El 49% de los profesionales encuestados identifica la cadena de suministro y el acceso remoto de terceros como principales vulnerabilidades en infraestructuras críticas conectadas.
Los entornos de IoT industrial y sistemas ciber-físicos (CPS) se enfrentan a un panorama de amenazas cada vez más complejo, condicionado por la incertidumbre económica global, las tensiones geopolíticas y la reconfiguración de las cadenas de suministro. Así lo revela el nuevo informe de Claroty, “The Global State of CPS Security 2025: Navigating Risk in an Uncertain Economic Landscape”, elaborado a partir de una encuesta independiente a 1.100 profesionales de ciberseguridad, ingeniería OT, ingeniería clínica y biomédica, y gestión de infraestructuras críticas.
Impacto directo en infraestructuras críticas conectadas
El estudio pone de relieve que casi la mitad de los encuestados (49%) percibe un incremento del riesgo cibernético en activos y procesos de CPS como consecuencia de los cambios en la cadena de suministro, impulsados por políticas económicas y tensiones internacionales. Estos entornos incluyen desde plantas de producción industrial hasta sistemas hospitalarios conectados, redes de transporte, energía y agua: ámbitos donde el IoT y la automatización son ya imprescindibles.
Además, el 67% de los profesionales señaló que están reconsiderando la localización de su cadena de suministro para mitigar los riesgos que estas incertidumbres plantean sobre sus operaciones conectadas.
El punto débil: el acceso remoto de terceros
La digitalización acelerada y el uso de herramientas de acceso remoto a dispositivos IoT y CPS amplifican las vulnerabilidades. Un 46% de los encuestados reconoció haber sufrido una brecha de seguridad en los últimos 12 meses debido al acceso de terceros, mientras que un 54% detectó lagunas contractuales con sus proveedores tras un incidente. Como respuesta, el 73% aseguró que está revisando en profundidad los mecanismos de acceso remoto a sus operaciones conectadas.
Incertidumbre regulatoria y cumplimiento
Los cambios normativos también aparecen como un factor crítico. Pese a que el 70% de las organizaciones afirma cumplir actualmente con marcos de referencia como el NIST Cybersecurity Framework o las directrices de ENISA en Europa, el 76% considera que las regulaciones emergentes —ya sean gubernamentales, internacionales o sectoriales— podrían obligar a rediseñar por completo sus programas de seguridad IoT y CPS, con un impacto directo en la eficiencia operativa.
IoT y CPS: un objetivo atractivo para atacantes
“Los atacantes suelen ver los tiempos de inestabilidad como oportunidades para actuar. Defensores distraídos son defensores ineficaces. Este hecho, combinado con la relevancia de las infraestructuras críticas para la estabilidad económica y la seguridad nacional, convierte a los sistemas ciber-físicos en un objetivo especialmente atractivo”, explicó Sean Tufts, Field Chief Technology Officer de Claroty.
Según Tufts, las vulnerabilidades asociadas a terceros y la fragmentación en la cadena de suministro incrementan la dificultad de proteger estos entornos. No obstante, subrayó que este escenario también representa una oportunidad para replantear de forma estructural la manera en que las organizaciones abordan la seguridad en IoT y CPS.
Estrategias recomendadas
Entre las medidas más destacadas para mitigar riesgos, los encuestados mencionan las auditorías de seguridad periódicas (49%) y la mejora de los procesos de aprobación de cambios (45%). Estas prácticas son clave para descubrir vulnerabilidades ocultas, reforzar el cumplimiento normativo y, en particular, controlar los puntos ciegos relacionados con proveedores externos y dispositivos IoT conectados en infraestructuras críticas.
El informe completo The Global State of CPS Security 2025: Navigating Risk in an Uncertain Economic Landscape ya está disponible, y Claroty celebrará un seminario web el próximo 22 de octubre a las 17:00 horas (hora peninsular española) para profundizar en sus conclusiones.
(Claroty)
