El sector industrial global se enfrenta a uno de los entornos de amenaza más agresivos de su historia, situándose como el objetivo número uno del cibercrimen organizado. Según el informe ‘Manufacturing Threat Landscape 2025’ de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), los incidentes de ransomware contra fabricantes aumentaron un 56% en el último año, escalando de 937 casos en 2024 a 1.466 en 2025.
Esta tendencia responde a una estrategia calculada: los atacantes utilizan la paralización de las líneas de producción, que puede costar millones de euros por cada hora de inactividad, como una palanca de extorsión masiva para forzar el pago de rescates.
El informe destaca que Estados Unidos lidera el ranking de países afectados con 713 incidentes, seguido de India (201), Alemania (79) Reino Unido (65) y Canadá (62%). Esto demuestra que las potencias industriales son el foco principal de estas campañas.
El ecosistema delictivo está dominado por grupos que operan bajo el modelo de Ransomware-as-a-Service (RaaS)
- Akira y la rentabilidad del crimen: activo desde 2023, este grupo se ha consolidado como el más exitoso financieramente al alcanzar beneficios estimados de 244 millones de dólares al cierre de 2025 mediante ataques altamente selectivos.
- Qilin y el robo de propiedad intelectual: operando principalmente desde Rusia, se especializa en la exfiltración masiva de datos críticos, comprometiendo no solo a la empresa principal sino a toda su red de proveedores y clientes. Su táctica no es solo cifrar, sino la exfiltración masiva para chantajear a toda la cadena de suministro, un detalle que añade mucha gravedad al texto.
- Play y el sabotaje de defensas: conocido por su agresividad en Estados Unidos, este actor se distingue por su capacidad para desactivar controles de seguridad y herramientas de monitorización antes de ejecutar el cifrado de los sistemas.
El ransomware siguió siendo el principal vector de ataque en 2025, con 890 incidentes en el sector manufacturero, aunque los atacantes utilizaron múltiples formas de acceso. Las vulnerabilidades explotadas representaron el 32% de los ataques, especialmente en sistemas OT antiguos y aplicaciones expuestas a internet, mientras que el phishing y los correos maliciosos supusieron el 23% y se volvieron más sofisticados gracias al uso de inteligencia artificial. Las credenciales comprometidas aumentaron su valor, llegando a venderse entre 4.000 y 70.000 dólares en la dark web. Además, los ataques a la cadena de suministro y el abuso de accesos remotos permitieron a los ciberdelincuentes moverse entre entornos IT y OT con escasa detección. Más allá del cifrado, también se observó un aumento del robo de datos, la extorsión sin cifrado y la interrupción de sistemas, lo que refleja una evolución hacia ataques más complejos y multifacéticos.
En cuanto al impacto regional, en Europa la manufactura concentró el 72% de los ataques industriales de ransomware en el tercer trimestre de 2025, con rescates medios de 1,16 millones de dólares, más del doble que el año anterior. En Estados Unidos, fue el sector más atacado por cuarto año consecutivo, con un coste medio de 500.000 dólares por incidente, sin contar pérdidas a largo plazo. Por su parte, India se consolidó como el epicentro del ransomware en Asia-Pacífico, con el 65% de las empresas afectadas pagando rescates y una media de 1,35 millones de dólares. En conjunto, el ransomware sigue dominando, pero los ataques son cada vez más diversos, sofisticados y con un impacto económico creciente a nivel global.
La digitalización y la interconexión de las plantas de producción han creado nuevas brechas de seguridad que los atacantes están explotando con gran eficiencia
- Obsolescencia en Tecnología Operativa (OT): aproximadamente el 80% de los fabricantes europeos opera con sistemas industriales que presentan vulnerabilidades conocidas, ya que muchos dispositivos como PLCs o interfaces SCADA fueron diseñados sin protocolos de seguridad modernos.
- Evolución de los vectores de entrada: el 32% de las intrusiones exitosas se produjeron mediante la explotación de vulnerabilidades de software, mientras que el 23% se originaron a través de campañas de phishing cada vez más sofisticadas gracias al uso de Inteligencia Artificial para engañar a los empleados.
- El riesgo de la cadena de suministro: los ataques dirigidos específicamente a proveedores se duplicaron en 2025, pasando de 154 a 297 incidentes, lo que permite a los delincuentes saltar de empresas más pequeñas a los sistemas centrales de grandes corporaciones industriales.
De cara a 2026, el informe subraya que la respuesta tradicional ya no es suficiente ante ataques que ahora incluyen la destrucción de copias de seguridad y la extorsión directa de datos. Es urgente que las empresas adopten arquitecturas Zero Trust en sus entornos IT y OT, de manera que se garantice una segmentación de red estricta y una validación de identidad constante. Asimismo, la gestión de parches debe transformarse bajo el marco CTEM, reduciendo los tiempos de implementación a horas en lugar de días, especialmente en activos críticos como pasarelas OT y aplicaciones expuestas a Internet.
