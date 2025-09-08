Los adversarios actuales son más diversos, especializados y agresivos que nunca, y combinan los recursos de los Estados-nación, la innovación en materia de ciberdelincuencia y el oportunismo hacktivista. Sus guías de estrategias evolucionan constantemente, y nuevos grupos y alianzas se unen a los jugadores heredados para amenazar las infraestructuras críticas de todo el mundo.

Los actores de amenazas que buscan causar interrupciones operativas están atacando un espectro limitado de vulnerabilidades, afectando principalmente a dispositivos orientados al perímetro como concentradores VPN, pasarelas de escritorio remoto y convertidores de protocolos TO. Una vez convertidas en armas, estas CVE proporcionan a los atacantes la posibilidad de ejecutar código remoto sin autenticación, controlar dispositivos a nivel de root y, a menudo, eludir directamente los mecanismos heredados de autenticación y control de acceso. El impacto operativo se amplifica ya que muchas de estas vulnerabilidades permanecen sin parchear en entornos críticos debido a los requisitos de tiempo de actividad de los dispositivos, retrasos en los parches por parte del proveedor o brechas en la visibilidad de los activos.

Además, la convergencia de TI y TO, la proliferación de herramientas de gestión remota y la integración con terceros proveedores han creado nuevas vías laterales para los atacantes. Los socios de la cadena de suministro comprometidos o los integradores externos se aprovechan como puntos de entrada de confianza; los servicios de acceso remoto expuestos de los proveedores y los firewalls mal configurados erosionan aún más la segmentación estática. Los adversarios explotan los puentes TI/TO de confianza, los dispositivos de campo no seguros e incluso los ordenadores portátiles de mantenimiento para acceder directamente a las redes de control de procesos y a los sistemas de seguridad. Esta superficie de ataque en evolución hace que los modelos de seguridad perimetral heredados sean insuficientes, lo que enfatiza la necesidad de una monitorización dinámica de la red, el descubrimiento continuo de activos y una arquitectura basada en amenazas.

Los datos de la base de datos de vulnerabilidades de X-Force indican que se han divulgado 670 vulnerabilidades en el primer semestre de 2025 que podrían afectar a los entornos de TO y, de ellas, el 11 % tiene una clasificación de gravedad CVSS de "crítico" (puntuación CVSS entre 9,0 y 10,0). Además, una quinta parte (21 %) de las vulnerabilidades críticas tienen código de explotar disponible públicamente.