Son las tres de la madrugada; una planta industrial opera con normalidad. De pronto, se detiene sin explicación aparente. Las alarmas se disparan, y el gerente de planta recibe una llamada de sus ingenieros en turno. Desde donde se encuentra, intenta acceder de manera remota a los sistemas, pero sus intentos son rechazados una y otra vez, contacta a sus ingenieros en sitio dándoles instrucciones sobre qué hacer, pero no logran solucionar nada. La desesperación aumenta: la producción está detenida, los compromisos de entrega en riesgo y no hay respuestas claras de qué está ocurriendo.
La salida inmediata y desesperada es ordenar al personal en planta que desconecte todos los equipos informáticos y que las operaciones se realicen manualmente o pasen a un estado de operación mínima. Este escenario no sólo retrasa la producción y genera altos costos, sino que también evidencia la gran dependencia de la industria en sistemas digitales que, cuando fallan o son atacados, dejan a las empresas en una situación crítica.
Estas paradas no ocurren por “magia negra”, sino por la falta de controles de seguridad esenciales. La ausencia de accesos remotos seguros, las evidentes brechas de seguridad en las redes industriales y la falta de visibilidad en los sistemas hacen que las plantas sean vulnerables a amenazas que pueden surgir en cualquier momento.
Los motivos detrás de una parada
Los entornos OT (Operational Technology), que manejan desde los procesos de producción hasta los sistemas de control industrial, se han convertido en objetivos atractivos para los ciberdelincuentes. Existen tres razones fundamentales por las cuales se han vuelto objetivos atractivos: los costos millonarios que representa la interrupción de las operaciones, la exposición generada por cadenas de suministro inseguras y la falta de madurez en la implementación de controles de ciberseguridad.
- El primer factor es financiero y sumamente sensible. Cada minuto que una línea de producción permanece inactiva representa pérdidas económicas exponenciales. En la industria automotriz, por ejemplo, detener una línea unos cuantos segundos retrasa la fabricación de vehículos además de interrumpir toda una cadena de distribución y ventas que depende de tiempos de entrega precisos.
- El segundo factor es la cadena de suministro. Un gran número de empresas depende de terceros para mantener equipos, obtener materia prima o proveer software y sistemas críticos. El problema surge cuando esos proveedores no cuentan con una estrategia sólida de ciberseguridad. Un error en la protección de un socio tecnológico o de negocio puede convertirse en la puerta de entrada para que los atacantes comprometan toda la planta.
- El tercer factor es cultural y estratégico. Durante años, el foco de la transformación digital en OT ha estado en modernizar sistemas legados para hacerlos más eficientes y compatibles, aunque a veces los costos de estos proyectos de modernización son demasiados. Así, se tienen sistemas modernos de producción con mecanismos de seguridad insuficientes o, en algunos casos, prácticamente inexistentes. Esto convierte a los entornos industriales en presas fáciles para los ciberdelincuentes.
¿Qué sucede en el entorno global?
Para entender mejor estas razones, vale la pena echar un vistazo a las tendencias en materia de ciberataques que se están presentando en el panorama global en 2025.
- El ransomware. Si bien muchos creen que estos ataques buscan detener directamente sistemas de control como los PLCs, HMIs, etc. la realidad es que los atacantes aprovechan las redes de IT (redes corporativas), que conocen muy bien, para infiltrarse en OT y afectar de manera indirecta los procesos críticos de producción.
- El preposicionamiento silencioso. Aquí, los ciberdelincuentes logran acceder utilizando credenciales válidas obtenidas mediante ataques de phishing. Una vez dentro, se mantienen en silencio durante meses, observando, mapeando redes, estudiando conexiones, comportamientos y recolectando información de los equipos críticos. Cuando han reunido suficiente información e inteligencia, lanzan ataques que no solo detienen operaciones, sino que también permiten el robo de datos sensibles y de propiedad intelectual.
- La explotación del perímetro. Muchas empresas confían en que tener un firewall es suficiente para proteger sus sistemas. Sin embargo, firewalls mal configurados, puertos abiertos innecesarios y la falta de robustecimiento de configuraciones son errores comunes que los atacantes aprovechan para penetrar las redes. La creencia de que “ya tenemos un firewall, estamos seguros” es un error costoso.
- La extorsión sin cifrado. En este caso, los atacantes no buscan bloquear los sistemas ni instalar malware que detenga la actividad en las plantas. Lo que hacen es robar información crítica o propiedad intelectual, como recetas, fórmulas, diseños o secretos industriales, y luego amenazan con publicarla en la Deep Web o la Dark Web. Aunque la producción no se detenga, el daño reputacional y económico puede ser tan grave como el de un ransomware.
Puntos a los que prestar atención
Más allá de estas tendencias, existen aspectos estructurales en los entornos OT que pueden agravar el riesgo de detener la continuidad de una planta. Entre ellos están las redes planas, que carecen de segmentación o microsegmentación, lo que permite que los atacantes, al penetrar en un punto, puedan moverse y realizar saltos laterales libremente por toda la red. También están los inventarios incompletos de activos, que impiden a las empresas identificar qué equipos son verdaderamente críticos y deben protegerse con prioridad.
Otro aspecto clave es la falta de mecanismos de autenticación segura. Los proveedores suelen conectarse remotamente a los sistemas industriales usando herramientas como TeamViewer o AnyDesk, que no cuentan con la protección suficiente. Esto, sumado a la ausencia de múltiples factores de autenticación (MFA), convierte a esas conexiones en vías de entrada para los ciberdelincuentes.
Un factor adicional es la ausencia de respaldos confiables. No es raro encontrar PLCs que llevan décadas sin ser respaldados porque “siempre han funcionado bien”. Sin embargo, la creciente conectividad hace que esta práctica sea extremadamente peligrosa. No basta con realizar respaldos, es vital probarlos regularmente para garantizar que, en caso de un ataque, la recuperación sea rápida y completa.
Finalmente, la falta de telemetría deja a muchas plantas prácticamente ciegas. Sin visibilidad del tráfico, sin monitoreo de eventos y sin políticas claras de ciberseguridad, los responsables de planta carecen de información para prevenir, detectar o responder a los ataques. El gobierno de ciberseguridad en OT no puede ser un tema opcional, debe ser parte esencial del ADN de la industria.
Siguientes pasos
Desde Minsait Cyber, la propuesta para enfrentar riesgos, mitigar amenazas y reforzar la seguridad de los entornos OT se estructura en una estrategia de 90 días, dividida en tres fases:
Días 1 a 30
En esta etapa se define un inventario mínimo viable que permita identificar los activos existentes en la planta, sus versiones y firmwares (para evaluar vulnerabilidades) si se trata de sistemas legados y características principales, los fabricantes correspondientes y si aún cuentan con soporte técnico. El objetivo es identificar las “joyas de la corona”.
Asimismo, se elabora un mapa de conexiones e interrelaciones entre los entornos IT y OT, y se realizan respaldos; al menos de las configuraciones de los dispositivos más críticos.
Días 31 a 60
El foco se traslada a los proveedores que conforman la cadena de suministro tecnológica y de negocio. Para este ámbito se contemplan medidas como la implementación de jump servers, zonas desmilitarizadas (DMZ), controles de autenticación multifactor y telemetría básica. Además, se incorporan tecnologías tipo historians en las plantas, con el fin de obtener visibilidad y trazabilidad de todas las operaciones.
Días 61 a 90
A partir de este punto se cuenta con una línea base que permite definir una estrategia de ciberseguridad. Se establecen runbooks integrados a los planes de respuesta a incidentes, así como los RTOs y RPOs por proceso y activo. También se diseña el plan de continuidad de negocio, evaluando cuánto tiempo puede operar la planta si un sistema crítico (como un PLC maestro) deja de estar disponible, cuál es la velocidad de recuperación y en qué punto se logra.
Durante esta fase se realizan ejercicios de tabletop para simular incidentes y medir el nivel de vulnerabilidad y preparación de la planta ante un ataque cibernético.
Finalmente, se definen KPIs que permiten evaluar la eficacia de la estrategia implementada. Entre los principales indicadores destacan:
- Porcentaje de líneas de producción con respaldos probados.
- Porcentaje de accesos remotos con autenticación multifactor y uso de jump servers.
- Tiempo de recuperación de PLCs críticos.
- Porcentaje de flujos seguros entre TI y OT.
- Cobertura de telemetría OT por zona dentro de la planta.
El sector industrial está bajo amenaza constante a escala global. Cada día que pasa sin controles adecuados aumenta la posibilidad de que una planta sea víctima de un ataque de gran alcance. La solución no está en esperar a ser atacados, sino en adoptar estrategias claras: inventariar activos, segmentar redes, fortalecer accesos, implementar telemetría, respaldos y planes de continuidad de negocio. Solo así, con una ciberseguridad madura y bien integrada, las plantas podrán asegurar la continuidad de sus operaciones frente al creciente lado oscuro de la industria.
