Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > El Informe Dragos 2026: Por qué este lo cambia todo

El Informe Dragos 2026: Por qué este lo cambia todo

by Patrick Spencer updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 11 minutes

Algunos informes de ciberseguridad confirman lo que ya sabíamos. Este documenta algo nuevo.

El Informe de Ciberseguridad OT/ICS 2026 de Dragos, publicado el 17 de febrero de 2026, marca el noveno año del análisis integral de la empresa sobre las amenazas que enfrentan las infraestructuras industriales y críticas. Pero los hallazgos de este año no son incrementales. Representan un cambio estructural en la forma en que los adversarios se aproximan a los entornos de tecnología operacional, y lo que eso significa para la seguridad de los datos, la privacidad de los datos y el cumplimiento normativo.

El hallazgo principal es directo y alarmante: los adversarios ya no se conforman con obtener acceso y esperar. Ahora están mapeando activamente los lazos de control, entendiendo cómo funcionan los procesos industriales y posicionándose para provocar efectos físicos.

Eso no es reconocimiento. Es preparación para la interrupción operacional.

5 conclusiones clave

  1. Los adversarios han pasado del reconocimiento al mapeo de lazos de control. El informe Dragos 2026 documenta un cambio fundamental en la forma en que los actores de amenazas se aproximan a los entornos industriales. KAMACITE mapeó sistemáticamente lazos de control en toda la infraestructura de EE. UU. durante 2025, mientras que ELECTRUM apuntó a sistemas de energía distribuida en Polonia con intentos deliberados de afectar activos operativos. Los adversarios ya no solo obtienen acceso: están aprendiendo cómo se originan los comandos, cómo se propagan por los sistemas y dónde se pueden inducir efectos físicos. Esto representa una maduración de un punto de apoyo pasivo a una comprensión operacional activa.
  2. Surgieron tres nuevos grupos de amenazas — y trabajan como ecosistemas coordinados. Dragos identificó tres nuevos grupos de amenazas en 2025: SYLVANITE, PYROXENE y AZURITE. Lo más significativo es que SYLVANITE opera como intermediario de acceso, explotando rápidamente vulnerabilidades en productos Ivanti, F5, SAP y ConnectWise, y luego entregando los puntos de apoyo establecidos a VOLTZITE para intrusiones OT más profundas. PYROXENE desplegó malware wiper destructivo contra infraestructuras críticas durante un conflicto regional. AZURITE mostró superposiciones operativas con Flax Typhoon y llevó a cabo operaciones sostenidas en EE. UU., Europa y Asia-Pacífico. El modelo de ecosistema — especialistas que establecen acceso para adversarios más capacitados — es ahora el patrón operativo dominante.
  3. Los grupos de ransomware con alcance OT aumentaron un 49% interanual. El ransomware dirigido a organizaciones industriales aumentó un 49% en 2025, afectando a 3,300 organizaciones a nivel mundial. Pero la verdadera historia es la interrupción operacional. El ransomware ya no es «solo TI»: está causando interrupciones de varios días que requieren recuperación específica de OT. Las organizaciones siguen subestimando significativamente el alcance del ransomware en entornos operativos porque clasifican mal los incidentes como solo de TI, sin ver el impacto posterior en los sistemas de producción, controles de seguridad y procesos físicos.
  4. La visibilidad es el diferenciador decisivo — 5 días frente a 42 días de tiempo de detección. Las organizaciones con visibilidad integral de OT detectaron y contuvieron incidentes de ransomware OT en un promedio de 5 días. ¿El promedio de la industria? 42 días. No es una mejora marginal: es la diferencia entre un incidente contenido y uno catastrófico. La madurez en la detección se correlaciona directamente con el éxito en la respuesta, pero menos del 10% de las redes OT tienen la visibilidad necesaria para detectar reconocimiento, movimientos laterales y exfiltración de datos antes de que los adversarios logren sus objetivos.
  5. VOLTZITE alcanzó la etapa 2 de la cadena de ciberataques ICS. Dragos elevó a VOLTZITE a la etapa 2 de la cadena de ciberataques ICS tras observar que el grupo manipuló software de estaciones de trabajo de ingeniería para extraer archivos de configuración y datos de alarmas. El grupo investigó específicamente qué condiciones operativas desencadenarían paradas de procesos. En un caso, VOLTZITE comprometió gateways celulares Sierra Wireless Airlink para acceder a operaciones de oleoductos midstream en EE. UU., y luego pivotó hacia estaciones de trabajo de ingeniería. VOLTZITE comparte similitudes técnicas con Volt Typhoon — el grupo sobre el que la inteligencia estadounidense ha advertido que se está posicionando para una posible interrupción de infraestructuras críticas.

Mapeo de lazos de control: entendiendo la amenaza

Para entender por qué importa el mapeo de lazos de control, primero necesitas saber qué es un lazo de control.

En entornos industriales, un lazo de control es el conjunto de dispositivos y software que detectan una variable física — temperatura, presión, flujo, nivel — comparan esa lectura con un valor de referencia y accionan dispositivos para cambiar el proceso. Un termostato que controla una caldera es un lazo de control sencillo. Una refinería que gestiona cientos de procesos interconectados tiene miles de ellos.

Cuando los adversarios mapean lazos de control, están aprendiendo la lógica operacional de una instalación. Identifican qué sensores alimentan a qué controladores. Entienden qué umbrales disparan alarmas o paradas automáticas. Descubren cómo manipular lecturas o comandos para producir resultados físicos específicos.

KAMACITE pasó 2025 haciendo exactamente esto en la infraestructura de EE. UU. ELECTRUM apuntó a sistemas de energía distribuida en Polonia con intentos deliberados de afectar activos operativos. VOLTZITE extrajo archivos de configuración y datos de alarmas de estaciones de trabajo de ingeniería, investigando específicamente qué condiciones desencadenarían paradas de procesos.

Esto no es una capacidad teórica. Es actividad operacional documentada.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

El modelo de ecosistema: especialistas que entregan a especialistas

Uno de los hallazgos más significativos del informe de Dragos es la aparición de ecosistemas de amenazas coordinados donde los grupos se especializan en diferentes fases de un ataque.

SYLVANITE ejemplifica este modelo. El grupo se enfoca en la explotación rápida de vulnerabilidades en sistemas expuestos a internet — Ivanti, F5, SAP, ConnectWise. En un caso, SYLVANITE explotó vulnerabilidades de Ivanti VPN en menos de 48 horas tras su divulgación. El grupo utiliza herramientas comunes como Cobalt Strike y Sliver, establece persistencia y luego entrega el acceso a VOLTZITE para intrusiones OT más profundas.

Esta división del trabajo tiene implicaciones importantes. Significa que el acceso inicial y las operaciones OT son ahora especializaciones separadas. Significa que defenderse del compromiso inicial no elimina el riesgo: otro grupo puede heredar el acceso. Y significa que la atribución se vuelve más compleja, ya que el grupo que obtiene acceso no es necesariamente el que causa el impacto operacional.

El incidente de mayo de 2025 en una empresa de servicios públicos de EE. UU. ilustra el modelo. SYLVANITE explotó vulnerabilidades de Ivanti Endpoint Manager Mobile para extraer detalles de usuarios LDAP y tokens de Office 365 de la base de datos backend. Esas credenciales se reutilizaron internamente para movimientos laterales. El intermediario de acceso estableció el punto de apoyo; actores más capacitados lo explotarían.

El aumento del 49% del ransomware en entornos OT

El ransomware dirigido a organizaciones industriales aumentó un 49% interanual en 2025, afectando a 3,300 organizaciones a nivel mundial. Dragos rastreó 119 grupos de ransomware con capacidad demostrada para afectar entornos operativos.

Pero el volumen no es la verdadera historia. La interrupción operacional sí lo es.

Los incidentes de ransomware industrial en 2025 causaron cada vez más interrupciones de varios días que requieren recuperación específica de OT. Cuando el ransomware cifra una estación de trabajo de ingeniería, la organización no puede simplemente reinstalar la máquina y continuar. Deben verificar que las configuraciones del sistema de control no hayan sido alteradas. Deben asegurar que los sistemas de seguridad funcionen correctamente. Deben validar que los procesos de producción operarán como se espera antes de volver a poner los sistemas en línea.

Aquí es donde la observación del CEO de Dragos, Robert Lee, se vuelve crítica: «Las organizaciones industriales subestiman significativamente el alcance del ransomware en entornos OT porque piensan que es ‘solo TI’.»

El problema de la mala clasificación es sistémico. Cuando los respondedores de incidentes sin experiencia en OT investigan un ataque de ransomware, pueden no reconocer las implicaciones operativas. Pueden restaurar sistemas de TI y declarar resuelto el incidente, sin notar que los datos de producción fueron corrompidos, las estaciones de trabajo de ingeniería fueron comprometidas o las configuraciones de los sistemas de seguridad fueron alteradas.

El promedio de 42 días de tiempo de detección que cita Dragos para la industria en general no es solo un problema de detección. Es un problema de visibilidad. Las organizaciones no pueden detectar lo que no pueden ver — y la mayoría de las redes OT carecen del monitoreo, inventario de activos y telemetría necesarios para identificar un compromiso antes de que ocurra el impacto operacional.

La brecha de visibilidad: lo que la mayoría de las organizaciones no ve

Menos del 10% de las redes OT cuentan con visibilidad y monitoreo integral.

Esa estadística por sí sola explica por qué el tiempo promedio de detección en la industria es de 42 días, mientras que las organizaciones con visibilidad integral de OT contienen incidentes en 5 días. La diferencia no es talento ni preferencia tecnológica. Es si puedes ver lo que ocurre en tu entorno.

El informe de Dragos identifica varias categorías de datos que los adversarios buscan en entornos OT:

Archivos de proyectos de ingeniería: Planos CAD, especificaciones de diseño y documentos de arquitectura de sistemas que revelan cómo se construyen las instalaciones y cómo se interconectan los procesos.

Datos y umbrales de alarmas: Información sobre qué condiciones disparan alertas, paradas automáticas o activaciones de sistemas de seguridad — conocimiento esencial para un atacante que planea manipular procesos sin ser detectado.

Archivos de configuración y respaldos: Configuraciones HMI/SCADA, programación de PLC y respaldos de sistemas que contienen la lógica operacional que gobierna los procesos industriales.

Información de operadores: Credenciales de usuario, patrones de turnos, privilegios de acceso y registros de actividad que pueden usarse para ingeniería social, escalamiento de privilegios o para determinar el mejor momento para un ataque.

Diagramas GIS y de red: Representaciones geográficas y lógicas de cómo se interconectan los sistemas — críticos para planificar movimientos laterales y entender el alcance de un ataque.

Estos datos se mueven constantemente entre sistemas. Los equipos de ingeniería comparten diseños con las plantas de manufactura. Los proveedores reciben especificaciones técnicas para mantenimiento. Los datos de aseguramiento de calidad fluyen entre redes de producción y sistemas empresariales. Los canales que transportan estos datos — a menudo servidores SFTP heredados, archivos adjuntos de correo electrónico y recursos compartidos de archivos inseguros — se convierten en las vías que los adversarios explotan.

El hacktivismo ha evolucionado hacia la capacidad operacional

El informe de Dragos documenta otra tendencia preocupante: los grupos hacktivistas están evolucionando de ataques simbólicos a campañas con capacidad operacional real.

BAUXITE desplegó dos variantes de malware wiper personalizadas contra objetivos israelíes durante el conflicto Irán-Israel en junio de 2025. Esto representó una escalada de acceso y disrupción previos a una intención destructiva. El grupo no solo modificó sitios web o robó datos. Implementó malware diseñado para causar pérdida de datos irreversible e interrupción operacional.

Los grupos hacktivistas mezclan cada vez más mensajes ideológicos con operaciones alineadas a estados. Apuntan a HMI expuestos a internet, estaciones de trabajo de ingeniería mal configuradas y protocolos de campo abiertos como Modbus/TCP y DNP3. La sofisticación técnica varía, pero la intención es constante: traducir el acceso digital en impacto en el mundo real.

Para las organizaciones que operan infraestructuras críticas, la implicación es clara. El panorama de amenazas ahora incluye no solo actores estatales y criminales motivados por dinero, sino también grupos ideológicos con capacidad demostrada para afectar operaciones. La superficie de ataque — dispositivos expuestos a internet, sistemas de acceso remoto y sistemas en el límite TI/OT — es la misma sin importar quién la ataque.

Implicaciones para la seguridad de datos en entornos industriales

Los hallazgos de Dragos tienen implicaciones directas sobre cómo las organizaciones industriales deben enfocar la seguridad de los datos.

Los datos que se buscan son operativos, no solo personales. La seguridad de datos tradicional se enfoca en proteger información personal, datos financieros y propiedad intelectual. El panorama de amenazas OT añade una nueva categoría: datos operativos que pueden usarse para interrumpir procesos físicos. Archivos de ingeniería, configuraciones de alarmas y documentación de sistemas de control son ahora objetivos de alto valor que requieren estrategias de protección acordes a su perfil de riesgo.

La convergencia TI/OT crea vulnerabilidades en el intercambio de datos. Las organizaciones industriales enfrentan una paradoja: los sistemas OT requieren aislamiento para seguridad y confiabilidad, pero los datos operativos deben fluir entre entornos TI y OT para los procesos empresariales. Diseños de ingeniería compartidos con proveedores. Datos de control de calidad intercambiados entre sitios globales. Especificaciones de proveedores para actualizaciones de equipos. Estos intercambios ocurren a través de canales que los adversarios explotan sistemáticamente. Gestionar este riesgo en la cadena de suministro exige gobernar cada intercambio de datos, no solo asegurar el perímetro de la red.

La infraestructura de transferencia de archivos es un vector de ataque principal. El informe de Dragos y el análisis de la industria identifican la transferencia gestionada de archivos y los sistemas SFTP como objetivos de alto valor. Estos sistemas agregan datos confidenciales de múltiples fuentes y a menudo conectan segmentos de red que de otro modo estarían segregados. Cuando se comprometen, brindan acceso a repositorios concentrados de datos operativos y vías hacia entornos OT. Los servidores SFTP heredados sin registros de auditoría, controles de acceso o detección de anomalías están especialmente expuestos.

Las brechas de visibilidad crean exposición de cumplimiento. Cuando las organizaciones no pueden ver lo que ocurre en sus entornos OT, no pueden demostrar cumplimiento con los requisitos regulatorios. No pueden producir registros de auditoría que muestren quién accedió a qué datos. No pueden detectar ni reportar brechas en los plazos requeridos. El promedio de 42 días de tiempo de detección crea ventanas extendidas de notificación y una mayor responsabilidad regulatoria.

Privacidad de datos en OT: la dimensión olvidada

El informe de Dragos se centra en la seguridad operacional, pero los tipos de datos involucrados tienen implicaciones significativas para la privacidad.

La información de operadores — incluyendo comportamientos de individuos identificados, patrones de turnos, historiales de errores e incidentes de seguridad — califica como datos personales sensibles bajo GDPR, CCPA y regulaciones emergentes de privacidad. Los volcados de credenciales y registros de actividad publicados por grupos hacktivistas exponen identificadores personales a audiencias globales.

Las organizaciones normalmente no clasifican los datos operativos como información personal identificable. Pero cuando entran en vigor los requisitos de notificación de brechas, descubren que han estado almacenando datos personales sensibles que nunca inventariaron ni protegieron adecuadamente.

La combinación de contexto operacional e identificadores personales crea una exposición regulatoria que la mayoría de las organizaciones industriales no ha considerado. Las evaluaciones de impacto en la privacidad diseñadas para sistemas TI pueden no captar los datos personales incrustados en entornos OT.

Qué deben hacer las organizaciones ahora

El informe de Dragos concluye con un mensaje claro: las brechas que persisten son graves y establecer visibilidad integral de OT ahora es fundamental.

Prioriza la visibilidad por encima de todo. La brecha de detección de 5 días frente a 42 días demuestra que la capacidad de monitoreo es el diferenciador decisivo. Las organizaciones necesitan inventarios de activos, monitoreo de red y telemetría que cubran entornos OT — no solo redes TI. La integración de SIEM que ingiere telemetría OT junto con registros TI cierra la brecha de visibilidad que permite a los adversarios permanecer sin ser detectados durante semanas. Esto no es una mejora opcional. Es la base de todo lo demás.

Asegura el límite TI/OT. Los intercambios que ocurren en el límite TI/OT — archivos de ingeniería, datos de configuración, especificaciones de proveedores — crean las vías que los adversarios explotan. Estos canales necesitan intercambio de datos gobernado con cifrado, controles de acceso, registros de auditoría y detección de anomalías. El SFTP heredado y el correo electrónico no son adecuados para datos que pueden habilitar la interrupción operacional. Una plataforma de transferencia gestionada de archivos diseñada para este fin, con registros de auditoría y controles DLP, proporciona el canal gobernado que las herramientas heredadas no pueden ofrecer.

Ten en cuenta el modelo de ecosistema. Defenderse del acceso inicial no elimina el riesgo cuando grupos como SYLVANITE entregan puntos de apoyo a actores más capacitados. Las estrategias de seguridad deben asumir que puede existir un compromiso y enfocarse en detectar movimientos laterales, escalamiento de privilegios y acceso a datos operativos antes de que se produzca un impacto. Los principios de confianza cero — privilegios mínimos, verificación explícita, asumir compromiso — aplican por igual a entornos OT.

Cierra la brecha de mala clasificación. Los planes de respuesta a incidentes necesitan experiencia OT desde el inicio. Cuando cada incidente se clasifica como «solo TI», las organizaciones pasan por alto las implicaciones operativas hasta que algo en el proceso se comporta de manera anormal. Los equipos de detección y respuesta necesitan el contexto para reconocer cuándo un compromiso TI tiene consecuencias OT.

Prepárate para el escrutinio regulatorio. Los datos operativos que se buscan — archivos de ingeniería, configuraciones de alarmas, información de operadores — activan obligaciones de cumplimiento que las organizaciones pueden no haber anticipado. Los registros de auditoría, la capacidad de notificación de brechas y la evidencia de «seguridad razonable» deben extenderse a los entornos OT, no solo a los sistemas TI. Marcos como NIST 800-53, NERC CIP e ISA/IEC 62443 exigen controles demostrables sobre cómo se accede, transmite y protege la información operativa.

El informe Dragos 2026 documenta un panorama de amenazas donde los adversarios entienden las operaciones industriales a nivel de proceso y utilizan ese conocimiento para escalar de la intrusión al intento de impacto operacional. La implicación defensiva es clara: visibilidad, contexto de activos y detección consciente de ICS no son opcionales.

Las organizaciones que inviertan en estas capacidades detectarán amenazas antes de que haya impacto físico. Las que no, solo se enterarán del compromiso cuando algo en el proceso se comporte de manera anormal — y para entonces, el daño ya puede estar hecho.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

Los sistemas de transferencia gestionada de archivos y SFTP son objetivos de alto valor en entornos OT por dos razones principales: agrupan datos operativos confidenciales de múltiples fuentes y, con frecuencia, conectan segmentos de red que de otro modo estarían segregados. Archivos de proyectos de ingeniería, configuraciones de alarmas, especificaciones de proveedores y datos de control de calidad fluyen por estos sistemas — lo que significa que un solo compromiso da acceso a repositorios concentrados de inteligencia operativa y una vía más profunda hacia las redes OT. Las implementaciones heredadas de SFTP sin registros de auditoría, controles de acceso o detección de anomalías están especialmente expuestas, y el hallazgo más amplio del informe de Dragos de que la infraestructura de transferencia de archivos se explota sistemáticamente subraya por qué gobernar estos canales es fundamental para la seguridad de datos OT.

La convergencia TI/OT genera un flujo continuo de datos operativos de alto valor a través del límite entre las redes empresariales y de producción: diseños de ingeniería compartidos con proveedores externos, datos de control de calidad intercambiados entre sitios globales, especificaciones de proveedores para el mantenimiento de equipos y respaldos de configuración transferidos a sistemas empresariales. Estos datos son valiosos tanto para el robo de propiedad intelectual como para la preparación de ataques operativos — los adversarios que obtienen archivos de ingeniería y umbrales de alarmas entienden una instalación lo suficiente como para planificar una interrupción sin ser detectados. Proteger estos intercambios requiere canales de transferencia de archivos gobernados con cifrado, controles DLP y registros de auditoría inmutables, en lugar de SFTP heredado o archivos adjuntos de correo electrónico que no dejan registro forense.

Sí — y esta es una de las dimensiones de cumplimiento más ignoradas en la seguridad industrial. La información de operadores que se recopila habitualmente en entornos OT — patrones de turnos de individuos identificados, historiales de acceso, registros de errores, incidentes de seguridad — constituye datos personales bajo GDPR y CCPA. La mayoría de las organizaciones industriales no clasifican esto como información personal identificable y, por tanto, no lo han inventariado ni protegido adecuadamente. Cuando ocurre una brecha — y el informe de Dragos documenta grupos hacktivistas publicando volcados de credenciales y registros de actividad — las organizaciones descubren que enfrentan obligaciones de notificación de brechas que no habían previsto. Las evaluaciones de impacto en la privacidad deben extenderse explícitamente a los entornos OT para cubrir esta exposición antes de que lo haga un regulador.

El tiempo prolongado de permanencia agrava tanto la exposición operacional como la regulatoria. En el ámbito del cumplimiento, la mayoría de los marcos principales — GDPR, HIPAA para OT en salud y mandatos sectoriales como NERC CIP — imponen ventanas de notificación de brechas medidas en horas o días, no semanas. Un promedio de 42 días de detección significa que las organizaciones suelen perder esos plazos, generando violaciones de notificación además de la brecha subyacente. También significa que no pueden producir las líneas de tiempo forenses que exigen los reguladores: quién accedió a qué datos, cuándo y a través de qué sistemas. Menos del 10% de las redes OT cuentan con la infraestructura de monitoreo necesaria para responder esas preguntas — lo que implica que la mayoría de las organizaciones cargan con una responsabilidad de cumplimiento no revelada junto a su riesgo operacional.

Las organizaciones industriales operan bajo un entorno de cumplimiento por capas que la mayoría de los programas de seguridad enfocados en TI no cubren completamente. NERC CIP aplica a operadores del sistema eléctrico mayorista y exige controles de acceso, monitoreo de seguridad y registros de auditoría para activos cibernéticos que afectan la confiabilidad de la red. ISA/IEC 62443 proporciona el estándar internacionalmente reconocido para ciberseguridad industrial, exigiendo segmentación de red, gestión de identidades y acceso, y zonas de seguridad documentadas. NIST 800-53 y el Marco de Ciberseguridad del NIST aplican de forma amplia, incluyendo operadores de infraestructuras críticas. Cuando los sistemas OT procesan datos personales — registros de operadores, manufactura de salud, sistemas de agua — GDPR y regulaciones sectoriales de privacidad también aplican. Todos estos marcos comparten un requisito común: controles demostrables, documentados en registros de auditoría, que se extienden al entorno OT mismo — no solo a la red TI superior.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, verifica siempre
  • Video Microsoft GCC High: desventajas que llevan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los detecta
  • Artículo del Blog Cómo generar confianza en la IA generativa con un enfoque Zero Trust
  • Video Guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks