Informe SANS “State of ICS/OT Security 2025”: lo que de verdad importa para proteger las operaciones

Publicado en por juancornago

SANS publica su State of ICS/OT Security 2025 en noviembre de 2025, con 330 respuestas de profesionales de sectores industriales y una lectura madura de tendencias, estado actual y planes de inversión. El documento combina métricas, gráficos y análisis experto para ofrecer una foto honesta de cómo están defendiendo hoy las plantas y redes de control, qué funciona, dónde aprieta el zapato y qué decisiones conviene priorizar.

Antes de entrar en detalle, conviene quedarse con la idea central “La industria detecta mejor, pero se recupera despacio”. El acceso remoto sigue abriendo la puerta a la mitad de los incidentes. La preparación existe en el papel, aunque solo una minoría se siente realmente lista. La inversión se concentra en visibilidad de activos, detección y acceso remoto, empujada por regulación y por inteligencia de amenazas específica para entornos industriales. Y hay un patrón cultural que marca la diferencia: los equipos que integran a técnicos de campo en los ejercicios responden mejor y más rápido cuando toca la verdad.

El informe avanza con lógica sencilla. Primero, sitúa el problema, midiendo incidentes, tiempos y efectos. Después, explica cómo se está utilizando la inteligencia de amenazas y qué hace la regulación por la madurez. A continuación, abre el foco a la detección, el acceso remoto, la nube y las brechas de visibilidad a lo largo del Modelo Purdue. Más tarde, baja a cultura, ejercicios, continuidad de negocio y recuperación. Por último, cierra con decisiones de inversión y una hoja de ruta razonable para 2026.

En la página de Key Findings se resumen los golpes de realidad. Incidentes aún altos y con impacto operativo, detección más rápida, recuperación que se alarga, acceso remoto como principal vector, inteligencia que paga dividendos y regulación que reduce pérdidas e impactos de seguridad. Es una buena guía de navegación para lo que viene después.

Hallazgos con datos, contexto y por qué importan

Para entender qué hacer, conviene repasar los datos que sostienen las conclusiones y traducirlos a decisiones operativas.

  • Incidentes y efectos reales. 22% de las organizaciones sufrió al menos un incidente en el último año. Cuarenta por ciento provocó disrupción operativa y casi 20% tardó más de un mes en remediarse. La tasa de detección y contención mejora, aunque la recuperación sigue siendo el cuello de botella. Esto obliga a mirar más allá de la alerta y a invertir en reconstrucción segura y ensayos de recuperación.
  • Tiempos de respuesta. Casi la mitad detecta en menos de 24 horas y más de sesenta por ciento contiene en el día siguiente. Sin embargo, la fase de “erradicar y volver a la normalidad” se estira a días o semanas, con un porcentaje pequeño que supera el año. La conclusión es clara: la detección rinde, pero la resiliencia aún no.
  • Acceso remoto, el punto débil. La mitad de los incidentes comienza con accesos externos no autorizados. Pese a ello, solo alrededor de 13% declara tener implantados de forma plena controles avanzados como grabación de sesiones o conciencia de protocolos industriales. Falta cobertura y sobran puntos ciegos, sobre todo cuando ni siquiera hay inventario centralizado de accesos.
  • Inteligencia de amenazas que cambia prioridades. Quienes consumen inteligencia específica de entornos industriales ajustan detecciones, mejoran segmentación y amplían monitorización. Además, comparten que han observado más presión de ransomware orientado a operaciones, más actividad alineada con estados y más compromiso de cadena de suministro. Es un argumento a favor de integrar fuentes del fabricante, canales públicos y centros sectoriales de intercambio.
  • Regulación que reduce daños. Las instalaciones reguladas sufren incidentes en cifras similares a las no reguladas, aunque registran aproximadamente la mitad de pérdidas financieras e impactos en seguridad. El mensaje es que la conformidad mínima, bien llevada, baja la severidad. Y además dirige las inversiones hacia monitorización, detección, inventario y acceso remoto seguro.
  • Nube y visibilidad. La nube ya está dentro, pero la visibilidad es desigual. Solo una minoría integra la telemetría de nube junto con la de TI y operaciones tecnológicas. Dado que los servicios en nube pueden mantener vías persistentes hacia el entorno industrial, la falta de integración deja huecos importantes.
  • Modelo Purdue, realidad de cobertura. La detección es la capacidad más extendida, aunque con lagunas según el nivel. La caza de amenazas y los ejercicios de equipos rojo y morado aparecen poco y tienden a desaparecer en los niveles cercanos al proceso físico y en emplazamientos remotos, que son precisamente donde el impacto duele más.
  • Preparación y cultura. Solo el 14% se declara plenamente preparado ante escenarios plausibles. Las organizaciones que sí lo están comparten una pauta: incluyen a técnicos de campo en los ejercicios, tienen más visibilidad a lo largo de la cadena de ataque industrial y han madurado el acceso remoto. También contribuyen activamente a foros de intercambio de información. La cultura, por tanto, no es un adorno, es un multiplicador.
  • Continuidad y recuperación. Hay copias y procedimientos de restauración específicos de operaciones tecnológicas, aunque menos de un tercio prueba de forma periódica la recuperación, mantiene guías a nivel de sitio o alinea la ciberseguridad con los análisis de seguridad del proceso. La brecha no está en la intención, está en el ensayo.
  • Inversión, hoy y mañana. En el último año se ha invertido sobre todo en inventario y visibilidad de activos, detección y acceso remoto con autenticación de múltiples factores. Para los próximos 12 a 24 meses se mantiene esa línea, con subida en detección y gestión de vulnerabilidades. Los motores son la regulación y el contexto de amenazas, y se nota el salto de madurez cuando existe un centro de operaciones de seguridad que integra TI y operaciones tecnológicas.

Qué hacer con esto, en términos prácticos

Antes de listar acciones, conviene fijar la idea. Se trata de cerrar el hueco entre detectar y volver al servicio con seguridad, mientras se elimina el exceso de confianza en accesos y se reduce la exposición de las plantas.

  1. Ordenar el acceso remoto con inventario, segmentación, autenticación de múltiples factores en todos los puntos, aprobación en tiempo real para operaciones sensibles y registro de sesiones. Esta familia de medidas reduce a la mitad el vector más frecuente.
  2. Aampliar la visibilidad a toda la cadena de ataque industrial y a la nube. No basta con ver el nivel de supervisión, hay que llegar al entorno de ingeniería y a sitios remotos.
  3. Convertir la inteligencia de amenazas en cambios medibles. Esto significa actualizar lógicas de detección, acelerar segmentación donde falte y planificar escenarios concretos de ransomware, doble compromiso de TI y operaciones tecnológicas, y sabotaje mixto.
  4. Pasar de la detección a la resiliencia. La continuidad de negocio y la recuperación ante desastres deben incluir objetivos de tiempo y punto de recuperación, pruebas periódicas de restauración y procedimientos claros por emplazamiento. Cuando se ensaya, los tiempos bajan de forma notable.

Glosario mínimo para lectura fluida

Para que el texto sea cómodo y no suponga fricción, dejamos las siglas explicadas la primera vez.

  • ICS, sistemas de control industrial: tecnologías que supervisan y controlan procesos físicos como generación eléctrica o fabricación.
  • OT, operaciones tecnológicas: el universo tecnológico que soporta la operación industrial, distinto de la informática corporativa.
  • SOC, centro de operaciones de seguridad: equipo y capacidades que vigilan, investigan y responden a incidentes de seguridad.
  • SIEM, gestión de información y eventos de seguridad: plataforma que recoge y correlaciona registros para detectar amenazas.
  • DMZ, zona desmilitarizada: red intermedia que separa entornos corporativos y operativos y donde se ubican pasarelas y servicios de seguridad.
  • ISAC, centro de análisis y compartición de información: foro sectorial para compartir alertas y buenas prácticas.
  • BC y DR, continuidad de negocio y recuperación ante desastres: disciplina que asegura que una organización puede seguir funcionando y recuperarse tras una interrupción.
  • RTO y RPO, objetivos de tiempo y punto de recuperación: tiempos máximos aceptables para recuperar servicio y datos.
  • CIE o CCE, ingeniería informada por ciberseguridad: práctica que protege las funciones de mayor consecuencia del proceso industrial.
  • Modelo Purdue: referencia de niveles que separa informática corporativa, sistemas de operación y control, y proceso físico.
  • Cadena de ataque industrial o ICS Cyber Kill Chain: fases que sigue un atacante desde el acceso inicial hasta el impacto en el proceso.
Sin comentarios aún
acceso remoto seguro continuidad de negocio cultura de ciberseguridad detección y respuesta ICS inteligencia de amenazas Modelo Purdue OT recuperación SANS

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.