AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

El 19,4% de los sistemas industriales en el sur de Europa bloquearon ciberataques en Q2 2025

admin

## Introducción

El panorama de ciberamenazas dirigido a infraestructuras industriales continúa evolucionando a un ritmo acelerado, con ataques cada vez más sofisticados y persistentes. El último informe publicado por Kaspersky ICS CERT, correspondiente al segundo trimestre de 2025, revela que casi una quinta parte (19,4%) de los ordenadores pertenecientes a sistemas de control industrial (ICS) en el sur de Europa —incluyendo España— detectaron y bloquearon intentos de ciberataque. A pesar de ser una cifra ligeramente inferior a la media global (20,5%), estos datos evidencian la presión constante sobre los entornos OT (Operational Technology) y la necesidad de reforzar las estrategias de defensa de los sistemas industriales.

## Contexto del Incidente o Vulnerabilidad

Los sistemas industriales, tradicionalmente aislados y gestionados por protocolos propietarios, han sido progresivamente interconectados con redes corporativas y, en muchos casos, con Internet, incrementando su superficie de exposición. El informe de Kaspersky ICS CERT identifica que las amenazas dirigidas a entornos ICS en el sur de Europa incluyen desde malware genérico hasta ataques más dirigidos que explotan vulnerabilidades específicas en software de automatización, SCADA y PLCs.

En este contexto, los sectores más afectados han sido energía, manufactura, tratamiento de aguas y transporte. España, por su papel estratégico en el sector energético y la modernización de su infraestructura industrial, se ha convertido en un objetivo recurrente para grupos de amenazas persistentes avanzadas (APT) que buscan tanto el espionaje industrial como la interrupción de operaciones críticas.

## Detalles Técnicos

Durante el segundo trimestre de 2025, las principales amenazas detectadas incluyen variantes de malware como ransomware industrial, troyanos orientados a espionaje y exploits que aprovechan vulnerabilidades conocidas en sistemas OT. Entre los CVEs más explotados destacan:

– **CVE-2023-35998**: Vulnerabilidad crítica en middleware de comunicación industrial, utilizada para ejecutar código remoto en dispositivos SCADA.
– **CVE-2024-22102**: Fallo en la autenticación de ciertos PLCs ampliamente desplegados en el sector energético español.
– **CVE-2025-10455**: Desbordamiento de búfer en un popular HMI (Human-Machine Interface), explotado para obtener persistencia en el entorno.

El vector de ataque más común continúa siendo el spear phishing dirigido a ingenieros y operadores, seguido de la explotación directa de servicios expuestos. Herramientas como Metasploit han sido observadas en campañas de intrusión inicial, mientras que Cobalt Strike y frameworks como Mimikatz se han utilizado para el movimiento lateral y la escalada de privilegios.

Según el mapping de MITRE ATT&CK for ICS, las tácticas más habituales han sido:

– Initial Access [TA0108]: Phishing, acceso remoto vía VPNs inseguras.
– Execution [TA0104]: Uso de scripts maliciosos y macros en documentos ofimáticos.
– Lateral Movement [TA0109]: Abuso de protocolos industriales (Modbus, DNP3) y credenciales comprometidas.
– Impact [TA0110]: Manipulación de procesos industriales y cifrado de archivos críticos.

Entre los indicadores de compromiso (IoC) identificados, destacan hashes de ejecutables asociados a familias de malware como Snake, BlackEnergy y variantes recientes de LockerGoga.

## Impacto y Riesgos

El 19,4% de los sistemas ICS en el sur de Europa que detectaron y bloquearon ataques representan miles de activos industriales críticos. El impacto potencial de una brecha exitosa varía desde la interrupción de líneas de producción hasta daños materiales y pérdidas económicas significativas. Según estimaciones de la ENISA, el coste medio de una parada industrial por incidente de ciberseguridad en Europa supera los 320.000 euros.

Más allá del impacto económico, existe un riesgo elevado de incumplimiento regulatorio, especialmente bajo la directiva NIS2, que exige a los operadores de servicios esenciales implementar medidas de ciberseguridad reforzadas y reportar incidentes relevantes en plazos estrictos.

## Medidas de Mitigación y Recomendaciones

Kaspersky ICS CERT recomienda las siguientes acciones prioritarias:

1. **Segmentación de Red**: Separar entornos IT y OT mediante firewalls y VLANs dedicadas.
2. **Gestión de Vulnerabilidades**: Aplicar parches de seguridad en sistemas SCADA, PLCs y HMIs tan pronto como estén disponibles.
3. **Monitorización y Detección**: Implantar sistemas IDS/IPS específicos para entornos industriales y SIEMs con reglas adaptadas a protocolos OT.
4. **Formación Continua**: Capacitar a operarios e ingenieros para detectar intentos de phishing y malas prácticas de seguridad.
5. **Plan de Respuesta a Incidentes**: Desarrollar y probar procedimientos de respuesta y recuperación ante incidentes OT.
6. **Gestión de Accesos**: Minimizar privilegios y reforzar la autenticación multifactor en accesos remotos y estaciones de ingeniería.

## Opinión de Expertos

Ramón García, CISO de una multinacional energética española, comenta: “La convergencia entre IT y OT ha incrementado los riesgos. Los adversarios no sólo buscan interrumpir servicios, sino también obtener información estratégica. La vigilancia continua y la colaboración con CERTs sectoriales son esenciales para anticipar amenazas”.

Por su parte, el analista de amenazas de Kaspersky ICS CERT, Elena Mirova, subraya: “Observamos un aumento en el uso de exploits dirigidos y campañas persistentes. La velocidad de parcheo y la visibilidad sobre el tráfico industrial son determinantes”.

## Implicaciones para Empresas y Usuarios

La tendencia al alza de ataques a ICS obliga a las empresas a revisar sus estrategias de ciberseguridad industrial. Las organizaciones deben cumplir con marcos regulatorios como el RGPD y NIS2, que no sólo exigen la protección de datos personales, sino también la resiliencia operativa. La exposición de activos industriales puede traducirse en impactos reputacionales y legales, así como en sanciones económicas.

Para los usuarios industriales, la adopción de tecnologías IIoT y la digitalización deben ir acompañadas de una evaluación continua de riesgos y la integración de soluciones específicas para el entorno OT.

## Conclusiones

El informe de Kaspersky ICS CERT confirma la presión sostenida sobre los sistemas industriales en el sur de Europa, con un 19,4% de equipos ICS detectando y bloqueando amenazas en el segundo trimestre de 2025. La sofisticación de los ataques y la explotación de vulnerabilidades críticas refuerzan la necesidad de estrategias proactivas y colaborativas, con especial atención a la segmentación de redes, la gestión de vulnerabilidades y la respuesta ante incidentes. El cumplimiento normativo y la capacitación de los equipos humanos se presentan como pilares clave para mitigar el impacto de los ciberataques en la industria.

(Fuente: www.cybersecuritynews.es)