Ciberseguridad IoT y OT: amenazas críticas en 2026

La seguridad IoT/OT ha dejado de ser un problema exclusivo de grandes utilities y plantas industriales. En abril de 2026, la Agencia de Ciberseguridad e Infraestructuras de EE. UU. (CISA) ha emitido múltiples alertas urgentes sobre vulnerabilidades críticas en sistemas de control industrial (ICS) de Honeywell, Mitsubishi Electric y Delta Electronics. Al mismo tiempo, cámaras IP de AVTECH, ampliamente desplegadas en entidades financieras, hospitales y centros de transporte, están siendo explotadas activamente por variantes del malware Mirai para construir botnets a gran escala.

El mensaje es inequívoco: los dispositivos conectados que controlan procesos físicos en el mundo real se han convertido en uno de los vectores de ataque más rentables para grupos de amenaza persistente avanzada (APT). A diferencia de los entornos IT tradicionales, los entornos OT (Operational Technology) presentan características que los hacen especialmente difíciles de defender: ciclos de vida del hardware de 15 a 30 años, protocolos industriales heredados sin mecanismos de autenticación y una tolerancia nula a interrupciones que hace del parcheado una operación de alto riesgo.

En este artículo analizamos el panorama de amenazas IoT/OT en 2026, las vulnerabilidades ICS activas este mes y cómo una auditoría profesional de redes IoT/OT puede marcar la diferencia entre una operación segura y un incidente con consecuencias físicas.

El panorama de amenazas IoT/OT en 2026

Los datos publicados en abril de 2026 dibujan un escenario preocupante. El OT-ISAC ha consolidado un advisory que documenta vulnerabilidades críticas en múltiples plataformas de control industrial, incluyendo sistemas SCADA, historiadores de datos y plataformas de gestión de activos. Los vectores de explotación más frecuentes son el acceso no autenticado a servicios de red, el abuso del plano de gestión y la escalada de privilegios a través de credenciales en caché.

Según el informe de Forescout sobre ciberseguridad ICS en 2026, la superficie de ataque de los entornos OT sigue expandiéndose por tres razones estructurales:

• Convergencia IT/OT: la integración de redes industriales con sistemas corporativos para monitorización remota y análisis de datos crea puentes directos entre la red IT (comprometida con frecuencia) y el núcleo OT.
• IoT industrial (IIoT): la proliferación de sensores, controladores lógicos programables (PLCs) y actuadores conectados multiplica los puntos de entrada potenciales.
• Acceso remoto no revisado: conexiones VPN y escritorios remotos implantados masivamente durante la pandemia y mantenidos sin auditoría de seguridad en muchas organizaciones.

CISA ha emitido en abril advisories específicos sobre Honeywell, Mitsubishi Electric, Delta Electronics y protocolos de comunicación ferroviaria, urgiendo a los operadores de infraestructura crítica a aplicar medidas de mitigación de forma inmediata. En el momento de publicación no se habían confirmado explotaciones activas para estas CVEs, pero la ventana entre divulgación y explotación armada en ICS se ha estrechado significativamente en los últimos años.

Vulnerabilidades ICS/SCADA activas en abril de 2026

Las alertas de este mes ponen el foco en componentes que pocas organizaciones asocian de forma intuitiva con el riesgo ciber:

Delta ASDA-Soft y Delta GENESIS64: las vulnerabilidades identificadas afectan al manejo de archivos de proyecto. Un atacante con acceso a la red puede entregar un archivo de proyecto manipulado que, al ser abierto por el operador, ejecuta código arbitrario en la estación de ingeniería. La complejidad del ataque es baja, lo que amplía significativamente el número de actores capaces de explotarlo.

Mitsubishi GENESIS64 e ICONICS Suite: ambos productos comparten componentes subyacentes vulnerables a la divulgación de credenciales en caché. Un atacante con acceso local o adyacente a la red puede recuperar credenciales con privilegios elevados y acceder posteriormente a los controladores y actuadores gestionados desde estas plataformas.

Honeywell: los fallos identificados en plataformas de gestión Honeywell se centran en el abuso del plano de gestión. Los detalles técnicos completos no están disponibles públicamente, pero la calificación de criticidad y el sector afectado (energía y utilities) justifican respuesta prioritaria.

Cámaras IP AVTECH (explotación activa): este es el caso más inmediato. Cámaras AVTECH desplegadas en entornos críticos están siendo comprometidas activamente y reclutadas en botnets Mirai. Más allá del impacto DDoS, una cámara comprometida dentro de una instalación crítica es una plataforma de reconocimiento persistente para la fase de preparación de un ataque dirigido. CISA ha confirmado explotación en entornos de finanzas, salud y transporte.

Gardyn Home Kit: CISA ha emitido un aviso específico sobre dispositivos agrícolas inteligentes con vulnerabilidades que permiten a atacantes no autenticados tomar control remoto. Aunque el impacto directo en infraestructura crítica es limitado, ilustra la amplitud del problema IoT y la escasa madurez de seguridad en dispositivos que llegan también a entornos industriales ligeros.

Cómo los atacantes comprometen redes OT: MITRE ATT&CK for ICS

El MITRE ATT&CK for ICS es el marco de referencia que mapea las tácticas y técnicas específicas de ataques sobre entornos industriales. El framework documenta 12 tácticas y 83 técnicas observadas en ataques reales contra ICS, incluyendo los casos Industroyer, TRITON/TRISIS y las operaciones de Sandworm contra infraestructura eléctrica ucraniana.

La cadena de ataque típica en intrusiones IoT/OT modernas sigue este patrón:

Acceso inicial comienza habitualmente en la red IT corporativa. Los atacantes aprovechan credenciales comprometidas o vulnerabilidades en aplicaciones expuestas para obtener un punto de apoyo y pivotar a través de estaciones de ingeniería o servidores de historiadores que actúan como puentes entre ambas redes.

Descubrimiento en la zona OT utiliza enumeración pasiva para evitar alertar a los sistemas de monitorización de procesos. Las técnicas T0846 (Remote System Discovery) y T0888 (Remote System Information Discovery) mapean PLCs, RTUs, HMIs y la topología de red antes de cualquier explotación activa.

Movimiento lateral explota T0812 (Default Credentials), la debilidad más prevalente en OT. Las credenciales de fábrica nunca modificadas en PLCs, HMIs y equipos de red permiten una propagación rápida una vez dentro de la red OT. El advisory del OT-ISAC de abril de 2026 cita explícitamente la autenticación débil como causa raíz en múltiples productos afectados.

Ejecución y persistencia: una vez en una estación de ingeniería, los atacantes pueden desplegar T0873 (Project File Infection) para inyectar lógica maliciosa en los programas de PLC, logrando persistencia que sobrevive a reinicios del hardware.

Impacto: el objetivo final en OT no es el robo de datos, sino la manipulación o interrupción del proceso físico. Técnicas como T0831 (Manipulation of Control) o T0813 (Denial of Control) pueden tener consecuencias que van desde la parada de la producción hasta daños físicos en equipos o riesgo para personas. El ataque TRITON/TRISIS contra sistemas instrumentados de seguridad (SIS) sigue siendo el ejemplo más claro de cómo los atacantes ICS apuntan a los mecanismos de seguridad diseñados para prevenir accidentes industriales catastróficos.

Combinar el framework enterprise ATT&CK (para la fase IT) con el ICS ATT&CK (para la fase OT) proporciona a los equipos ofensivos y defensivos un lenguaje común para simular y detectar este tipo de ataques. Es el enfoque que aplicamos en los ejercicios de Red Team de Secra, donde simulamos escenarios completos de intrusión desde el punto de entrada IT hasta el impacto potencial en procesos OT.

Sectores críticos más expuestos en España

En el contexto español, los sectores con mayor exposición IoT/OT son precisamente los que la Directiva NIS2 clasifica como entidades esenciales:

Energía y utilities: operadores de redes eléctricas, plantas de generación renovable y distribuidoras de agua utilizan SCADA e ICS para gestionar infraestructura crítica a escala. La digitalización acelerada ha creado superficies de ataque que no existían cinco años atrás.

Manufactura avanzada: la industria 4.0 ha conectado cadenas de producción completas a redes corporativas. Un ataque dirigido contra una línea de producción automatizada tiene impacto económico inmediato y puede comprometer la seguridad de los operarios en planta.

Transporte e infraestructura logística: los sistemas de señalización ferroviaria, control de tráfico aéreo en tierra y gestión portuaria utilizan protocolos industriales heredados con escasa autenticación. Las alertas de CISA de abril de 2026 sobre protocolos de comunicación ferroviaria son especialmente relevantes para el sector.

Sanidad: hospitales y clínicas operan una enorme cantidad de dispositivos IoT médicos: monitores de pacientes, sistemas de imagen diagnóstica, bombas de infusión. CISA confirma que cámaras AVTECH comprometidas han sido encontradas en entornos hospitalarios, proporcionando a los atacantes presencia persistente dentro de redes clínicas.

Agricultura inteligente: el aviso sobre Gardyn Home Kit evidencia una categoría de riesgo IoT emergente donde la concienciación sobre ciberseguridad es prácticamente inexistente y los dispositivos se despliegan con configuraciones de fábrica sin modificar.

El coste medio de un incidente de seguridad OT en 2026, sumando tiempo de inactividad de producción, sanciones regulatorias y daño reputacional, oscila entre 1,5 y 5 millones de euros según datos de múltiples proveedores de seguridad industrial.

Cómo auditar y proteger tu infraestructura IoT/OT

La auditoría de entornos IoT/OT requiere un enfoque radicalmente diferente al pentesting web o de infraestructura IT convencional. Los sistemas OT no pueden interrumpirse. El paquete equivocado en el momento equivocado puede detener una línea de producción o disparar una parada de emergencia. La metodología debe comenzar de forma no intrusiva y escalar gradualmente con la confirmación explícita del cliente y dentro de ventanas de mantenimiento planificadas.

La auditoría IoT/OT de Secra sigue una metodología estructurada en cinco fases:

Fase 1: inventario y mapeo de activos. Identificamos todos los dispositivos IoT/OT en alcance: PLCs, RTUs, HMIs, sensores, actuadores y servidores SCADA. Muchas organizaciones descubren durante esta fase activos no documentados conectados a la red que nadie monitoriza ni parchea activamente.

Fase 2: análisis de arquitectura y segmentación. Evaluamos la separación entre redes IT y OT, identificamos puentes no documentados y analizamos las reglas de firewall industrial. La ausencia o mala configuración de la segmentación IT/OT es la causa raíz más frecuente de la propagación lateral en ataques a infraestructura crítica.

Fase 3: evaluación de vulnerabilidades no intrusiva. Realizamos análisis pasivo de protocolos industriales (Modbus, DNP3, IEC 61850, PROFINET, EtherNet/IP) para identificar servicios expuestos y debilidades de autenticación antes de cualquier prueba activa.

Fase 4: pruebas controladas. Con el acuerdo explícito del cliente y en ventanas de mantenimiento acordadas, realizamos pruebas de autenticación, análisis de firmware y validación de configuraciones de seguridad en dispositivos IoT/OT específicos.

Fase 5: informe y remediación. Entregamos un informe ejecutivo y un informe técnico detallado con hallazgos clasificados por CVSS, un plan de remediación priorizado y recomendaciones de hardening adaptadas al entorno industrial del cliente.

NIS2 e IEC 62443: la obligación regulatoria de actuar

La Directiva NIS2, transpuesta a legislación española, extiende las obligaciones de ciberseguridad a sectores que antes quedaban fuera de su alcance: manufactura, producción y distribución de alimentos, fabricación de dispositivos médicos y gestión de residuos. Para todos ellos, la seguridad de los sistemas OT e IoT ya no es opcional.

El estándar de referencia internacional para la seguridad de sistemas de automatización industrial es IEC 62443. Este framework define requisitos de seguridad para operadores de activos, integradores de sistemas y fabricantes de componentes, y sus controles se alinean directamente con las exigencias de NIS2:

• IEC 62443-2-1 (programa de gestión de seguridad IACS) cubre la evaluación de riesgos y la gobernanza que NIS2 exige a las entidades esenciales.
• IEC 62443-3-2 (evaluación de riesgos del sistema) sustenta los requisitos de gestión de riesgos de la Directiva.
• IEC 62443-3-3 (requisitos de seguridad del sistema) define los controles técnicos obligatorios para sistemas de control.

Un enfoque Secure-by-Design implementado desde el diseño reduce los costes de gestión de seguridad en un 30% comparado con la corrección post-implantación, según datos publicados en 2026. Las sanciones por incumplimiento de NIS2 para entidades esenciales alcanzan los 10 millones de euros o el 2% de la facturación global anual. La consultoría GRC de Secra puede ayudarte a mapear tu postura actual contra IEC 62443 y NIS2, identificando las brechas prioritarias antes de que lo haga un regulador o un atacante.

Un entorno conectado exige una estrategia de seguridad conectada

La ciberseguridad IoT/OT no puede tratarse como un proyecto puntual. Los dispositivos industriales viven décadas en producción, las amenazas evolucionan mensualmente y los marcos regulatorios como NIS2 exigen mejora continua. Las alertas de CISA de abril de 2026, los ataques activos sobre cámaras AVTECH y las vulnerabilidades en GENESIS64 e ICONICS Suite son recordatorios de que la ventana de exposición se abre con cada CVE publicado.

La diferencia entre una organización que sufre un incidente OT y una que no suele estar en haber realizado una auditoría que mapee sus activos, evalúe sus vulnerabilidades y elimine los puentes no documentados entre su red IT y su infraestructura industrial.

Si gestionas infraestructura IoT/OT y aún no tienes visibilidad completa sobre tu superficie de ataque, el primer paso es una evaluación inicial sin coste. Contacta con Secra y realizamos una sesión de descubrimiento para identificar los riesgos más urgentes en tu entorno.