Crecen un 20% las ciberamenazas a sistemas industriales en España en el último trimestre de 2025

Introducción

El panorama de la ciberseguridad industrial en España se enfrenta a un nuevo y preocupante escenario. Según el reciente informe “Threat landscape for industrial automation systems. Europe, Q4 2025” publicado por Kaspersky ICS CERT, la región de Europa del Sur —incluyendo a España— ha experimentado el mayor aumento de ciberamenazas contra sistemas industriales de todo el continente. El informe revela que casi uno de cada cinco sistemas de control industrial (ICS) en España fue objetivo de ciberataques durante el último trimestre de 2025, con un incremento significativo en la sofisticación y frecuencia de los vectores de ataque. Este artículo desglosa en profundidad los datos, las técnicas empleadas y las implicaciones para el sector industrial y la seguridad nacional.

Contexto del Incidente o Vulnerabilidad

El informe de Kaspersky ICS CERT, centrado en el último trimestre de 2025, resalta una tendencia ascendente en la actividad maliciosa dirigida a infraestructuras críticas y entornos de automatización industrial. Europa del Sur encabeza el ranking europeo en cuanto a incremento de ciberamenazas sobre sistemas ICS, situando a España en una posición especialmente vulnerable. Este auge no solo responde a la sofisticación de los atacantes, sino también a la paulatina digitalización de la industria española, que amplía la superficie de ataque y expone sistemas tradicionalmente aislados a riesgos inéditos.

En este periodo, las amenazas distribuidas a través de correo electrónico han experimentado un repunte extraordinario, consolidando a la región como líder mundial en este vector de ataque. España, que concentra un importante tejido industrial (energía, manufactura, agua, transporte), se convierte así en uno de los principales objetivos para campañas de phishing, ransomware y ataques dirigidos (APT).

Detalles Técnicos

El informe detalla que el 19% de los sistemas industriales españoles registrados por Kaspersky detectaron actividad maliciosa entre octubre y diciembre de 2025. Los vectores de ataque predominantes han sido:

– **Malware distribuido por correo electrónico**: Incluyendo familias como Agent Tesla, LokiBot, y Remcos, con campañas masivas y técnicas de spear phishing muy personalizadas.
– **Exploits dirigidos a vulnerabilidades conocidas (CVE-2023-34362 y CVE-2024-21762)**: Principalmente en soluciones SCADA y PLCs de proveedores como Siemens, Schneider Electric y Rockwell Automation.
– **Uso de frameworks de post-explotación**: Se ha observado despliegue de Cobalt Strike y Metasploit para persistencia, movimiento lateral y exfiltración de datos.
– **Tácticas, Técnicas y Procedimientos (TTPs) alineadas con MITRE ATT&CK for ICS**: Destacan técnicas como Spearphishing Attachment (T1193), Valid Accounts (T1078), y Command-Line Interface (T0807).
– **Indicadores de Compromiso (IoC)**: Listas de hashes de archivos, direcciones IP maliciosas asociadas a infraestructuras de C2, y patrones de tráfico anómalos en protocolos industriales (Modbus, OPC, DNP3).

Impacto y Riesgos

El crecimiento del 20% en la detección de amenazas respecto al trimestre anterior se traduce en un aumento proporcional de los riesgos para la integridad, disponibilidad y confidencialidad de los procesos industriales críticos. La explotación de vulnerabilidades en ICS puede resultar en paradas de producción, sabotaje de equipos, manipulación de datos de sensores y, en casos extremos, incidentes de seguridad física.

A nivel económico, las pérdidas derivadas de ataques de ransomware y sabotaje en el sector industrial europeo ascendieron a más de 1.200 millones de euros en 2025 según ENISA, con España representando un 18% de los incidentes notificados. Además, la exposición pública de datos industriales sensibles puede acarrear sanciones por incumplimiento del GDPR y la inminente NIS2, que endurece los requisitos de protección y notificación de incidentes en infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Kaspersky y otros organismos recomiendan una estrategia multicapa de defensa para mitigar estos riesgos:

– **Actualización y gestión de parches**: Priorizar la corrección de vulnerabilidades críticas (CVE-2023-34362, CVE-2024-21762).
– **Segmentación de redes OT/IT**: Minimizar la exposición de sistemas ICS en redes corporativas y a Internet.
– **Fortalecimiento del correo electrónico**: Implementar soluciones avanzadas de filtrado, autenticación (DMARC, SPF, DKIM) y formación continua en concienciación para empleados.
– **Monitorización avanzada (SOC/EDR)**: Desplegar sistemas de detección y respuesta específicos para entornos industriales y monitorización de IoC actualizados.
– **Pruebas de penetración periódicas**: Simulaciones de ataque controladas para identificar y subsanar posibles vectores de acceso.

Opinión de Expertos

Manuel López, CISO de una de las principales compañías energéticas españolas, destaca: “El incremento de ataques a ICS evidencia la necesidad de tratar la ciberseguridad industrial como un pilar estratégico, no solo tecnológico. La colaboración público-privada, el intercambio de inteligencia y la formación continua son claves para reducir la ventana de exposición”.

Por su parte, Marta Ruiz, analista senior en un SOC industrial, alerta sobre el repunte en el uso de técnicas APT orientadas a la persistencia y exfiltración lenta de datos, así como la profesionalización de los grupos de ransomware como servicio (RaaS) en el sector industrial.

Implicaciones para Empresas y Usuarios

Para las empresas industriales españolas, el informe subraya la urgencia de revisar y reforzar sus políticas de ciberseguridad, dado que la digitalización y la convergencia IT/OT amplifican el impacto potencial de cualquier incidente. La entrada en vigor de NIS2 en 2024 y la presión del GDPR obligan a implementar controles técnicos y organizativos más estrictos, así como a establecer planes de respuesta a incidentes y de notificación a la AEPD y el CCN-CERT.

A nivel de usuario, los operarios y técnicos deben ser objeto de campañas de concienciación específicas sobre phishing y buenas prácticas en el acceso remoto a sistemas industriales.

Conclusiones

El último informe de Kaspersky ICS CERT confirma que España se enfrenta a un contexto de amenazas industriales en rápida evolución, con un crecimiento del 20% en ataques detectados en el último trimestre de 2025. La profesionalización de los actores de amenazas, junto con vulnerabilidades persistentes en infraestructuras críticas, exige una respuesta coordinada y proactiva por parte de todo el ecosistema industrial. La integración de ciberseguridad en la cultura y operación diaria de las empresas será determinante para reducir el riesgo y proteger la continuidad de negocio en un entorno cada vez más hostil.

(Fuente: www.cybersecuritynews.es)