El sector público y el industrial, en el punto de mira de los ciberdelincuentes en 2025

Introducción

El panorama global de ciberamenazas ha experimentado una evolución significativa en los últimos años, con una sofisticación creciente en las técnicas de ataque y un incremento en la selectividad de los objetivos. Según el último informe global de Kaspersky Security Services, “Anatomy of a Cyber World”, los sectores público e industrial han consolidado su posición como los principales objetivos de los ciberdelincuentes durante 2025. Este artículo analiza en profundidad los datos del informe, las técnicas empleadas, los riesgos inherentes y las implicaciones para los profesionales de la ciberseguridad.

Contexto del Incidente o Vulnerabilidad

El informe de Kaspersky, basado en la monitorización de incidentes de alta gravedad en múltiples regiones y verticales, revela que el 19% de los ataques críticos en 2025 han tenido como objetivo organizaciones del sector público, mientras que el 17% se ha dirigido al sector industrial. Estos datos confirman una tendencia que se repite por segundo año consecutivo, donde los actores de amenazas priorizan infraestructuras esenciales y entidades gubernamentales por su valor estratégico y el impacto potencial de cualquier interrupción o filtración de datos.

El sector público abarca desde administraciones centrales hasta entidades locales, así como organismos reguladores y de defensa. Por su parte, el sector industrial incluye compañías de energía, manufactura, transporte y telecomunicaciones, todos ellos considerados críticos bajo el marco regulatorio europeo NIS2.

Detalles Técnicos

Los incidentes analizados en el informe se caracterizan por el uso de técnicas avanzadas de intrusión, con una prevalencia destacada de ataques de ransomware, campañas de spear phishing y explotación de vulnerabilidades zero-day. El framework MITRE ATT&CK identifica las siguientes tácticas y técnicas como las más empleadas:

– Initial Access (TA0001): Uso de spear phishing (T1566.001) y explotación de aplicaciones expuestas (T1190).
– Privilege Escalation (TA0004): Explotación de vulnerabilidades locales (CVE-2024-23897 en sistemas Linux y CVE-2025-11337 en Active Directory).
– Lateral Movement (TA0008): Uso de herramientas como Cobalt Strike (T1219) y exploits para RDP (T1076).
– Command and Control (TA0011): Empleo de canales cifrados y servicios legítimos (T1071).

Como indicadores de compromiso (IoC), el informe destaca direcciones IP asociadas a infraestructuras de botnets conocidas, hashes de archivos maliciosos y dominios empleados en campañas de phishing dirigidas a organismos públicos e infraestructuras industriales.

En cuanto a exploits y herramientas, los actores han empleado kits como Metasploit para la explotación de vulnerabilidades en servicios web y Cobalt Strike para la post-explotación y persistencia. Además, se han detectado variantes de ransomware como LockBit Black y BlackCat/ALPHV dirigidas específicamente a entornos OT (tecnología operacional).

Impacto y Riesgos

El impacto de estos ataques es elevado tanto por el alcance de los datos comprometidos como por la interrupción de servicios críticos. En el sector público, las brechas han supuesto la filtración de información sensible de ciudadanos y empleados, así como la paralización temporal de servicios esenciales. En el sector industrial, los incidentes han afectado a la cadena de suministro y la continuidad operativa, con pérdidas económicas estimadas que superan los 1.200 millones de euros en los últimos doce meses.

El riesgo reputacional y el posible incumplimiento normativo (por ejemplo, GDPR en el tratamiento de datos personales y NIS2 en la protección de infraestructuras críticas) añaden una capa de complejidad adicional para los responsables de ciberseguridad.

Medidas de Mitigación y Recomendaciones

El informe de Kaspersky recomienda una combinación de medidas técnicas y organizativas para mitigar los riesgos:

– Aplicación urgente de parches de seguridad, priorizando vulnerabilidades con exploits públicos (CVE-2024-23897, CVE-2025-11337).
– Refuerzo de la segmentación de redes y la monitorización continua de tráfico lateral.
– Implantación de soluciones EDR y SIEM con capacidades avanzadas de detección basada en comportamiento.
– Formación continua del personal para identificar intentos de phishing y ataques dirigidos.
– Simulacros de respuesta ante incidentes y actualización de los planes de contingencia conforme a los requisitos de NIS2.

Opinión de Expertos

Varios CISOs y analistas SOC consultados coinciden en que la creciente presión regulatoria, junto con la digitalización acelerada de procesos públicos e industriales, ha ampliado la superficie de ataque. “La sofisticación de las TTP y la convergencia entre IT y OT hacen imprescindible un enfoque integrado de la ciberseguridad”, afirma Ana Martínez, responsable de seguridad en una utility europea. Por su parte, Luis Gómez, pentester senior, subraya la necesidad de “automatizar la detección de movimientos laterales y la exfiltración de datos, ya que los atacantes emplean cada vez más técnicas living-off-the-land”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben adaptarse a un entorno donde los ataques dirigidos son cada vez más complejos y persistentes. Las empresas del sector público e industrial no solo deben cumplir con la legislación vigente (GDPR, NIS2), sino también anticipar las tendencias del threat landscape, adoptando estrategias de defensa en profundidad y mejorando la resiliencia operativa. Para los usuarios finales, la exposición a campañas de phishing y el posible robo de datos personales incrementan la necesidad de concienciación y buenas prácticas digitales.

Conclusiones

El informe de Kaspersky confirma que los sectores público e industrial seguirán siendo objetivos prioritarios para los ciberdelincuentes en 2025, impulsados por la alta rentabilidad de los ataques y el impacto potencial sobre la sociedad y la economía. La evolución de las técnicas empleadas y la creciente presión regulatoria exigen a los responsables de ciberseguridad un enfoque proactivo, basado en la inteligencia de amenazas y la adaptación continua de sus estrategias defensivas.

(Fuente: www.cybersecuritynews.es)