X-twitter

Las fábricas detectan antes los ciberataques, pero siguen atascadas en la recuperación, según SANS

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

La ciberseguridad industrial vive una realidad “a dos velocidades”. Esta es una de las principales conclusiones del 2025 State of ICS/OT Security Report, el nuevo informe del SANS Institute que analiza el estado de la seguridad en sistemas de control industrial (ICS) y tecnología operativa (OT) en sectores críticos como energía, manufactura, química, transporte o infraestructuras esenciales.

Según el estudio, basado en las respuestas de más de 330 profesionales de seguridad ICS/OT de todo el mundo, las organizaciones son hoy más rápidas detectando incidentes que hace unos años, pero siguen tardando demasiado en recuperarse de ellos. Esa brecha entre detección y recuperación se está convirtiendo en uno de los puntos débiles más preocupantes para plantas industriales, redes eléctricas o sistemas de transporte.

Detección en horas, recuperación en semanas

Los datos del informe dibujan un panorama con luces y sombras. Más de una de cada cinco organizaciones industriales reconoce haber sufrido al menos un ciberincidente en el último año, y en el 40 % de los casos se produjo algún tipo de interrupción operativa: paradas de planta, degradación del servicio o afectación de procesos críticos.

La parte positiva llega en la fase de detección. Casi la mitad de los incidentes fueron identificados en menos de 24 horas, y alrededor del 60 % logró contenerse en las primeras 48 horas. En términos de monitorización, alerta temprana y capacidad de respuesta inicial, el sector muestra un avance real respecto a años anteriores.

Sin embargo, la película cambia cuando se observa la fase de recuperación. Casi un 19 % de los incidentes analizados tardó más de un mes en resolverse por completo, desde el inicio del ataque hasta la restauración segura de las operaciones. En entornos donde cualquier parada se traduce en pérdidas económicas, riesgos para la seguridad física o impacto sobre servicios esenciales (energía, agua, transporte), estas demoras son críticas.

Jason D. Christopher, instructor certificado de SANS y autor del informe, resume así la situación: las organizaciones han mejorado en “escuchar la alarma”, pero todavía les cuesta “apagar el fuego” con rapidez y sin aumentar el riesgo. La restauración de un entorno industrial es mucho más compleja que reiniciar un sistema de oficina: implica validar rutas de acceso, verificar que controladores y PLC no han sido alterados, y coordinar a equipos de ingeniería, producción y ciberseguridad.

El acceso remoto, principal puerta de entrada

El estudio señala con claridad un protagonista incómodo: el acceso remoto. La mitad de los incidentes reportados tienen su origen en accesos externos no autorizados, ya sea a través de túneles VPN, soluciones de telemantenimiento mal configuradas o saltos desde la red IT hacia la red OT.

Pese a este dato, solo alrededor del 13 % de las organizaciones asegura haber implantado controles avanzados de acceso remoto “conscientes de ICS”: registro de sesiones, aprobación en tiempo real de acciones sensibles, validación estricta de identidad de usuario y dispositivo, o pasarelas específicas para OT. En muchos casos, la prioridad histórica ha sido la continuidad operativa y la facilidad de acceso para proveedores y técnicos, y no tanto el diseño de un modelo de acceso remoto robusto y auditable.

Otros trabajos recientes sobre OT apuntan en la misma dirección: una parte significativa de los sistemas industriales sigue siendo accesible desde Internet o a través de arquitecturas heredadas, diseñadas para un mundo en el que OT nunca iba a salir al exterior. Investigaciones académicas recientes estiman decenas de miles de dispositivos OT expuestos globalmente, muchos con firmware desactualizado y vulnerabilidades conocidas sin parchear desde hace años.

Visibilidad que se diluye al acercarse al proceso

El informe también pone el foco en un problema clásico de la seguridad industrial: la falta de visibilidad en los niveles más cercanos al proceso físico. Solo un 12,6 % de los participantes afirma tener visibilidad completa a lo largo de toda la “ICS Cyber Kill Chain”, es decir, desde las capas más altas de supervisión hasta los controladores y equipos de campo.

A medida que los equipos de seguridad se aproximan a PLC, RTU o instrumentos de proceso, los datos de monitorización se vuelven más escasos o inexistentes. Esto dificulta la detección temprana de cambios peligrosos en parámetros de control, la identificación de movimientos laterales dentro de la red OT y la reconstrucción forense de lo sucedido tras un incidente.

En la práctica, muchas organizaciones pueden ver “el ruido” del ataque cuando este se origina en la red IT o en las capas de supervisión, pero pierden la pista justo donde un cambio de setpoint, una orden maliciosa o la desactivación de una protección puede provocar un daño real sobre la planta o el servicio.

Regulación e inteligencia de amenazas: impacto medible

Otro de los hallazgos relevantes del informe es el efecto de la regulación y de la inteligencia de amenazas específica para ICS. Las instalaciones sujetas a marcos regulatorios estrictos —como determinadas infraestructuras críticas— no reportan menos incidentes, pero sí declaran aproximadamente un 50 % menos de impacto financiero y de seguridad.

Es decir, las brechas siguen produciéndose, pero los daños derivados tienden a ser menores. El cumplimiento normativo obliga a desplegar controles, procesos de auditoría, planes de respuesta y ejercicios de simulación que, una vez interiorizados, ayudan a contener mejor los efectos de un ataque.

De forma similar, las organizaciones que convierten la inteligencia de amenazas específica de ICS en acciones concretas —ajuste de detecciones, ampliación de la monitorización, segmentación de redes o revisión de reglas de acceso— exhiben resultados defensivos significativamente mejores que aquellas que se limitan a consumir informes de forma pasiva.

Qué están haciendo los equipos más avanzados

Más allá de las cifras, el informe de SANS y el análisis de otros actores del sector dibujan una hoja de ruta bastante clara para reducir la brecha entre detección y recuperación en entornos industriales:

  • Tratar el acceso remoto como una función de control de proceso, no como un simple servicio IT. Esto implica canalizar todas las conexiones a través de pasarelas o jump hosts específicos para OT, aplicar principios de Zero Trust (identidad fuerte, mínima privilegio, aprobación explícita de acciones críticas) y registrar exhaustivamente las sesiones para auditoría.
  • Diseñar y mantener una arquitectura de red defensiva, con segmentación clara entre IT, OT e Internet, minimizando los puntos de exposición y controlando los flujos de tráfico entre zonas y niveles.
  • Invertir en visibilidad OT nativa, incluyendo inventario actualizado de activos, monitorización de protocolos industriales y detección de anomalías en los niveles de control y campo, no solo en la parte corporativa.
  • Practicar la respuesta y la recuperación en escenarios industriales reales, mediante simulacros que involucren a ingenieros de planta, operadores y responsables de negocio, no solo al equipo de ciberseguridad. Las organizaciones que ensayan estos escenarios muestran un nivel de preparación sensiblemente superior, según el propio estudio.

En paralelo, siguen creciendo amenazas como el ransomware dirigido a entornos OT y la actividad de grupos avanzados que investigan infraestructuras críticas con fines de espionaje o potencial sabotaje. Esto refuerza la idea de que las medidas de seguridad no pueden quedarse en la superficie y deben integrarse dentro de la propia operación industrial.

Próximos pasos: de los datos a las decisiones

Para acompañar la publicación del informe, SANS ha programado un webcast específico el 19 de noviembre, dirigido a técnicos, ingenieros, equipos de respuesta y responsables de seguridad OT, en el que Jason D. Christopher detallará los resultados y su lectura para el terreno. Un segundo encuentro, el 9 de diciembre, estará orientado a CISOs y directivos industriales que deban planificar su estrategia de cara a 2026.

El mensaje de fondo es claro: la detección ya no es el único indicador de madurez. La verdadera resiliencia industrial se medirá por la capacidad de las organizaciones para recuperar sus operaciones con seguridad, rapidez y sin aumentar el riesgo para las personas, los equipos o el servicio que prestan a la sociedad.

Preguntas frecuentes sobre el informe SANS 2025 de seguridad ICS/OT

¿Qué es exactamente la seguridad ICS/OT en infraestructuras críticas?
La seguridad ICS/OT se centra en proteger los sistemas que controlan procesos físicos en industrias como energía, agua, transporte, manufactura o química. Incluye desde los sistemas SCADA y los HMI hasta los PLC y sensores que actúan directamente sobre válvulas, motores o líneas de producción. Su objetivo es prevenir interrupciones operativas, daños a los equipos o riesgos para la seguridad de las personas derivados de ciberataques.

¿Por qué la recuperación de un ciberataque industrial puede tardar más de un mes?
En muchos entornos industriales, restablecer la normalidad tras un incidente no consiste solo en restaurar copias de seguridad. Es necesario comprobar que los controladores no han sido manipulados, validar configuraciones de proceso, verificar rutas de acceso remoto y coordinar el arranque seguro de líneas de producción o sistemas energéticos. Si no existen procedimientos ensayados, documentación actualizada y canales de decisión claros, cada paso se ralentiza y el tiempo total de recuperación puede extenderse semanas.

¿Qué medidas de acceso remoto “conscientes de ICS” son más críticas para reducir el riesgo?
Entre las medidas más relevantes se encuentran: centralizar todo el acceso remoto a través de pasarelas OT específicas, aplicar autenticación fuerte de usuario y dispositivo, registrar y supervisar las sesiones, limitar los privilegios sólo a lo necesario y exigir aprobaciones en tiempo real para acciones de alto impacto (como cambios de lógica en PLC o modificaciones de parámetros de seguridad). Estas prácticas reducen drásticamente la probabilidad de accesos externos no autorizados y facilitan la investigación en caso de incidente.

¿Cómo pueden las organizaciones aprovechar la inteligencia de amenazas específica para ICS/OT?
La clave no está sólo en recibir informes, sino en traducir esa información en cambios concretos: ajustar reglas de detección en sistemas de monitorización industrial, reforzar la segmentación de redes allí donde se observan nuevas técnicas de ataque, actualizar listas de activos críticos según la actividad de grupos conocidos y diseñar ejercicios de respuesta basados en escenarios reales. Las organizaciones que integran la inteligencia de amenazas en su operación diaria son las que muestran menores impactos financieros y de seguridad.

Más información e informe en sans.org

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Nota de Prensa

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Las fábricas detectan antes los ciberataques, pero siguen atascadas en la recuperación, según SANS

Orca Security aterriza en Oracle Cloud Marketplace: seguridad cloud «instantánea» para clientes de OCI

NVIDIA dispara sus ventas de chips de IA mientras Google, Amazon y otros apuestan por procesadores a medida

Kyndryl apuesta por la IA agéntica para dar una nueva vida al mainframe

×