Oscuridad en las ciudades y estanterías vacías: cómo los ciberataques a fábricas afectarán pronto la vida de todos

Los hackers se acercan cada vez más a sistemas industriales y ya no se limitan a penetrar redes, sino que estudian en detalle cómo funcionan los procesos tecnológicos reales. Esa conclusión se extrae del reciente informe anual de Dragos sobre amenazas cibernéticas para la industria correspondiente a 2025. Los ataques contra instalaciones manufactureras y energéticas pasan de la fase de "mantenerse para el futuro" a la fase de preparación práctica para posibles operaciones destructivas.

Los autores del informe registraron un punto de inflexión. Varias agrupaciones de hackers comenzaron a desmantelar deliberadamente los llamados bucles de control en instalaciones industriales. Buscan estaciones de trabajo de ingeniería, descargan configuraciones y recopilan datos de alarmas y parámetros de procesos. Esto ya no es una simple exploración de la red, sino un intento de entender cómo se puede afectar exactamente al equipo físico. Según Dragos, esto elimina el último obstáculo importante entre el mero acceso al sistema y un impacto real sobre la producción o el sector energético.

En el transcurso del año los investigadores identificaron tres nuevas agrupaciones que actúan contra el entorno industrial: AZURITE, PYROXENE y SYLVANITE. La primera se especializa en infiltrarse en estaciones de ingeniería y robar datos tecnológicos. La segunda apuesta por ataques a través de cadenas de suministro, contratistas y organizaciones relacionadas para después alcanzar los segmentos industriales. La tercera actúa como "proveedora de acceso" y compromete masivamente servicios externos y dispositivos perimetrales, tras lo cual entrega puntos de entrada a otros grupos, incluidos aquellos que ya saben cómo impactar en los sistemas de control.

Además se destaca el aumento de la rapidez con la que los atacantes comienzan a explotar vulnerabilidades. En 2025 la mediana del tiempo desde la publicación de una vulnerabilidad hasta la aparición de una herramienta de ataque funcional fue de 24 días. Al mismo tiempo, para una cuarta parte de las vulnerabilidades dirigidas a sistemas industriales los fabricantes no publicaron correcciones en absoluto, y en algunos boletines hubo errores en la evaluación del riesgo. Como resultado, las empresas tardan más en cerrar los fallos de seguridad que los atacantes en empezar a explotarlos.

El alcance del ransomware contra el sector industrial también aumentó. En el año se registraron más de 3300 incidentes y 119 grupos activos. El informe apunta además que muchos de estos casos se clasifican erróneamente como "ataques cibernéticos comunes", aunque los servidores infectados en realidad gestionaban sistemas de supervisión y procesos tecnológicos. Por ello las consecuencias operativas reales suelen subestimarse.

La parte más preocupante no está relacionada con los hackers, sino con la visibilidad dentro de las redes. Según Dragos, menos del 10% de las redes industriales en el mundo cuentan con un monitoreo de red completo. Casi un tercio de las investigaciones comenzó no por una alerta de seguridad, sino por la queja del personal del tipo "algo funciona de forma extraña". En muchos casos los registros y los datos de red necesarios no se recopilaron, por lo que ya no fue posible determinar la causa con certeza. En este contexto incluso medidas básicas — segmentación de redes, control del acceso remoto y registro del tráfico de red — siguen ofreciendo el mayor efecto, pero no están implementadas de forma generalizada.