El estado de la ciberseguridad industrial revela una dinámica compleja en sectores críticos, según el reciente informe del SANS Institute, identificado como «2025 State of ICS/OT Security Report». Los hallazgos del estudio, que recogen las experiencias de más de 330 profesionales de seguridad de sistemas de control industrial (ICS) y tecnología operativa (OT) a nivel mundial, destacan una brecha preocupante entre la rapidez en la detección de ciberincidentes y la lentitud en la recuperación de estos eventos.
El análisis señala que las organizaciones han mejorado su capacidad para detectar incidentes, logrando identificar casi la mitad de estos en menos de 24 horas. Sin embargo, la recuperación sigue siendo un desafío, con un 19% de los incidentes tomando más de un mes para resolverse completamente. Este retraso en la restauración completa de las operaciones genera pérdidas económicas significativas y potenciales riesgos para la seguridad en infraestructuras esenciales como energía, agua y transporte.
El acceso remoto emerge como el punto más vulnerable, siendo responsable de la mitad de los ciberincidentes reportados. Pese a esto, pocas organizaciones han adoptado controles robustos para asegurar el acceso remoto, mostrando una clara prioridad hacia la continuidad operativa sobre la seguridad robusta.
Otro problema crítico identificado es la falta de visibilidad en los procesos físicos más cercanos, con solo un 12.6% de las organizaciones afirmando tener control completo a lo largo de toda la cadena de ciberseguridad industrial. Esta falta de monitorización es especialmente preocupante al acercarse a controladores y equipos de campo, donde los datos esenciales para la detección temprana y respuesta eficaz a ataques son escasos.
La regulación y la inteligencia de amenazas específicas para ICS son factores que ayudan a mitigar el impacto de los incidentes. Pese a que las instalaciones más reguladas no sufren necesariamente menos incidentes, experimentan un impacto menor debido a los controles estrictos y procedimientos de respuesta establecidos. Además, las organizaciones que transforman la inteligencia de amenazas en acciones concretas demuestran resultados significativamente mejores en su defensa.
Equipos de seguridad vanguardistas están adoptando estrategias avanzadas para cerrar la brecha entre detección y recuperación, tratando el acceso remoto como un proceso crítico, diseñando redes segmentadas, invirtiendo en visibilidad OT nativa, y practicando escenarios de respuesta en condiciones reales. La creciente amenaza de ransomware y grupos avanzados de espionaje subraya la necesidad de integrar la ciberseguridad dentro de las operaciones industriales.
A medida que se avanza hacia 2026, la resiliencia industrial no solo dependerá de la rapidez para detectar amenazas, sino de la capacidad para restaurar operaciones de manera eficiente y segura. Próximamente, SANS Institute organizará sesiones informativas para profundizar en estos hallazgos y guiar a técnicos y directivos en la planificación de sus estrategias de seguridad para el futuro.
