En el primer trimestre de 2025, se ha consolidado una tendencia alarmante: el crecimiento sostenido de ataques de ransomware y amenazas dirigidas a sistemas industriales. Empresas como Unimicron, National Presto Industries y Lee Enterprises han sido blanco de incidentes que reflejan la diversificación de tácticas, desde ransomware con doble extorsión hasta infiltraciones mediante dispositivos USB. Esta evolución del panorama de amenazas expone vulnerabilidades persistentes en sectores críticos y subraya la necesidad de una defensa más integral y adaptativa.
Incremento de incidentes de ransomware en el sector industrial.
Según un informe de Dragos, se documentaron 708 incidentes de ransomware que afectaron a organizaciones industriales en el primer trimestre de 2025, frente a los cerca de 600 del trimestre anterior. La manufactura sigue siendo el sector más atacado, seguido por transporte, ingeniería y tecnologías de control industrial (ICS). Los ataques no solo han aumentado en volumen, sino que se han vuelto más estratégicos y dirigidos, afectando tanto redes IT como OT.
Algunos casos relevantes recientes:
Unimicron
El 30 de enero, Unimicron, un líder mundial en fabricación de placas PCB, sufrió un ataque de ransomware atribuido al grupo Sarcoma. Se robó un volumen estimado de 377 GB de datos. Sarcoma utilizó técnicas de doble extorsión, exigiendo pago bajo amenaza de filtración. A pesar del impacto, la empresa aseguró que la producción no se interrumpió significativamente.
National Presto Industries
En marzo, esta empresa estadounidense informó a la SEC sobre un ciberataque que afectó funciones clave como manufactura, envíos y administración. El evento generó interrupciones operativas sin precedentes en su red, aunque no se identificó al grupo atacante.
Lee Enterprises
La editorial Lee Enterprises, operadora de más de 70 periódicos en EE. UU., fue atacada por el grupo Qilin. El ataque comprometió 350 GB de datos sensibles y afectó tanto su infraestructura de impresión como operaciones en línea. La empresa confirmó la filtración de archivos y la interrupción de sistemas críticos.
El regreso del USB como vector crítico de ataque.
Un informe de Honeywell, titulado USB Threat Report 2024, revela un alarmante resurgimiento del uso de dispositivos USB como medio de infiltración en redes OT, capaces de sortear las defensas más robustas, incluyendo los sistemas con air gap físico. Según el informe, los atacantes están aprovechando dispositivos USB no solo por su portabilidad, sino por su capacidad única de superar la separación física entre redes IT y OT, usada especialmente en sectores de alto riesgo como el nuclear, defensa o servicios financieros.
“A diferencia de las técnicas modernas basadas en red, los USB permiten traspasar barreras físicas y lógicas,” explica Matt Wiseman, director de marketing de productos OT en OPSWAT. “Es una amenaza que puedes literalmente llevar en el bolsillo.”
De hecho, en 2019 solo el 9% de las amenazas USB eran diseñadas para dicho medio. Para 2022 —y de forma sostenida desde entonces— ese porcentaje superó el 50%.
Una vez dentro, los atacantes no recurren necesariamente a sofisticados exploits de día cero o malware novedoso, sino que reutilizan herramientas conocidas como BlackEnergy o Industroyer (CrashOverride) y vulnerabilidades antiguas como CVE-2010-2883 o CVE-2017-11882, activas desde hace más de una década.
El 80% de las amenazas basadas en USB tienen capacidad comprobada de provocar interrupciones en sistemas OT, ya sea mediante pérdida de visibilidad, control, ejecución de ransomware o uso de wipers. Las tácticas más observadas incluyen:
- Recolección y exfiltración de datos (36%)
- Evasión de defensas (29%)
- Escalada de privilegios (18%)
Defensas frente a una amenaza “anticuada” pero letal.
La buena noticia para los defensores es que, debido al uso de técnicas y malware antiguos, no siempre se requieren soluciones sofisticadas o costosas. “Se trata de volver a los fundamentos,” sostiene Wiseman. La implementación de políticas estrictas de uso de USB y estaciones de escaneo (kioscos de saneamiento digital) en los accesos a áreas sensibles se está convirtiendo en una práctica común.
Estas estaciones permiten analizar el contenido del dispositivo antes de que cruce el perímetro OT, e incluso pueden incorporar sistemas de transferencia seguros que eliminan la necesidad de conectar físicamente el USB a sistemas críticos.
Organizaciones más maduras están desarrollando programas móviles estructurados: ¿cómo se gestionan los dispositivos de empleados y visitantes? ¿Qué controles existen para auditar su uso? ¿Y cómo se mantienen adelantados a la amenaza?
La respuesta comienza por una política clara y una ejecución rigurosa.
La convergencia entre ransomware, vulnerabilidades antiguas y nuevos vectores como el USB revela un panorama de amenazas más amplio y complejo para la ciberseguridad industrial. En este contexto, las organizaciones deben avanzar hacia un modelo de defensa en profundidad, donde las medidas tecnológicas se acompañen de educación, procedimientos estrictos y monitoreo continuo.
Mientras los atacantes redescubren técnicas “viejas” con resultados devastadores, los defensores deben recordar que la clave sigue siendo la resiliencia operativa, la vigilancia y la ejecución disciplinada de controles básicos pero eficaces.
Fuentes:
Dragos. (2025). Ransomware attacks against industrial orgs up 87%. TechTarget. https://www.techtarget.com/searchsecurity/news/366619652/Dragos-Ransomware-attacks-against-industrial-orgs-up-87
Honeywell. (2024). USB Threat Report 2024.
SecurityWeek. (2025). Circuit Board Maker Unimicron Targeted in Ransomware Attack. https://www.securityweek.com/circuit-board-maker-unimicron-targeted-in-ransomware-attack/
BleepingComputer. (2025). Qilin ransomware claims attack at Lee Enterprises, leaks stolen data. https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/
CPO Magazine. (2025). Lee Enterprises Confirms Ransomware Attack, Qilin Takes Responsibility. https://www.cpomagazine.com/cyber-security/media-giant-lee-enterprises-confirms-ransomware-attack-qilin-takes-responsibility/
Ciberprisma - alianza por la ciberseguridad 