Escenario de amenazas de tecnología operativa: insights de IBM X-Force

Especialista en tecnología operativa que trabaja en un centro de fabricación industrial

Este artículo se ha elaborado con la colaboración de Jeff Kuo y Kelsey Oliver.

Los actores de amenazas más sofisticados del mundo se están moviendo más rápido, operando de manera más silenciosa y apuntando al corazón de la sociedad moderna: la tecnología operativa (OT) y la infraestructura crítica. Los hechos son claros: muchos ransomware, amenazas persistentes avanzadas (APT) y grupos de delitos cibernéticos van más allá del robo de datos, apuntando a la interrupción física e incluso al sabotaje. La convergencia de TI y OT, impulsada por las demandas del negocio, ha creado una superficie de ataque extensa y de alto riesgo. Las vulnerabilidades armadas (CVE) se están explotando a una velocidad vertiginosa, a menudo en cuestión de días u horas tras su divulgación. 

Este blog combina la inteligencia de primera línea de IBM X-Force y los nuevos datos sobre violaciones de seguridad relacionadas con la tecnología operativa (OT) descubiertos durante la encuesta Costo de una filtración de datos en 2025.

Principales conclusiones

  • Entre las organizaciones estudiadas como parte del Informe sobre el costo de las violaciones de datos de este año, 15% sufrieron incidentes de ciberseguridad que afectaron a su entorno OT. De este grupo, casi una cuarta parte informó que el incidente dañó sus sistemas o equipamiento de OT. Estos incidentes cuestan en promedio 4.56 millones de dólares, un poco más que el promedio global (4.44 millones de dólares).
  • Los datos de la base de datos de vulnerabilidades de X-Force revelaron que de las 670 vulnerabilidades reveladas en el primer semestre de 2025 que podrían afectar a OT, casi la mitad (49%) tiene una clasificación de gravedad CVSS de “Crítica” o “Alta”. Una quinta parte (21%) de las vulnerabilidades críticas tienen código de explotación disponible públicamente.

El costo de una filtración de OT

Para el Informe del costo de una filtración de datos 2025 de IBM, nuestros socios de investigación del Ponemon Institute estudiaron más de 6485 violaciones. De esas organizaciones, el 15% indicó que el incidente afectó a su entorno OT y, de ese grupo, casi una cuarta parte (23%) informó que el incidente causó daños en sus sistemas o equipamiento.

Dos gráficos circulares ilustran eesultados de la encuesta sobre incidentes de seguridad en entornos de OT. El primer gráfico muestra que el 15 % de las organizaciones experimentaron incidentes, mientras que el 85 % no. El segundo gráfico destaca que el 23 % de los incidentes causaron daños a los sistemas o equipamiento de OT, mientras que el 77 % no. Las imágenes utilizan segmentos morados y azules con etiquetas numéricas claras.

No es de extrañar que las organizaciones estén teniendo una experiencia en sus entornos OT como resultados de una violación de seguridad. Ha habido numerosos ejemplos en los últimos años de actores de amenazas que causan disrupción de OT en varias industrias:

  • Desestabilización persistente de la red eléctrica y fallos coordinados en las subestaciones:
    Los atacantes están aprovechando con éxito el malware, la manipulación de protocolos (por ejemplo, los protocolos IEC 104 y DNP3) y los exploits de acceso remoto para provocar interrupciones y apagones en múltiples sitios de la red, lo que a menudo requiere la restauración manual de la red y afecta a millones de clientes de servicios públicos.
  • Compromiso sostenido de las operaciones de tratamiento de agua, producción de energía y fabricación:
    los actores de amenazas afectan los procesos centrales de OT manipulando los entornos SCADA y controlador lógico programable (PLC), interfiriendo con la dosificación química, la regulación del flujo y los controles de seguridad automatizados, lo que resulta en ralentizaciones de la producción, incidentes o condiciones peligrosas para el personal de la planta.
  • Interrupciones generalizadas en las cadenas de suministro globales y logística crítica:
    las campañas de ransomware y malware han paralizado almacenes automatizados, centros de distribución y sistemas de gestión de transporte, retrasando envíos, deteniendo la fabricación justo a tiempo y exponiendo a las organizaciones a pérdidas económicas y de reputación posteriores.

La sofisticación técnica y la persistencia de los adversarios modernos crean el potencial de una interrupción simultánea y multivectorial, con efectos en cadena sobre la seguridad física, el cumplimiento normativo (por ejemplo, NERC CIP, NIST CSF, IEC 62443) y la erosión de la confianza pública en las infraestructuras críticas.

El panorama de vulnerabilidades de OT

Los adversarios de hoy son más diversos, especializados y agresivos que nunca, y combinan recursos del estado nación, innovación en ciberdelincuencia y oportunismo hacktivista. Sus playbooks están en constante evolución, con nuevos grupos y alianzas que se unen a los jugadores existentes para amenazar la infraestructura crítica en todo el mundo.

Los actores de amenazas que buscan causar interrupciones operativas se dirigen a un espectro reducido de vulnerabilidades, que afectan predominantemente a dispositivos orientados al perímetro, como concentradores de VPN, puertas de enlace de escritorio remoto y convertidores de protocolos OT. Estas CVE, una vez armadas, proporcionan a los atacantes ejecución remota de código no autenticado, control de dispositivos a nivel raíz y, a menudo, permiten eludir directamente los mecanismos heredados de autenticación y control de acceso. El impacto operacional se amplifica ya que muchas de estas vulnerabilidades permanecen sin parches en entornos críticos debido a los requerimientos de tiempo de actividad de los dispositivos, los retrasos en los parches de los proveedores o las brechas de visibilidad de los activos.

Además, la convergencia de TI y OT, la proliferación de herramientas de gestión remota y la integración con proveedores externos han creado nuevas vías laterales para los atacantes. Los socios de la cadena de suministro comprometidos o los integradores externos se aprovechan como puntos de entrada confiables; los servicios de acceso remoto de proveedores expuestos y los cortafuegos mal configurados erosionan aún más la segmentación estática. Los adversarios explotan puentes de TI/OT confiables, dispositivos de campo no seguros e incluso computadoras portátiles de mantenimiento para obtener acceso directo a redes de control de procesos y sistemas de seguridad. Esta superficie de ataque en constante evolución hace que los modelos de seguridad perimetral heredados resulten insuficientes, lo que pone de relieve la necesidad de una supervisión dinámica de la red, un descubrimiento continuo de activos y una arquitectura informada por amenazas.

Los datos de la Base de Datos de Vulnerabilidades X-Force indican que se han dado a conocer 670 vulnerabilidades en el H1 2025 que podrían afectar entornos OT y de ellas, el 11% tiene una calificación de gravedad CVSS de “crítica” (puntuación CVSS entre 9.0-10.0). Además, una quinta parte (21%) de las vulnerabilidades críticas tienen código de explotación disponible públicamente.

Dos gráficos circulares ilustran los datos sobre vulnerabilidades en entornos de OT. El primer gráfico clasifica las vulnerabilidades por calificación CVSS, mostrando porcentajes para niveles bajo, medio, alto y crítico. El segundo gráfico destaca el porcentaje de vulnerabilidades críticas con código de exploit disponible públicamente, marcado como 21 %. Las imágenes utilizan tonos de azul y morado para diferenciarse.

Ha habido ejemplos notables este año de la explotación de vulnerabilidades críticas de OT:

  • En mayo de 2025, los actores de amenazas explotaron una vulnerabilidad crítica de ejecución remota de código en el daemon SSH Erlang/OTP (CVE-2025-32433), que permite a usuarios no autenticados ejecutar comandos arbitrarios. Alrededor del 70% de los intentos de ataque se dirigieron a cortafuegos y entornos de OT
  • El NCSC holandés confirmó que los atacantes habían estado explotando CVE-2025-6543, una grave vulnerabilidad en los productos Citrix NetScaler ADC y Gateway, como un zero-day desde principios de mayo de 2025, antes de su divulgación pública. Esto permitió a los atacantes desplegar web shells, establecer acceso persistente y potencialmente interrumpir VPN y puertas de enlace de acceso remoto en sectores críticos.
  • En mayo de 2025, el fabricante de acero Nucor detuvo la producción en varias instalaciones tras una violación de seguridad cibernética. La intrusión implicó el acceso no autorizado a los sistemas informáticos internos, lo que provocó cierres como medida de precaución. Aunque se clasificó como un incidente centrado en la informática, la interrupción afectó directamente a las operaciones industriales y pone de relieve la estrecha relación entre los ámbitos de la informática y la tecnología operativa.

Estos ejemplos ilustran la importancia de mantenerse informado sobre qué vulnerabilidades pueden estar en los radares de los actores de amenazas. X-Force evaluó varios foros en línea, mercados, canales de Telegram, salas de chat y debates para revelar las CVE más mencionadas en el primer semestre de 2025 que podrían afectar los entornos OT/ICS.  Estos insights podrían ayudar a las organizaciones con sus estrategias de gestión de parches.

Un gráfico de barras que visualiza las 10 CVE más mencionadas que podrían afectar los entornos OT/ICS en el primer semestre de 2025. El gráfico destaca los identificadores CVE, como CVE-2025-0228 y CVE-2025-3124, con recuentos de menciones que van de 75 a 1830. Las barras horizontales representan el número de menciones para cada CVE, enfatizando su importancia relativa.

De las 10 CVE principales mencionadas divulgadas en el primer semestre de 2025 que podrían afectar a OT, el 90% han sido explotadas activamente y el 70% han sido explotadas activamente por APT. Por ejemplo, el CVE más mencionado, CVE-2025-0282, habría sido explotado por UNC5221, un “presunto actor de espionaje con nexos con China”. Esta vulnerabilidad permite a los atacantes no autenticados obtener una posición inicial en la red interna detrás de un dispositivo Connect Secure VPN vulnerable. Los atacantes podrían moverse lateralmente hacia la red y afectar potencialmente los sistemas de control industrial. Se informó que la segunda vulnerabilidad más mencionada, CVE-2025-31324, fue explotada activamente por Chaya_004, “un actor de amenazas chino”. Esta vulnerabilidad que afecta a SAP NetWeaver Visual Composer podría permitir a un atacante ejecutar código de forma remota. Muchas organizaciones industriales aprovechan SAP para la planificación de recursos empresariales (ERP) y la gestión de la cadena de suministro (SCM), que pueden interactuar directamente con los sistemas OT o influir indirectamente en ellos.

Más allá de la detección: defensa de próxima generación contra los adversarios modernos

2025 es un año decisivo para la seguridad de OT y de infraestructuras críticas. La convergencia de adversarios motivados por el estado-nación, los ecosistemas de ransomware en rápida evolución y la explotación persistente de un conjunto reducido de vulnerabilidades de alto impacto han expuesto debilidades fundamentales en entornos OT existentes. Los atacantes ahora evitan rutinariamente las defensas perimetrales tradicionales, aprovechando la conexión en la cadena de suministro, el robo de credenciales privilegiadas y movimientos laterales profundos para lograr resultados que paralizan el negocio e incluso son críticos para la seguridad.

Este escenario de amenazas requiere que las organizaciones replanteen fundamentalmente cómo se gestiona el riesgo de OT. La ciberseguridad debe ir más allá del cumplimiento y los controles de casillas de verificación hacia un modelo de defensa basado en inteligencia y específico del sector. La supervivencia ya no se trata solo de evitar el acceso inicial; exige una detección rápida, una contención eficaz y una recuperación resiliente, todo ello respaldado por la participación ejecutiva continua y la gobernanza a nivel de directorio.

La resiliencia operativa en 2026 y en adelante estará determinada por la capacidad de una organización para priorizar las vulnerabilidades correctas, simular escenarios de ataque del mundo real, aplicar controles en capas e impulsar la propiedad de la ciberseguridad desde la sala de control hasta la sala de juntas. Las apuestas son existenciales: la continuidad del servicio, el cumplimiento normativo, la seguridad física y la confianza pública dependen de una estrategia proactiva y adaptativa de ciberdefensa de OT. Animamos a las organizaciones a revisar las siguientes recomendaciones:

1. Priorizar al máximo la gestión de parches

  • Parche como si su negocio dependiera de ello, porque así es. Priorice las vulnerabilidades que se están explotando activamente. Utilice el catálogo de vulnerabilidades conocidas y explotadas (KEV) de CISA, MITRE, fuentes de inteligencia de amenazas y avisos de proveedores como su lista de "cosas por hacer".
  • Si la aplicación de parches se retrasa, despliegue la segmentación de la red, la lista de aplicaciones permitidas y aumente la supervisión de anomalías de OT/ICS.

2. Mapee las amenazas a su sector

  • Considere la posibilidad de obtener una evaluación estratégica de amenazas de su organización para comprender las amenazas con mayor probabilidad de impactar su entorno en función de su industria y de dónde opera geográficamente.
  • Emplee MITRE ATT&CK Matrix para ICS y alertas ISAC del sector (es decir, E-ISAC, MFG-ISAC, Water-ISAC) para mapear los TTP relevantes para su negocio.

3. Tenga un equipo rojo como ellos

4. Defensa por capas, no “seguridad de casillas de verificación”

  • Separe TI y OT, use cortafuegos, DMZ, puertas de enlace unidireccionales.
  • Aplique MFA, rote las credenciales y prohíba los inicios de sesión compartidos en las estaciones de trabajo de ingeniería.
  • Invierta en detección de anomalías e inspección profunda pasiva de paquetes DPI para OT y establezca playbooks de respuesta a incidentes.

5. Aceptación a nivel directivo y pruebas en el mundo real

  • Trate la seguridad de OT como un imperativo de nivel C: el riesgo de OT no es solo un problema de TI, es una actividad principal y de seguridad. El compromiso a nivel de la junta directiva y el patrocinio ejecutivo en esta área no son negociables en 2025. Ponga a prueba sus operaciones de gestión de crisis cibernéticas en una experiencia altamente inmersiva basada en escenarios adversos reales.

