5 lecciones duras de ciberseguridad OT que 2025 nos enseñó (y qué hacer al respecto)

Felicidades, hemos llegado a noviembre y 3i Atlas no ha hecho nada que haya activado nuestras defensas planetarias. Aunque está cambiando de colores y haciendo cosas notables, el viajero interestelar aún no nos ha mostrado ninguna sonda o rover. Así que no hay nada de qué preocuparse todavía o al menos eso podemos asumir.

Al acercarnos al tramo final de 2025, es momento de realizar un chequeo rápido de salud. Si 2024 fue el año en que comenzamos a hablar abiertamente sobre la seguridad OT, 2025 fue el año en que nos cayó el veinte y aún nos queda un mes completo por delante.

¿Recuerdas las amenazas teóricas de vainilla simple sobre las que todos fuimos advertidos en las conferencias? Ya no son teóricas. Este año, más o menos se quitaron los guantes. Vimos a los atacantes moverse con una velocidad alarmante al manipular el comportamiento de los empleados desde brechas en redes IT simples hasta causar interrupciones físicas en el mundo real.

Entonces, ¿cuál es la lección más grande que hemos aprendido de 2025? Si tuviera que resumirlo, aquí están las dos lecciones principales.

·         Necesitas saber qué está pasando en tus redes OT (incluyendo lo que hacen los activos) y

·         La concienciación de los empleados sobre la seguridad OT ya no es una necesidad ritualista.

Lo sorprendente es que la sofisticación del malware no se ha elevado a niveles extraordinarios este año (a diferencia de 2024, donde tuvimos malware codificado por IA y variantes siendo introducidas más rápido que las emisiones de rayos gamma provenientes de una estrella de neutrones). Sin embargo, se marcaron muchos goles contra sí mismos gracias a algunos fallos de seguridad. Necesitamos saber cuáles son y actuar para abordarlos para estar listos para 2026.

Seamos realistas. Profundicemos. Aquí están las cinco mayores lecciones que todos hemos tenido que aprender este año.

Antes de sumergirte, no olvides leer nuestro blog anterior sobre Por qué NERC CIP-015-1 para la seguridad de redes internas es imprescindible para la defensa ICS aquí.

El cortafuegos IT/OT es una fábula y un colador con fugas.

Durante años, operamos con una suposición simple (y francamente peligrosa): asegurar la red IT, y la red OT, con sus sistemas heredados y PLCs, se cuidará a sí misma.

Lección de 2025: Ese muro hace mucho que se disolvió justo como una sustancia altamente volátil sublima al encenderse. A los atacantes no les molesta identificar un exploit de día cero raro para un controlador de 3 décadas de antigüedad. ¿Por qué lo harían? Simplemente engañan a un empleado, o sacan credenciales de un almacén común para la VPN, y luego se trasladan desde el sistema de facturación (IT) directamente al HMI de la planta (OT).

Los informes de este año, incluido el último de Shieldworkz, confirmaron nuestros peores temores: la mayoría de los incidentes relacionados con OT se originaron en el entorno IT.

• Ejemplo: Los grupos de amenazas están explotando activamente herramientas de acceso remoto centradas en IT, como las VPN corporativas estándar, como su principal punto de entrada (Fuente 1.1, 3.4). ¿Esa VPN que configuraste para un proveedor de terceros? Ahora es tu punto más vulnerable.

• La lección: Una brecha IT es una brecha OT. Tu postura de seguridad es tan fuerte como el enlace entre tu red corporativa y tus sistemas de control. La segmentación de la red no es una sugerencia; es la defensa más crítica que tienes. Debes asumir que ya están en la red IT y trabajar para detener su movimiento lateral.

"Fase 2.5" está aquí y tienen acceso a la maquinaria

Este aspecto es un poco espeluznante. Durante mucho tiempo, los atacantes que ingresaban a redes OT solo hacían reconocimiento. Miraban, tomaban algo y seguían adelante.

Lección de ciberseguridad 2025: Los ataques de "Fase 2.5", donde los atacantes toman medidas para causar una consecuencia física, ya no son raros. El objetivo ha pasado de espionaje a sabotaje.

Las interrupciones físicas están aumentando más rápido con actores de amenazas que intentan romper cosas de una manera que dificulta la recuperación.

• La lección: Tu plan de detección no puede limitarse a buscar malware. Debe buscar anomalías en los procesos. ¿Por qué esa válvula se abrió sin programación a las 3 AM? ¿Por qué ese motor está funcionando un 20% por encima de la velocidad? Necesitas visibilidad en el proceso en sí, no solo en el tráfico de la red.

Tu infraestructura puede ser un escenario geopolítico

Si tu organización es parte de infraestructura crítica de energía, agua, alimentos, transporte, ya no eres solo un objetivo financiero. También eres uno político.

Lección de ciberseguridad 2025: Los estados-nación y hacktivistas políticamente motivados ahora siempre están vigilando tu entorno OT y no es porque tengan algo en contra de ti. El motivo no es el rescate; es crear miedo, interrupción y presión psicológica.

• Ejemplo: Lo vimos con una brecha importante donde un grupo de amenazas afirmó sabotear el HMI de tratamiento de agua. Lo vimos en ataques dirigidos a PLCs en pequeñas instalaciones de agua y más allá. No se detiene y los actores de amenazas no se están cansando ahora.

• La lección: Estos no son ataques de alto nivel y sofisticación. A menudo son de bajo nivel pero de alto impacto, diseñados para crear una "operación psicológica" híbrida para ejercer máxima presión y posiblemente una intervención del gobierno. Quieren que tú, y tus clientes, se preocupen constantemente de que el agua no sea segura. Tu BCP ahora debe tener en cuenta todo tipo de escenarios para una interrupción políticamente motivada, no solo el ransomware.

Tu mayor superficie de ataque

Puedes tener la red más segura del mundo, pero podría no significar nada si tu proveedor de HVAC, tu mayorista de alimentos o tu proveedor de soporte externo es comprometido.

Lección de ciberseguridad de 2025: La cadena de suministro es, sin duda, nuestro eslabón más débil. El pronóstico del Foro Económico Mundial para 2025 lo nombró el riesgo cibernético ecológico número uno (Fuente 5.2). Y vimos por qué.

• Ejemplo: Algunos de los ciberataques más devastadores vinieron del sistema de un proveedor o se originaron allí.

• La lección: "Confía pero verifica" está muerto. El nuevo modelo es Confianza Cero. Necesitas una Lista de Materiales de Software (SBOM) de tus proveedores. Necesitas aplicar MFA en todo acceso de terceros. Y necesitas limitar contractualmente-técnicamente su acceso a solo lo absolutamente necesario.

Es IA vs IA

Todos sabíamos que la IA sería grande, pero 2025 fue el año en que se convirtió en una fuerza tangible en ambos lados del perímetro.

Lección de ciberseguridad 2025: Los atacantes están usando IA para escalar y para crear mejores ataques de phishing. Pero en OT, la IA es una herramienta que necesita de un humano para tener éxito.

• El ataque: ENISA informó hace unos meses que más del 80 por ciento de los ataques de ingeniería social ahora aprovechan la IA de alguna forma. Esto significa que correos electrónicos de phishing hiperrealistas, contextuales y llamadas de vishing (phishing de voz) que son casi imposibles de detectar para un humano. El papel de la IA va aún más lejos ahora con los actores de amenazas usándola para identificar empleados vulnerables y el mejor momento para un ataque de phishing utilizando algoritmos de determinación de patrones.

• La defensa: Estamos usando IA para procesar el enorme volumen de datos necesarios para la detección de anomalías en tiempo real. De hecho, es el "cerebro" que puede detectar ese pequeño cambio de válvula anómalo en un mar de datos. Ciertamente podemos trabajar para extender el papel de la IA en la creación de modelos de ataque deterministas que puedan usarse para entrenar a los empleados y declarar "alertas rojas" cuando los ciberataques sean más probables.

• La lección (y tal vez la trampa también): No puedes simplemente "desplegar" una IA en una red eléctrica o una refinería o incluso en un gasoducto. En una red IT, una herramienta de seguridad impulsada por IA puede poner en cuarentena una laptop que actúa de manera extraña por sí sola. Si es un falso positivo, no es gran cosa, en el peor de los casos, podrías tener que lidiar con un empleado gruñón. En una red OT, sin embargo, una respuesta automatizada a un falso positivo podría significar cerrar una línea de ensamblaje o incluso una subestación o una turbina. La lección de 2025 es que la IA en OT debe ser un modelo centrado en el humano. Debe alertar y asesorar a un operador humano y armarla con información, pero la decisión final del "botón rojo" debe permanecer en manos de una persona que conozca el proceso físico.

Nuestro trabajo para 2026: Pasar de la seguridad a la resiliencia

Entonces, ¿cuál es la gran lección de 2025?

La resiliencia sostenible es obligatoria.

No puedes construir una fortaleza impenetrable de la noche a la mañana. Podrías enfrentar una brecha de una fuente improbable. Tu proveedor tendrá un incidente. Pero con el modelo de defensa en profundidad y confianza cero combinado con concienciación activa de los empleados, podrás detectar y suprimir los ataques rápidamente.  

Se trata de visibilidad (saber que están dentro, rápidamente), segmentación (evitar que lleguen a las joyas de la corona) y resiliencia (tener un plan para volver a poner la planta en línea de manera segura y rápida).

Hemos tenido llamadas de atención múltiples veces. Ahora comienza el trabajo real.

¿Planeando tu próxima evaluación de riesgo OT? Háblanos.

¿Interesado en aumentar tu respuesta a incidentes? Tenemos algo para ti.