Ciberseguridad industrial (OT) System log

Lo que el reporte Dragos 2026 dice sobre OT — y lo que significa cuando eres quien tiene que responder

El reporte Dragos OT/ICS 2026 muestra un aumento fuerte de ransomware industrial y nuevas amenazas enfocadas en entornos OT. Esta es una lectura práctica desde el piso de planta: qué significa para servidores, estaciones de ingeniería, acceso remoto, visibilidad y respuesta operativa.

Lo que el reporte Dragos 2026 dice sobre OT — y lo que significa cuando eres quien tiene que responder

Cada año Dragos publica su reporte de ciberseguridad OT/ICS. Es uno de los documentos más citados de la industria: aparece en presentaciones ejecutivas, se comparte en LinkedIn y suele resumirse con frases como “el riesgo está creciendo” o “la industria debe actuar”.

Y cada año pasa algo parecido: muchas veces lo leen quienes ya están convencidos de su importancia, mientras que buena parte de quienes operan los sistemas descritos en el reporte no llegan a revisarlo completo.

No por falta de interés.

Sino porque está en inglés, es extenso, usa terminología especializada y, mientras tanto, la operación sigue corriendo.

Yo trabajo cerca de sistemas industriales reales: servidores de planta, estaciones de ingeniería, sistemas de historización de datos, visualización, redes separadas por firewalls y aplicaciones que no pueden tratarse como si fueran solo “IT”.

No soy analista de inteligencia de amenazas.

Soy el ingeniero que, cuando algo falla, tiene que entender qué pasó, recuperar visibilidad y ayudar a que el sistema vuelva a operar de forma estable.

Por eso el reporte Dragos 2026 me importa menos como documento académico y más como mapa práctico de riesgos. No lo leo pensando en una sala de crisis ideal, sino pensando en decisiones reales de planta:

  • ¿Qué acceso remoto sigue abierto?
  • ¿Qué servidor tiene visibilidad limitada?
  • ¿Qué estación de ingeniería no se puede actualizar fácilmente?
  • ¿Qué regla de firewall sigue existiendo porque nadie pidió cerrarla?
  • ¿Qué pasaría si una plataforma OT virtualizada queda cifrada?

Este post es mi lectura práctica del reporte: los puntos que más me llamaron la atención y lo que significan cuando estás cerca de la operación.

Este artículo tiene fines educativos. Resume y comenta hallazgos públicos del reporte Dragos OT/ICS Cybersecurity Year in Review 2026 desde una mirada práctica de operación industrial. No representa a ninguna empresa, cliente, proveedor ni fabricante.


Datos clave del reporte Dragos 2026

Punto Dato relevante
Grupos de amenaza OT rastreados por Dragos 26 grupos
Grupos activos durante 2025 11 grupos
Nuevos grupos identificados AZURITE, PYROXENE y SYLVANITE
Grupos de ransomware observados contra organizaciones industriales 119 grupos
Organizaciones industriales afectadas por ransomware en 2025 3,300 organizaciones
Sector más afectado Manufactura, con más de dos tercios de las víctimas observadas
Tiempo promedio de contención con visibilidad OT amplia 5 días
Tiempo promedio de contención sin visibilidad OT amplia 42 días
Fuente principal Dragos OT/ICS Cybersecurity Year in Review 2026

El cambio que más me llamó la atención

Lo más importante del reporte no es solo que haya más actividad maliciosa. Eso, lamentablemente, ya no sorprende demasiado.

Lo que más me llamó la atención es el tipo de actividad que se está observando dentro de los entornos OT.

Antes, la preocupación principal era que un adversario lograra entrar a la red de planta. Eso por sí solo ya era grave.

Ahora el reporte describe un escenario más incómodo: actores que logran presencia, no necesariamente hacen ruido de inmediato y dedican tiempo a entender cómo funciona el entorno.

Eso cambia completamente la conversación.

En una red industrial, entender el entorno no significa solo saber nombres de servidores o direcciones IP. Significa comprender relaciones:

  • qué estación de ingeniería administra qué controladores;
  • qué servidor historiza qué variables;
  • qué aplicación entrega visibilidad a operación;
  • qué segmento de red se comunica con otro;
  • qué sistema depende de un hipervisor;
  • qué acceso remoto permite llegar a una zona sensible.

Para alguien que trabaja en control o infraestructura OT, esto es especialmente incómodo porque el atacante no solo estaría buscando “máquinas Windows”.

Estaría intentando entender la operación.


Ransomware industrial: cuando el impacto OT se disfraza de incidente IT

Uno de los puntos más importantes del reporte es el crecimiento del ransomware contra organizaciones industriales.

Dragos reporta 119 grupos de ransomware observados atacando organizaciones industriales en 2025, con 3,300 organizaciones afectadas globalmente. También indica que manufactura concentró más de dos tercios de las víctimas observadas.

Pero hay una idea más importante que el número:

muchos incidentes pueden ser tratados inicialmente como “IT” porque afectan servidores Windows, hipervisores, archivos compartidos o estaciones de trabajo.

El problema es que, en entornos industriales, esos activos muchas veces sostienen funciones operativas.

Un servidor Windows puede alojar:

  • historización de datos;
  • interfaces HMI;
  • software de alarmas;
  • aplicaciones de reportabilidad;
  • servicios de integración;
  • herramientas de ingeniería;
  • sistemas de visualización;
  • clientes de operación.

Desde afuera, puede parecer “un servidor Windows más”.

Desde planta, puede ser el sistema que permite ver tendencias, reconstruir eventos, analizar una parada o confirmar qué ocurrió durante una desviación del proceso.

Cuando ese activo queda cifrado, la pérdida no es solo de archivos.

Puede ser pérdida de visibilidad operativa.

Y en operación, quedarse sin visibilidad también es una forma de impacto.


El número que más me impactó: 5 días contra 42 días

El dato más útil del reporte, al menos para mí, es la diferencia en tiempo de contención.

Dragos indica que las organizaciones con visibilidad OT amplia lograron contener incidentes de ransomware en un promedio de 5 días, mientras que aquellas sin esa visibilidad tardaron alrededor de 42 días.

No es una diferencia menor.

Son casi seis semanas adicionales en las que un adversario puede:

  • moverse lateralmente;
  • ampliar persistencia;
  • revisar sistemas;
  • identificar activos críticos;
  • exfiltrar información;
  • comprometer más servidores;
  • dificultar la recuperación.

Lo importante no es leer ese dato como una invitación inmediata a comprar una plataforma.

La lectura más práctica es esta:

si no puedo ver lo que ocurre en mi red de planta, voy a tardar mucho más en entender qué pasó.

Y eso aplica incluso antes de tener herramientas avanzadas.

Visibilidad también puede empezar con cosas básicas:

  • logs de Windows;
  • eventos de inicio de sesión;
  • inventario de servidores;
  • reglas de firewall documentadas;
  • listado de cuentas locales;
  • registro de accesos remotos;
  • monitoreo de conexiones entre segmentos;
  • respaldos probados;
  • historial de cambios.

No es perfecto, pero es un punto de partida.

En OT, muchas veces el problema no es que no exista ninguna herramienta. Es que nadie tiene una vista ordenada de lo que ya existe.


Lo que el reporte me hizo mirar con más atención

Después de leer el reporte, hubo varios tipos de activos que empecé a mirar con otra sensibilidad.

Estaciones de ingeniería

Las estaciones de ingeniería son uno de los activos más delicados de cualquier entorno de control.

Desde ahí se configura, modifica o mantiene lógica que puede afectar directamente al proceso.

Y, al mismo tiempo, suelen ser equipos difíciles de actualizar. Muchas dependen de versiones específicas de software del fabricante, sistemas operativos antiguos, licencias particulares o compatibilidades que nadie quiere romper.

El riesgo no es solo que una estación de ingeniería tenga Windows desactualizado.

El riesgo es que tenga acceso privilegiado a controladores, redes industriales o configuraciones críticas.

Si un adversario entiende esa estación, entiende una parte importante del proceso.

Acceso remoto

Este punto conecta directamente con el artículo anterior sobre acceso remoto OT.

El acceso remoto mal gestionado sigue siendo una puerta silenciosa: cuentas antiguas, reglas temporales, accesos de proveedores que nunca se cerraron, VPNs sin revisión, herramientas instaladas durante proyectos y sesiones que permanecen habilitadas más tiempo del necesario.

No siempre se ve como una vulnerabilidad dramática.

A veces se ve como una excepción operativa que se volvió permanente.

Y ese tipo de excepción es difícil de defender.

Infraestructura de virtualización

Muchos entornos OT ya no viven en servidores físicos aislados. Viven en plataformas virtualizadas.

Eso trae ventajas enormes: snapshots, alta disponibilidad, consolidación, recuperación más rápida y mejor administración.

Pero también concentra riesgo.

Si un hipervisor o una plataforma de virtualización que aloja aplicaciones OT queda comprometida, el impacto puede multiplicarse.

No se cae una aplicación.

Se puede caer un conjunto completo de servicios industriales: historización, visualización, reportes, servidores de aplicación, herramientas de ingeniería o sistemas auxiliares.

Por eso la pregunta no es solo:

“¿Tenemos backups?”

La pregunta debería ser:

“¿Podemos recuperar la plataforma OT si la infraestructura que la aloja también queda afectada?”

Transferencia de archivos e integraciones

Otro punto importante son los sistemas que mueven información entre zonas.

En muchas plantas existen carpetas compartidas, SFTP, servicios intermedios, servidores puente o mecanismos manuales para transferir archivos entre corporativo y planta.

A veces transportan reportes.

A veces respaldos.

A veces configuraciones.

A veces archivos de ingeniería.

Si esos flujos no tienen dueño, logs, revisión y controles claros, se convierten en caminos poco visibles entre mundos que deberían estar bien separados.


Qué significa esto cuando estás en planta

La lectura ejecutiva del reporte puede resumirse en “el riesgo OT está creciendo”.

Pero desde planta, la pregunta real es otra:

¿Qué hago con esta información mañana?

Para mí, el valor del reporte está en que ayuda a ordenar prioridades.

No todo se puede resolver en una semana. No todas las operaciones tienen el mismo presupuesto, madurez o equipo de seguridad.

Pero sí se puede empezar por lo más básico y más cercano a la operación.

1. Saber qué accesos remotos existen

No basta con saber que “hay RDP” o que “el proveedor entra por VPN”.

Hay que saber:

  • quién entra;
  • desde dónde entra;
  • a qué servidor entra;
  • por qué entra;
  • desde cuándo existe ese acceso;
  • quién lo aprobó;
  • cuándo debería cerrarse.

Un acceso sin fecha de cierre no es una solución temporal.

Es una excepción permanente.

2. Saber qué activos son realmente críticos

No todos los servidores tienen el mismo impacto.

Un servidor de pruebas no tiene el mismo peso que una estación de ingeniería.

Un servidor de visualización no tiene el mismo riesgo que un controlador.

Un servidor que aloja datos históricos puede ser crítico si esos datos son necesarios para análisis, cumplimiento, investigación de eventos o toma de decisiones operativas.

La criticidad no la define solo el sistema operativo.

La define el proceso.

3. Saber qué logs existen y si alguien los revisa

Tener logs no es lo mismo que tener visibilidad.

Si nadie sabe dónde están, cuánto tiempo se guardan o qué evento buscar, los logs solo sirven después del problema, y a veces ni siquiera eso.

Una revisión básica debería responder:

  • ¿dónde se registran los accesos?
  • ¿cuánto tiempo se retienen los eventos?
  • ¿quién puede consultarlos?
  • ¿qué se considera actividad normal?
  • ¿qué sería anómalo?

4. Saber si los respaldos sirven

En ciberseguridad industrial, un backup no probado es casi una suposición.

Y en ransomware, las suposiciones cuestan caro.

No basta con que el software diga “backup exitoso”. Hay que saber si se puede restaurar, cuánto demora, qué dependencias tiene y si el backup está aislado del entorno que podría quedar cifrado.


Qué aprendí de leer el reporte con otro lente

El adversario no necesita entender toda tu planta para causar impacto.

A veces basta con encontrar el servidor correcto, la estación correcta o el acceso correcto.

No necesita conocer cada detalle del proceso.

Solo necesita afectar el punto donde la operación pierde visibilidad, control o capacidad de recuperación.


La visibilidad OT no empieza necesariamente con una gran plataforma.

Empieza con inventario, logs, accesos documentados, reglas revisadas y conocimiento operativo.

Una plataforma puede ayudar mucho.

Pero si nadie sabe qué servidores existen, qué accesos están abiertos o qué sistemas son críticos, la herramienta llega a un entorno desordenado.


Los reportes globales sirven cuando se traducen a decisiones locales.

Dragos puede mostrar tendencias globales, pero el valor aparece cuando uno pregunta:

  • ¿Esto existe en mi operación?
  • ¿Tenemos ese tipo de acceso?
  • ¿Tenemos estaciones así?
  • ¿Tenemos backups probados?
  • ¿Tenemos visibilidad suficiente?
  • ¿Quién respondería si esto pasa a las dos de la mañana?

Reducir superficie también es defender.

No todo es detección avanzada.

Cerrar cuentas que ya no se usan también es defensa.

Eliminar reglas sin justificación también es defensa.

Desinstalar herramientas de soporte remoto obsoletas también es defensa.

Documentar accesos también es defensa.

En entornos OT, donde los cambios deben ser cuidadosos, reducir exposición innecesaria puede ser una de las acciones más efectivas y menos invasivas.


Acciones que me llevaría a una operación industrial

Si tuviera que convertir esta lectura en acciones concretas, empezaría por estas:

  1. Revisar accesos remotos hacia servidores de planta.
  2. Identificar cuentas locales habilitadas sin uso reciente.
  3. Revisar reglas de firewall creadas como temporales.
  4. Confirmar qué estaciones de ingeniería tienen acceso a controladores.
  5. Validar qué servidores OT están virtualizados y dónde corren.
  6. Revisar si los respaldos de sistemas OT están aislados y probados.
  7. Confirmar qué logs existen para accesos RDP, VPN y cuentas privilegiadas.
  8. Documentar quién aprueba y quién revoca accesos de proveedores.
  9. Identificar sistemas de transferencia de archivos entre redes.
  10. Definir qué activos OT deberían monitorearse primero.

No es una auditoría completa.

Es una primera línea de defensa práctica.


Una forma simple de priorizar

Si todo parece importante, yo empezaría con tres preguntas.

¿Qué accesos permiten entrar a la red OT?

Aquí entran VPN, RDP, herramientas de soporte remoto, cuentas de proveedores, reglas de firewall y accesos desde redes corporativas.

¿Qué activos permiten modificar o afectar el proceso?

Aquí entran estaciones de ingeniería, servidores de aplicación, herramientas de configuración, controladores, gateways industriales y sistemas con privilegios altos.

¿Qué sistemas necesito para ver, entender y recuperar la operación?

Aquí entran historizadores, sistemas de alarmas, backups, virtualización, servidores de reportes, monitoreo y documentación operativa.

Si un activo cae en más de una categoría, probablemente merece atención prioritaria.


Cierre

El reporte Dragos 2026 no debería quedarse en una presentación ejecutiva ni en una frase de LinkedIn.

Para quienes trabajamos cerca de sistemas industriales, su valor está en ayudarnos a mirar la planta con más intención.

No se trata de asustarse con cada cifra.

Se trata de tomar esos hallazgos y preguntarse:

“¿Dónde se parece esto a mi operación?”

Porque muchas veces el riesgo no está escondido en una amenaza sofisticada.

Está en una cuenta que nadie deshabilitó.

En una estación de ingeniería que nadie puede actualizar.

En una regla de firewall que nació temporal.

En un backup que nadie ha restaurado.

En un acceso remoto que sigue abierto porque alguna vez fue útil.

Y si el reporte sirve para que alguien revise una de esas cosas antes de un incidente, entonces ya dejó de ser un PDF más.

Se convirtió en una herramienta de operación.


Aviso de independencia

Este artículo tiene fines educativos y refleja una lectura técnica personal de información pública sobre ciberseguridad OT.

No representa la posición de ninguna empresa, cliente, proveedor o fabricante.

Las recomendaciones deben validarse según el contexto de cada operación, sus procedimientos internos, criticidad de activos, políticas de seguridad y documentación oficial aplicable.

Fuentes consultadas

Dragos 2026 OT Cybersecurity Report: a Year in Review
Get the latest OT threats, vulnerabilities, and lessons learned from real-world incidents in this year’s 2026 OT Cybersecurity Report.

Dragos OT/ICS Cybersecurity Year in Review 2026 — Página oficial del reporte

Dragos 2026 OT Report Shows Surge in Threat Groups and Ransomware
Dragos’ 2026 OT Cybersecurity Year in Review details a surge in OT threat groups and ransomware, adversaries mapping industrial control systems, and growing operational disruption across critical infrastructure.

Dragos — Comunicado de prensa oficial (febrero 2026)

OT Threat Landscape 2026: What OT Cybersecurity Defenders Need to Know
The 2026 OT threat landscape shows ransomware groups doubling and visibility gaps widening. Here’s what industrial defenders should prioritize.

Dragos Blog — Resumen de hallazgos y grupos de amenaza

lightbulb

Lección de cierre

En sistemas industriales, una señal congelada, una cámara lenta o una interfaz caída rara vez se explican con una sola causa. El valor está en ordenar síntomas, evidencias, cambios recientes y dependencias técnicas antes de intervenir.

info

Este artículo tiene fines educativos. Los casos pueden estar simplificados o anonimizados y no representan a ninguna empresa, cliente o proveedor.