Los incidentes recientes demuestran que los ciberataques ya no son un problema técnico, sino un riesgo empresarial que puede detener fábricas enteras.
En España, ataques como los sufridos por Hero, Damm y Aceros Olarra evidencian que ningún sector industrial está a salvo.
Tras el aniversario de NIS2, la prioridad es la continuidad del negocio, contando para ello con detección temprana, respuesta coordinada y modernización segura de entornos OT heredados. ESET recomienda adoptar un enfoque de “ciberresiliencia” que combine prevención, monitorización continua y planes de recuperación para reducir el impacto.
Madrid, 15 de octubre de 2025 – En este mes de octubre muchas son las efemérides que nos invitan a reflexionar sobre el peso que tiene la ciberseguridad en la economía de todos. Octubre es el Mes Europeo de la Ciberseguridad, el pasado martes 14 fue el Día Mundial de los Estándares (14 de octubre) y este jueves 17 la industria española encara un hito regulatorio clave: se cumple un año desde la fecha límite de transposición de la Directiva NIS2 (17/10/2024), que refuerza la gobernanza de la ciberseguridad y establece plazos de notificación de incidentes más estrictos (aviso inicial en 24 horas, notificación en 72 horas e informe final en un mes).
En España, el calendario regulatorio llega con deberes pendientes y a fecha de hoy la transposición de NIS2 no se ha completado. Tras vencer el plazo, esta semana se cumple un año, 17/10/2024, la Comisión Europea emitió un dictamen motivado a España el pasado mes de mayo (7/05/2025) por no haber notificado la transposición íntegra, mientras que el Gobierno aprobó el 14 de enero de este año 2025 el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para incorporar NIS2, aún en tramitación.
Un contexto regulatorio que llega con presión sostenida: el INCIBE gestionó más de 97.000 incidentes en 2024 (último balance disponible), y a nivel global el DBIR, Data Breach Investigations Report 2025, analizó 22.052 incidentes y 12.195 brechas confirmadas, consolidando el ransomware como una de las principales palancas de interrupción operativa.
La industria manufacturera se ha convertido en uno de los blancos favoritos del cibercrimen, debido a su alta dependencia tecnológica y al valor estratégico de su actividad. Los estándares y las buenas prácticas, desde la segmentación de redes hasta la gestión de vulnerabilidades, son la base de una ciberresiliencia real en entornos IT/OT. El coste de un ataque ya no se mide solo en pérdida de datos, sino también en paradas de producción, interrupciones en la cadena de suministro y pérdidas millonarias. En Europa, los análisis más recientes de ENISA publicados este mes de octubre sitúan al sector manufacturero entre los más impactados por incidentes de ransomware, lo que refuerza la necesidad de controles de continuidad y respuesta específicos. Además, este informe pone de manifiesto que “los actores de ransomware están incrementando sus ataques dirigidos al sector manufacturero, reconociéndolo como un blanco de alto valor dentro de los sectores críticos”.
En España, el impacto ya se ha hecho visible en incidentes recientes. El ataque contra Aceros Olarra en septiembre de este año, que obligó a interrumpir parte de su actividad, se suma a incidentes anteriores en compañías como Damm o Hero, confirmando que la amenaza es real y creciente. Ante esta tendencia, ESET alerta sobre la urgencia de reforzar la seguridad digital en un sector crítico para la economía española.
“Los atacantes saben que las fábricas no pueden permitirse detener su producción y que cada hora de inactividad supone pérdidas millonarias. Por eso el ransomware se ha convertido en su herramienta de presión favorita. A pesar de que este tipo de ciberataques suelen buscar la extorsión para recuperar la información robada o cifrada, las consecuencias colaterales pueden implicar la paralización total o parcial de la producción si no se han aplicado previamente medidas de seguridad como la segmentación de redes”, comenta Josep Albors, director de Investigación y Concienciación de ESET España. “Debemos recordar que es importante contar no solo con un plan de detección y contingencia de ciberataques, sino también con un plan de recuperación para mitigar, en la medida de lo posible, los daños que un parón forzado en la producción pueda ocasionar”, concluye.
Tecnología obsoleta y nuevos riesgos: modernizar con estándares
Muchos fabricantes siguen viendo la ciberseguridad únicamente como un requisito de cumplimiento, lo que supone un error estratégico. Cumplir con lo mínimo puede servir para superar auditorías, pero no basta frente a amenazas actuales (phishing, intrusiones, software comprometido) ni para frenar el ransomware. El enfoque correcto es tratar la ciberseguridad como riesgo empresarial crítico, al nivel de la seguridad laboral o el control de calidad, con implicación directa de la dirección (tal y como enfatiza NIS2 en materia de gobernanza).
La realidad industrial añade otro reto: gran parte de la tecnología operativa (OT) se diseñó para durar décadas, lo que dificulta su renovación, aunque los sistemas se queden sin soporte. Estos equipos, esenciales para procesos clave, amplían la superficie de ataque por protocolos antiguos y configuraciones inseguras. Para muchas pymes industriales, la cuestión ya no es si actualizar, sino cuándo el coste potencial de un ciberincidente supera al de modernizar la infraestructura.
Vulnerabilidades críticas y cómo reforzar la seguridad industrial
Aunque gran parte del debate sobre Industria 4.0 gira en torno a la protección de OT, en la práctica el punto de entrada más habitual sigue siendo IT: phishing, credenciales robadas o software de terceros comprometido. La manufactura es especialmente vulnerable porque cualquier parada en producción tiene un gran impacto económico. Las cadenas de suministro amplían el riesgo y los equipos de IT son, a menudo, reducidos. A esto se suma el valor de la propiedad intelectual (diseños, prototipos), que convierte al sector en objetivo prioritario de espionaje digital (algo que también refleja la edición 2025 del DBIR).
Recomendaciones de ESET para una ciberresiliencia real (alineadas con buenas prácticas y NIS2):
Inteligencia de amenazas accionable: priorizar defensas frente a tácticas de ransomware, vulnerabilidades en cadena de suministro y amenazas persistentes.
Supervisión continua: monitorizar endpoints, servidores y cloud, extendiendo visibilidad al entorno OT cuando sea posible.
Segmentación y control de accesos: separar sistemas críticos, gestionar identidades con principio de mínimo privilegio y activar siempre MFA.
Gestión de vulnerabilidades: parches automáticos, revisiones periódicas de firmware y priorización por exposición.
Copias de seguridad seguras: backups desconectados y pruebas de restauración frecuentes para minimizar el impacto de un ataque de ransomware.
Notificación y respuesta: preparar procedimientos y responsabilidades para cumplir los plazos NIS2 (24h/72h/1 mes) y evidenciar diligencia debida ante una investigación o sanción
El uso de tecnologías avanzadas como XDR (Extended Detection and Response) o incluso servicios de MDR (Managed Detection and Response) permite a los fabricantes, especialmente a los de menor tamaño, disponer de una defensa integral y de supervisión experta 24/7 sin necesidad de contar con un centro de operaciones propio. Con ello, el sector puede mantener una postura preventiva y garantizar la continuidad de la actividad incluso en un entorno de amenazas crecientes.
