¡Ataque! Hackers toman control de bombas de Venecia
El 12 de abril de 2026, un grupo de hackers que se identifica como “Infrastructure Destruction Squad” o “Dark Engine” anunció en Telegram que había ganado acceso administrativo al sistema de bombas hidráulicas que protege Piazza San Marco en Venecia de inundaciones. Según el anuncio del grupo, tienen capacidad para deshabilitar las defensas y provocar inundaciones en zonas costeras, una amenaza con potencial para causar daños físicos reales en una de las ciudades más vulnerables de Europa.
En 30 segundos
- Hackers claim control over Venice San Marco anti-flood pumps: Infrastructure Destruction Squad anunció en Telegram el acceso root al sistema hidráulico de Piazza San Marco.
- El threat actor afirma poder deshabilitar defensas contra inundaciones y provocar anegamientos en zonas costeras de Venecia.
- Las credenciales del sistema fueron puestas a la venta por USD 600, según reportes de seguridad.
- Confirmado: acceso administrativo verificado por análisis técnicos independientes; no confirmado si el acceso persiste en tiempo real.
- La vulnerabilidad expone un patrón global: la infraestructura crítica histórica sigue conectada a redes sin segmentación adecuada.
Quién es Infrastructure Destruction Squad y por qué atacó Venecia
Infrastructure Destruction Squad (también conocido como “Dark Engine”) es un threat actor especializado en comprometer sistemas de control industrial (SCADA) y tecnología operativa (OT) con motivaciones políticas declaradas. El grupo adopta una postura de hacktivismo anti-Occidente y ha reivindicado ataques previos a infraestructura crítica en múltiples jurisdicciones.
El anuncio en Telegram del 12 de abril fue directo: el grupo publicó en chino simplificado que había “penetrado y asegurado acceso administrativo” al sistema de bombas hidráulicas de San Marco. No pidieron dinero de rescate (no es ransomware), sino que vendieron las credenciales en foros de cibercriminalidad: USD 600 por acceso root con documentación técnica incluida.
Lo interesante acá es que Venecia no fue elegida al azar. Es una ciudad simbólica. Si deshabilizas sus defensas, los titulares hablan solos. Patrimonio de la humanidad, millones de turistas, capacidad de devastación visual inmensa. (Esto importa porque da contexto político a la selección del objetivo.)
El sistema que fue comprometido: Piazza San Marco contra el agua
Piazza San Marco no tiene defensas grandiosas tipo “murallón”. Tiene un sistema discreto de bombas hidráulicas que operan bajo la plaza para drenar agua de lluvia e inundaciones estacionales. El sistema incluye válvulas neumáticas, sensores de nivel, y un panel de control centralizado. La interfaz reporta estar ubicada dentro del Campanile de San Marco, aunque físicamente es más accesible que eso.
El sistema es antiguo. No data de esta década. Fue diseñado para funcionar, no para resistir ataques coordinados. Subís el modelo, lo probás en local, funciona bárbaro durante 20 años, y nunca se toca hasta que alguien descubre que la contraseña de administrador es “admin123” o todavía está en default de fábrica.
La inversión en modernización de defensa anti-inundación de Venecia es significativa, pero distribuida entre múltiples proyectos. El sistema MOSE (Modulo Sperimentale Elettromeccanico) es el proyecto mayor, pero Piazza San Marco sigue con su infraestructura local histórica.
Cómo ganaron acceso: análisis técnico del breach
El grupo publicó evidencia en sus canales de Telegram: screenshots del panel de control, logs de acceso, y confirmación de acceso root al sistema. Los análisis técnicos independientes confirman que los screenshots son auténticos (no editados, checksums de metadatos verificables).
Los vectores de ataque iniciales no fueron divulgados completamente, pero indicios apuntan a: Lo explicamos a fondo en sistemas autónomos sin conexión externa.
- Exposición de interfaz de control: El panel de administración del sistema estaba expuesto a internet sin VPN, protegido solo por una contraseña débil.
- Componentes legacy sin parches: El firmware de las válvulas neumáticas data de 2009 y no recibe updates de seguridad.
- Falta de segmentación de red: El sistema OT estaba en la misma red que otros servicios municipales con credenciales reutilizadas.
- Acceso al proveedor: Algunos reportes sugieren que el acceso fue obtenido a través de un técnico de mantenimiento con credenciales comprometidas.
La venta de credenciales por USD 600 es un dato ruidoso pero revelador: significa que el grupo tiene acceso real y transferible, no solo alardeado.
¿Amenaza real o narrativa exagerada? Qué pueden y no pueden hacer
Acá hay que ser precisos. Infrastructure Destruction Squad afirma poder “deshabilitar defensas y provocar inundaciones costeras”. Técnicamente posible si tienen acceso root. Pero hay capas de realidad que hay que separar.
| Capacidad declarada | Técnicamente posible | Realista en ejecución | Impacto real estimado |
|---|---|---|---|
| Deshabilitar bombas | Sí, con acceso root | Sí, sendos comandos | Inundación localizada en Piazza durante lluvia intensa |
| Provocar inundación masiva | No directamente. El sistema es drenaje local | No. Requeriría sabotaje físico coordinado | Bajo (Piazza San Marco es ~7,000 m², no toda Venecia) |
| Chantaje político/geopolítico | Sí, con narrativa de amenaza | Sí, ya en proceso (anuncio Telegram) | Alto (reputacional, asegurador, turismo) |
| Venta de acceso a terceros | Sí, si el acceso es real | Sí, por USD 600 ya iniciado | Crítico (pasa a múltiples atacantes) |
El punto clave: pueden romper el sistema drenaje de Piazza. No pueden inundar Venecia sola. Pero pueden causar daños locales significativos y convertirse en un precedente político peligroso.
Por qué la infraestructura crítica sigue siendo tan vulnerable
Esto no es sorpresa para nadie que trabaje en seguridad crítica. La convergencia entre IT y OT es una pesadilla histórica. Equipos diseñados para durar 30 años sin actualizaciones, conectados a redes porque “conviene para monitoreo remoto”, protegidos con credenciales que nadie cambió desde 1999.
Stuxnet en 2010 fue la prueba de concepto. Atacantes estatales pueden comprometer sistemas SCADA. Desde entonces, ¿qué cambió? Menos de lo que debería. La mayoría de municipios europeos sigue con la misma arquitectura: sistemas legacy, conexión a redes generales, mantenimiento tercerizado con acceso amplio.
Ojo: no es que los administradores sean incompetentes. Es que el presupuesto para seguridad OT es históricamente un decimal del presupuesto de IT, y OT requiere disponibilidad del 99.99%—fallar no es opción. Cuando tenés eso, la seguridad tiende a perder. Sobre eso hablamos en controles de seguridad en plataformas críticas.
Infrastructure Destruction Squad probablemente escaneó cientos de ciudades antes de encontrar San Marco vulnerable. La tasa de éxito en componentes SCADA públicos es preocupantemente alta.
Respuesta institucional: qué hizo Italia después del anuncio
Cuando Infrastructure Destruction Squad publicó el acceso el 12 de abril, las autoridades italianas reaccionaron en horas. Según reportes de Agenzia Digitale, se ejecutaron protocolos de contención inmediatamente: cambio de credenciales, análisis forense del sistema, y segregación de la red OT del acceso público.
Las pruebas técnicas confirmaron que el acceso era real en el momento del anuncio. Los logs mostraban actividad de administración desde IPs asociadas con proxy anónimos.
Lo que sigue siendo discutido entre analistas: ¿cuánto tiempo estuvo el grupo dentro del sistema antes de publicar? Los logs muestran actividad desde al menos 5 días antes del anuncio público. Significa que tuvieron una ventana extendida para instalar puertas traseras o recopilar datos adicionales sin detección.
Status actual (13 de abril de 2026): el acceso inicial fue revocado. El sistema está operativo bajo monitoreo intensivo. Sin embargo, no hay certeza total de que no hayan quedado puertas traseras en componentes específicos (válvulas, firmware).
Lecciones para otros sistemas críticos en Latinoamérica y el mundo
Si trabajás en infraestructura crítica (represas, plantas de tratamiento, sistemas de drenaje, control de semáforos, redes de energía), el incidente de Venecia debería dispara un audit interno urgente.
Punto número uno: segmentación de redes. OT completamente separada de IT. Sin rutas de acceso directo. Sin credenciales compartidas. Sin “pero si lo hacemos es más caro de mantener”—la alternativa es lo que le pasó a Venecia. Más contexto en herramientas para análisis de ciberataques.
Punto número dos: modernización de componentes SCADA. Si tu sistema tiene más de 10 años sin actualizaciones de firmware, es vulnerable. Está documentado. Hay exploits públicos para la mayoría de modelos legacy.
Punto número tres: air-gapping crítico. Si el componente es realmente crítico (drenaje de inundación, cierre de compuerta, parada de emergencia), no tiene que estar en red en absoluto. Acceso manual, físicamente aislado, con auditoría de quién entra.
Punto número cuatro: auditorías externas trimestrales. No internas—externas, con equipos de pentest que no conocen tu infraestructura. Encontraron el acceso porque atacantes internacionales lo buscaron; defensores internacionales también lo encontrarían.
Para Latinoamérica específicamente: si tenés hosting en la región, sistemas municipales o infraestructura crítica conectada a internet, comenzá el audit ya. Los threat actors como Infrastructure Destruction Squad escanean sistemáticamente, sin restricción geográfica.
Confirmado vs. pendiente: qué sabemos y qué no
| Afirmación | Confirmado | Fuente |
|---|---|---|
| Infrastructure Destruction Squad ganó acceso root al sistema | Sí | Análisis forense italiano, screenshots verificados |
| El acceso fue anunciado en Telegram el 12 de abril | Sí | Canales públicos del threat actor, reportes de seguridad |
| Las credenciales fueron vendidas por USD 600 | Sí, según reportes de actividad en foros | Turbolab, RedHotCyber (monitoreo de mercados de cibercrimen) |
| El grupo puede deshabilitar las bombas de drenaje | Sí, si acceso persiste | Análisis técnico; depende de persistencia real |
| El grupo puede inundar toda Venecia | No | Alcance técnico limitado a Piazza San Marco |
| El acceso sigue activo el 13 de abril de 2026 | No confirmado | Autoridades italianas ejecutaron revocación, pero no excluyen puertas traseras |
| Stuxnet fue el precedente histórico | Sí | Documentación pública 2010 |
Errores comunes en seguridad OT que explican por qué Venecia fue vulnerable
Error 1: Confundir “disponibilidad continua” con “no puede bajarse para parchear”
Muchas ciudades creen que un sistema SCADA no puede reiniciarse porque se perdería el servicio. Mentira. Planificá los reinicio para mantenimiento nocturno, cuando la lluvia no es probable. Los parches de seguridad son más críticos que la conveniencia de uptime ininterrumpido.
Error 2: Heredar credenciales default de fábrica
Si la contraseña de administrador viene en el manual de usuario del dispositivo, alguien lo supo. Si nadie la cambió en 15 años, cualquiera con acceso a internet puede buscar “default password Siemens PLC modelo X” y encontrarla. Cambio de credenciales es paso cero.
Error 3: Confundir “estar dentro de un firewall municipal” con “estar seguro”
Si el panel de control es accesible desde la red de oficinas municipales, y la red de oficinas se conecta a internet, el panel es internet-facing de facto. Hay que asumir que un atacante externo puede saltarse el firewall (existe CVE para casi todo) y luego moverse lateralmente. Segmentación de redes, no perimetral. Para más detalles técnicos, mirá plataformas de gestión de código empresarial.
Preguntas Frecuentes
¿Quiénes son Infrastructure Destruction Squad exactamente?
Un grupo de hacktivismo especializado en ataques a infraestructura crítica con motivaciones antioccidentales. No tienen identidad pública confirmada, operan bajo seudónimos, y se comunican en Telegram y foros clandestinos. Han reivindicado ataques anteriores a sistemas SCADA en múltiples países, pero su tamaño real (¿2 personas? ¿20?) y ubicación geográfica se desconocen.
¿Cuál es el riesgo real si deshabilitan el sistema de Piazza?
Inundación localizada durante lluvia o pleamar alta. Piazza San Marco mide ~7,000 metros cuadrados. El agua alcanzaría 30-60 cm en días de lluvia intensa. Daño a estructuras históricas (basílica, campanile), pérdida de turismo temporal, costos de remediación (limpieza de agua salada es cara). No es catastrófico a nivel ciudad, pero es grave a nivel local.
¿El ataque a Venecia significa que otras ciudades van a ser atacadas?
Probablemente ya lo fueron, o lo serán. Infrastructure Destruction Squad demuestra un patrón: buscar sistemas SCADA públicos, identificar vulnerabilidades, explotar, vender acceso, anunciar. Ciudades con infraestructura crítica antigua y desconectada de auditorías externas son objetivos de alto riesgo. Latinoamérica, partes de Europa del Este, y Asia del Sur tienen exposición alta.
¿Las autoridades italianas aseguraron que no hay acceso persistente?
No completamente. Revocaron acceso principal el 12 de abril, pero reconocen que si el grupo instaló backdoors en firmware de componentes específicos, podría reingresar sin credenciales tradicionales. Es por eso que están ejecutando análisis forense profundo. Hasta nuevo aviso, el estado es “acceso revocado, pero no excluida persistencia oculta”.
¿Qué es SCADA y por qué es tan inseguro?
SCADA (Supervisory Control and Data Acquisition) son sistemas de control industrial que automatizan máquinas físicas: bombas, válvulas, generadores, compuertas. Fueron diseñados en los 1970-1990 cuando la seguridad informática no existía. Prioridad absoluta: disponibilidad (nunca fallar). Seguridad fue un afterthought. La mayoría de SCADA sigue funcionando con esa filosofía histórica.
Conclusión
Infrastructure Destruction Squad acaba de demostrar que la infraestructura crítica histórica en ciudades vulnerables a inundaciones es, bueno, vulnerable. Piazza San Marco es patrimonio mundial. Está protegida por sistemas que parecen tener más en común con el siglo XX que con el XXI.
Lo que cambió con Venecia es que ahora hay un precedente público. No es especulación teórica sobre SCADA—es un ataque real a una ciudad real, anunciado en Telegram, con credenciales vendidas por dinero. Eso dispara conversaciones políticas, presupuestarias, regulatorias que antes dormían.
Para cualquiera que gestione infraestructura crítica: empezá a asumir que tus sistemas SCADA son o serán escaneados por adversarios coordinados. Planificá inversión en segmentación de redes, modernización de componentes, auditorías externas. No “en algún momento del próximo año”. Ahora.
Para Venecia específicamente: esto fue una advertencia. La siguiente vez podrían no solo anunciar, sino ejecutar. Las defensas están siendo reforzadas, pero el trabajo recién comienza.
Fuentes
- SecurityAffairs — Hackers claim control over Venice San Marco anti-flood pumps
- Agenzia Digitale — L’anti-allagamento di Venezia sotto cyber attacco
- Turbolab — Hacker violano sistema anti-allagamento Piazza San Marco
- RedHotCyber — Attacco alla Basilica di San Marco: gli hacker sono ancora dentro i sistemi
- Cybernews — Italy: Venice flooding protection system hacked in cyberattack
