El dato es especialmente relevante para el entorno industrial porque estos ataques ya no responden mayoritariamente a campañas automatizadas, sino a operaciones avanzadas con intervención humana. De hecho, casi el 47% de los incidentes críticos están vinculados a ataques dirigidos (APT) y acciones manuales de los adversarios, lo que implica una mayor capacidad de impacto sobre producción, continuidad operativa y propiedad intelectual.
El informe refleja además un cambio estructural en el patrón de amenazas. Aunque los incidentes críticos han disminuido en volumen relativo —del 14,3% en 2021 al 3,8% en 2025—, su complejidad y capacidad de daño han aumentado. Al mismo tiempo, las organizaciones afrontan un incremento masivo de amenazas de menor nivel: más del 96% de los incidentes son ya de severidad media o baja, lo que genera un efecto de saturación y dificulta identificar los ataques realmente peligrosos.
Cuando los ataques logran avanzar, el impacto es directo sobre el negocio. El cifrado de datos con fines de extorsión (ransomware) sigue siendo el principal daño, presente en cerca del 39% de los casos. A esto se suma la instalación de mecanismos de persistencia para ataques futuros y, en menor medida, la exfiltración de información o la interrupción de servicios. En entornos industriales, donde la disponibilidad es crítica, este tipo de incidentes puede traducirse en paradas de producción y pérdidas económicas significativas.
Otro de los aspectos clave es que los atacantes continúan explotando vulnerabilidades conocidas. Según el informe, el 50% de las vulnerabilidades utilizadas permiten la ejecución remota de código, en muchos casos sin necesidad de autenticación. Esto evidencia que muchos ataques podrían evitarse con políticas más rigurosas de actualización y gestión de parches.
Las vías de entrada tampoco han cambiado de forma significativa. Las aplicaciones expuestas a internet siguen siendo el principal punto de acceso, seguidas del uso de credenciales válidas comprometidas y de los ataques a través de terceros o relaciones de confianza. Este último vector resulta especialmente crítico en la industria, donde la dependencia de proveedores tecnológicos e integradores es elevada, lo que amplía la superficie de ataque a toda la cadena de valor.
El tiempo que los atacantes permanecen dentro de los sistemas es otro factor determinante. El informe muestra que los ataques pueden durar desde menos de un día en campañas rápidas hasta más de tres meses en operaciones persistentes. Esta diferencia depende en gran medida del nivel de madurez en ciberseguridad de cada organización. En los entornos menos preparados, los atacantes pueden operar durante semanas o meses sin ser detectados.
En este escenario, la industria se mantiene como un objetivo estratégico para el cibercrimen, junto con sectores como el gubernamental o el tecnológico. Más allá del beneficio económico, los atacantes buscan acceder a propiedad intelectual, interrumpir operaciones críticas o utilizar a las empresas como puerta de entrada para comprometer a terceros, especialmente en ataques a la cadena de suministro.
A pesar de este contexto, también se observan avances en la capacidad de detección. En organizaciones con servicios avanzados de monitorización, el tiempo medio para identificar un incidente crítico se sitúa en torno a los 42 minutos. Sin embargo, en empresas sin estas capacidades, la detección puede demorarse semanas, cuando el daño ya es evidente.
El informe concluye que la industria debe evolucionar hacia un enfoque más proactivo, reforzando la gestión de riesgos, el control de accesos, las copias de seguridad y la concienciación de los empleados. En un entorno de digitalización creciente, la ciberseguridad se posiciona como un elemento clave no solo para la protección, sino también para la competitividad y la resiliencia del tejido industrial.
