Convergencia IT/OT, la principal vulnerabilidad de la industria brasileña

El modelo que falló

Los PLC, o controladores lógicos programables que regulan válvulas, motores y líneas de ensamblaje, al igual que los sistemas SCADA y los equipos de piso de fábrica operaban en redes cerradas, sin conexión con sistemas corporativos ni con internet. El aislamiento era el mecanismo de defensa. No había superficie de ataque porque no había superficie de contacto. Con la llegada de la Industria 4.0, ese modelo quedó disuelto.

Los equipos operativos fueron integrados a los sistemas ERP y las plataformas MES, que conectan la planificación corporativa con el control de la producción, buscando eficiencia y la trazabilidad. En 2026, esta madurez operativa coincidió con el fortalecimiento de los adversarios.  La empresa de ciberseguridad Dragos, en su 9no Informe Anual, publicado en febrero de 2026, fue contundente: el 2025 marcó una transición decisiva del reconocimiento al intento de impacto operativo en entornos industriales.

Brasil en el centro del blanco

La exposición de la industria brasileña no es abstracta. El país registró 166 ataques de ransomware dirigidos al territorio nacional dentro de un universo de 248 incidentes documentados en la región entre 2024 y 2025, con el sector manufacturero respondiendo por 20,6 % de los casos, el porcentaje más alto entre todos los sectores de la economía, según el informe Manufacturing Threat Landscape 2026 de Check Point Research.

En el primer trimestre de 2025, Brasil lideró América del Sur con 22 incidentes documentados, concentrados en Alimentos y Bebidas, un sector de operación 24×7, con baja tolerancia a paros y alta presión por retomar la producción de inmediato. Sin embargo, los números esconden la dimensión real del riesgo: credenciales de acceso a empresas industriales brasileñas llegan a venderse entre 4.000 y 70.000 dólares en mercados clandestinos, según el mismo informe de Check Point. Los atacantes no actúan por oportunismo, llegan con el valor del daño ya calculado.

La anatomía del ataque

La confusión es frecuente, y tiene un costo alto. Robert Lee, CEO de Dragos, fue directo en un comunicado de prensa de febrero de 2026: "Los grupos de ransomware están causando más interrupción operacional y paros de varios días que requieren recuperación específica para OT. Aun así, las organizaciones industriales subestiman significativamente el alcance del ransomware en entornos OT porque creen que es solo TI." El equívoco tiene consecuencias directas: un servidor Windows comprometido que aloja software SCADA —el sistema que supervisa y controla en tiempo real los procesos físicos de la planta— se clasifica como incidente de TI cuando, en la práctica, es un incidente operacional.

Es una combinación que merece atención. El movimiento lateral —cuando un atacante navega de un sistema comprometido hacia otros dentro de la misma red— transforma un correo de phishing en un vector de paro de línea. El camino típico comienza en un acceso remoto VPN mal configurado o en una credencial corporativa válida, atraviesa el Active Directory y alcanza el sistema ERP o MES. Desde ahí, encuentra la capa OT sin segmentación efectiva entre los dos entornos. En 2025, el malware y el ransomware respondieron cada uno por 23 % de los compromisos de respuesta a incidentes de Dragos en entornos industriales, lo que refleja la escala con que estas amenazas ya operan dentro de redes OT.

El legado que no perdona

El problema técnico central no está en la sofisticación de los atacantes, sino en la fragilidad estructural de los sistemas que encuentran del otro lado. Los PLC, las HMI (interfaces hombre-máquina que permiten al operador visualizar y controlar procesos) y los equipos SCADA heredados fueron diseñados para durabilidad y confiabilidad, no para ciberseguridad. Muchos operan con sistemas sin soporte, protocolos industriales sin autenticación nativa y ciclos de actualización que simplemente no existen.

El dato es revelador. En 2025, 26 % de los avisos de vulnerabilidades ICS publicados no contenían parche ni mitigación disponible de los fabricantes, según Dragos. En Europa, referencia de madurez industrial, 80 % de los fabricantes aún operaban sistemas OT críticos con vulnerabilidades conocidas, según Check Point Research. A nivel global, 329.500 millones de dólares están en riesgo de pérdida en escenarios de incidentes OT de alta severidad, según el Dragos OT Security Financial Risk Report 2025. La otra cara de ese número es que la mayor parte de ese riesgo está concentrada en activos que ningún equipo de TI tradicional monitorea.

De la visibilidad a la acción

El eslabón que falta, en general, no es la solución de seguridad, es el inventario. Sin saber exactamente qué activos OT operan en la red —dónde están, si están actualizados, si están conectados— ninguna herramienta de protección funciona con eficacia. En un evento de ciberseguridad a fines del año pasado, la empresa de ciberseguridad para OT, Claroty, dejó claro que muchas empresas industriales brasileñas aún no tienen claridad sobre cuántos activos industriales conectados poseen, ni si están debidamente actualizados.

La diferencia entre tener o no tener visibilidad adecuada es medible. Las organizaciones con visibilidad integral de sus entornos OT contuvieron incidentes de ransomware en cinco días en promedio, frente a 42 días para las que operaban sin monitoreo dedicado, según datos de Dragos. Treinta y siete días más de planta parada, de multas contractuales acumuladas, de decisiones ejecutivas tomadas a ciegas.

El camino para reducir esa exposición pasa por tres frentes secuenciales:

• realizar el inventario completo de activos OT como prerrequisito innegociable;
• implementar segmentación de red entre los entornos IT y OT, cortando la ruta que el movimiento lateral explota; y
• adoptar arquitectura Zero Trust, modelo que asume que ningún acceso es confiable por defecto y exige verificación continua de identidad y contexto, con criterios específicos para el entorno industrial.

El peso regulatorio en 2026

El entorno regulatorio brasileño cambió de nivel en abril de 2026. La promulgación de la Ley 15.352/2026 transformó a la Autoridade Nacional de Proteção de Dados (ANPD), el organismo brasileño equivalente a un instituto nacional de protección de datos, en agencia autónoma con cuadro técnico propio, presupuesto independiente y poderes ampliados de fiscalización, incluida la capacidad de iniciar investigaciones de oficio y aplicar sanciones sin depender de aprobación ministerial.

Para infraestructuras industriales que procesan datos operacionales y personales, el cambio es directo: la ANPD dejó de operar con limitaciones institucionales y pasó a actuar con autonomía equivalente a la de organismos reguladores sectoriales consolidados.

La agenda regulatoria 2025-2026 de la ANPD estableció 16 temas prioritarios, con el ciclo de auditorías e inspecciones intensificándose a lo largo del segundo semestre. Las organizaciones industriales que aún no han mapeado sus activos OT, no documentaron sus prácticas de seguridad o no formalizaron planes de respuesta a incidentes entran en ese ciclo en posición de vulnerabilidad doble, técnica y regulatoria.

El dinero ya está en movimiento: los grupos de ransomware con 119 operaciones activas documentadas por Dragos no esperan el calendario del regulador. La cuestión para los responsables de tecnología y operaciones no es si el tema llegará a la mesa, sino si lo hará por elección propia o por crisis.