El sector manufacturero global atraviesa uno de los momentos más delicados en materia de ciberseguridad. La digitalización de fábricas, la interconexión de sistemas y la dependencia de entornos industriales conectados han convertido a esta industria en el principal objetivo del ransomware.
Según el informe Manufacturing Threat Landscape 2025 de Check Point Software Technologies, los ataques contra fabricantes crecieron un 56% en el último año, pasando de 937 incidentes en 2024 a 1.466 en 2025.
La paralización de una línea de producción puede suponer pérdidas millonarias por cada hora de inactividad, lo que convierte a las empresas industriales en objetivos especialmente atractivos para los ciberdelincuentes.
Las grandes potencias industriales concentran los ataques
El análisis geográfico confirma que los países con mayor peso industrial son los más expuestos. Estados Unidos lidera con 713 incidentes registrados, seguido por India con 201 casos. En Europa, Alemania y Reino Unido también figuran entre los más afectados, con 79 y 65 ataques respectivamente.
Este patrón demuestra que los grupos criminales priorizan objetivos con alta capacidad económica y dependencia de procesos productivos continuos. En estos entornos, cualquier interrupción genera un impacto inmediato, lo que aumenta la presión para pagar rescates.
El auge del modelo Ransomware-as-a-Service
El ecosistema delictivo ha evolucionado hacia modelos más estructurados. El Ransomware-as-a-Service permite que grupos especializados desarrollen herramientas que luego son utilizadas por afiliados para lanzar ataques.
Entre los actores más relevantes destacan grupos como Akira, que ha logrado beneficios estimados de 244 millones de dólares desde su aparición en 2023.
También sobresale Qilin, especializado en el robo masivo de datos, ampliando el impacto más allá de la empresa atacada y afectando a toda la cadena de suministro. Por su parte, el grupo Play ha ganado notoriedad por su capacidad para desactivar sistemas de seguridad antes de ejecutar el ataque.
Esta profesionalización del cibercrimen ha elevado la escala y la eficacia de las campañas.
Cómo acceden los atacantes a las fábricas
El ransomware sigue siendo el principal vector de ataque, con cerca de 890 incidentes en el sector en 2025. Sin embargo, los métodos de entrada son cada vez más variados.
Las vulnerabilidades de software representan el 32% de las intrusiones, especialmente en sistemas industriales antiguos o mal protegidos. El phishing y los correos maliciosos concentran el 23% de los accesos, con campañas cada vez más sofisticadas impulsadas por inteligencia artificial.
Además, las credenciales robadas se han convertido en un activo clave en la economía del cibercrimen. En la dark web pueden alcanzar precios de entre 4.000 y 70.000 dólares, dependiendo del nivel de acceso que proporcionen.
El impacto económico se dispara
Las consecuencias de estos ataques van mucho más allá del rescate. En Europa, la industria manufacturera concentró el 72% de los incidentes de ransomware en el tercer trimestre de 2025, con pagos medios que alcanzaron los 1,16 millones de dólares.
En Estados Unidos, el coste medio por incidente ronda los 500.000 dólares, sin incluir pérdidas indirectas como interrupciones prolongadas o daño reputacional. En Asia-Pacífico, India se consolida como uno de los epicentros del problema, con el 65% de las empresas afectadas accediendo al pago de rescates.
La debilidad de los sistemas industriales
Uno de los factores clave que explican esta vulnerabilidad es la obsolescencia de la tecnología operativa. Se estima que alrededor del 80% de los fabricantes europeos opera con sistemas que presentan fallos de seguridad conocidos.
Equipos como PLCs o sistemas SCADA fueron diseñados en un contexto donde la conectividad no era una prioridad, lo que los convierte en objetivos fáciles en entornos actuales. Esta falta de actualización facilita la explotación de vulnerabilidades.
El riesgo creciente de la cadena de suministro
Los ataques a proveedores se han convertido en una de las principales puertas de entrada. En 2025, este tipo de incidentes casi se duplicó, pasando de 154 a 297 casos.
Los ciberdelincuentes aprovechan las debilidades de empresas más pequeñas para acceder a grandes corporaciones. Este enfoque permite escalar los ataques y maximizar su impacto, afectando a múltiples actores dentro de un mismo ecosistema industrial.
Lo que deben hacer las empresas del sector
El contexto actual exige, visto lo visto, un cambio de enfoque en la ciberseguridad industrial. Las estrategias tradicionales basadas únicamente en detección y respuesta ya no son suficientes.
Organismos como ENISA recomiendan adoptar modelos de seguridad más avanzados, como arquitecturas Zero Trust, que limitan el acceso a los sistemas y verifican continuamente la identidad de los usuarios.
También resulta clave mejorar la gestión de vulnerabilidades, reduciendo los tiempos de aplicación de parches y reforzando la protección de los entornos OT, que siguen siendo el eslabón más débil.
