A nivel global, los sistemas de automatización industrial confrontan una intensificación sin precedentes de las amenazas cibernéticas. Investigaciones recientes en seguridad informática han identificado la significativa cifra de 11.679 familias distintas de software malicioso dirigidas a infraestructuras críticas durante el primer trimestre de 2025.
Este dato alarmante, revelado en un exhaustivo informe sobre el panorama de amenazas, pone de manifiesto la sofisticación y diversidad de los ataques dirigidos a los sistemas de control industrial (ICS) en múltiples sectores. Se estima que aproximadamente el 21,9% de los equipos industriales monitorizados experimentaron actividad maliciosa bloqueada en este periodo.
El análisis del panorama de amenazas revela preocupantes variaciones geográficas en las tasas de intentos de infección, que oscilan entre un 10,7% en el norte de Europa y un notable 29,6% en África.
Entre los sectores industriales, las implementaciones de tecnología biométrica han surgido como particularmente vulnerables, mostrando el mayor porcentaje de sistemas atacados y siendo el único sector que experimentó un aumento en los intentos de ataque en comparación con el trimestre anterior.
Esta tendencia sugiere que los atacantes se centran cada vez más en integraciones de tecnologías más nuevas dentro de entornos industriales.
Los investigadores de Securelist identificaron una compleja metodología de ataque de múltiples etapas que se emplea contra objetivos industriales, donde el compromiso inicial generalmente aprovecha las amenazas basadas en Internet, incluidos scripts maliciosos, páginas de phishing y sitios web comprometidos.
Estos vectores de infección iniciales luego entregan cargas útiles más peligrosas, incluyendo spyware, ransomware y criptomineros, estableciendo un acceso persistente dentro de las redes industriales y permitiendo potencialmente el movimiento lateral a sistemas más sensibles.
Internet sigue siendo el vector de ataque dominante, y los investigadores han observado una explotación significativa de plataformas legítimas, incluidas redes de entrega de contenidos (CDN), servicios de almacenamiento en la nube y aplicaciones de mensajería para distribuir códigos maliciosos.
Esta táctica hace que las medidas de seguridad tradicionales basadas en la reputación sean menos efectivas, ya que los atacantes aprovechan dominios confiables para alojar y distribuir malware.
Las amenazas basadas en correo electrónico también mostraron un crecimiento preocupante: los documentos maliciosos se multiplicaron por 1,1 en comparación con el trimestre anterior.
La investigación reveló un cambio interesante en las metodologías de los atacantes durante el primer trimestre de 2025, y los mineros web experimentaron el aumento proporcional más significativo: 1,4 veces en comparación con el trimestre anterior.
Esto sugiere que los actores de amenazas con motivación financiera están secuestrando cada vez más recursos informáticos industriales para operaciones de minería de criptomonedas, lo que podría causar interrupciones operativas, aumento de los costos de energía y reducción del rendimiento del sistema en entornos de fabricación críticos.
Los mecanismos de infección primaria observados en estos ataques siguen una secuencia cuidadosamente orquestada diseñada para evadir la detección y maximizar la persistencia.
El acceso inicial generalmente comienza cuando los usuarios visitan sitios web comprometidos a través de campañas de phishing dirigidas, y los atacantes utilizan cada vez más servicios de Internet legítimos para eludir los controles de seguridad.
Al analizar las cadenas de ataques, los investigadores descubrieron que los actores de amenazas frecuentemente implementaban scripts maliciosos que funcionan como descargadores o cargadores de malware más sofisticado.
Una tendencia particularmente preocupante es la fuerte correlación entre scripts maliciosos/páginas de phishing y posteriores infecciones de software espía, que alcanzaron niveles más altos en los primeros tres meses de 2025 que durante el mismo período de 2024.
Esta conexión indica una línea de ataque bien establecida, donde el compromiso inicial conduce rápidamente a capacidades de robo de datos.
En el desarrollo de sus ataques, los actores maliciosos tienden a reiterar tácticas, técnicas y procedimientos (TTP) similares a lo largo de la infraestructura de red, empleando con frecuencia scripts maliciosos y canales de comando y control (C2) ya establecidos para facilitar el movimiento lateral dentro de las redes industriales.
Los especialistas en seguridad sugieren a las organizaciones del sector industrial la implementación de un bloqueo basado en políticas para servicios potencialmente vulnerables, particularmente dentro de las redes de tecnología operativa (OT), donde la utilización de dichos servicios es infrecuente.
Adicionalmente, se debe prestar especial atención a los medios extraíbles, las carpetas de red compartidas y los archivos de respaldo comprometidos, ya que persisten como vías comunes de propagación de gusanos y virus que intentan infiltrarse en las redes industriales.
Ante la continua evolución de estas amenazas, la segmentación de la red y la supervisión integral de la seguridad se han consolidado como elementos fundamentales en la estrategia de ciberseguridad industrial.
