Amenazas para las empresas industriales en 2025

Nuestros expertos señalan a qué deben estar atentas las empresas industriales y cuáles son los principales impulsores del desarrollo del panorama mundial de las ciberamenazas.

ciberamenazas industriales en 2025

Principales impulsores del desarrollo del panorama mundial de las ciberamenazas:

A la caza de innovaciones

Las innovaciones están cambiando nuestras vidas. Hoy, el mundo está en el umbral de otra revolución técnica. El acceso a las nuevas tecnologías es un billete hacia el futuro, una garantía de prosperidad económica y soberanía política. Por ello, muchos países buscan su camino en el nuevo orden tecnológico, invirtiendo en investigación y desarrollos prometedores en diversos ámbitos: IA y aprendizaje automático, computación cuántica, electrónica óptica, nuevos materiales, fuentes de energía y tipos de motores, satélites y telecomunicaciones, genética, biotecnología y medicina.

En términos de ciberseguridad, el creciente interés por la innovación significa que las APT se están centrando en instituciones y empresas dedicadas a la investigación y el desarrollo de nuevas tecnologías. A medida que crece la demanda de conocimientos técnicos, los grupos de ciberdelincuentes de élite -como las principales bandas de ransomware y los hacktivistas- también se unen al juego, a la caza de los secretos comerciales de las empresas innovadoras líderes.

Las empresas industriales deben tener en cuenta que esta información puede ser incluso más fácil de acceder y filtrar desde la planta de producción que desde los perímetros de las redes de los laboratorios de investigación y las oficinas. La cadena de suministro y la red de socios de confianza también son objetivos potenciales muy lógicos.

Barreras creadas intencionadamente y guerras de sanciones

El aumento de las turbulencias geopolíticas, las guerras de sanciones y la restricción artificial del acceso a tecnologías eficientes están impulsando la violación de los derechos de propiedad intelectual de las principales empresas. Esto puede dar lugar a los siguientes riesgos de seguridad:

  • Los desarrolladores y proveedores de tecnología de OT se enfrentan al problema de que los mecanismos existentes incorporados a sus productos pueden haber dejado de salvaguardar eficazmente su propiedad intelectual.
  • Los cracks, los parches de terceros y otras formas diversas de eludir las restricciones de las licencias suponen un aumento de los riesgos de ciberseguridad dentro del perímetro de OT.
  • Además de robar documentación relacionada con desarrollos tecnológicos de vanguardia, los atacantes seguirán a la caza de conocimientos técnicos, por ejemplo, recopilando modelos 3D/físicos y diseños CAD/CAM, como vimos en los ataques de Librarian Ghouls.
  • Los programas PLC, los proyectos SCADA y otras fuentes de información sobre procesos tecnológicos almacenados en activos OT también pueden convertirse en otro objetivo para los actores maliciosos.

Las nuevas tecnologías implican nuevos ciberriesgos

Cuando se prueba algo completamente nuevo, siempre hay que esperar algunas consecuencias inesperadas además de los beneficios prometidos. Hoy en día, muchas empresas industriales están siguiendo el ritmo de organizaciones de otros sectores (por ejemplo, financiero o retail) en la aplicación de innovaciones informáticas, como la realidad aumentada y la computación cuántica.

Como en muchos otros campos, el mayor aumento de la eficiencia se espera del uso generalizado de los sistemas de aprendizaje automático e inteligencia artificial, incluida su aplicación directa en la producción, a la hora de retocar y ajustar el control de los procesos tecnológicos.

Ya en la actualidad, el uso de estos sistemas en determinadas instalaciones, como la metalurgia no ferrosa, puede aumentar la producción final de productos en unos mil millones de dólares al año. Una vez que una empresa experimenta tal aumento de eficiencia, ya no hay vuelta atrás: un sistema de este tipo se convertirá en un activo de producción esencial.

Esto puede afectar al panorama de las amenazas industriales de varias maneras:

  • El uso inadecuado de las tecnologías de IA en los procesos informáticos y operativos de las empresas industriales puede dar lugar a la divulgación involuntaria de información confidencial (por ejemplo, al ser introducida en un conjunto de datos de entrenamiento de un modelo) y a nuevas amenazas para la seguridad. Actualmente es difícil evaluar la gravedad y la probabilidad de algunas de estas amenazas.
  • Tanto los sistemas de IA como los datos empresariales únicos que utilizan (ya sea en su forma bruta -datos históricos de telemetría- utilizados como conjunto de datos de entrenamiento, o como pesos de una red neuronal incorporados al modelo de IA), si se convierten en activos cruciales, pueden ser ahora nuevos objetivos de ciberataques. Por ejemplo, si los sistemas o los datos son bloqueados por los atacantes, pueden ser imposibles de restaurar. Además, atacar estos sistemas puede no plantear riesgos para la seguridad de la instalación víctima, a diferencia de los sistemas OT tradicionales, lo que significa que los actores maliciosos pueden estar más inclinados a ir a por el ataque.
  • Los atacantes tampoco ignoran el progreso técnico; su uso de la IA en varias etapas de la cadena de muerte (para el desarrollo de herramientas maliciosas y la ingeniería social, como la generación de texto para correos electrónicos de phishing) reduce los costes, acelerando así el desarrollo de las ciberamenazas. Esta tendencia evolucionará sin duda en 2025.

Las tecnologías probadas implican nuevos riesgos cibernéticos

Que un sistema no haya sido atacado no significa necesariamente que esté bien protegido. Puede ser que los atacantes simplemente no lo hayan alcanzado todavía, quizá porque ya disponían de formas más sencillas, fiables y automatizadas de realizar ataques, o quizá simplemente ha tenido suerte.

La expresión “si no está roto, no lo arregles” adquiere un significado especial en las infraestructuras OT. A veces los sistemas llevan años o incluso décadas funcionando sin ninguna modificación, incluso sin instalar parches de seguridad críticos o cambiar configuraciones inseguras, como servicios de red innecesarios, interfaces de depuración y contraseñas débiles. A veces, los sistemas siguen funcionando exactamente en el mismo estado que cuando se pusieron en funcionamiento.

Las cosas se complican aún más si se tiene en cuenta la escasa calidad de la información sobre las vulnerabilidades de los productos de OT disponible por parte de los desarrolladores o de fuentes públicas. Afortunadamente, los actores maliciosos siguen atacando muy raramente los activos industriales y los sistemas de automatización industrial.

Por otra parte, además de los sistemas de automatización industrial desprotegidos, como PLC y servidores SCADA, que de hecho son muy difíciles de mantener ciberseguros, hay muchos otros tipos de dispositivos e incluso infraestructuras enteras que están de alguna manera conectadas a la red tecnológica. La seguridad de estos sistemas a menudo se pasa por alto injustificadamente:

  • Equipos de telecomunicaciones. Su seguridad suele considerarse o bien responsabilidad del operador de telecomunicaciones o bien innecesaria por alguna razón. Por ejemplo, se cree que las estaciones base móviles y las redes tecnológicas de los operadores móviles ya están suficientemente protegidas contra los ciberataques, razón por la cual “nadie las ataca”. Por alguna razón, este problema también es ignorado en gran medida por los investigadores de seguridad: mientras que la seguridad de los puntos finales y sus componentes clave, como los módems, se estudia a fondo, hay muy pocas publicaciones en profundidad sobre la seguridad de las estaciones base o los equipos de la red principal. Sin embargo, es evidente que los equipos pueden verse comprometidos, al menos desde el lado del operador, por ejemplo, durante el mantenimiento. Después de todo, los propios operadores de telecomunicaciones distan mucho de ser inmunes a los ciberataques, como nos demuestra la historia de los ataques de Blackwood utilizando el implante NSPX30. Así pues, hay que tener en cuenta lo siguiente:
  • Como mínimo, el modelo de amenazas de las empresas industriales debe incluir los ataques “man-in-the-middle” contra los equipos de telecomunicaciones y la infraestructura de los operadores de telecomunicaciones.
  • Dada la rapidez con que se están implantando todo tipo de sistemas inteligentes de supervisión y control a distancia -principalmente en la minería y la logística, pero también en otros sectores y tipos de instalaciones-, la prioridad de proteger las infraestructuras relacionadas con las telecomunicaciones no hará sino aumentar en consecuencia. Por ejemplo, para garantizar la seguridad de las infraestructuras robotizadas y el uso del transporte automatizado en las instalaciones, estamos asistiendo a la introducción de la comunicación inalámbrica. Las empresas industriales deberían invertir claramente en la seguridad de las telecomunicaciones para evitar ciberincidentes, quizás ya este mismo año.
  • La seguridad de los sensores inteligentes, contadores, dispositivos de medición y control y otros dispositivos del Internet industrial de las cosas suele ser descuidada tanto por las empresas que los utilizan como, en consecuencia, por los propios desarrolladores. Sin embargo, como demuestra la historia de FrostyGoop, estos dispositivos también pueden convertirse en blanco de ataques.
  • Los puntos de conexión de las pequeñas instalaciones remotas de infraestructura industrial suelen utilizar equipos de red baratos, a veces ni siquiera diseñados para uso industrial (por ejemplo, dispositivos SOHO). Su ciberseguridad puede ser extremadamente difícil de mantener en buen estado, tanto por las limitaciones arquitectónicas como por la complejidad del mantenimiento centralizado. Al mismo tiempo, estos dispositivos pueden ser manipulados no sólo para distribuir malware de propósito general o alojar agentes de botnet (como en el caso de Flax Typhoon/Raptor Train), sino también como punto de entrada a la red de TI u OT.
  • La familia de sistemas operativos Windows ha sido la plataforma más popular para estaciones de trabajo y servidores de sistemas de automatización durante décadas. Sin embargo, en los últimos años, muchas empresas industriales han ido instalando cada vez más sistemas basados en Linux en sus circuitos OT, por diversas razones. Uno de los argumentos decisivos a favor de la elección de Linux suele ser la creencia de que estos sistemas son más resistentes a los ciberataques. Por un lado, efectivamente hay menos malware que pueda ejecutarse en este sistema operativo, y la probabilidad de infección accidental es menor que en el caso del sistema operativo Windows. Por otro lado, proteger los sistemas Linux contra un ataque dirigido es igual de difícil, y en algunos casos incluso más. El hecho es que:
    • Los desarrolladores de soluciones de seguridad para Linux tienen que ponerse al nivel de las soluciones que protegen la infraestructura de Windows. Durante mucho tiempo, muchas funciones no eran demandadas por los clientes y, por tanto, no se implementaban. Al mismo tiempo, implantar nuevas funcionalidades es más caro porque es necesario dar soporte a múltiples cepas de SO que se desarrollan en paralelo, y la integración de soluciones de seguridad no es una prioridad para los desarrolladores del núcleo. Esto tiene dos consecuencias: en primer lugar, la falta de mecanismos de integración estándar eficaces, y en segundo lugar, la actualización del núcleo puede “romper” fácilmente la compatibilidad, y una simple reconstrucción del módulo puede no ser suficiente.
    • En el lado de las empresas industriales, es evidente que no hay suficientes especialistas en seguridad de la información que sean también expertos en Linux, por lo que tanto la configuración segura de los dispositivos como la supervisión y la detección de incidentes pueden no ser tan eficaces.
    • Tanto las propias soluciones Linux OT como sus desarrolladores demuestran a menudo una madurez insuficiente en materia de seguridad de la información y pueden ser un blanco fácil para los atacantes, como se puso de manifiesto, por ejemplo, durante la investigación de una serie de ataques Sandworm contra instalaciones de infraestructuras críticas ucranianas.

Elegir mal a un proveedor supone un gran problema

Una inversión insuficiente de los desarrolladores de productos o proveedores de tecnología en su propia seguridad de la información garantiza que sus clientes sufran incidentes. Este problema es especialmente relevante para los proveedores de productos y servicios de nicho. Un caso ilustrativo es el ataque a CDK Global, que provocó pérdidas directas a sus clientes superiores a un total de mil millones de dólares.

La situación de las empresas industriales se complica por una serie de factores. Entre ellos destacan:

  • Cadenas de suministro de tecnología extremadamente largas. Los equipos, incluidos los sistemas de automatización de los principales activos de producción, son muy complejos. El parque de equipos industriales de una empresa puede incluir tanto todos los componentes principales típicos de los sistemas informáticos como muchos componentes creados como resultado de la cooperación entre múltiples fabricantes de tecnologías específicas de la industria. Muchos de ellos pueden ser desarrolladores relativamente pequeños de soluciones de nicho sin los recursos necesarios para garantizar satisfactoriamente su propia seguridad y la de sus productos. Además, la instalación, la configuración inicial y el mantenimiento periódico de los equipos requieren la participación de varios especialistas de terceros, lo que amplía aún más la superficie de ataque de la cadena de suministro y de los socios de confianza.
  • Casi todas las grandes organizaciones industriales son sus propios proveedores. Las especificidades de la industria y la empresa concretas exigen una modificación significativa de las soluciones ya preparadas, así como el desarrollo de nuevas soluciones de automatización adaptadas a la organización. A menudo, estos desarrollos se llevan a cabo en la propia organización o en filiales o empresas relacionadas. Todo esto multiplica casi todos los factores de riesgo descritos anteriormente: estos desarrollos rara vez se llevan a cabo con un alto nivel de madurez de seguridad, lo que da lugar a soluciones llenas de vulnerabilidades básicas que incluso los atacantes mediocres pueden explotar. Obviamente, estos problemas de seguridad ya se están utilizando en ciberataques y seguirán haciéndolo.

La seguridad por oscuridad ya no sirve para las infraestructuras OT

La disponibilidad de tantas herramientas para trabajar con equipos industriales (basta con contar el número de bibliotecas y utilidades que implementan protocolos de redes industriales publicadas en GitHub) hace que desarrollar e implementar un ataque contra los principales activos de producción de una empresa industrial sea mucho más fácil que hace tan solo unos años.

Además, las propias empresas industriales siguen evolucionando: en los últimos años, hemos visto grandes esfuerzos no sólo para automatizar la producción, sino también para inventariar y documentar sistemas y procesos.

Ahora, para afectar a una instalación industrial a nivel ciberfísico, los atacantes ya no necesitan estudiar detenidamente los libros de texto sobre el tipo concreto de sistemas de protección (como SIS o protección de circuitos/relés) básicos e implicar a expertos externos en el sector concreto. Toda la información necesaria está ahora disponible en formato digital en la red administrativa y tecnológica de la organización.

Hemos visto casos de atacantes que contaban a los periodistas que después de entrar en el perímetro de la red de las víctimas estudiaron durante mucho tiempo la documentación relacionada con la seguridad de las instalaciones internas antes de elegir qué sistemas OT atacar, para evitar poner en peligro la vida de los empleados o contaminar el medio ambiente como resultado del ataque.

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países