El informe confirma un incremento preocupante en el número y gravedad de los ataques dirigidos a tecnologías operacionales (OT) y sistemas de control industrial (ICS). El documento, que analiza el panorama de amenazas desde enero de 2024, advierte que las campañas de ransomware, espionaje y sabotaje ya no son amenazas hipotéticas, sino realidades que afectan a procesos críticos para el funcionamiento de países enteros.
Según los datos del informe, casi el 60% de las campañas registradas corresponden a delitos informáticos con fines económicos, seguidos por operaciones de ciberespionaje (23%) y actividades hacktivistas (17%), muchas de ellas ligadas a conflictos geopolíticos. Los sectores más golpeados por estos ataques son los relacionados con infraestructuras críticas como la energía, el transporte, la defensa, la manufactura y las telecomunicaciones. El documento destaca que muchos de estos sectores operan aún con sistemas obsoletos, mal segmentados y sin las mínimas condiciones de ciberseguridad, lo que los convierte en un blanco extremadamente vulnerable.
Actores de amenaza más activos
Entre las amenazas más activas se encuentran grupos de ransomware como Lockbit, Akira, Blackbasta, Ghost y RA World, todos ellos operando bajo el modelo de Ransomware-as-a-Service. Estos colectivos no solo cifran los sistemas de sus víctimas, sino que además roban información sensible y amenazan con publicarla para aumentar la presión. Algunas de las campañas más destacadas han afectado a organizaciones gubernamentales, sanitarias, educativas y especialmente industriales, con consecuencias económicas severas y parálisis operativa.
El informe también dedica un amplio espacio a los actores estatales conocidos como APT (Amenazas Persistentes Avanzadas), que operan al servicio de intereses nacionales. Rusia, China, Irán y Corea del Norte figuran entre los países más señalados, con grupos como APT28, Sandworm, Lazarus o Winnti implicados en operaciones complejas de espionaje, sabotaje o preparación de ciberataques para guerras híbridas. Estas acciones tienen como objetivo obtener inteligencia estratégica, controlar sistemas industriales o dejar preparados escenarios para interrupciones críticas futuras.
Paralelamente, el fenómeno del hacktivismo ha adquirido una dimensión disruptiva en los últimos meses. Grupos como NoName057(16), GhostSec o Ukrainian Cyber Alliance han protagonizado campañas masivas de denegación de servicio (DDoS), filtración de datos y sabotaje digital con fines ideológicos, especialmente en el contexto de la guerra en Ucrania. España ha sido uno de los países europeos más afectados por estos ataques, con más de 1.300 incidentes DDoS registrados en una sola campaña bajo el lema #OpSpain, promovida por colectivos prorrusos.
Debilidades más comunes en entornos industriales
El informe subraya que la convergencia entre redes IT y OT ha eliminado las antiguas barreras de protección que ofrecía el aislamiento. Las organizaciones industriales, en su proceso de digitalización, han abierto nuevas vías de entrada a los atacantes sin reforzar adecuadamente sus defensas. La falta de recursos, la ausencia de planes de contingencia y la escasa cultura de ciberseguridad siguen siendo factores críticos que facilitan la labor de los agresores.
A nivel europeo, el documento señala que la integración de tecnologías conectadas en los sistemas ICS ha aumentado exponencialmente su exposición, mientras que en América Latina, el 64% de las empresas industriales ya ha iniciado procesos de digitalización sin contar con los recursos ni la capacitación necesarios para proteger sus infraestructuras.
S2 Grupo advierte que el modelo tradicional de seguridad industrial, centrado en el aislamiento físico y en soluciones IT genéricas, ha dejado de ser eficaz. En su lugar, propone un enfoque integrado de ciberseguridad IT+OT que combine tecnología soberana, inteligencia contextual y conocimiento profundo de los procesos industriales. Este modelo debe, además, alinearse con normativas cada vez más exigentes como NIS2, IEC 62443 o el Esquema Nacional de Seguridad, cuyo cumplimiento es ahora una condición clave para operar con garantías en entornos globalizados.
El informe no solo ofrece un diagnóstico técnico del panorama de amenazas, sino que lanza una llamada a la acción urgente para que el sector industrial adopte medidas concretas. La resiliencia, la continuidad productiva y la confianza social dependen, cada vez más, de una ciberseguridad específica, proactiva y adaptada a la lógica de la industria. Como señala S2 Grupo, ya no se trata de si una organización será atacada, sino de cuándo, cómo y con qué preparación contará para resistirlo.
