Ciudades a oscuras y estanterías vacías: los ciberataques a fábricas pronto afectarán a todos
Nuevo informe registra un salto cualitativo en los ataques al sector industria
La empresa Dragos publicó el noveno informe anual sobre amenazas en el ámbito de las tecnologías operativas — y el panorama que presenta es mucho más preocupante que en años anteriores.
Si antes los atacantes principalmente se «instalaban» en la infraestructura y esperaban, ahora investigan activamente cómo funcionan los sistemas de control industrial: cartografían los bucles de control y analizan qué inicia y detiene los procesos físicos. En otras palabras, los ataques se vuelven intencionales y dirigidos.
El informe describe tres nuevas agrupaciones de atacantes. AZURITE busca estaciones de trabajo de ingeniería —esos mismos nodos a través de los cuales los operadores controlan el equipo. El grupo adopta rápidamente exploits públicos, sin dar a las organizaciones tiempo para aplicar parches. PYROXENE actúa de otra manera: durante años consolida su presencia a través de cadenas de suministro, creando perfiles falsos de reclutadores en LinkedIn para cazar a personal de producción. En junio de 2025 la agrupación empleó un wiper propio contra objetivos israelíes en el contexto del conflicto regional. SYLVANITE se especializa en el acceso inicial: explota rápidamente vulnerabilidades en dispositivos periféricos y transmite el acceso a otros grupos, en particular a VOLTZITE.
Digno de atención son los grupos KAMACITE y ELECTRUM —los mismos que provocaron cortes de electricidad en Ucrania en 2015 y 2016. En 2025 regresaron a Europa y Estados Unidos. KAMACITE, de marzo a julio, sondeó metódicamente instalaciones industriales estadounidenses, y en diciembre ELECTRUM atacó la infraestructura energética polaca —por primera vez a esa escala resultaron afectadas fuentes de energía distribuidas: instalaciones eólicas y solares.
El problema del ransomware en la industria también alcanzó un nuevo nivel. En 2025 Dragos registró 119 agrupaciones que atacaron a 3 300 organizaciones industriales —un 49% más que el año anterior. Más de dos tercios de las víctimas son empresas manufactureras. No obstante, la estadística real probablemente está subestimada: muchos incidentes se clasifican erróneamente como «problemas de TI», aunque los afectados son servidores SCADA y estaciones de ingeniería. Las aseguradoras estiman que las pérdidas por esa clasificación incorrecta ascienden a decenas de miles de millones de dólares anuales.
Los datos de campo de Dragos confirman: la industria sigue siendo vulnerable a un nivel básico. En el 81% de las revisiones se detectó una segmentación débil de las redes de TI y OT, en el 88% de las organizaciones durante los ejercicios se identificaron brechas graves en la detección de amenazas, y el 73% de todos los incidentes investigados comenzaron con cuentas VPN comprometidas o credenciales de servidores intermedios. Solo el 46% de las organizaciones dispone de monitorización completa de la red en tiempo real —sin ella, reconstruir lo ocurrido tras un ataque es prácticamente imposible.