El reporte Dragos 2026 Year in Review documentó un alza del 49% en ransomware industrial durante 2025, con cerca de 3.300 organizaciones impactadas en el mundo. Al mismo tiempo, menos del 10% de las redes OT tiene monitoreo de red significativo. Y en Chile, ANCI ya calificó 372 nuevos OIV preliminares en sectores que son 100% intensivos en OT: Transporte, agua potable y combustibles. Para mineras, eléctricas, sanitarias, salmoneras, manufactura y telco en Chile, Perú y Colombia, la pregunta dejó de ser si las van a atacar. La pregunta es qué tan lista está la operación cuando ocurra.
Lo que cambió en 2025 - 2026: Tres señales que no se pueden ignorar
Hace un año, cuando hablábamos de ciberseguridad industrial con un gerente de operaciones, la conversación todavía era teórica. Ese tiempo se acabó. Lo que vimos en los últimos doce meses son tres movimientos concretos que reordenan el mapa de amenazas para LatAm.
El primer ataque coordinado a generación distribuida
El 29 de diciembre de 2025, un operador eléctrico del centro de Europa fue golpeado por un ataque que se atribuyó al grupo Sandworm (rastreado por Dragos como ELECTRUM). No fue contra una planta termoeléctrica de gran escala, sino contra alrededor de 30 sitios de DERs (recursos energéticos distribuidos): Parques eólicos, plantas solares y unidades de cogeneración. La herramienta usada fue un wiper nuevo, documentado por ESET y bautizado DynoWiper, diseñado específicamente para borrar datos en activos OT en lugar de cifrarlos.
Es la primera vez documentada en que un actor estado-nación ataca de forma coordinada generación distribuida en vez de concentrarse en las grandes plantas. La lectura para LatAm es directa: El boom de generación solar y eólica en Atacama, Mocupe, Rubí y La Guajira creó superficies de ataque que antes no existían. Cada DER tiene su propio HMI, su propio canal de telemetría, su propio PLC. Y casi ninguno fue diseñado pensando en un adversario estado-nación.
Ransomware industrial subió 49% y diversificó objetivos
El reporte Dragos 2026 confirma que el ransomware ya no discrimina entre IT y OT. Cerca de 3.300 organizaciones industriales fueron impactadas durante 2025, un alza interanual del 49%. Manufactura sigue siendo el sector más golpeado, pero el crecimiento más violento se observa en agua, energía y logística portuaria. En LatAm, Check Point reportó 3.110 ciberataques semanales por organización en febrero 2026, 33% más que el año anterior, con minería y manufactura como los sectores más afectados de la región. Esta lógica conecta directo con lo que vimos en el ransomware en Chile durante 2026, donde la convergencia IT/OT empezó a ser el vector preferido.
Nuevos grupos APT y la sombra de Volt Typhoon
Dragos identificó en 2025 tres nuevos grupos de amenaza dedicados a OT: SYLVANITE, PYROXENE y AZURITE. Se suman a actores ya conocidos por el directorio ejecutivo, como Volt Typhoon y Salt Typhoon, ambos vinculados a China y rastreados por CISA en alertas activas. La técnica que comparten estos grupos es preocupante: Living-off-the-land sobre infraestructura legítima, sin malware tradicional, manteniendo presencia silenciosa durante meses antes de actuar. En entornos OT donde nadie está mirando, eso significa que el adversario puede estar dentro hoy y nadie lo sabría hasta que decida apagar la planta.
Por qué los sectores OIV intensivos en OT están en la mira
La Ley Marco de Ciberseguridad 21.663 vigente desde enero de 2025 trazó una línea regulatoria que muchas operaciones industriales todavía no terminan de procesar. ANCI calificó en la fase 1 a 915 OIV entre eléctricas, telco, salud y servicios digitales, y en abril de 2026 sumó 372 nuevos OIV preliminares correspondientes a Transporte, agua potable y combustibles. Los tres sectores son 100% intensivos en OT. La obligación de acreditar un Sistema de Gestión de Seguridad de la Información ante ANCI antes del plazo de junio 2026 ya está corriendo, y la realidad operacional es que muy pocos están listos. Recomiendo revisar el detalle de qué exige ANCI a los OIV y cómo cumplir el plazo de junio 2026 porque el calendario regulatorio no admite postergación.
El problema no es solamente chileno. En Perú, según datos públicos citados por medios sectoriales, 17% de los ciberataques apuntan al sector minero y las mineras peruanas invierten cerca de S/ 50 millones anuales en defensa, una cifra que sigue siendo baja comparada con la exposición real. En Colombia, los ataques son más automatizados y dirigidos: Bots de reconocimiento que mapean PLCs expuestos, listas de IPs vendidas en mercados clandestinos y campañas de phishing dirigidas a operadores de planta.
Las brechas que estamos viendo en LatAm
Lo que yo veo en terreno cuando levantamos diagnósticos OT en una mina, una planta de tratamiento de agua o una sanitaria es siempre la misma foto. Hay un parque de activos industriales que nadie inventarió completo en los últimos cinco años, una red plana donde la oficina y el SCADA conviven sin segmentación real, y una cultura donde "lo que funciona no se toca" convirtió a cada PLC en una caja negra histórica.
Las cifras públicas confirman ese diagnóstico. El 97% de los sistemas de la minería chilena no cumple estándares básicos de ciberseguridad, según datos del CCMIN (Comisión Chilena de Ciberseguridad Minera) difundidos por medios sectoriales especializados durante 2025 y reforzados por la Corporación Alta Ley en su llamado a formalizar la coordinación de ciberinteligencia minera. En el sector salmonero del sur, donde la operación depende de SCADA marinos con conectividad satelital, la madurez es comparable. En las sanitarias, el problema es heredado: Sistemas de control de los años noventa conectados sin más a redes IP en los 2010.
Claroty publicó en su informe Analyzing CPS Attack Trends que el 82% de los ataques exitosos a sistemas ciber-físicos se inician con clientes VNC apuntando a activos expuestos a internet, y que el 66% terminan comprometiendo HMI o SCADA. El mito del air gap quedó liquidado hace tiempo. Los activos OT están conectados, muchas veces sin que el dueño de la operación lo sepa.
A esto se suma una brecha de confianza ejecutiva. Según datos del WEF citados por medios regionales, solo 13% de los líderes en LatAm y el Caribe confía en la capacidad de su organización para responder a un ataque a infraestructura crítica, frente al 84% en US y Europa. Y cuando se traduce a plata, los números asustan: Una hora de downtime industrial cuesta en promedio USD 125.000, llega a USD 50.000/hora en manufactura mid-size y puede escalar a USD 2,3 millones/hora en una línea automotriz. El reporte Dragos 2026 también dimensionó algo clave: el 30% de los casos de respuesta a incidentes en 2025 partió porque alguien notó que algo se sentía raro, no por una alerta automatizada. Es decir, sin telemetría previa.
La hoja de ruta de tres etapas para OT/ICS
La pregunta concreta que recibo de directores de operaciones es siempre la misma: Por dónde empezar. La respuesta corta es que ninguna operación industrial madura su postura de ciberseguridad OT comprando primero tecnología. Madura siguiendo una secuencia que combina diagnóstico, visibilidad y operación continua. Es una hoja de ruta universal, aplicable a una mina del norte, una sanitaria del centro o una salmonera del sur por igual.
Etapa 1: Assessment
Si menos del 10% de las redes OT en el mundo tiene monitoreo real, el primer paso obvio es saber dónde está parada la operación. Un assessment OT/ICS serio levanta el inventario completo de activos industriales (PLC, HMI, SCADA, DCS, RTU, switches industriales), mapea la arquitectura de red por zonas y conductos según IEC 62443, evalúa la madurez actual contra ese estándar y entrega una hoja de ruta priorizada con quick wins de las primeras semanas. Mi recomendación es simple: No empiece por la solución, empiece por el diagnóstico. Comprar un sensor de detección OT sin saber qué activos hay en la red termina mal el 100% de las veces.
Etapa 2: Observabilidad
La segunda etapa responde directamente a esa cifra del 30% de incidentes detectados por intuición humana sin telemetría. La observabilidad OT consiste en desplegar visibilidad pasiva sobre los protocolos industriales (Modbus, DNP3, OPC UA, IEC 61850), correlacionar lo que pasa en OT con lo que pasa en IT y dejar instalada la capacidad de hacer threat hunting sin afectar la operación. Aquí es donde la línea de Observabilidad y AIOps de Netprovider se cruza con la línea OT/ICS: Es lo mismo que veníamos haciendo en infraestructura tradicional, ahora extendido al piso de planta. Una operación con observabilidad real detecta una anomalía en el setpoint de un PLC antes de que se traduzca en un evento físico. Una operación sin observabilidad espera que el operador note algo raro.
Etapa 3: Servicios Gestionados
La tercera etapa cierra la lógica. Hay escasez de talento OT/ICS en LatAm y nadie va a contratar tres analistas senior dedicados a monitorear su SCADA 24/7. Lo que sí funciona es apoyarse en un servicio gestionado OT operado por especialistas dedicados, integrado al CyberSOC, con procesos de gestión de vulnerabilidades, control de accesos remotos a terceros (TPRM), threat hunting periódico y respuesta a incidentes con capacidad de actuar tanto en IT como en OT. No es un pitch, es la conclusión lógica de las dos etapas anteriores: Si midió y desplegó visibilidad, alguien tiene que operar eso de forma continua. Y ese alguien necesita haber pisado plantas, no solo data centers.
Marcos y estándares aplicables
Las tres etapas se anclan en marcos internacionales que ya están reconocidos por reguladores y aseguradoras. Tres son los que la mayoría de las operaciones LatAm necesita manejar.
| Marco | Alcance | A quién aplica | Foco |
|---|---|---|---|
| IEC 62443 | Familia de estándares para seguridad de IACS (Industrial Automation and Control Systems) | Fabricantes, integradores y operadores de sistemas industriales | Zonas y conductos, niveles de madurez, ciclo de vida seguro |
| NERC-CIP | Estándar regulatorio del sector eléctrico norteamericano | Generadores, transmisores y operadores eléctricos. Usado como referencia en LatAm | Protección de activos críticos eléctricos, control de acceso, recuperación |
| Ley 21.663 + ANCI | Marco legal chileno de ciberseguridad | OIV y OSE en Chile (incluye sectores OT) | SGSI, reporte de incidentes, deber de notificación |
Marcos aplicables a operaciones OT en LatAm - referencias técnicas y regulatorias.
La Ley Marco de Ciberseguridad 21.663 en Chile no obliga formalmente a implementar IEC 62443, pero ANCI lo reconoce como referencia técnica aceptable. En la práctica, un OIV industrial que llegue a la auditoría con su SGSI mapeado contra IEC 62443 zonas y conductos llega con una historia mucho más defendible que uno que improvisó controles genéricos IT.
Zonas y Conductos: La columna vertebral de la segmentación OT según IEC 62443
Si hay un concepto técnico que separa una operación industrial madura de una vulnerable, ese concepto es Zonas y Conductos. El modelo está definido en el estándar internacional ISA/IEC 62443 y su objetivo es directo: Limitar el movimiento lateral de un atacante y contener incidentes dentro de la infraestructura crítica. Cuando un proveedor de servicios OT habla de "segmentación", lo que está diciendo en serio es esto.
¿Qué son las Zonas y los Conductos?
Zona: Agrupación lógica o física de activos industriales que comparten requisitos de seguridad similares. Ejemplos típicos: La zona de control (nivel de piso de planta con PLCs y DCS) y la zona de supervisión (SCADA, HMI). El propósito de aislar zonas es que un fallo en un área no detenga toda la producción.
Conducto: Canal de comunicación, ruta o enlace de red (cableado, switches, firewalls) que conecta dos zonas con requisitos de seguridad definidos. El propósito del conducto es controlar estrictamente qué tráfico puede circular entre zonas y bloquear todo lo que no esté explícitamente autorizado. La implementación práctica pasa por reglas de filtrado y firewalls industriales que aseguran que solo los datos autorizados pasen de un entorno a otro.
Las cinco zonas de una arquitectura industrial típica
En una planta industrial bien segmentada, los activos se organizan en cinco niveles. Cada uno con un perfil de riesgo distinto y, por lo tanto, con requisitos de seguridad distintos.
| Zona | Nivel | Activos típicos |
|---|---|---|
| Zona 5 | Empresarial / IT | Red corporativa, aplicaciones de negocio, correo, ERP |
| Zona 4 | DMZ Industrial | Servidores expuestos, historiadores, jump servers, servidores de actualizaciones |
| Zona 3 | Operaciones (OT) | Estaciones de operación, ingeniería, HMI, servidores de aplicaciones OT |
| Zona 2 | Control | PLC, DCS, controladores, E/S remotas, redes de control |
| Zona 1 | Proceso | Instrumentación, sensores, actuadores y equipos de campo |
Arquitectura de Zonas y Conductos para una planta industrial - Modelo de referencia IEC 62443.
Entre cada par de zonas existe un conducto controlado: Conducto A entre IT y DMZ, Conducto B entre DMZ y Operaciones OT, Conducto C entre Operaciones OT y Control, y Conducto D entre Control y Proceso. Cada uno aplica controles específicos según el nivel de criticidad de las zonas que conecta.
Principios clave que exige IEC 62443
- Separar funciones y niveles de riesgo: Cada zona maneja un perfil de seguridad distinto, no se mezclan.
- Permitir solo comunicaciones necesarias: Default deny. Si no está explícitamente autorizado, no pasa.
- Aplicar defensa en profundidad: Múltiples capas de control, no una sola línea de defensa.
- Monitorear y detectar anomalías: Cada conducto debe estar instrumentado para registrar y alertar tráfico fuera de patrón.
- Asegurar disponibilidad e integridad: Los controles no pueden degradar la operación. En OT, la disponibilidad es soberana.
Controles que se aplican en los conductos
En la práctica, un conducto bien implementado combina varios controles técnicos. No alcanza con poner un firewall y dar por cerrada la conversación.
- Firewalls industriales: Dispositivos diseñados para hablar protocolos OT (Modbus, DNP3, OPC UA, IEC 61850) sin romperlos. Un firewall corporativo tradicional no sirve aquí.
- Listas blancas y control de puertos: Solo los puertos y servicios necesarios están habilitados. Todo lo demás bloqueado por defecto.
- Inspección profunda de protocolos (DPI): El conducto entiende qué función Modbus está pasando, no solo que es tráfico TCP/502.
- Autenticación unidireccional cuando aplique: Diodos de datos en los conductos más críticos (típicamente entre Control y Proceso) para garantizar que el flujo de información sea de OT hacia IT, nunca al revés.
- Registro y monitoreo continuo: Cada paquete que cruza un conducto queda registrado y se correlaciona con el resto de telemetría OT/IT.
Por qué importa para tu operación
Implementar zonas y conductos correctamente entrega cinco beneficios concretos que se traducen en plata y en continuidad:
- Reduce el movimiento lateral de atacantes cuando comprometen un activo expuesto.
- Limita el impacto de incidentes a la zona afectada en vez de propagarlos a toda la planta.
- Protege activos críticos y procesos aislando el nivel de proceso del resto del stack tecnológico.
- Facilita el cumplimiento de IEC 62443 y de la normativa local (Ley 21.663 en Chile, por ejemplo).
- Aumenta la resiliencia y continuidad operacional porque un fallo en una zona no se traduce en parada total.
Es importante decirlo con todas las letras: ninguna operación industrial llega a una postura defendible frente al regulador ni frente a un adversario sin tener zonas y conductos implementados según IEC 62443. No es opcional, es la base sobre la que todo lo demás (monitoreo, respuesta, threat hunting) se sostiene.
Checklist de auto-diagnóstico OT
Si usted dirige operaciones o ciberseguridad en una organización industrial, responda estas diez preguntas con honestidad. No es un test académico, es una foto de exposición real.
- ¿Tiene un inventario completo y actualizado de todos sus activos OT (PLC, HMI, SCADA, RTU, switches industriales)?
- ¿Sabe con certeza qué activos OT están expuestos a internet, directa o indirectamente?
- ¿Su red OT está segmentada de la red corporativa con firewalls industriales y reglas explícitas?
- ¿Tiene monitoreo pasivo de protocolos industriales con capacidad de detectar anomalías?
- ¿Existe un proceso formal de gestión de vulnerabilidades para activos OT (no solo IT)?
- ¿Los accesos remotos de proveedores a su planta están centralizados, registrados y revocables?
- ¿Su plan de respuesta a incidentes contempla escenarios OT y se ensaya al menos una vez al año?
- ¿Tiene un mapeo de su postura actual contra IEC 62443 o NERC-CIP?
- ¿Sabe cuánto cuesta una hora de downtime para cada uno de sus procesos críticos?
- ¿Está calificada su organización como OIV ante ANCI y tiene una ruta clara hacia el SGSI?
Interpretación:
- 0 a 2 sí: Riesgo alto. La operación está expuesta y no tiene visibilidad para enterarse en tiempo. Necesita un assessment OT urgente.
- 3 a 6 sí: Riesgo medio. Tiene controles parciales pero brechas críticas, probablemente en monitoreo o gestión de accesos remotos. Foco en visibilidad.
- 7 a 10 sí: Postura razonable. El siguiente paso es operar de forma continua y certificar la madurez frente al regulador.
Cómo opera Netprovider en OT/ICS
La línea de servicio OT/ICS que estamos consolidando en Netprovider no nace en blanco. Es la extensión natural de nuestra práctica de CyberSOC 24/7 y de la línea de observabilidad que ya operamos para clientes industriales en Chile, Perú y Colombia. Lo nuevo es el equipo especializado: Profesionales que vienen del terreno OT, no IT reciclado. Y la metodología es exactamente la que describí arriba. Assessment para saber dónde está parado, observabilidad para correlacionar IT y OT en serio, y servicios gestionados para operar 24/7 con especialistas dedicados.
La convergencia IT/OT es el vector real hoy. Episodios como el de Pharaohs Team y los 120 dominios .cl comprometidos muestran que la frontera entre la red de oficina y la red de planta es la primera que un adversario cruza. Por eso integramos esta línea con el resto de capacidades del CyberSOC y con la práctica de seguridad en la nube en la era de IA, porque hoy ningún PLC vive aislado del resto del stack tecnológico.
Cierre: De la evaluación a la operación continua
Vuelvo a la cifra de partida. Si menos del 10% de las redes OT tiene monitoreo real, y 30% de los incidentes en 2025 se detectaron por intuición sin telemetría, lo que está en juego no es comprar más firewall. Lo que está en juego es decidir si la operación industrial va a entrar a 2027 con visibilidad o sin ella. El reloj regulatorio en Chile corre. La presión adversaria en LatAm aumenta. Y el costo de una hora de downtime sigue siendo el argumento financiero más simple que existe para tomar la decisión hoy.
Si su operación está en minería, energía, agua, manufactura, salmonicultura o telco y aún no tiene una línea base de madurez OT/ICS contra IEC 62443, una conversación de 30 minutos con nuestro equipo puede ahorrarle meses de diagnóstico interno. Empecemos por entender dónde está parado, no por venderle tecnología. Si recibió notificación de ANCI como OIV en la fase 2 y su operación es intensiva en OT, hablemos antes que el plazo se cierre.
Agendar diagnóstico OT/ICS - Conoce los servicios de ciberseguridad de Netprovider
Contáctanos para asegurar tu continuidad operacional
No esperes más, protege tu negocio y asegura su continuidad operativa con nuestros servicios especializados.
