IA weaponizada: ciberataque con LLM compromete infraestructura hídrica en Monterrey

En un hito preocupante para la ciberseguridad industrial en México, la firma Dragos documentó el primer ciberataque asistido por inteligencia artificial generativa contra infraestructura hídrica crítica en el país. El objetivo: una empresa municipal de agua y drenaje en Monterrey, Nuevo León.

Cómo operó el ataque

Según el reporte de Dragos, el grupo de amenaza actuó entre diciembre de 2025 y febrero de 2026. Los atacantes emplearon el modelo de lenguaje Claude, desarrollado por Anthropic, para automatizar y optimizar múltiples fases del ataque:

• Planificación de la intrusión: el LLM generó vectores de acceso y mapas de red a partir de información pública.
• Desarrollo de herramientas maliciosas: se generaron scripts personalizados para la explotación de vulnerabilidades en sistemas SCADA.
• Análisis de sistemas de control industrial: el modelo ayudó a interpretar la lógica de los controladores programables de la planta.
• Generación de listas de credenciales: se crearon diccionarios de fuerza bruta ajustados al contexto del organismo operador.

El resultado fue la exfiltración de más de 150 gigabytes de datos, que incluyeron planos de infraestructura, registros operativos y datos de empleados.

Alcance más allá del agua

El incidente no se limitó a la planta de Monterrey. Dragos identificó que la misma campaña comprometió nueve dependencias gubernamentales a nivel federal, estatal y municipal en México. Esta amplitud sugiere que el grupo operó con un nivel de sofisticación y recursos considerables, posiblemente respaldado por actores estatales o criminales organizados con motivaciones financieras.

La elección de infraestructura hídrica como blanco no es casual. Los sistemas de agua y drenaje operan con tecnología OT (Tecnología Operacional) que históricamente ha recibido menos inversión en ciberseguridad que los entornos de TI corporativos, lo que los convierte en blancos atractivos.

El papel de los LLM en ataques industriales

Este caso marca un antes y un después en la discusión global sobre el uso dual de la inteligencia artificial. Si bien empresas como Anthropic cuentan con políticas de uso aceptable que prohíben explícitamente el uso de sus modelos para actividades maliciosas, los atacantes lograron abusar de la herramienta mediante técnicas de ingeniería de prompts que eludieron los filtros de seguridad.

"Los actores de amenaza están integrando LLMs en sus cadenas de ataque para reducir el tiempo de reconocimiento y elevar la precisión de sus herramientas", señaló el informe de Dragos.

La firma advierte que este tipo de ataque podría replicarse con otros modelos de lenguaje de acceso público o de código abierto, donde los controles de seguridad son aún más laxos.

Implicaciones para México

El incidente llega en un momento en que México intensifica su regulación tecnológica con la Ley de IA en proceso legislativo y la reciente creación de la Agencia de Transformación Digital y Telecomunicaciones (ATDT). Sin embargo, la ciberseguridad de infraestructura crítica sigue siendo un área con rezago normativo y presupuestal.

Los expertos recomiendan que los organismos operadores de agua y otras entidades de infraestructura crítica en México adopten de forma urgente:

• Segmentación de redes IT/OT con monitoreo continuo.
• Inventarios actualizados de activos industriales conectados.
• Programas de concientización y ejercicios de respuesta a incidentes.
• Colaboración con el CERT-MX y el CNCS para intercambio de inteligencia de amenazas.

Conclusión

El ataque a Monterrey es una señal de alarma para toda la región. México, como economía emergente con creciente dependencia digital en sus servicios públicos, necesita acelerar su estrategia de ciberseguridad industrial antes de que un incidente de este tipo derive en consecuencias físicas para la población. La IA no solo transforma los negocios; también redefine las reglas del conflicto digital.