Un análisis en profundidad del framework EDR killer de Gentlemen
Junio 19, 2026
Muchas plantas de fabricación dependen de sistemas de tecnología operativa (OT) que permanecen en servicio durante años. Ese tiempo en operación puede ocultar importantes riesgos de ciberseguridad.
19 Jun 2026
•
,
7 min. read
En una planta de fabricación centrada en la continuidad operativa, una máquina que ha ejecutado el mismo proceso físico durante años, casi sin fallas, se gana algo menos comentado que un historial de productividad: confianza institucional. Con el tiempo, esta confiabilidad silenciosa tiende a hacer que cierto tipo de escrutinio parezca innecesario, hasta el punto de que el equipo puede convertirse en un punto ciego de seguridad.
Durante mucho tiempo, había una lógica en “no tocar lo que funciona”. Gran parte de la tecnología operativa (OT) en manufactura fue diseñada para mantener estable el proceso físico y, una vez que la línea de producción funcionaba, lo sensato era mantener el equipo en buen estado para que siguiera cumpliendo su función.
Sin embargo, con el paso de los años, el terreno bajo esa maquinaria cambió, y el equipo menos dispuesto a adaptarse es ahora, a menudo, el que más protección necesita. Hoy en día, muchos entornos de fabricación enfrentan preguntas urgentes, como: ¿quién puede acceder al equipo desde la red?, ¿qué tan vulnerables son los sistemas de los que dependen las máquinas?, y ¿ese antiguo acuerdo —no tocarlo si funciona— se ha convertido en parte del riesgo?
¿En camino la obsolescencia?
Hace dos o tres décadas, pocos en la manufactura se preocupaban por ataques provenientes de internet. La amenaza o bien no existía o se limitaba a unos pocos objetivos estatales. El hecho de que los protocolos industriales no incluyeran seguridad no era un gran problema: las máquinas estaban aisladas de TI y nada de origan no confiable podía alcanzarlas. Simplemente funcionaban y no había una razón convincente para intervenir.
Hasta que la hubo. El “matrimonio” entre TI y OT, un sello distintivo de la digitalización y la Industria 4.0, cambió la ecuación: los sistemas de control industrial (ICS) comenzaron a conectarse a redes para las que nunca fueron diseñados. Por supuesto, conectar sistemas de producción a redes empresariales aporta beneficios tangibles, pero las implicaciones de seguridad —qué sistemas dejaron de ser seguros— llegaron de forma más silenciosa. Diversas debilidades, como autenticación débil, registros limitados, configuraciones inseguras por defecto y procesos de actualización que pueden requerir costosos tiempos de inactividad, se convirtieron de repente en pasivos.
Según el SANS Institute, se cree que casi el 60 % de los ataques a la tecnología operativa en distintas industrias se originan en compromisos de entornos de TI corporativa. Además, una encuesta reciente del instituto reveló que el 22 % de las organizaciones en sectores esenciales reportó un incidente de ciberseguridad en el último año, con un 40 % de los eventos causando interrupciones operativas y casi un 20 % tardando más de un mes en resolverse.
La gravedad de la amenaza se evidenció finalmente en ciberataques dañinos, como el que afectó a Jaguar Land Rover en 2025 y que ahora se considera el más perjudicial en la historia británica. Además, dado que las cadenas de suministro operan con cronogramas ajustados y poca o ninguna tolerancia al error, detener a un proveedor con compromisos de entrega just-in-time puede desencadenar una crisis de producción a gran escala que involucra a una larga lista de empresas.
El costo de intervenir una línea en marcha
Interrumpir una línea de producción en marcha para actualizar la infraestructura, sin problemas operativos evidentes, suele ser difícil de justificar. Los activos están demasiado integrados en el proceso físico; de hecho, a menudo quedan atrapados en lo que las principales agencias de ciberseguridad del mundo denominan acertadamente «obsolescencia autoimpuesta».
Mientras tanto, las bandas de ransomware que comenzaron a prestar especial atención al sector manufacturero encontraron una superficie de ataque que había crecido durante años sin inversiones equivalentes en seguridad. Generar daños que afecten un entorno operativo es distinto a una brecha puramente de TI. Los operadores de ransomware, algunos de los cuales están desarrollando capacidades específicas para OT, entienden esta lógica y ajustan sus exigencias en consecuencia. A veces, basta con infiltrarse en la TI corporativa y dejar que las dependencias hagan el resto.
Por supuesto, la ecuación empresarial está cambiando, aunque a menudo desde el exterior hacia el interior. Los contratos con proveedores incluyen cada vez más cláusulas relacionadas con la seguridad, mientras que las aseguradoras cibernéticas exigen evidencia de controles de seguridad, hasta el punto de que las organizaciones que no pueden proporcionarla deben asumir primas elevadas o quedan sin cobertura. Asimismo, los requisitos normativos se están endureciendo en varias jurisdicciones; por ejemplo, NIS2 impone exigencias más estrictas de ciberseguridad para industrias críticas en Europa, mientras que en Estados Unidos el entorno regulatorio también exige acciones específicas que impulsan la madurez en seguridad.
Las principales ciberamenazas en detalle
Pocos proveedores de seguridad han estado tan cerca de las amenazas que enfrentan las infraestructuras críticas como ESET. A lo largo de los años, su equipo de investigación de amenazas ha analizado algunos de los incidentes más relevantes registrados, incluyendo BlackEnergy, que provocó un corte de energía de entre 4 y 6 horas para 230.000 personas en Ucrania en 2015; su sucesor GreyEnergy, e Industroyer, un malware altamente personalizable que utiliza varios protocolos de comunicación industrial empleados en sistemas de infraestructura crítica en todo el mundo y que causó un apagón en Kyiv en 2016. En 2022, investigadores de ESET identificaron Industroyer2, que volvió a apuntar a la infraestructura energética de Ucrania. Además, el análisis de ESET sobre NotPetya documentó cómo un ataque sin un objetivo OT específico puede igualmente devastar a organizaciones que operan tecnología operativa a gran escala, incluidos fabricantes.
Cómo reforzar la seguridad de los equipos críticos
Naturalmente, no se puede proteger lo que no se puede ver, y la visibilidad de los activos sigue siendo la base de toda estrategia seria de mitigación de riesgos. Empieza por mapear qué sistemas en el entorno están conectados y carecen de cobertura de seguridad, dónde se cruzan las redes de TI y OT, qué segmentos no están monitoreados y qué sistemas de producción han quedado fuera de cualquier acuerdo de soporte del proveedor. Dada la complejidad de los sistemas ciberfísicos, claramente no existe un enfoque único para todos en cuanto a inventario de activos y otras tareas.
La arquitectura de despliegue también debe resolverse desde el inicio. Ya sea por diseño o debido a contratos con clientes, obligaciones regulatorias u otras razones, algunos entornos de fabricación operan bajo requisitos de aislamiento (air gap). Por lo tanto, las plataformas de seguridad basadas principalmente en conectividad en la nube pueden no ajustarse a los requisitos o al presupuesto.
Mientras tanto, las herramientas de seguridad estándar a menudo no satisfacen de forma eficiente los requisitos empresariales en sistemas OT legacy que funcionan con hardware antiguo y sistemas operativos desactualizados. Las herramientas deben ser lo suficientemente estables y discretas como para operar en sistemas con recursos limitados sin afectar la producción. La protección a nivel de red, por su parte, resulta esencial en equipos que no pueden ejecutar ningún agente de seguridad, lo cual, en la mayoría de los entornos de fabricación, no es un caso aislado.
El soporte a largo plazo cubre lo que otras capas no pueden resolver completamente. Cuando un proveedor de ICS finaliza el desarrollo de una versión de plataforma, las actualizaciones eventualmente cesan. Los sistemas de producción que ejecutan esa versión continúan operando durante años, acumulando exposición a más amenazas. Los compromisos de soporte que superan el ciclo de vida del proveedor original son el equivalente, en ciberseguridad, a firmar un acuerdo de piezas a largo plazo para un automóvil descontinuado hace años. La máquina sigue siendo “apta para circular”.
Pensados para operar durante años
La manufactura tiene una larga historia de resolver crisis mediante la ingeniería. También ha aprendido lecciones importantes, entre ellas que ignorar un problema conocido tiende a trasladar —y a menudo multiplicar— el costo asociado. La amenaza cibernética para la infraestructura OT está bien documentada, y existen herramientas para abordarla. En esta industria, eso debería ser suficiente para comenzar a actuar y, en última instancia, construir resiliencia cibernética en las operaciones.
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
