¿Te acuerdas de esa escena de Misión Imposible donde Ethan Hunt baja a una cámara acorazada y, aun así, parece que todo puede salir mal en cualquier segundo? Esa escena funciona porque toca un miedo real: incluso lo más protegido puede ser vulnerable. Y si lo piensas, en el mundo digital hay una “cámara acorazada” equivalente: el mainframe.
En TecnetOne solemos explicarlo así: si tu organización fuera un cuerpo, el mainframe sería el corazón. No se ve desde fuera, pero bombea cada transacción, cada consulta, cada dato que mantiene viva la operación. Por eso, protegerlo no es un “extra” ni un proyecto para cuando haya tiempo. Es una necesidad crítica.
¿Qué es exactamente un mainframe y por qué importa tanto?
Un mainframe es un sistema transaccional diseñado para procesar grandes volúmenes de datos y millones de operaciones en tiempo real con una fiabilidad extrema. Es la tecnología que permite que un banco procese pagos sin parar, que una aerolínea gestione reservas y embarques en segundos, o que un gobierno almacene y consulte información fiscal, de salud o identidad.
Aquí no hablamos solo de rendimiento: hablamos de continuidad. De hecho, muchos mainframes están pensados para no perder transacciones, incluso bajo carga, gracias a mecanismos como colas y arquitecturas preparadas para tolerar fallos.
Y por eso, si alguien entra donde no debe, el impacto es inmediato. Un atacante no solo “ve datos”: podría ejecutar acciones como:
- Transferencias o transacciones fraudulentas
- Acceso a información sensible de ciudadanos o clientes
- Manipulación de registros críticos
- Interrupción de servicios esenciales
Para ponerlo en perspectiva, se suele citar que los mainframes siguen siendo base de operación para buena parte del sector financiero y grandes corporaciones. Y eso, precisamente, los convierte en un objetivo muy atractivo.
El corazón que bombea dentro de las grandes compañías
¿Cuántas transacciones financieras se hacen por segundo en el mundo? Nadie lo sabe con exactitud, pero sí sabes esto: hay cifras con demasiados ceros como para fallar.
¿Y cómo logran muchas organizaciones procesar ese volumen sin colapsar? Con plataformas como:
- z/OS
- AS/400 (IBM)
- NonStop (HP)
- GS21 (Fujitsu)
Tu mainframe suele estar conectado a todo. Y no solo a “todo” en abstracto: a los canales reales por donde entra el negocio.
En un banco, por ejemplo, cada acción que haces desde web, app móvil, call center o cajero termina llegando al core. Normalmente ocurre así:
- El canal (web/app/cajero) envía una solicitud
- La solicitud pasa por APIs de canal
- Un middleware traduce y enruta esa petición
- El mainframe procesa la operación y devuelve resultado
Es un flujo eficiente pero también es un recordatorio: si atacan una pieza anterior (canal, API, middleware), el objetivo final puede ser el core.
Por qué no basta con “securizar” APIs o middleware
Es normal que las empresas pongan más recursos en lo visible: aplicaciones web, móviles, APIs, WAFs, gateways, etc. Es lo que más expuesto está y lo que más ruido hace en auditorías.
El problema aparece cuando caes en esta idea:
“Si protegemos bien el canal, nadie llegará al mainframe.”
La realidad es que sí se llega. No siempre, no fácil, no a la primera. Pero los ataques modernos no dependen de un solo golpe. Se construyen por etapas:
- Comprometen un usuario (phishing, credenciales filtradas)
- Aprovechan permisos excesivos
- Se mueven lateralmente
- Encuentran integración olvidada o mal segmentada
- Llegan a sistemas críticos
- Ejecutan operaciones “válidas”, pero maliciosas
Si el mainframe confía ciegamente en que la validación ya se hizo antes, tu arquitectura tiene un punto débil: una operación maliciosa podría ejecutarse como si fuera legítima.
Por eso, reforzar apps y APIs debe ir sí o sí acompañado de controles dentro del propio mainframe. Defensa por capas, sin excepciones.
Los pilares de la seguridad del mainframe
Aquí no hay magia, pero sí disciplina. Una estrategia sólida se construye con decisiones técnicas y operativas que se sostienen en el tiempo.
1. Diseña la arquitectura priorizando controles en el core
No trates al mainframe como “lo que ya existe” y al que no se toca. El enfoque correcto es: ¿qué controles deben vivir ahí, por diseño, para que aunque fallen capas anteriores, el core no caiga?
2. Reduce su exposición al mínimo
Idealmente, el mainframe no debería hablar con “muchos”. Debe hablar con los sistemas estrictamente necesarios, y el ejemplo típico es que solo esté expuesto al middleware que traduce las solicitudes de las APIs.
Menos rutas = menos posibilidades de abuso.
3. Aplica el mínimo privilegio (de verdad)
En entornos críticos, un exceso de permisos no es un error pequeño: es una puerta abierta. Revisa:
- Quién tiene acceso
- Qué puede hacer
- En qué horarios
- Desde qué ubicaciones o redes
- Con qué niveles de auditoría
Y si alguien no necesita un privilegio, no lo debe tener.
4. Implementa PAM para accesos privilegiados
Un Privilege Access Management (PAM) te ayuda a controlar y monitorear accesos de alto riesgo: administradores, operadores, cuentas de servicio y todo lo que pueda hacer cambios críticos.
Lo que no puedes controlar, no lo puedes proteger.
5. Gestiona cambios, parches y evolución
Los mainframes también evolucionan, se parchean y se configuran. Necesitas una gestión de cambios formal:
- Parches de seguridad
- Evolutivos
- Ajustes de configuración
- Validación antes de pasar a producción
6. Registra, audita y limita sesiones
Si ocurre algo, necesitas pruebas. Y si alguien intenta algo, necesitas detectarlo. Por eso:
- Registro detallado de actividad
- Políticas estrictas de logging
- Sesiones con ventanas cortas
- Accesos con claves de un solo uso cuando aplique
7. Usa preproducción para evitar sorpresas
El mainframe es demasiado crítico como para “probar en vivo”. Un entorno de preproducción reduce el riesgo de cambios que causen comportamientos inesperados o brechas por error.
Lee más: TetrisPhantom: Ataque a USBs en Gobiernos
Servicios de ciberseguridad que realmente elevan la protección
Además de controles y procesos, hay tres servicios que, bien hechos, te ayudan a pasar de “cumplo” a “resisto”.
Threat Hunting: buscar al atacante antes de que se note
El Threat Hunting no espera alertas perfectas. Trabaja con hipótesis: “si un atacante estuviera aquí, ¿qué veríamos?”. Eso te permite detectar actividad hostil avanzada antes de que se convierta en incidente.
Red Team: probar tu realidad, no tu teoría
Un Red Team serio intenta encontrar rutas de bypass reales hacia activos críticos. Si tu organización opera bajo normativas o marcos exigentes (como DORA, TIBER-EU o NIS2), estas pruebas no son un lujo: son parte de la madurez.
Pentesting: validar que no hay puertas técnicas abiertas
El pentesting avanzado ayuda a descubrir vulnerabilidades explotables que podrían usarse para acceder al core o a los sistemas que lo alimentan. Es una foto técnica que complementa al Red Team.
Conclusiones: si proteges el core, proteges el negocio
Bancos, aerolíneas, aseguradoras, gobiernos y grandes retailers no pueden operar sin sistemas transaccionales robustos. Y por eso mismo, el mainframe se vuelve un objetivo.
El mensaje es simple: no basta con cuidar la fachada. Las APIs y el middleware importan, sí. Pero el core es donde se define el impacto real.
En TecnetOne lo resumimos así: Si un atacante logra que una operación maliciosa llegue al mainframe, puedes enfrentar pérdidas millonarias y daños difíciles de cuantificar. Por eso, la seguridad del mainframe no es un tema “técnico”: es una decisión estratégica para mantener tu organización en pie.
