EL SECTOR MANUFACTURERO GLOBAL COMENZÓ 2025 ENFRENTANDO UNO DE LOS ENTORNOS DE CIBERAMENAZAS MÁS AGRESIVOS DE SU HISTORIA. LA TRANSFORMACIÓN DIGITAL, LAS FÁBRICAS INTELIGENTES Y LAS CADENAS DE SUMINISTRO INTERCONECTADAS HAN LLEVADO LA EFICIENCIA OPERATIVA A NIVELES QUE HACE 50 AÑOS NO HUBIÉRAMOS CREÍDO POSIBLES. SIN EMBARGO, ESTO CONLLEVA UN RIESGO CIBERNÉTICO SIN PRECEDENTES. SEGÚN EL INFORME “MANUFACTURING THREAT LANDSCAPE 2025” DE CHECK POINT® SOFTWARE TECHNOLOGIES LTD. (NASDAQ: CHKP), PIONERO Y LÍDER GLOBAL EN SOLUCIONES DE CIBERSEGURIDAD, LOS INCIDENTES CIBERNÉTICOS DIRIGIDOS A LA MANUFACTURA AUMENTARON DRÁSTICAMENTE AÑO TRAS AÑO, LO QUE SITÚA A LA INDUSTRIA EN EL CENTRO DE LA ACTIVIDAD GLOBAL DE RANSOMWARE.
La manufactura se convierte en el principal objetivo del ransomware
En 2025, los incidentes globales de ransomware alcanzaron los 7419 casos documentados, lo que representa un aumento del 32 % con respecto al año anterior. La manufactura fue el sector industrial más atacado. Los ataques contra fabricantes aumentaron un 56 %, pasando de 937 incidentes en 2024 a 1466 en 2025. La razón financiera para atacar a los fabricantes radica en que el tiempo de inactividad puede costar millones al día, interrumpir la seguridad de las operaciones críticas y tener repercusiones en las cadenas de suministro globales. Los ciberdelincuentes consideran cada vez más la interrupción de la producción como una herramienta de presión, en lugar de un daño colateral.
Estados Unidos lideró a nivel mundial con 713 incidentes de ransomware en el sector manufacturero, seguido de India (201), Alemania (79), Reino Unido (65) y Canadá (62). Estas cifras demuestran que tanto las economías industriales maduras como las emergentes se enfrentan a niveles de exposición similares.
¿Por qué los fabricantes son tan vulnerables?
Tres debilidades estructurales siguen impulsando el riesgo cibernético en el sector manufacturero.
1 . En primer lugar, los sistemas de tecnología operativa heredados siguen profundamente arraigados en los entornos industriales. Muchos controladores lógicos programables, sistemas SCADA y dispositivos de IoT industrial nunca se diseñaron con controles de seguridad modernos. En Europa, el 80 % de los fabricantes aún operan sistemas de tecnología operativa críticos con vulnerabilidades conocidas, lo que hace que la explotación sea factible y repetible.
2 . En segundo lugar, la complejidad de la cadena de suministro ha ampliado la superficie de ataque. En 2025, los ataques a la cadena de suministro casi se duplicaron, pasando de 154 incidentes en 2024 a 297 en 2025. Los ciberdelincuentes comprometen cada vez más a proveedores más pequeños, proveedores de servicios gestionados o plataformas SaaS para obtener acceso indirecto a grandes objetivos industriales.
3 . En tercer lugar, las operaciones de ransomware como servicio han madurado. Los modelos basados en afiliados permiten a los grupos de ciberdelincuentes escalar rápidamente los ataques, reutilizar herramientas probadas y localizar las campañas por geografía e industria.
Los ciberdelincuentes que impulsan los ataques industriales
Varios grupos de ransomware dominaron los ataques al sector manufacturero en 2025.
Akira, activo desde 2023, se consolidó como uno de los grupos con mayor éxito financiero, generando unos ingresos estimados de 244 millones de dólares a finales de 2025. Akira suele acceder a través de VPN sin autenticación multifactor, vulnerabilidades explotadas y spear phishing. Un incidente notable de 2025 involucró a un fabricante de cables alemán, donde se extrajeron 27 GB de datos confidenciales antes del cifrado.
Qilin, una operación de ransomware como servicio con sede en Rusia, se centró principalmente en la fabricación y la logística. En un ataque de 2025, Qilin robó 29.843 archivos internos de una empresa de fabricación y logística, generando riesgos en la cadena de suministro más allá de la víctima inicial.
El ransomware Play continuó afectando a los fabricantes estadounidenses; el FBI informó de aproximadamente 900 entidades afectadas a mediados de 2025. Play es conocido por abusar de credenciales válidas y deshabilitar los controles de seguridad antes del cifrado, lo que aumenta el impacto operativo.
Junto a los grupos de ransomware, activistas informáticos y actores geopolíticos como NoName057(16) y grupos de desfiguración alineados con China atacaron a entidades industriales con ataques de denegación de servicio, reconocimiento de sistemas operativos y desfiguración de sitios web públicos, particularmente durante períodos de tensión geopolítica. Las rutas de ataque más comunes a las redes de fabricación
Las vías de ataque más comunes a las redes de fabricación
• El ransomware siguió siendo el vector de amenaza dominante, responsable de 890 incidentes en el sector manufacturero en 2025. Sin embargo, los atacantes utilizaron múltiples puntos de entrada para acceder a los sistemas.
• Las vulnerabilidades explotadas representaron el 32 % de los ataques, dirigidos frecuentemente a sistemas OT heredados y aplicaciones de cara al público.
• Las campañas de phishing y correo electrónico malicioso representaron el 23 % de los incidentes, cada vez más potenciadas con señuelos generados por IA.
• Las credenciales comprometidas se volvieron más valiosas, llegando a venderse entre 4000 y 70 000 dólares en mercados de la dark web.
• La vulneración de la cadena de suministro y el abuso del acceso remoto permitieron a los atacantes moverse lateralmente entre entornos de TI y OT con escasa detección.
Además del cifrado, los atacantes también emplearon el robo de datos, tácticas de extorsión y la interrupción de sistemas de información, lo que refleja una amplia amenaza.
Aspectos destacados del impacto regional
En Europa, el sector manufacturero representó el 72 % de los ataques de ransomware industrial en el tercer trimestre de 2025. El rescate promedio exigido alcanzó los 1,16 millones de dólares, más del doble que el año anterior. Incidentes de gran repercusión interrumpieron las cadenas de suministro de los sectores automotriz, aeroespacial y de transporte en varios países.
En Estados Unidos, el sector manufacturero fue el más atacado por cuarto año consecutivo, con el ransomware representando casi la mitad de todas las brechas de seguridad industriales. El coste medio de los ataques alcanzó los 500.000 dólares, sin incluir las pérdidas operativas a largo plazo.
India se consolidó como el epicentro del ransomware en la región Asia-Pacífico, con el 65 % de las empresas afectadas pagando rescates y pagos promedio que alcanzaron los 1,35 millones de dólares, especialmente en los sectores manufacturero y de servicios de TI críticos.
Es necesaria una repriorización de la ciberseguridad en el sector manufacturero
Es necesario un cambio en la ciberseguridad del sector manufacturero para priorizar lo siguiente:
1 . Los fabricantes deben implementar arquitecturas de confianza cero en los entornos de TI y OT, aplicando una validación de identidad estricta, acceso con privilegios mínimos y segmentación de red.
2 . La gestión de vulnerabilidades y la aplicación de parches siguen siendo fundamentales, especialmente para VPN, aplicaciones con acceso a internet y gateways OT. La aplicación de parches y los controles compensatorios deben implementarse en horas, no en días o semanas, según el marco CTEM.
3 . La gestión de credenciales debe mejorarse significativamente, desde la detección de credenciales filtradas hasta la implementación de SSO/MFA.
4 . Las copias de seguridad inmutables y sin conexión son esenciales, ya que los atacantes se dirigen cada vez más a la infraestructura de copias de seguridad.
5 . La formación de los empleados también requiere una atención renovada, dado que el phishing asistido por IA continúa evolucionando.
6 . Por último, la gestión de riesgos de terceros se ha convertido en una función de seguridad fundamental. El acceso de proveedores, las integraciones SaaS y los servicios gestionados representan ahora vectores de ataque primarios, en lugar de preocupaciones secundarias.
Previsión de seguridad para la fabricación en 2026
Se prevé que las ciberamenazas dirigidas a los fabricantes se intensifiquen aún más en 2026.
Se proyecta que el ransomware con IA, la ejecución más rápida de los ataques, la reducción del tiempo de permanencia y la continua tendencia hacia la extorsión de datos definirán la próxima fase del riesgo cibernético industrial. Analice el panorama de amenazas para el sector manufacturero para descubrir qué otros factores influyeron en 2025 y qué cambios deben producirse en 2026.
