
Informe
Asesoría Global de Inteligencia de Ciberamenazas de OT H1 2026
¡No es necesario registrarse!
Panorama de amenazas emergentes, riesgos operativos y prioridades defensivas para operadores de infraestructura crítica
Las máquinas que operan su red eléctrica, planta de tratamiento de agua, línea de producción o gasoducto nunca fueron diseñadas para enfrentar a los adversarios que las atacan hoy en día. Actores respaldados por Estados-nación, grupos de ransomware con manuales de tácticas específicos para la industria y hacktivistas dispuestos a manipular procesos físicos: todos ellos están explorando activamente los entornos de TO en este momento, y los datos demuestran que lo están logrando con más frecuencia que nunca antes.
Shieldworkz ha seguido de cerca esta evolución en tiempo real, a través de más de 70 sensores y señuelos globales, participaciones en respuestas a incidentes operativos e información verificada de socios de todo el mundo. Lo que nuestros analistas han confirmado para el primer semestre de 2026 no es un riesgo teórico: es una realidad operativa activa y en aceleración.
Por qué es importante este informe
El Reporte de Inteligencia de Ciberamenazas de TO del Primer Semestre de 2026 no es un panorama general genérico de la industria. Se trata de inteligencia recopilada directamente en campo a partir de incidentes confirmados, familias de malware observadas y comportamientos documentados de actores de amenazas, escrita específicamente para los profesionales responsables de mantener en funcionamiento la infraestructura crítica.
Esto es lo que hace que este período sea diferente a cualquier otro anterior:
Un aumento del 77% en los incidentes cibernéticos a nivel de sitio en 2025. Eso no es un error de redondeo. Refleja un cambio fundamental en la intención del adversario: de un posicionamiento silencioso dentro de las redes industriales a una acción deliberada e interruptiva con consecuencias físicas en el mundo real.
Los ataques patrocinados por Estados nación con consecuencias físicas confirmadas se han triplicado. La campaña DynoWiper de Sandworm en diciembre de 2025 tuvo como objetivo aproximadamente 30 sitios de energía distribuida en Polonia, el primer ataque coordinado contra recursos de energía distribuida (DER, por sus siglas en inglés) a escala. Esa campaña aún se está propagando en la actualidad por la infraestructura energética de la UE y de los EE. UU. en un modo silencioso y de combustión lenta.
119 grupos de ransomware atacaron activamente a organizaciones industriales en 2025, frente a los 80 del año anterior. Más de 3,300 organizaciones industriales se vieron afectadas a nivel mundial. El sector de manufactura representó más de un tercio de todas las víctimas de ransomware de TO. Una sola hora de inactividad en la producción puede costar entre $100,000 y $1 millón de dólares o más. Los operadores de ransomware entienden esa ventaja mejor que la mayoría de los equipos de seguridad.
VOLTZITE (Volt Typhoon), vinculado a China, mantuvo una presencia persistente dentro de la infraestructura crítica de los EE. UU. durante el primer semestre de 2026. BAUXITE, vinculado a Irán, comprometió los PLC de empresas de servicios de agua en los EE. UU., Israel y México. Estas no son rutas de ataque teóricas: son intrusiones documentadas con un impacto operativo confirmado.
Los actores de amenazas en este informe están identificados. Sus TTP están alineadas con MITRE ATT&CK para ICS. Sus objetivos, puntos de entrada y metas están documentados. Si su sector aparece en este aviso —y es casi seguro que sí—, necesita saber qué están haciendo y cómo detenerlo.
Por qué es importante descargar este informe
Este aviso fue redactado para CISOs, líderes de seguridad de OT, equipos de SOC y CTI, ejecutivos de riesgos a nivel de junta directiva, y los ingenieros y operadores que mantienen en funcionamiento los sistemas industriales. No es un folleto de ventas. Es inteligencia accionable diseñada para cambiar decisiones.
Si se está haciendo alguna de estas preguntas, este informe tiene las respuestas:
¿Ya se han posicionado actores estatales dentro de mi red de TO sin activar ninguna alerta?
¿Qué familias de malware están diseñadas específicamente para explotar protocolos industriales como Modbus, DNP3 o OPC-UA?
¿Qué tan rápido puede propagarse el ransomware desde un correo de phishing hasta un sistema SCADA de la planta de producción en una red plana?
¿Cómo es un sprint de CISO de 30 días para abordar las exposiciones de OT más críticas en este momento?
¿Qué preguntas debería hacer mi junta directiva y cómo son realmente las respuestas sólidas?
Más allá de la inteligencia de amenazas, este informe proporciona una hoja de ruta completa para la arquitectura defensiva: prioridades de segmentación de redes de TO, robustecimiento del acceso remoto, despliegue de monitoreo pasivo, requisitos de aislamiento de sistemas de seguridad y puntos de referencia para las capacidades del SOC de TO. También incluye un mapa de calor de riesgos específicos por sector que abarca la manufactura, energía, petróleo y gas, agua, sustancias químicas, transporte, marítimo, telecomunicaciones, industria de la defensa, industria farmacéutica, alimentos y bebidas, y minería; cada uno con actores de amenazas documentados, rutas de ataque únicas y prioridades de acción inmediata.
Puntos clave del Informe de Inteligencia de Ciberamenazas Globales de las Tecnologías de Operación (OT) - H1 2026
El malware de tipo wiper se ha convertido en un arma estándar de los Estados-nación. Tan solo en el primer semestre de 2026, al menos seis campañas distintas de wipers están activas contra la infraestructura industrial y crítica: DynoWiper, PathWiper, AcidPour, los wipers BAUXITE, PYROXENE y Handala. La recuperación de estos ataques a menudo requiere revisiones completas del sistema. La prevención es mucho más barata que la recuperación.
Las técnicas de vivir de la tierra (LOTL, Living-off-the-land) ahora dominan las intrusiones en TO. Los adversarios como VOLTZITE se mueven a través de redes adyacentes a TO utilizando herramientas administrativas legítimas (PowerShell, WMI, netsh, utilidades nativas del sistema operativo) y haciendo un uso indebido del software de ingeniería y del acceso a los historiadores. La detección basada en firmas falla contra esto. El análisis de comportamiento y el establecimiento de líneas de base de protocolos ahora son esenciales, no opcionales.
Más de 19,000 dispositivos ICS expuestos a Internet se comunican a través de Modbus a nivel mundial. El grupo BAUXITE y grupos de hacktivistas realizan escaneos de puertos sistemáticos de TCP/502, TCP/102, TCP/20000 y TCP/44818. Si sus HMI, PLC o estaciones de trabajo de ingeniería se encuentran entre ellos, ya están siendo sondeados.
El 77% de los ataques de OT con impacto físico ingresan a través del compromiso de la red de TI. Las arquitecturas de red planas que permiten que el ransomware se propague desde un servidor de correo electrónico corporativo a un sistema SCADA en el piso de la planta en cuestión de horas son el mayor multiplicador de riesgo estructural que existe hoy en día en los entornos industriales.
La manipulación de datos se ha convertido en la técnica detectada con mayor frecuencia en los entornos de TO de manufactura, transporte y energía, apareciendo tres veces más a menudo que cualquier otra técnica. La alteración silenciosa de los valores de proceso, las lecturas de los sensores o los datos del historiador sin activar alarmas es el vector de amenaza que la mayoría de las organizaciones están menos preparadas para detectar.
La IA ha cambiado fundamentalmente la amenaza de la ingeniería social para el personal de OT. Más del 80% de los correos electrónicos de phishing ahora utilizan generación asistida por IA. Los actores de amenazas están creando perfiles psicológicos del personal clave de la planta para identificar a los objetivos con mayor probabilidad de eludir los protocolos de seguridad o ser receptivos a la ingeniería social. Sus ingenieros y operadores están siendo estudiados.
El acceso remoto de contratistas sigue siendo el principal vector de acceso inicial. Las credenciales de VPN compartidas, los dispositivos personales y un monitoreo de sesión mínimo crean una exposición persistente que los adversarios explotan activamente. Las observaciones de respuesta a incidentes de Shieldworkz confirman este patrón repetidamente en todos los sectores.
Cómo Shieldworkz apoya su programa de seguridad OT
Shieldworkz fue creado específicamente para el problema de seguridad de OT, no adaptado de un marco de seguridad de TI. La inteligencia de este informe proviene de la misma capacidad que impulsa nuestros servicios de protección al cliente.
Plataforma de inteligencia de amenazas de OT: Inteligencia de amenazas específica para ICS en tiempo real, obtenida de más de 70 sensores y honeypots globales, observaciones de respuesta a incidentes e inteligencia de socios verificados. La inteligencia está mapeada en MITRE ATT&CK para ICS y se integra directamente en la optimización de detección del SOC.
Visibilidad de activos de OT y NDR pasiva: Detección y respuesta de red pasiva diseñada para analizar protocolos de OT (Modbus, DNP3, EtherNet/IP, S7comm, IEC 61850, OPC-UA, Profinet) sin escaneo activo y sin riesgo operativo. No se puede proteger lo que no se puede ver, y el escaneo activo en entornos de OT causa interrupciones del servicio.
Evaluación de riesgos de OT: una evaluación estructurada que identifica las rutas de ataque explotables en su entorno de OT específico antes de que lo hagan los adversarios. Adaptada a su sector, su arquitectura y los actores de amenazas con mayor probabilidad de dirigirse a sus operaciones. Requerida para el cumplimiento de NERC CIP, IEC 62443 y NIS2, y cada vez más solicitada por las aseguradoras cibernéticas.
Retenedor de Respuesta a Incidentes de OT: Capacidad de Respuesta a Incidentes (IR) prenegociada con analistas especializados en OT que comprenden los procesos industriales, los sistemas de seguridad y las limitaciones de responder en un entorno de producción en vivo. Las firmas genéricas de IR de TI no cuentan con las habilidades requeridas cuando un DCS está involucrado.
Capacitación en concientización de seguridad de OT: capacitación específica según el rol para ingenieros y operadores que aborda las amenazas reales a las que se enfrentan: spear-phishing mejorado con IA, campañas de ingeniería social dirigidas al personal de la planta y prácticas seguras para el acceso remoto y la supervisión de contratistas.
Soporte de cumplimiento regulatorio: Desde NERC CIP e IEC 62443 hasta NIS2, las Directivas de Seguridad para Oleoductos de la TSA y las directrices de CISA, las evaluaciones de Shieldworkz están diseñadas para alinearse con las obligaciones de cumplimiento y respaldarlas en todos los marcos regulatorios clave de seguridad de OT.
El modelo de SOC centrado en TI es fundamentalmente inadecuado para los entornos de TO. Si su equipo actual de operaciones de seguridad confía en las reglas de SIEM de TI y en los libros de jugadas de TI para proteger su entorno industrial, su riesgo no detectado es significativo. Shieldworkz proporciona la capacidad de SOC de TO diseñada específicamente que cierra esta brecha.
Manténgase un paso adelante de las amenazas, acceda al aviso completo ahora
El Asesoramiento de Inteligencia sobre Ciberamenazas de OT Globales del primer semestre de 2026 completo incluye los perfiles completos de los actores de amenazas, el análisis confirmado de familias de malware, el mapeo de técnicas de MITRE ATT&CK para ICS, mapas de calor de riesgo específicos del sector, indicadores de compromiso, recomendaciones para la caza de amenazas, el sprint de prioridad de 30 días para CISO, la guía estratégica de arquitectura defensiva y la perspectiva hacia el futuro de 12 a 24 meses hasta 2027. Es el asesoramiento de inteligencia sobre amenazas de OT más detallado y centrado operativamente que Shieldworkz ha publicado.
Descargue el informe completo. Después de la descarga, nuestros especialistas en seguridad de OT están disponibles para una consulta gratuita de 30 minutos para analizar los hallazgos más relevantes para su sector, su postura de seguridad actual y sus prioridades inmediatas. Sin discursos genéricos. Sin obligaciones. Solo una conversación directa con personas que entienden su entorno.
Para recibir una sesión informativa sobre el reporte Global OT Cyber Threat Intelligence Advisory H1 2026, reserve una sesión con nuestros expertos hoy mismo.
