El sector manufacturero fue el más atacado por hackers en 2025, por quinto año consecutivo, según un reciente informe de IBM X-Force. Si bien muchas empresas manufactureras han tomado algunas medidas para proteger sus sistemas, los expertos en ciberseguridad afirman que la mayoría puede hacer más para prevenir ataques, o al menos limitar los daños en caso de que ocurran.
Los fabricantes son blanco de ataques cibernéticos, en parte, porque poseen “propiedad intelectual de alto valor y sistemas heredados complejos que son más difíciles de parchear y, por lo tanto, más fáciles de explotar”, explicó Ryan Anschutz, líder de respuesta a incidentes de Norteamérica en IBM X-Force, en un correo electrónico.
Añadiendo al problema, Anschutz señaló que las organizaciones manufactureras a menudo no cuentan con el capital para financiar programas de ciberseguridad adecuados.
Patrick Garrity, investigador de seguridad en VulnCheck, coincidió en que los sistemas más antiguos son objetivos atractivos. “Muchos fabricantes todavía dependen de tecnologías heredadas y sistemas industriales que no fueron diseñados teniendo en cuenta la ciberseguridad moderna”, afirmó en un correo electrónico. “La modernización a menudo ocurre lentamente, dejando a las organizaciones operando con una combinación de sistemas antiguos y nuevos que pueden ampliar la superficie de ataque”.
Corey Nachreiner, director de seguridad de WatchGuard Technologies, también señaló que los fabricantes están bajo presión constante para seguir operando incluso si son víctimas de un ataque. “Para un fabricante, cada minuto de tiempo de actividad se traduce en dinero”, dijo. “Los cibercriminales y los actores de ransomware se dan cuenta de esto. Cada hora que pueden mantener a un fabricante inactivo le cuesta a la empresa ingresos y ganancias, por lo que realmente pueden apretar con la extorsión si pueden bloquear a un fabricante con un ciberataque”.
Además de ser objetivos relativamente blandos, los expertos señalan que los fabricantes a menudo cometen errores que aumentan su vulnerabilidad. Algunos de los más comunes incluyen:
- Tratar los entornos de tecnología operativa como separados de los programas de ciberseguridad. “Cuando los sistemas OT no se integran en flujos de trabajo centralizados de monitoreo o detección, las amenazas pueden pasar desapercibidas durante largos períodos”, explicó Adam Marrè, director de seguridad de la información en Arctic Wolf, en un correo electrónico.
- Subestimar el riesgo asociado con la seguridad de la identidad y el acceso remoto. “Los atacantes frecuentemente inician sesión utilizando credenciales robadas en lugar de romper las defensas, lo que significa que los controles de autenticación débiles o las políticas de acceso demasiado permisivas pueden crear una gran exposición”, afirmó Marrè.
- Carecer de un plan de recuperación ante desastres y continuidad del negocio. “A menudo, [los fabricantes] pueden no tener el plan más sólido para mantener las operaciones en funcionamiento manualmente en caso de desastres tecnológicos”, señaló Nachreiner.
- Retrasar la modernización tecnológica. Los sistemas más antiguos “pueden seguir funcionando operativamente, pero pueden introducir riesgos de seguridad significativos si el parcheo, la visibilidad de los activos y la gestión de vulnerabilidades no se mantienen de forma constante”, dijo Garrity.
- No realizar copias de seguridad de los sistemas de forma regular. “Algunas organizaciones mantienen copias de seguridad en línea o no prueban la restauración con regularidad, lo que las deja vulnerables al ransomware que cifra o elimina los datos de la copia de seguridad”, explicó Reegun Jayapaul, director de investigación de amenazas en Cyderes, en un correo electrónico.
Según Jayapaul, los atacantes suelen obtener acceso inicial a través de phishing, servicios remotos expuestos o cuentas de proveedores comprometidas. “Si la segmentación de la red entre TI y OT es débil, pueden moverse lateralmente hacia controladores industriales o sistemas de ejecución de fabricación”, agregó.
Los atacantes también suelen atacar los dispositivos de red perimetrales, las plataformas de virtualización y la infraestructura del servidor. “Estos sistemas a menudo están expuestos a Internet o se encuentran en puntos críticos dentro de la red, lo que los convierte en puntos de entrada atractivos”, explicó Garrity. “Cuando existen vulnerabilidades en estas tecnologías, especialmente si los parches se retrasan, pueden proporcionar a los atacantes un punto de apoyo inicial que luego puede utilizarse para profundizar en los entornos operativos”.
Independientemente de dónde provenga el ataque, “los incidentes cibernéticos pueden convertirse rápidamente en interrupciones físicas, costosas”, afirmó Richard Springer, director sénior de marketing de soluciones OT en Fortinet, en un correo electrónico. “Un ataque puede detener las líneas de producción, dañar el equipo o interrumpir las cadenas de suministro críticas, lo que eleva las apuestas más allá de las brechas de seguridad de TI tradicionales”.
A pesar de la amplia gama de amenazas que enfrentan los fabricantes, hay varios pasos que pueden tomar —comenzando de inmediato— para reforzar las vulnerabilidades y proteger sus sistemas.
Fortalecer la colaboración entre TI/OT, pero mantenerlos separados
Una forma importante en que los fabricantes pueden fortalecer sus defensas contra los ciberataques es mejorar la colaboración entre sus departamentos de tecnología de la información y tecnología operativa. Las empresas deben adoptar un enfoque “continuo y proactivo para identificar las debilidades en los entornos de TI y OT”, señaló Anschutz.
“Los actores de amenazas explotan las brechas entre estos entornos con frecuencia”, dijo. “Adoptar una visibilidad compartida, un proceso común y un flujo de trabajo de respuesta unificado reducirá los puntos ciegos ambientales y acelerará la contención en caso de un incidente”.
Al mismo tiempo, Marrè señaló que es fundamental separar TI y OT para limitar la propagación de un ataque. “La segmentación efectiva también permite a las organizaciones aplicar políticas de monitoreo y acceso más estrictas en torno a los sistemas industriales críticos que respaldan directamente las operaciones de fabricación”, agregó.
Reforzar la seguridad de la identidad
Anschutz dijo que muchos actores de amenazas acceden a los sistemas de los fabricantes abusando de las credenciales, especialmente para las aplicaciones orientadas al cliente. “Por eso es imperativo que los fabricantes obtengan una mejor visibilidad de los riesgos y las amenazas basados en la identidad”, afirmó. “Al combinar la detección y respuesta de amenazas de identidad impulsada por IA y la gestión de la postura de seguridad de la identidad, pueden identificar las vulnerabilidades y prevenir los ataques de forma más rápida y eficiente”.
También es importante utilizar regularmente la autenticación multifactor en todas las herramientas de acceso remoto, las cuentas administrativas y los sistemas críticos, señaló Marrè.
Además, las empresas deben “auditar periódicamente las cuentas con privilegios, eliminar los permisos innecesarios y monitorear el comportamiento de inicio de sesión inusual, como los inicios de sesión fuera del horario laboral normal o desde ubicaciones desconocidas”, dijo. “Los controles de identidad sólidos ayudan a garantizar que, incluso si las credenciales se ven comprometidas, los atacantes no puedan moverse fácilmente más profundamente en el entorno”.
Actualizar el software rápidamente
Nachreiner dijo que los fabricantes deben aplicar parches a todos sus sistemas lo más rápido posible cuando estén disponibles las actualizaciones para limitar la capacidad de los atacantes de encontrar una vía de entrada. “Ya sea el software o el hardware de la oficina central o el lado comercial, o los sistemas de control OT y industriales utilizados en la planta de fabricación, debe asegurarse de actualizar el software y el firmware rápidamente”, dijo. “Si una actualización tiene vulnerabilidades altas o críticas, debe aplicarla un parche en un plazo de al menos 30 días”.
Priorizar las vulnerabilidades
Los fabricantes deben recordar que no todas las amenazas son igualmente peligrosas.
“Priorice las vulnerabilidades en función de la actividad real de las amenazas, no solo de las puntuaciones de gravedad como el [Common Vulnerability Scoring System]”, dijo Garrity. “La priorización informada por las amenazas ayuda a las organizaciones a centrarse en las vulnerabilidades que los atacantes están explotando activamente”.
Según el SANS Institute, una organización de capacitación y certificación en ciberseguridad, el CVSS es una forma de evaluar y clasificar los riesgos de ciberseguridad reportados de manera estandarizada y repetible. Aunque una puntuación CVSS y enfoques similares pueden ayudar a comparar vulnerabilidades entre aplicaciones y proveedores, no se debe confiar ciegamente en ella, dijo Garrity.
Construir resiliencia cibernética en las operaciones
La planificación del tiempo de inactividad debe ser parte de la estrategia de ciberseguridad de una empresa.
“Planifique escenarios de tiempo de inactividad, pruebe sus procesos de recuperación con regularidad y asegúrese de que los equipos puedan restaurar las operaciones rápidamente bajo presión”, dijo Anschutz. “Queremos adoptar la idea de que construimos resiliencia en las operaciones, para que el tiempo de inactividad no se convierta en una palanca de negociación para el actor de amenazas”.
