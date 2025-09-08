Este artículo se ha desarrollado con las contribuciones de Jeff Kuo y Kelsey Oliver.
Los actores de amenazas más sofisticados del mundo se mueven más rápido, operan de forma más silenciosa y apuntan al corazón mismo de la sociedad moderna: la tecnología operativa (OT) y la infraestructura crítica. Los hechos son claros: muchos ransomware, amenazas persistentes avanzadas (APT) y grupos de ciberdelincuencia van más allá del robo de datos, apuntando a la interrupción física e incluso al sabotaje. La convergencia de la TI y la TO, impulsada por las demandas empresariales, ha creado una superficie de ataque extensa y de alto riesgo. Las vulnerabilidades armadas (CVE) se están explotando a una velocidad vertiginosa, a menudo en cuestión de días u horas tras su divulgación.
Este blog fusiona la inteligencia de primera línea de IBM® X-Force y los nuevos datos de vulneración de datos relacionados con TO descubiertos durante la encuesta de "Cost of a Data Breach" de 2025.
Para el informe "Cost of a Data Breach" de 2025 de IBM, nuestros socios de investigación del Ponemon Institute estudiaron más de 6485 vulneraciones. De esas organizaciones, el 15 % indicó que el incidente afectó a su entorno de terapia ocupacional y, de ese grupo, casi una cuarta parte (23 %) informó que el incidente causó daños en sus sistemas o equipo de terapia ocupacional.
No sorprende que las organizaciones estén experimentando un impacto en sus entornos de TO como resultado de una vulneración. En los últimos años ha habido numerosos ejemplos de actores de amenazas que han causado perturbaciones en la TO en diversos sectores:
La sofisticación técnica y la persistencia de los adversarios modernos crean la posibilidad de una interrupción simultánea y multivectorial, con efectos en cascada sobre la seguridad física, el cumplimiento de la normativa (por ejemplo, NERC CIP, NIST CSF, IEC 62443), y la erosión de la confianza pública en las infraestructuras críticas.
Los adversarios actuales son más diversos, especializados y agresivos que nunca, y combinan los recursos de los Estados-nación, la innovación en materia de ciberdelincuencia y el oportunismo hacktivista. Sus guías de estrategias evolucionan constantemente, y nuevos grupos y alianzas se unen a los jugadores heredados para amenazar las infraestructuras críticas de todo el mundo.
Los actores de amenazas que buscan causar interrupciones operativas están atacando un espectro limitado de vulnerabilidades, afectando principalmente a dispositivos orientados al perímetro como concentradores VPN, pasarelas de escritorio remoto y convertidores de protocolos TO. Una vez convertidas en armas, estas CVE proporcionan a los atacantes la posibilidad de ejecutar código remoto sin autenticación, controlar dispositivos a nivel de root y, a menudo, eludir directamente los mecanismos heredados de autenticación y control de acceso. El impacto operativo se amplifica ya que muchas de estas vulnerabilidades permanecen sin parchear en entornos críticos debido a los requisitos de tiempo de actividad de los dispositivos, retrasos en los parches por parte del proveedor o brechas en la visibilidad de los activos.
Además, la convergencia de TI y TO, la proliferación de herramientas de gestión remota y la integración con terceros proveedores han creado nuevas vías laterales para los atacantes. Los socios de la cadena de suministro comprometidos o los integradores externos se aprovechan como puntos de entrada de confianza; los servicios de acceso remoto expuestos de los proveedores y los firewalls mal configurados erosionan aún más la segmentación estática. Los adversarios explotan los puentes TI/TO de confianza, los dispositivos de campo no seguros e incluso los ordenadores portátiles de mantenimiento para acceder directamente a las redes de control de procesos y a los sistemas de seguridad. Esta superficie de ataque en evolución hace que los modelos de seguridad perimetral heredados sean insuficientes, lo que enfatiza la necesidad de una monitorización dinámica de la red, el descubrimiento continuo de activos y una arquitectura basada en amenazas.
Los datos de la base de datos de vulnerabilidades de X-Force indican que se han divulgado 670 vulnerabilidades en el primer semestre de 2025 que podrían afectar a los entornos de TO y, de ellas, el 11 % tiene una clasificación de gravedad CVSS de "crítico" (puntuación CVSS entre 9,0 y 10,0). Además, una quinta parte (21 %) de las vulnerabilidades críticas tienen código de explotar disponible públicamente.
Ha habido ejemplos notables este año de la explotación crítica de vulnerabilidades de TO:
Estos ejemplos ilustran la importancia de mantenerse informado de qué vulnerabilidades pueden estar en los radares de los actores de amenazas. X-Force evaluó varios foros, mercados, canales de telegramas, salas de chat y debates en línea para revelar las CVE más mencionadas en el primer semestre de 2025 que podrían afectar a los entornos TO/ICS. Estos conocimientos podrían ayudar a las organizaciones en sus estrategias de gestión de parches.
De las diez principales CVE mencionadas divulgadas en el primer semestre de 2025 que podrían afectar a TO, el 90 % han sido explotadas activamente y el 70 % han sido explotadas activamente por APT. Por ejemplo, la CVE más mencionada, CVE-2025-0282, habría sido explotado por UNC5221, un “presunto actor de espionaje con nexo con China”. Esta vulnerabilidad permite que atacantes no autenticados obtengan una primera posición en la red interna detrás de un dispositivo vulnerable de Connect Secure VPN. Los atacantes podrían entonces moverse lateralmente en la red y afectar potencialmente a los sistemas de control industrial. Se informó que la segunda vulnerabilidad más mencionada, CVE-2025-31324, había sido explotada activamente por Chaya_004, “un actor de amenazas chino”. Esta vulnerabilidad que afecta a SAP NetWeaver Visual Composer podría permitir a un atacante ejecutar código de forma remota. Muchas organizaciones industriales aprovechan SAP para la planificación de recursos empresariales (ERP) y la gestión de la cadena de suministro (SCM), que pueden interactuar directamente con los sistemas TO o influir indirectamente en ellos.
2025 es un año decisivo para la seguridad de TO y las infraestructuras críticas. La convergencia de adversarios motivados entre Estados-nación, ecosistemas de ransomware en rápida evolución y la explotación persistente de un conjunto reducido de vulnerabilidades de alto impacto han expuesto debilidades fundamentales en entornos TO heredados. Los atacantes ahora evitan rutinariamente las defensas perimetrales tradicionales, aprovechando la conexión en la cadena de suministro, el robo de credenciales privilegiadas y movimientos laterales profundos para lograr resultados que paralizan el negocio e incluso son críticos para la seguridad.
Este panorama de amenazas requiere que las organizaciones reconsideren fundamentalmente cómo se gestiona el riesgo de TO. La ciberseguridad debe ir más allá del cumplimiento normativo y los controles de verificación, y avanzar hacia un modelo de defensa basado en la inteligencia y específico para cada sector. La supervivencia ya no consiste solo en impedir el acceso inicial; exige una detección rápida, una contención eficaz y una recuperación resiliente, todo ello respaldado por el compromiso continuo de los ejecutivos y el gobierno a nivel del consejo de administración.
La resiliencia operativa en 2026 y en adelante vendrá determinada por la capacidad de una organización para priorizar las vulnerabilidades adecuadas, simular escenarios de ataque reales, aplicar controles por capas e impulsar la responsabilidad en materia de ciberseguridad desde la sala de control hasta la sala de juntas. Lo que está en juego es existencial: la continuidad del servicio, el cumplimiento de la normativa, la seguridad física y la confianza pública dependen de una estrategia de ciberdefensa proactiva y adaptativa. Animamos a las organizaciones a que revisen las siguientes recomendaciones:
1. Hiperpriorización de la gestión de parches
2. Identificación de las amenazas a su sector
3. Equipo rojo, como ellos
4. Defensa por capas, no "seguridad de casillas de verificación"
5. Aceptación por parte de la junta directiva y pruebas en el mundo real
Boletín de Think
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Conozca las amenazas más recientes y refuerce sus defensas en la nube con el informe X-Force Cloud Threat Landscape Report.
Aprenda a superar los retos y a aprovechar la resiliencia de la IA generativa en materia de ciberseguridad.
Proteja su organización de las amenazas globales con el equipo de hackers, personal de respuesta, investigadores y analistas centrados en amenazas de IBM X-Force.
Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.
Proteja su entorno móvil con las completas soluciones de defensa frente a amenazas móviles de IBM MaaS360.
Obtenga soluciones integrales de gestión de amenazas para proteger de forma experta a su empresa de los ciberataques.