Seguridad · Tecnología operativa (OT) · Infraestructuras críticas

El ransomware AI es un
e que está transformando la ciberseguridad de las tecnologías operativas (OT)
— y no a nuestro favor

Estamos entrando en una nueva fase del risk cibernético risk los sistemas de tecnología operativa (OT) risk la que la inteligencia artificial ya no se limita a ayudar a los defensores, sino que también está dando poder a los atacantes. Actores con escasas habilidades, que disponen de kits de ransomware por valor de 200 €, están atacando ahora los sistemas que mantienen en funcionamiento fábricas, redes eléctricas e infraestructuras críticas.

El ransomware de sistemas de tecnología operativa (OT) y la seguridad de las infraestructuras críticas

Estamos entrando en una nueva fase del risk cibernético en los sistemas de tecnología operativa (OT) risk la que la inteligencia artificial ya no se limita a ayudar a los defensores, sino que también está dando más poder a los atacantes. Y las consecuencias para las organizaciones que dependen de las operaciones industriales son graves.

Un estudio reciente de Shieldworkz y Nozomi Networks pone de manifiesto un cambio drástico en el panorama de las amenazas. Lo que antes requería una programación avanzada de malware y un profundo conocimiento de los sistemas de control industrial (ICS) ahora puede ser llevado a cabo por actores con escasas habilidades mediante kits de ransomware AI, disponibles por un precio de entre 200 y 500 €. Herramientas como WormGPT, FraudGPT y los nuevos modelos de lenguaje grandes (LLM) de código abierto automatizan todo el proceso, desde el reconocimiento hasta la creación de la carga útil.

Las cifras lo dicen todo

46 %Aumento de las variantes de ransomware de OT en el primer trimestre de 2025
140 %Aumento interanual del ransomware ICS
Más de 12 000Nuevas variantes de ransomware AI en el primer semestre de 2025
Más de 820 000Ataques de IoT al día
6 horasTiempo medio transcurrido desde la brecha inicial hasta el impacto en el tiempo de actividad
Más del 50 %Aumento interanual de los incidentes de ransomware dirigidos a los equipos de OT entre 2024 y 2025

Fuentes: Shieldworkz, Nozomi Networks, estudio de Honeywell sobre OT/ICS para 2025. Las cifras corresponden a estimaciones del sector.

Cuánto cuesta cuando se cae el OT

No se trata de cifras teóricas. Reflejan lo que los fabricantes y los operadores industriales están viviendo en la práctica:

Fabricación
180 000 € – 840 000 €
Pérdida de producción por hora de inactividad
Sector energético
3,1 millones de dólares por hora
Coste de la interrupción por hora
Transporte
#1
El sector más afectado en 2025

Las interrupciones en los sistemas de tecnología operativa (OT) se han convertido en una de las categorías más costosas de impacto cibernético, y los atacantes lo saben.

AI acelerando toda la cadena de ataque

1
Reconocimiento: AI automatizan la elaboración de perfiles de objetivos, el análisis de activos expuestos a la tecnología operativa (OT) y la identificación a gran escala de puntos finales vulnerables de los sistemas de control industrial (ICS).
2
Explotación: el código de explotación AI se dirige a vulnerabilidades conocidas de los sistemas de tecnología operativa (OT) con un esfuerzo manual mínimo.
3
Movimiento lateral: las herramientas automatizadas se desplazan de las redes de TI a las de TO, aprovechando las deficiencias en la segmentación
4
Entrega de la carga útil: el código polimórfico y automutante elude las defensas tradicionales contra las amenazas operativas (OT), que se basan en la detección de firmas.
5
Extorsión: el ransomware 3.0 no solo cifra los datos, sino que paraliza las operaciones físicas, lo que genera una presión inmediata en materia de seguridad y normativa.

Las redes de bots ahora modifican sus cargas útiles en tiempo real para evitar ser detectadas. El código polimórfico hace que la firma de ayer ya no sirva hoy. Tus defensas tradicionales de OT no se diseñaron para esto.

La cadena de suministro es el vector de ataque silencioso

Aunque el ransomware acapara los titulares, la verdadera vía de infiltración es, cada vez más, la cadena de suministro. Los atacantes están comprometiendo a proveedores externos —prestadores de servicios, integradores, socios de mantenimiento remoto y proveedores de software— para obtener acceso privilegiado a las redes OT de los clientes.

Estos ataques son sigilosos, persistentes y extremadamente difíciles de detectar hasta que se activa la carga útil en la fase final.

La solidez de tu entorno depende de la seguridad de cada uno de los proveedores conectados a él.

Lo que deben hacer ahora los defensores

Implementa una solución NDR para redes operativas (OT) AI: detección de anomalías en tiempo real que identifica desviaciones en el comportamiento, y no solo firmas conocidas.
Aplicar la segmentación según la norma IEC 62443: eliminar las credenciales predeterminadas y garantizar la separación de redes entre los entornos de TI y de tecnología operativa (OT)
Pon a prueba los planes de respuesta ante incidentes con escenarios de ataque AI: tu plan de respuesta ante incidentes no se diseñó para ataques AI. Ponlo a prueba frente a ellos.
Reforzar la seguridad de los proveedores y la cadena de suministro: la armonización NIS2 la CRA exige risk demostrable risk de terceros, no solo cuestionarios
Mantén copias de seguridad fuera de línea e inmutables: los procesos de recuperación de las operaciones de tecnología (OT) deben someterse a pruebas y validarse, no darse por sentados. El ransomware 3.0 también ataca la infraestructura de copias de seguridad.

En resumen

El panorama de las amenazas ha cambiado. AI convertido el ransomware en un arma escalable para las tecnologías operativas (OT). Cualquier organización que dependa de operaciones industriales —industria manufacturera, energía, transporte, telecomunicaciones, servicios públicos— es ahora un objetivo.

Nuestras estrategias defensivas deben adaptarse a ello.

Si tu organización depende del tiempo de actividad, la seguridad y la automatización industrial, es hora de replantearse la resiliencia de las tecnologías operativas (OT) en un entorno de amenazas AI.

#OTSecurity#ICS#Ransomware#InfraestructurasCríticas#Seguridad de los sistemas de informaciónCISONIS2OneCompliant

¿Está tu entorno de TI preparado para hacer frente a las amenazas AI?

OASAT OneCompliant abarca el estado de seguridad de las tecnologías operativas (OT), la exposición a amenazas relacionadas con la inteligencia artificial (IA), risk de la cadena de suministro y el cumplimiento de NIS2, y ofrece una hoja de ruta de medidas correctivas priorizadas en un plazo de 4 a 6 semanas.