El sector manufacturero es de los más impactados por incidentes de ransomware

La industria manufacturera se ha convertido en uno de los blancos favoritos del cibercrimen, debido a su alta dependencia tecnológica y al valor estratégico de su actividad. Se trata de un sector en el que el coste de un ataque ya no se mide solo en pérdida de datos, sino también en paradas de producción, interrupciones en la cadena de suministro y pérdidas millonarias.

En Europa, los análisis más recientes de ENISA publicados este mes de octubre sitúan al sector manufacturero entre los más impactados por incidentes de ransomware, lo que refuerza la necesidad de controles de continuidad y respuesta específicos. Además, este informe pone de manifiesto que “los actores de ransomware están incrementando sus ataques dirigidos al sector manufacturero, reconociéndolo como un blanco de alto valor dentro de los sectores críticos”.

En España, el impacto ya se ha hecho visible en incidentes recientes. El ataque contra Aceros Olarra en septiembre de este año, que obligó a interrumpir parte de su actividad, se suma a incidentes anteriores en compañías como Damm o Hero, confirmando que la amenaza es real y creciente. Ante esta tendencia, ESET alerta sobre la urgencia de reforzar la seguridad digital en un sector crítico para la economía española.

“Los atacantes saben que las fábricas no pueden permitirse detener su producción y que cada hora de inactividad supone pérdidas millonarias. Por eso el ransomware se ha convertido en su herramienta de presión favorita. A pesar de que este tipo de ciberataques suelen buscar la extorsión para recuperar la información robada o cifrada, las consecuencias colaterales pueden implicar la paralización total o parcial de la producción si no se han aplicado previamente medidas de seguridad como la segmentación de redes”, comenta Josep Albors, director de Investigación y Concienciación de ESET España. “Debemos recordar que es importante contar no solo con un plan de detección y contingencia de ciberataques, sino también con un plan de recuperación para mitigar, en la medida de lo posible, los daños que un parón forzado en la producción pueda ocasionar”, concluye.

 

Tecnología obsoleta y nuevos riesgos

Muchos fabricantes siguen viendo la ciberseguridad únicamente como un requisito de cumplimiento, lo que supone un error estratégico. Cumplir con lo mínimo puede servir para superar auditorías, pero no basta frente a amenazas actuales (phishing, intrusiones, software comprometido) ni para frenar el ransomware.

La realidad industrial añade otro reto: gran parte de la tecnología operativa (OT) se diseñó para durar décadas, lo que dificulta su renovación, aunque los sistemas se queden sin soporte. Estos equipos, esenciales para procesos clave, amplían la superficie de ataque por protocolos antiguos y configuraciones inseguras. Para muchas pymes industriales, la cuestión ya no es si actualizar, sino cuándo el coste potencial de un ciberincidente supera al de modernizar la infraestructura.

Aunque gran parte del debate sobre Industria 4.0 gira en torno a la protección de OT, en la práctica el punto de entrada más habitual sigue siendo TI: phishing, credenciales robadas o software de terceros comprometido.

La manufactura es especialmente vulnerable porque cualquier parada en producción tiene un gran impacto económico. Las cadenas de suministro amplían el riesgo y los equipos de TI son, a menudo, reducidos. A esto se suma el valor de la propiedad intelectual (diseños, prototipos), que convierte al sector en objetivo prioritario de espionaje digital (algo que también refleja la edición 2025 del DBIR).

Las recomendaciones de ESET para lograr una ciberresiliencia real incluyen:

-     Priorizar defensas frente a tácticas de ransomware, vulnerabilidades en cadena de suministro y amenazas persistentes.

-     Monitorizar endpoints, servidores y cloud, extendiendo visibilidad al entorno OT cuando sea posible.

-     Separar sistemas críticos, gestionar identidades con principio de mínimo privilegio y activar siempre MFA.

-     Gestión de vulnerabilidades con parches automáticos, revisiones periódicas de firmware y priorización por exposición.

-     Aplicar backups desconectados y pruebas de restauración frecuentes para minimizar el impacto de un ataque de ransomware.

-     Preparar procedimientos y responsabilidades para cumplir los plazos NIS2 (24h/72h/1 mes) y evidenciar diligencia debida ante una investigación o sanción.