliciosos han identificado con rapidez esta superficie de ataque. Campañas patrocinadas por estados, como Volt Typhoon, se han centrado en componentes sin parches o con configuraciones heredadas difíciles de sustituir. En estos escenarios, los atacantes optan por un enfoque de infiltración prolongada: penetran en sistemas menos supervisados y amplían su movimiento lateral aprovechando dependencias internas. El objetivo no siempre es interrumpir el servicio de inmediato. A veces basta con permanecer dentro y observar, algo especialmente preocupante para las infraestructuras de energía y agua, donde la visibilidad operativa otorga una ventaja estratégica.
Cisco ha decidido intervenir en esta dinámica con la iniciativa Resilient Infrastructure, que introduce un cambio de enfoque en la protección de redes críticas. La propuesta no se limita a ajustes de producto; plantea una modificación profunda en cómo se diseña, configura y mantiene la infraestructura de red. Según la compañía, el modelo actual basado en parches periódicos resulta insuficiente frente a la velocidad con la que evolucionan las amenazas, y más aún en un contexto donde la criptografía post-cuántica se perfila como requisito estructural en los próximos años.
Anthony Grieco, vicepresidente sénior y Chief Security & Trust Officer en Cisco, lo resume de forma directa: “las redes se han expuesto a ataques implacables durante años” y la próxima transición criptográfica exigirá que la infraestructura sea segura por defecto. Esa afirmación condensa un cambio de mentalidad: no se trata solo de detectar fallos, sino de asumir que los mecanismos actuales se quedarán cortos cuando la computación cuántica desestabilice los algoritmos de cifrado vigentes.
Tres pilares para redefinir la seguridad de la infraestructura crítica
1. Configuraciones seguras por defecto
La iniciativa se estructura en torno a tres líneas de actuación que buscan alterar la forma en que se gestiona la seguridad en redes extensas. El primer pilar plantea simplificar las implementaciones mediante configuraciones seguras predeterminadas, reduciendo la necesidad de que los administradores ajusten manualmente parámetros sensibles. Aunque pueda parecer un matiz operativo, en entornos con miles de dispositivos la estandarización evita una parte significativa de los errores que surgen durante la puesta en marcha o el mantenimiento diario.
2. Alertas proactivas y monitorización preventiva
El segundo componente introduce un sistema de avisos diseñados para detectar decisiones de configuración que puedan abrir nuevas superficies de ataque. Esta supervisión continua actúa como un freno frente a prácticas comunes pero arriesgadas, como habilitar puertos temporales o mantener servicios que ya no resultan necesarios. La lógica es intervenir antes de que una acción operativa derive en una vulnerabilidad real, especialmente en redes donde los cambios se propagan con rapidez.
3. Eliminación gradual de funciones heredadas
El tercer pilar es, con diferencia, el que más debate genera. Consiste en retirar de manera progresiva funciones heredadas mediante advertencias reforzadas y desactivación por defecto. Para organizaciones que dependen de componentes antiguos, este enfoque puede generar fricciones al obligar a revisar procesos que se apoyan en protocolos en fin de vida. Aun así, contrasta con un patrón sostenido durante años, en el que funcionalidades obsoletas permanecían activas para salvaguardar compatibilidades incluso cuando su utilización era mínima. Lo llamativo es que estos elementos residuales suelen convertirse en puertas de entrada para los atacantes.
Cisco plantea además un salto técnico adicional. En lugar de esperar a que se publique un parche o coordinar mantenimientos de emergencia, la compañía promete incorporar protecciones específicas en tiempo real una vez detectada una vulnerabilidad. El enfoque se asemeja a un sistema inmunitario adaptable: se introduce un mecanismo de contención inmediato mientras se desarrolla una corrección completa. Para operadores de infraestructuras críticas, esta idea resulta especialmente relevante porque reduce la necesidad de programar ventanas de servicio que, en ocasiones, se aplazan durante semanas por falta de margen operativo.
Este mecanismo inmediato plantea implicaciones prácticas. No sustituye los parches, pero actúa como puente para evitar que una vulnerabilidad recién descubierta quede expuesta durante el periodo en que los atacantes suelen aprovechar ese intervalo. De acuerdo con la experiencia documentada en informes de inteligencia de amenazas, ese periodo puede ser de horas cuando el fallo se conoce públicamente. Reducirlo no elimina el riesgo, aunque sí acota las oportunidades de explotación.
El enfoque de Cisco no resuelve la obsolescencia estructural, pero puede alterar la relación entre riesgo acumulado y capacidad de respuesta. Si las protecciones puntuales son efectivas, las organizaciones dispondrán de más margen para planificar renovaciones de hardware y actualizaciones de sistemas sin operar bajo presión constante. Esto resulta significativo para entidades reguladas, donde cambiar equipamiento puede requerir certificaciones, auditorías y aprobaciones que ralentizan cualquier transición.
Queda por ver cómo se integrará Resilient Infrastructure en entornos donde convergen TI y tecnología operacional. La digitalización industrial ha borrado parte de la frontera entre ambas capas, pero sus ritmos siguen siendo distintos. En sistemas de control industrial, detener un proceso para introducir un cambio puede ser inviable. La propuesta de mitigación en tiempo real podría reducir la fricción, siempre que las protecciones no interfieran con protocolos sensibles a la latencia.
En los próximos meses, las organizaciones que gestionan infraestructuras críticas afrontarán un dilema creciente. La presión regulatoria europea y estadounidense apunta hacia requisitos más estrictos de resiliencia, mientras los ciclos presupuestarios y la dependencia de sistemas heredados dificultan renovaciones rápidas.
La iniciativa de Cisco introduce una vía intermedia que intenta contener el riesgo sin exigir sustituciones inmediatas, aunque cada sector deberá evaluar hasta qué punto esas herramientas encajan en su arquitectura actual. El avance de la criptografía post-cuántica y la proliferación de ataques automatizados marcarán cuánto tiempo puede mantenerse este equilibrio.
