El sector manufacturero fue el más atacado por los piratas informáticos en 2025, por quinto año consecutivo, según un estudio reciente Informe IBM X-Force. Pero aunque muchos fabricantes han tomado algunas medidas para proteger sus sistemas, los expertos en ciberseguridad dicen que la mayoría puede hacer más para prevenir ataques, o al menos limitar el daño si ocurre un ataque.
Los fabricantes son el objetivo de los piratas informáticos en parte porque tienen “propiedad intelectual de alto valor y sistemas heredados complejos que son más difíciles de parchear y, por lo tanto, más fáciles de explotar”, dijo en un correo electrónico Ryan Anschutz, líder de respuesta a incidentes en América del Norte en IBM X-Force.
Al problema se suma, dijo Anschutz, que maLas organizaciones productoras a menudo no tienen el capital para financiar buenos programas de ciberseguridad.
Patrick Garrity, investigador de seguridad de VulnCheckestuvo de acuerdo en que los sistemas más antiguos constituyen objetivos atractivos.
«Muchos fabricantes todavía dependen de tecnologías heredadas y sistemas industriales que no fueron diseñados teniendo en mente la ciberseguridad moderna», dijo en un correo electrónico. «La modernización suele ocurrir lentamente, lo que deja a las organizaciones operando una combinación de sistemas antiguos y nuevos que pueden ampliar la superficie de ataque».
Los fabricantes también están bajo una presión constante para seguir operando incluso si son víctimas de un ataque, dijo en un correo electrónico Corey Nachreiner, director de seguridad de WatchGuard Technologies.
«Para un fabricante, cada minuto de tiempo de actividad se traduce en dinero», afirmó. «Los ciberdelincuentes y los actores de amenazas de ransomware se dan cuenta de esto. Cada hora que pueden mantener a un fabricante bajo le cuesta ingresos y ganancias a la empresa, por lo que realmente pueden apretar los tornillos con la extorsión si pueden encerrar a un fabricante con un ciberataque”.
Además de ser objetivos relativamente fáciles, los expertos dijeron que los fabricantes a menudo cometen errores que aumentan su vulnerabilidad. Algunos de los más comunes incluyen:
- Tratar los entornos tecnológicos operativos como algo separado de los programas de ciberseguridad. «Cuando los sistemas OT no están integrados en flujos de trabajo centralizados de monitoreo o detección, las amenazas pueden pasar desapercibidas durante largos períodos», dijo en un correo electrónico Adam Marrè, director de seguridad de la información de Arctic Wolf.
- Subestimar el riesgo asociado con la seguridad de la identidad y el acceso remoto. «Los atacantes frecuentemente inician sesión utilizando credenciales robadas en lugar de romper las defensas, lo que significa que los controles de autenticación débiles o las políticas de acceso demasiado permisivas pueden crear una exposición importante», dijo Marrè.
- Falta de un plan de recuperación ante desastres y continuidad del negocio. “A menudo, [manufacturers] Es posible que no tenga el plan más sólido para mantener las operaciones funcionando manualmente en caso de desastres tecnológicos”. dijo Nachreiner.
- Retrasar la modernización tecnológica. Los sistemas más antiguos «pueden seguir funcionando operativamente, pero pueden introducir importantes riesgos de seguridad si no se mantienen consistentemente los parches, la visibilidad de los activos y la gestión de vulnerabilidades», dijo Garrity.
- No realizar copias de seguridad de los sistemas con regularidad. «Algunas organizaciones mantienen copias de seguridad en línea o no prueban la restauración con regularidad, lo que las deja vulnerables al ransomware que cifra o elimina los datos de la copia de seguridad», dijo en un correo electrónico Reegun Jayapaul, director de investigación de amenazas de Cyderes.
De acuerdo a JayapaulaLos atacantes suelen obtener acceso inicial a través de phishing, servicios remotos expuestos o cuentas de proveedores comprometidas.
«Si la segmentación de la red entre TI y OT es débil, pueden moverse lateralmente hacia controladores industriales o sistemas de ejecución de fabricación», afirmó.
Los atacantes también suelen atacar dispositivos de red perimetrales, plataformas de virtualización e infraestructura de servidores.
«Estos sistemas a menudo están expuestos a Internet o se ubican en puntos críticos dentro de la red, lo que los convierte en puntos de entrada atractivos», dijo Garrity. «Cuando Aunque existen vulnerabilidades en estas tecnologías, especialmente si los parches se retrasan, pueden proporcionar a los atacantes un punto de apoyo inicial que luego puede utilizar para profundizar en los entornos operativos.
No importa de dónde venga el ataque, «los incidentes cibernéticos pueden convertirse rápidamente en interrupciones físicas y costosas», dijo en un correo electrónico Richard Springer, director senior de marketing de soluciones OT de Fortinet. «Un ataque puede detener las líneas de producción, dañar equipos o interrumpir cadenas de suministro críticas, lo que aumenta los riesgos más allá de las tradicionales violaciones de TI».
A pesar de la amplia gama de amenazas que enfrentan los fabricantes, hay varias medidas que pueden tomar – comenzando de inmediato – para apuntalar las vulnerabilidades y proteger sus sistemas.
Fortalecer la colaboración de TI/OT, pero manteniéndolas separadas
Una forma importante en la que los fabricantes pueden fortalecer sus defensas contra los ciberataques es mejorar la colaboración entre sus departamentos de tecnología de la información y tecnología operativa. Empresas Necesitamos adoptar un “enfoque continuo y proactivo para identificar debilidades en los entornos de TI y OT”, dijo Anschutz.
“Los actores de amenazas explotan las brechas entre estos entornos con frecuencia”, afirmó. dicho. “Adoptar una visibilidad compartida, un proceso común y un flujo de trabajo de respuesta unificado reducirá los puntos ciegos ambientales y acelerará la contención en caso de que ocurra un incidente”.
Al mismo tiempo, afirmó Marrè, es fundamental separar TI y OT para limitar la propagación de un ataque. «La segmentación efectiva también permite a las organizaciones aplicar políticas de acceso y monitoreo más estrictas en torno a los sistemas industriales críticos que respaldan directamente las operaciones de fabricación», dijo.
Reforzar la seguridad de la identidad
Anschutz dijo que muchos actores de amenazas acceden a los sistemas de los fabricantes abusando de las credenciales, especialmente para las aplicaciones orientadas al cliente.
«Por eso es imperativo que los fabricantes obtengan una mejor visibilidad de los riesgos y amenazas basados en la identidad», dijo. «Al combinar la detección y respuesta a amenazas de identidad impulsadas por IA y la gestión de la postura de seguridad de la identidad, pueden identificar vulnerabilidades de manera más rápida y eficiente y evitar que se produzcan ataques».
También es importante utilizar periódicamente la autenticación multifactor en herramientas de acceso remoto, cuentas administrativas y sistemas críticos, afirmó Marrè.
Además, las empresas deberían “auditar periódicamente las cuentas privilegiadas, eliminar permisos innecesarios y monitorear comportamientos de inicio de sesión inusuales, como inicios de sesión fuera del horario laboral normal o desde lugares desconocidos”, dijo. «Los controles de identidad sólidos ayudan a garantizar que, incluso si las credenciales se ven comprometidas, los atacantes no puedan penetrar más profundamente en el entorno».
Actualizar software rápidamente
Nachreiner dijo que los fabricantes deberían parche todos sus sistemas lo más rápido posible cuando haya actualizaciones disponibles para limitar la capacidad de los atacantes de encontrar su camino.
“Ya sea el software o hardware administrativo o del lado comercial, o los sistemas de control industrial y OT utilizados en la fábrica, debe asegurarse de actualizar el software y el firmware rápidamente”, dijo. «Si una actualización tiene vulnerabilidades altas o críticas, debe parchearla al menos dentro de los 30 días».
priorizar vulnerabilidades
Los fabricantes deben recordar que no todas las amenazas son igualmente peligrosas.
“Priorice las vulnerabilidades basándose en la actividad de amenazas del mundo real, no solo en puntuaciones de gravedad como las [Common Vulnerability Scoring System]», dijo Garrity.»La priorización basada en amenazas ayuda a las organizaciones a centrarse en las vulnerabilidades que los atacantes realmente están explotando”.
Según el Instituto SANSuna organización de certificación y capacitación en ciberseguridad, el CVSS es una forma de evaluar y clasificar los riesgos de ciberseguridad informados de manera estandarizada y repetible. Aunque una puntuación CVSS y enfoques similares pueden ayudar a comparar vulnerabilidades entre aplicaciones y proveedores, no se debe confiar ciegamente en ella, afirmó Garrity.
Incorporar la resiliencia cibernética a las operaciones
La planificación del tiempo de inactividad debe ser parte de la estrategia de ciberseguridad de una empresa.
«PAGLAN para escenarios de tiempo de inactividad, pruebe sus procesos de recuperación con regularidad y asegúrese de que los equipos puedan restaurar las operaciones rápidamente mientras están bajo presión», dijo Anschutz. «Queremos tomar la idea de que incorporamos resiliencia a las operaciones, para que el tiempo de inactividad no se convierta en una ventaja para el actor de amenazas».
Fuente