Ciberseguridad industrial: por una Industria 4.0 resiliente

En los entornos industriales, el ransomware se ha convertido en la forma de ataque más extendida, ya que aprovecha un punto débil especialmente eficaz: la necesidad de mantener la continuidad de las operaciones. El objetivo de los atacantes no es solo cifrar los datos, sino desorganizar los sistemas necesarios para el funcionamiento normal de la actividad, con el fin de obligar a la empresa a pagar un rescate para restablecer la situación lo antes posible.

El impacto final no se dirige necesariamente a los propios controladores, sino a los sistemas de apoyo indispensables para el funcionamiento industrial: servidores de supervisión SCADA, sistemas de gestión de la producción, herramientas logísticas o infraestructuras de red. Al cifrar elementos críticos como el «Master Boot Record» (MBR), indispensable para el arranque del sistema operativo, los atacantes pueden inutilizar estos sistemas, ocasionando así una parada total o un grave deterioro de la producción.

Datos destacados: según el informe «The State of Ransomware in Manufacturing and Production» de Sophos⁽¹⁾, la economía del ransomware en la industria sigue siendo muy tangible: en 2025, la demanda media de rescate en el sector de la fabricación alcanzó los 1,2 millones de dólares. Al mismo tiempo, el pago sigue siendo una realidad operativa: El 51 % de las organizaciones del sector afirma haber pagado el rescate exigido para recuperar sus datos.

Algunos ciberataques se inscriben en una lógica de acoso deliberado en la que el objetivo no es ni el rescate ni el robo de datos, sino la perturbación duradera de las actividades económicas y las infraestructuras críticas. En este contexto, el cibersabotaje se convierte en una herramienta completa para ejercer presión política, ideológica o estratégica, especialmente cuando lo utilizan o se benefician de él intereses estatales.

Desde el inicio del conflicto en Ucrania, varios analistas advierten sobre la intensificación de la estrategia de guerra híbrida llevada a cabo por Rusia. Un informe publicado en 2025 por el Instituto Internacional de Estudios Estratégicos ⁽²⁾ —«The Scale of Russian Sabotage Operations Against Europe’s Critical Infrastructure»— documenta en detalle esta evolución y sus implicaciones para las infraestructuras europeas.

Mediante una combinación de acciones informativas, presiones económicas y operaciones cibernéticas dirigidas contra infraestructuras civiles e industriales, el objetivo es múltiple: debilitar el tejido económico europeo y demostrar una capacidad de causar daño de forma permanente. En este sentido, los sectores industrial, energético, del agua, del transporte y de la logística constituyen objetivos prioritarios debido a su papel fundamental y a su sensibilidad operativa.

Destacado: en los Países Bajos, el servicio de inteligencia militar neerlandés, el MIVD⁽³⁾, reveló que un grupo vinculado a Rusia había intentado comprometer el sistema de control de una infraestructura pública en abril de 2025. Aunque el impacto operativo inmediato se ha calificado de limitado, se trata del primer caso documentado de cibersabotaje dirigido contra un sistema operativo en el país. Para las autoridades neerlandesas, el objetivo era el posicionamiento previo en infraestructuras críticas, con vistas a posibles perturbaciones futuras.

Esta estrategia se hace aún más evidente en los países que se encuentran en primera línea. En agosto de 2025, las autoridades polacas anunciaron que habían frustrado un ciberataque de gran envergadura dirigido contra el sistema de distribución de agua de una gran ciudad⁽⁴⁾. El ministro polaco de digitalización también señaló que el país se enfrenta a unos 300 intentos de ciberataque al día.

Además de los actos de sabotaje, la industria también debe hacer frente al ciberespionaje. El objetivo principal es identificar qué es lo que constituye la ventaja competitiva de una organización. Esto puede referirse a conocimientos técnicos (procesos de fabricación, propiedad intelectual, métodos de control de calidad), datos de producción (parámetros de ajuste, tolerancias, rendimiento, historiales de defectos) o incluso a elementos de investigación y desarrollo e ingeniería (planos, esquemas, documentación técnica). El interés de los atacantes radica también en que esta información tiene cierta vigencia: puede servir de base a un competidor, acelerar la reproducción de un producto o facilitar acciones posteriores al proporcionar una comprensión de las arquitecturas industriales y sus dependencias críticas.

El carácter «persistente» de estas intrusiones es fundamental. Las campañas de espionaje se caracterizan por la discreción, la duración y la recopilación progresiva: el atacante busca mantenerse en el sistema sin activar ninguna alarma, ampliar su acceso y, a continuación, extraer datos de forma regular.

Destacado: las campañas documentadas en los últimos años muestran este patrón. A finales de 2023, el Equipo de Investigación e Inteligencia de BlackBerry⁽⁵⁾ describió a un actor denominado AeroBlade implicado en una operación de ciberespionaje comercial dirigida contra una organización del sector aeroespacial estadounidense.

Más recientemente, Proofpoint ha alertado sobre una intensificación de las operaciones de espionaje vinculadas a China dirigidas al ecosistema de semiconductores de Taiwán⁽⁶⁾ entre marzo y junio de 2025, con entre 15 y 20 organizaciones afectadas, entre las que se incluyen actores de la cadena de valor y analistas.

Para crear una ciberseguridad industrial resiliente es necesario adoptar un enfoque integral —técnico, organizativo y humano— adaptado a las limitaciones específicas de los sistemas de control industrial.

• Estructurar la gobernanza y evaluar los riesgos de las tecnologías operativas: el primer paso consiste en tener una visión clara de la situación actual. Un diagnóstico de TO permite identificar los equipos, los flujos y las dependencias críticas para, a continuación, evaluar los riesgos por proceso de negocio. Este enfoque, en consonancia con el método de clasificación de la ANSSI⁽⁷⁾, ayuda a identificar los activos cuya indisponibilidad tendría consecuencias graves para la seguridad o la continuidad de las operaciones. Debe integrarse en un modelo de gobernanza compartida, que aúne a los responsables de la dirección industrial, las tecnologías de la información y la seguridad, con el fin de priorizar los esfuerzos y arbitrar las decisiones en materia de protección;
• Segmentar las redes para contener los ataques: esta estrategia, basada en el modelo de referencia Purdue⁽⁸⁾, permite organizar la arquitectura de una planta en niveles diferenciados, desde los equipos de campo y los controladores lógicos programables hasta los sistemas informáticos de la empresa. Este enfoque evita las comunicaciones directas entre los entornos ofimáticos y los sistemas de control. En este contexto, la implantación de cortafuegos y de una DMZ —una zona intermedia segura entre la TI y la TO— permite controlar los flujos autorizados y contener los ataques. Dentro de los talleres, la compartimentación de las células de producción también limita la propagación de un incidente;
• Reforzar la supervisión y la detección: en entornos en los que la tolerancia a las interrupciones es baja, la detección temprana es fundamental. Las herramientas de supervisión de TO, como los sensores IDS/IPS compatibles con los protocolos industriales, permiten identificar rápidamente comportamientos anómalos en las redes de control. La integración de los registros de TO en un SIEM («Security Information and Event Management») o un SOC, o incluso en enfoques XDR que abarquen tanto el ámbito de TI como el de TO, mejora la capacidad de correlacionar eventos y reaccionar de manera eficaz;
• Aplicar medidas de protección adecuadas: la segmentación debe ir acompañada de un refuerzo de la seguridad de los sistemas industriales. Esto implica el control de los puertos USB mediante estaciones de prueba, actualizaciones programadas cuando las restricciones operativas lo permitan y una gestión controlada de las vulnerabilidades de la TO. Los accesos remotos, en particular los de los proveedores de mantenimiento, deben estar estrictamente regulados mediante mecanismos de autenticación fuerte y VPN seguras. Por otra parte, deben mantenerse sistemas de seguridad independientes para evitar cualquier impacto físico en caso de incidente cibernético;
• Prepararse para situaciones de emergencia e invertir en capital humano: la resiliencia también se basa en la previsión. Debe elaborarse y someterse a pruebas periódicas un plan de respuesta a incidentes de TI, en consonancia con el plan de continuidad del negocio. Los simulacros de crisis, las pruebas de restauración de copias de seguridad sin conexión y la coordinación con las autoridades competentes son fundamentales para reducir el tiempo de inactividad. Esta preparación debe ir acompañada de medidas de sensibilización y de formación cruzada entre los equipos de TI y de TO.

La protección de los entornos de TO ya no es una cuestión puramente técnica, sino una decisión de gestión que compromete a toda la organización.

Orange Cyberdefense ayuda a las empresas industriales a proteger sus cadenas de producción, desde la evaluación de riesgos de la TO hasta la detección de amenazas, pasando por la gobernanza de TI/TO y la gestión de incidentes. Anticípate a los riesgos, protege tu producción y emprende con confianza tu transformación industrial de forma sostenible.

Lee aquí el primer artículo de nuestra serie de dos partes sobre la seguridad de la smart factory.

O accede a nuestro informe Security Navigator Business Leaders 2026 haciendo clic en el botón más adelante para obtener más información sobre las principales tendencias, amenazas y ciberataques que afectan a la economía y a la industria.