En un mundo hiperconectado, donde la energía ya no solo se bombea por ductos sino también por redes digitales, los ciberataque se han convertido en una nueva forma de riesgo sistémico. El pasado 15 de diciembre, Venezuela entró de lleno en esa conversación global cuando Petróleos de Venezuela (PDVSA), la empresa estatal que sostiene buena parte del aparato económico del país, reconoció públicamente haber sufrido un “severo ciberataque”. A partir de ese momento, comenzaron las especulaciones, las acusaciones políticas y, como suele ocurrir en estos casos -gobierno dictatorial, usualmente hermético, con comunicación tradicionalmente polarizante y no necesariamente apegada a la verdad-, hay más preguntas que respuestas.
PDVSA informó que había sido víctima de un ataque cibernético que afectó sus “sistemas centrales”. De acuerdo con fuentes internas y reportes de agencias internacionales, el incidente provocó disrupciones operativas relevantes, especialmente en procesos administrativos y logísticos asociados a la comercialización y despacho de crudo.
Durante varios días, la empresa se ha visto obligada a operar con procedimientos manuales, una señal de que sistemas críticos de información estaban fuera de servicio o habían sido aislados deliberadamente como medida de contención. Aunque el gobierno venezolano aseguró que la producción y exportación no se detuvieron por completo, sí reconoció afectaciones y activó protocolos de emergencia.
Desde una perspectiva de gestión de crisis, ese reconocimiento ya es significativo. Venezuela no es conocida por su transparencia institucional, y menos aún cuando se trata de vulnerabilidades estratégicas. El simple hecho de admitir un ciberataque indica que el impacto fue lo suficientemente serio como para no poder ocultarse.
¿Qué tipo de ataque fue?
Hasta hoy hay mucha claridad en que no estamos ante un ataque de sabotaje industrial al estilo de Stuxnet, ni frente a una intrusión diseñada para provocar explosiones, derrames o fallas físicas en refinerías. No hay evidencia pública, hasta ahora, de que los sistemas de control industrial (OT/ICS) de PDVSA hayan sido comprometidos directamente.
Todo apunta a un ataque de ransomware (o secuestro informático a través de la encriptación) concentrado en el entorno de tecnologías de la información (IT): sistemas administrativos, plataformas de planificación, bases de datos, gestión logística, facturación y posiblemente correo corporativo o directorios de identidad. En otras palabras, el “cerebro administrativo” de la organización, no sus “músculos industriales”.
Los ataques a IT suelen ser más fáciles de ejecutar, más baratos y más comunes, especialmente en contextos donde la higiene digital es deficiente, la segmentación de redes es limitada y la dependencia de procesos centralizados es alta. Además, son el terreno natural del ransomware, el tipo de amenaza más extendido y rentable del ecosistema criminal actual.
La operación manual posterior refuerza esta hipótesis: cuando una empresa petrolera vuelve al papel y lápiz, no es porque las válvulas estén fallando, sino porque los sistemas que coordinan contratos, embarques y pagos están inutilizados o no son confiables.
¿Quién pudo haber sido? Tres hipótesis, ninguna confirmada
La gran pregunta —y la que alimenta titulares— es la atribución. ¿Quién atacó a PDVSA? La respuesta honesta: no lo sabemos. Y probablemente no lo sabremos con certeza absoluta. Sin embargo, desde la inteligencia de amenazas global, existen dos escenarios plausibles, cada uno con distinto nivel de probabilidad.
Primer escenario: cibercrimen organizado (alta probabilidad). El escenario más probable es también el menos glamoroso. Grupos de ransomware operan hoy como verdaderas empresas multinacionales del delito. Buscan objetivos con alta dependencia digital, baja madurez en ciberseguridad y costos altísimos por interrupción. PDVSA cumple con todos esos criterios. En este escenario, el objetivo no es político ni ideológico: es económico. Extorsión pura y dura, posiblemente acompañada de robo de información para ejercer presión adicional.
Segundo escenario: actor estatal o “proxy” con fines estratégicos (probabilidad media). Aquí hablamos de un ataque con motivaciones geopolíticas: generar fricción, presión económica o desestabilización sin cruzar el umbral de un acto de guerra convencional. Este tipo de operaciones suele ejecutarse a través de grupos intermedios que ofrecen negación plausible. Es un escenario posible, pero hasta ahora no hay indicadores técnicos públicos que lo respalden.
Y de ser un estado, hubiese sido Estados Unidos (probabilidad baja, no confirmada)?. El gobierno venezolano apuntó directamente a Estados Unidos, una acusación grave que, de ser cierta, implicaría un acto de agresión entre Estados, o un acto que anticipa otros ataques mayores, y puede ser catalogado incluso como acto de guerra. Sin embargo, no se han presentado pruebas técnicas que sustenten esta narrativa. Además, el patrón observado —un ataque tipo ransomware a sistemas IT— no encaja del todo con la doctrina habitual de operaciones cibernéticas estatales de alto nivel, que suelen ser más silenciosas, persistentes y orientadas a inteligencia o sabotaje estratégico de largo plazo.
Y donde queda el atacante tradicional Ruso, Chino o Irani?
Uno de los argumentos más repetidos en el debate público es que Venezuela difícilmente sería atacada por países que históricamente se consideran hostiles a Occidente, como Rusia, China o Irán, dado que todos ellos mantienen relaciones estrechas con el régimen de Nicolás Maduro.
Ese razonamiento tiene lógica política, pero falla en comprender la dinámica real del ciberespacio. Las alianzas geopolíticas no blindan contra el cibercrimen. Tampoco impiden que actores no estatales operen desde territorios “amigos” sin control efectivo. Y mucho menos garantizan que un ataque no pueda originarse por motivaciones económicas, internas o incluso criminales sin bandera.
Si hubiera que pensar en un Estado-nación “naturalmente esperado” como adversario, Estados Unidos aparecería en la lista. Pero la expectativa no es evidencia. En ausencia de atribución técnica verificable, esa narrativa se mantiene en el terreno político, no en el analítico.
Este caso está lejos de cerrarse. Como ocurre con la mayoría de los grandes ciberincidentes, la información real emerge con el tiempo: filtraciones, reclamos de grupos criminales, análisis de firmas de seguridad o incluso errores de comunicación oficial. En Venezuela, ese proceso será aún más lento y opaco debido al hermetismo del régimen de Nicolás Maduro y a la instrumentalización política del relato.
Aun así, es razonable anticipar que en las próximas semanas o meses sabremos más.
Los ciberataques, por definición, dejan rastros. Y en la economía clandestina digital, el silencio absoluto es raro cuando hay dinero de por medio.
La lección final: ransomware, energía y vulnerabilidad sistémica
Más allá de Venezuela, este incidente debe leerse como parte de una tendencia alarmante. En 2025, los ataques de ransomware contra infraestructura crítica y redes industriales alcanzaron máximos históricos. El sector de energía —y en particular oil & gas— es uno de los más golpeados, no porque sea tecnológicamente más débil, sino porque el costo de la disrupción es extraordinariamente alto.
Cada hora fuera de línea implica millones de dólares, riesgos contractuales, impactos geopolíticos y presión reputacional. Para los atacantes, eso se traduce en apalancamiento. Para los líderes empresariales, en una verdad incómoda: la ciberseguridad ya no es un tema de IT, es un tema de continuidad del negocio, gobernanza y estrategia.
El caso PDVSA no es una anomalía exótica de un país sancionado. Es un espejo adelantado de lo que puede —y probablemente va a— ocurrir en otras empresas energéticas de la región que aún subestiman el riesgo digital. Y en este tablero, la pregunta correcta ya no es quién fue, sino quién sigue.
CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
manuel@nektgroup.com @mriveraraba