El panorama de amenazas de tecnología operativa: Conocimientos de IBM X-Force

Especialista en tecnología operativa que trabaja en un centro de fabricación industrial

Este artículo se ha desarrollado con las contribuciones de Jeff Kuo y Kelsey Oliver.

Los actores de amenazas más sofisticados del mundo se mueven más rápido, operan de forma más silenciosa y apuntan al corazón mismo de la sociedad moderna: la tecnología operativa (OT) y la infraestructura crítica. Los hechos son claros: muchos ransomware, amenazas persistentes avanzadas (APT) y grupos de ciberdelincuencia van más allá del robo de datos, apuntando a la interrupción física e incluso al sabotaje. La convergencia de la TI y la TO, impulsada por las demandas empresariales, ha creado una superficie de ataque extensa y de alto riesgo. Las vulnerabilidades armadas (CVE) se están explotando a una velocidad vertiginosa, a menudo en cuestión de días u horas tras su divulgación. 

Este blog fusiona la inteligencia de primera línea de IBM® X-Force y los nuevos datos de vulneración de datos relacionados con TO descubiertos durante la encuesta de "Cost of a Data Breach" de 2025.

Conclusiones principales

  • Entre las organizaciones estudiadas como parte del informe sobre el coste de la vulneración de datos de este año, el 15 % experimentó incidentes de ciberseguridad que afectaron a su entorno de TO. De este grupo, casi una cuarta parte informó de que el incidente dañó sus sistemas o equipos de TO. Estos incidentes costaron de media 4,56 millones de USD, ligeramente más que la media global (4,44 millones de USD).
  • Los datos de la base de datos de vulnerabilidades de X-Force revelaron que, de las 670 vulnerabilidades reveladas en el primer semestre de 2025 que podrían afectar a TO, casi la mitad (49 %) tienen una clasificación de gravedad CVSS de "Crítico" o "Alto". Una quinta parte (21 %) de las vulnerabilidades críticas tienen código de explotación disponible públicamente.

El coste de una vulneración de TO

Para el informe "Cost of a Data Breach" de 2025 de IBM, nuestros socios de investigación del Ponemon Institute estudiaron más de 6485 vulneraciones. De esas organizaciones, el 15 % indicó que el incidente afectó a su entorno de terapia ocupacional y, de ese grupo, casi una cuarta parte (23 %) informó que el incidente causó daños en sus sistemas o equipo de terapia ocupacional.

Dos gráficos circulares ilustran resultados de la encuesta sobre incidentes de seguridad en entornos de TO. El primer gráfico muestra que el 15 % de las organizaciones experimentaron incidentes, mientras que el 85 % no. El segundo gráfico destaca que el 23 % de los incidentes causaron daños a los sistemas o equipos de TO, mientras que el 77 % no lo hicieron. Las imágenes utilizan segmentos morados y azules con etiquetas numéricas claras.

No sorprende que las organizaciones estén experimentando un impacto en sus entornos de TO como resultado de una vulneración. En los últimos años ha habido numerosos ejemplos de actores de amenazas que han causado perturbaciones en la TO en diversos sectores:

  • Desestabilización persistente de la red eléctrica y fallos coordinados en las subestaciones:
    Los atacantes están aprovechando con éxito el malware específico para ICS, la manipulación de protocolos (por ejemplo, los protocolos IEC 104 y DNP3) y los exploits de acceso remoto para provocar interrupciones y apagones en múltiples sitios de la red, lo que a menudo requiere la restauración manual de la red y afecta a millones de clientes de servicios públicos.
  • Compromiso sostenido de las operaciones de tratamiento de agua, producción de energía y fabricación:
    los actores de amenazas interrumpen los procesos centrales de TO manipulando los entornos SCADA y del controlador lógico programable (PLC), interfiriendo con la dosificación de productos químicos, la regulación del flujo y los controles de seguridad automatizados, lo que provoca ralentizaciones de la producción, incidentes o condiciones peligrosas para el personal de la planta.
  • Interrupciones generalizadas en las cadenas de suministro globales y la logística crítica:
    las campañas de ransomware y malware destructivo han paralizado almacenes automatizados, centros de distribución y sistemas de gestión de transporte, retrasando envíos, deteniendo la fabricación justo a tiempo y exponiendo a las organizaciones a pérdidas económicas y de reputación posteriores.

La sofisticación técnica y la persistencia de los adversarios modernos crean la posibilidad de una interrupción simultánea y multivectorial, con efectos en cascada sobre la seguridad física, el cumplimiento de la normativa (por ejemplo, NERC CIP, NIST CSF, IEC 62443), y la erosión de la confianza pública en las infraestructuras críticas.

El panorama de vulnerabilidades de TO

Los adversarios actuales son más diversos, especializados y agresivos que nunca, y combinan los recursos de los Estados-nación, la innovación en materia de ciberdelincuencia y el oportunismo hacktivista. Sus guías de estrategias evolucionan constantemente, y nuevos grupos y alianzas se unen a los jugadores heredados para amenazar las infraestructuras críticas de todo el mundo.

Los actores de amenazas que buscan causar interrupciones operativas están atacando un espectro limitado de vulnerabilidades, afectando principalmente a dispositivos orientados al perímetro como concentradores VPN, pasarelas de escritorio remoto y convertidores de protocolos TO. Una vez convertidas en armas, estas CVE proporcionan a los atacantes la posibilidad de ejecutar código remoto sin autenticación, controlar dispositivos a nivel de root y, a menudo, eludir directamente los mecanismos heredados de autenticación y control de acceso. El impacto operativo se amplifica ya que muchas de estas vulnerabilidades permanecen sin parchear en entornos críticos debido a los requisitos de tiempo de actividad de los dispositivos, retrasos en los parches por parte del proveedor o brechas en la visibilidad de los activos.

Además, la convergencia de TI y TO, la proliferación de herramientas de gestión remota y la integración con terceros proveedores han creado nuevas vías laterales para los atacantes. Los socios de la cadena de suministro comprometidos o los integradores externos se aprovechan como puntos de entrada de confianza; los servicios de acceso remoto expuestos de los proveedores y los firewalls mal configurados erosionan aún más la segmentación estática. Los adversarios explotan los puentes TI/TO de confianza, los dispositivos de campo no seguros e incluso los ordenadores portátiles de mantenimiento para acceder directamente a las redes de control de procesos y a los sistemas de seguridad. Esta superficie de ataque en evolución hace que los modelos de seguridad perimetral heredados sean insuficientes, lo que enfatiza la necesidad de una monitorización dinámica de la red, el descubrimiento continuo de activos y una arquitectura basada en amenazas.

Los datos de la base de datos de vulnerabilidades de X-Force indican que se han divulgado 670 vulnerabilidades en el primer semestre de 2025 que podrían afectar a los entornos de TO y, de ellas, el 11 % tiene una clasificación de gravedad CVSS de "crítico" (puntuación CVSS entre 9,0 y 10,0). Además, una quinta parte (21 %) de las vulnerabilidades críticas tienen código de explotar disponible públicamente.

Dos gráficos circulares ilustran los datos sobre las vulnerabilidades en los entornos de TO. El primer gráfico clasifica las vulnerabilidades por calificación CVSS, mostrando porcentajes para niveles bajo, medio, alto y crítico. El segundo gráfico destaca el porcentaje de vulnerabilidades críticas con código de explotar disponible públicamente, marcado en un 21 %. Las imágenes utilizan tonos de azul y morado para diferenciarse.

Ha habido ejemplos notables este año de la explotación crítica de vulnerabilidades de TO:

  • En mayo de 2025, los actores de amenazas explotaron una vulnerabilidad crítica de ejecución remota de código en el daemon SSH Erlang/OTP (CVE-2025-32433), que permite a usuarios no autenticados ejecutar comandos arbitrarios. Alrededor del 70 % de los intentos de ataque se dirigieron a firewalls y entornos de TO
  • El NCSC neerlandés confirmó que los atacantes habían estado explotando CVE-2025-6543, un fallo grave en los productos Citrix NetScaler ADC y Gateway, como un día cero desde principios de mayo de 2025, antes de la divulgación pública. Esto permitió a los atacantes implementar web shells, establecer acceso persistente y potencialmente interrumpir VPN y pasarelas de acceso remoto en sectores críticos.
  • En mayo de 2025, el fabricante de acero Nucor detuvo la producción en varias instalaciones tras una violación de ciberseguridad. La intrusión implicó el acceso no autorizado a los sistemas informáticos internos, lo que provocó el apagado como medida de precaución. Aunque se clasifica como centrada en TI, la interrupción afectó directamente a las operaciones industriales y subraya el estrecho acoplamiento entre los dominios de TI y TO.

Estos ejemplos ilustran la importancia de mantenerse informado de qué vulnerabilidades pueden estar en los radares de los actores de amenazas. X-Force evaluó varios foros, mercados, canales de telegramas, salas de chat y debates en línea para revelar las CVE más mencionadas en el primer semestre de 2025 que podrían afectar a los entornos TO/ICS.  Estos conocimientos podrían ayudar a las organizaciones en sus estrategias de gestión de parches.

Un gráfico de barras que muestra las diez CVE más mencionadas que podrían afectar a los entornos TO/ICS en el primer semestre de 2025. El gráfico destaca identificadores CVE como CVE-2025-0228 y CVE-2025-3124, con recuentos de menciones que van de 75 a 1830. Las barras horizontales representan el número de menciones para cada CVE, enfatizando su importancia relativa.

De las diez principales CVE mencionadas divulgadas en el primer semestre de 2025 que podrían afectar a TO, el 90 % han sido explotadas activamente y el 70 % han sido explotadas activamente por APT. Por ejemplo, la CVE más mencionada, CVE-2025-0282, habría sido explotado por UNC5221, un “presunto actor de espionaje con nexo con China”. Esta vulnerabilidad permite que atacantes no autenticados obtengan una primera posición en la red interna detrás de un dispositivo vulnerable de Connect Secure VPN. Los atacantes podrían entonces moverse lateralmente en la red y afectar potencialmente a los sistemas de control industrial. Se informó que la segunda vulnerabilidad más mencionada, CVE-2025-31324, había sido explotada activamente por Chaya_004, “un actor de amenazas chino”. Esta vulnerabilidad que afecta a SAP NetWeaver Visual Composer podría permitir a un atacante ejecutar código de forma remota. Muchas organizaciones industriales aprovechan SAP para la planificación de recursos empresariales (ERP) y la gestión de la cadena de suministro (SCM), que pueden interactuar directamente con los sistemas TO o influir indirectamente en ellos.

Más allá de la detección: defensa de nueva generación contra los adversarios modernos

2025 es un año decisivo para la seguridad de TO y las infraestructuras críticas. La convergencia de adversarios motivados entre Estados-nación, ecosistemas de ransomware en rápida evolución y la explotación persistente de un conjunto reducido de vulnerabilidades de alto impacto han expuesto debilidades fundamentales en entornos TO heredados. Los atacantes ahora evitan rutinariamente las defensas perimetrales tradicionales, aprovechando la conexión en la cadena de suministro, el robo de credenciales privilegiadas y movimientos laterales profundos para lograr resultados que paralizan el negocio e incluso son críticos para la seguridad.

Este panorama de amenazas requiere que las organizaciones reconsideren fundamentalmente cómo se gestiona el riesgo de TO. La ciberseguridad debe ir más allá del cumplimiento normativo y los controles de verificación, y avanzar hacia un modelo de defensa basado en la inteligencia y específico para cada sector. La supervivencia ya no consiste solo en impedir el acceso inicial; exige una detección rápida, una contención eficaz y una recuperación resiliente, todo ello respaldado por el compromiso continuo de los ejecutivos y el gobierno a nivel del consejo de administración.

La resiliencia operativa en 2026 y en adelante vendrá determinada por la capacidad de una organización para priorizar las vulnerabilidades adecuadas, simular escenarios de ataque reales, aplicar controles por capas e impulsar la responsabilidad en materia de ciberseguridad desde la sala de control hasta la sala de juntas. Lo que está en juego es existencial: la continuidad del servicio, el cumplimiento de la normativa, la seguridad física y la confianza pública dependen de una estrategia de ciberdefensa proactiva y adaptativa. Animamos a las organizaciones a que revisen las siguientes recomendaciones:

1. Hiperpriorización de la gestión de parches

  • Parchee como si su negocio dependiera de ello, porque así es. Priorice las vulnerabilidades que se están explotando activamente. Utilice el Known Exploited Vulnerabilities (KEV) Catalog de CISA, MITRE, fuentes de inteligencia de amenazas y avisos de proveedores como su lista de "cosas por hacer".
  • Si se retrasa la aplicación de los parches, implemente la segmentación de la red, la lista de aplicaciones permitidas y aumente la monitorización de las anomalías TO/ICS.

2. Identificación de las amenazas a su sector

  • Considere la posibilidad de obtener una evaluación estratégica de las amenazas de su organización para comprender las amenazas que tienen más probabilidades de afectar a su entorno en función de su sector y de la zona geográfica en la que opere.
  • Utilice MITRE ATT&CK Matrix for ICS y las alertas ISAC del sector (es decir, E-ISAC, MFG-ISAC, Water-ISAC) para identificar las TTP relevantes para su negocio.

3. Equipo rojo, como ellos

4. Defensa por capas, no "seguridad de casillas de verificación"

  • Segregue TI y TO, use firewalls, DMZ, pasarelas unidireccionales.
  • Aplique MFA, cambie las credenciales y prohíba los inicios de sesión compartidos en las estaciones de trabajo de ingeniería.
  • Invierta en la detección de anomalías y en la inspección profunda pasiva de paquetes (DPI) para TO y establezca una guía de estrategias de respuesta a incidentes.

5. Aceptación por parte de la junta directiva y pruebas en el mundo real

  • Trate la seguridad TO como una prioridad de alto nivel: el riesgo TO no es solo un problema de TI, sino una cuestión fundamental para el negocio y la seguridad. La participación a nivel de junta directiva y el patrocinio ejecutivo en esta área no son negociables en 2025. Ponga a prueba sus operaciones de gestión de crisis cibernéticas en una experiencia altamente inmersiva basada en escenarios reales de adversarios.

