Según el Cyber Defense Center de Minsait, ocho de cada diez incidentes en entornos operacionales (OT) se originan en redes TI desprotegidas y conectadas a entornos operacionales.
De hecho, en 2025 se han identificado 23 grupos de amenazas activos dirigidas a entornos industriales, un incremento del 15% respecto al año 2022.
Este aumento que evidencia el creciente interés de los atacantes en vulnerar sistemas de control y gestión de procesos, como SCADA o PLC, especialmente donde no hay una adecuada segmentación entre redes IT y OT.
Los sectores más atacados en México son: energía (34%), agua y saneamiento (21%), manufactura (19%), salud (13%) y logística (8%).
Ataques en aumento
En México, los incidentes dirigidos en OT han experimentado un aumento significativo en los últimos años.
En 2024, cerca del 25% de las organizaciones industriales en el país sufrieron ataques que supusieron una parada en la producción y la operación.
La principal causa de esta tendencia, que se inicia a partir de la digitalización y de la convergencia de IT y OT en este ámbito, es una segmentación de redes no adecuada.
Es decir, los entornos OT se conectan a redes y sistemas corporativos que no están protegidos y, por tanto, suponen una vía de entrada a ciberataques.
En un contexto donde las plantas industriales, hospitales y sistemas energéticos están cada vez más conectados, la seguridad ha dejado de ser un tema exclusivo de las áreas de TI para convertirse en una prioridad estratégica en las organizaciones.
“La convergencia entre IT y OT no es una opción; hoy, es una necesidad de negocio. Pero, con ella, la superficie de ataque se ha ampliado exponiendo sistemas legacy e inseguros, entornos complejos y poca visibilidad para la organización. que ponen en riesgo desde la producción hasta vidas humanas”, advierte Erik Moreno, director de Minsait Cyber en México.
Sin embargo, el verdadero punto de vulnerabilidad es la cadena de suministro, donde los atacantes buscan infiltrarse a través de terceros menos protegidos para llegar al núcleo operacional de grandes compañías.
“Hoy, la resiliencia operacional no solo compete al CIO o al CISO. También es prioridad para directores de planta, responsables de mantenimiento y la alta dirección. Hablamos de mantener operaciones críticas sin interrupciones. Eso, en sí mismo, es ciberseguridad”, señaló Moreno.
Un enfoque industrial centrado en la resiliencia
Para responder a este escenario, Moreno plantea cuatro pilares estratégicos que contribuyen a fortalecer la protección de los entornos OT y disminuir sus incidentes:
Alinear la ciberseguridad con los objetivos operacionales, adoptando un enfoque donde no interrumpa la producción, sino que sea un habilitador de su continuidad.
Consolidar la visibilidad de activos y riesgos en plataformas unificadas, que permita priorizar y actuar con eficiencia.
Blindar los sistemas “legacy” que no pueden actualizarse fácilmente y protegerlos mediante controles compensatorios.
Simplificar y centralizar la gobernanza, integrando OT e IT en una estrategia global dentro de la organización.
Sobre estos principios, la estrategia de ciberseguridad industrial debe apoyarse en capacidades especializadas que combinen el conocimiento profundo del entorno con tecnología adaptada al contexto operacional .
“Ya no basta con tener un Centro de Operaciones de Seguridad (SOC, por sus siglás en inglés) estándar. Se requiere añadir capacidades OT e inteligencia adaptada al lenguaje del entorno industrial, monitoreo constante de protocolos específicos, identificación de comportamientos anómalos y respuestas automatizadas que no interrumpan los procesos”, subraya Moreno.
En este sentido, comentó que su servicio de detección y respuesta avanzada, Smart MDR, está preparado para actuar en este ámbito, detectando incidentes en 15 minutos y reduciendo las alertas falsas a tan sólo un 2% y el número de alertas de escaso valor en más del 80%.
“A partir de soluciones personalizadas y punteras, las organizaciones industriales pueden contar con una protección unificada, ágil y contextualizada que reduce riesgos operacionales, reputacionales y económicos. El verdadero valor está en que la tecnología se adapte al entorno, y no al revés. Solo así se puede garantizar una respuesta efectiva”, añadió el director de Minsait Cyber en México
La resiliencia como nuevo estándar de negocio
Erik Moreno subraya que, la ciberseguridad OT no puede seguir siendo un apéndice del mundo TI. Requiere su propio enfoque, cultura y herramientas.
De su correcta implementación depende no solo la protección de activos, sino la continuidad misma de las operaciones industriales.
En este sentido, el directivo de Minsait Cyber indica que en los entornos de producción es necesario:
- adoptar una estrategia integral que contemple todo el ciclo de vida de los activos
- establecer una gobernanza clara entre IT y OT
- priorizar la segmentación de redes, la gestión de accesos remotos y la protección de endpoints industriales
- invertir en herramientas diseñadas para OT que permitan detección y respuesta efectiva sin interrumpir la operación
- fortalecer la cultura de ciberseguridad entre los equipos
“Hoy más que nunca, asegurar la continuidad operacional exige un modelo de protección 360º, basado en inteligencia contextual, automatización y coordinación entre equipos expertos. En este nuevo escenario, OT, IT y la gestión de identidades definen la nueva resiliencia que , ya no es una meta técnica, es una ventaja competitiva”, concluyó Moreno.