Table of Contents 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132

Red Seguridad 110

www.redseguridad.com Revista especializada en Seguridad de la Información Nº 110 tercer trimestre 2025 Época II

red seguridad tercer trimestre 2025 3 editorial El contexto geopolítico de los últimos años ha evidenciado la relevancia de avanzar hacia una soberanía digital europea que incorpore de manera decidida el ámbito de la ciberseguridad. Los factores que han impulsado este debate son múltiples: desde el aumento de los ciberataques patrocinados por Estados, hasta la elevada dependencia tecnológica de terceros países en sectores estratégicos; pasando por la carrera internacional en torno a tecnologías disruptivas como la inteligencia artificial, la computación cuántica o las redes de telecomunicaciones de nueva generación; sin olvidar la gestión y protección de los datos o el cambio de orientación de la política estadounidense hacia posiciones más unilaterales. La Unión Europea, y con ella cada uno de sus Estados miembros, trabaja en esa dirección mediante políticas, regulación, programas de financiación e instrumentos de cooperación. En particular, el desarrollo normativo ha configurado un marco común para reforzar la resiliencia de los Estados miembros y ha ampliado las capacidades de actuación conjunta en materia de ciberseguridad. Sin embargo, la actual dependencia de proveedores externos en tecnologías críticas continúa siendo un factor limitante de la capacidad soberana. En un entorno tan dinámico como el digital, caracterizado por una innovación acelerada y un alto grado de interdependencia, revertir esta situación no resulta sencillo. Alcanzar mayores cotas de autonomía tecnológica exige impulsar el desarrollo de soluciones propias capaces de competir en el mercado global y, al mismo tiempo, fortalecer el ecosistema de innovación europeo. Para ello, será clave favorecer la actividad de las numerosas empresas que ya contribuyen al crecimiento de la industria de la ciberseguridad en Europa, fomentando tanto su competitividad como su capacidad de colaboración transfronteriza. La consecución de una verdadera soberanía digital en ciberseguridad implica también limitar el impacto de las decisiones políticas y regulatorias adoptadas en otras regiones. Europa debe ser capaz de tomar decisiones estratégicas en este ámbito con independencia suficiente y, cuando ello no sea posible, contar con la capacidad negociadora necesaria para alcanzar acuerdos equilibrados. La cuestión de si es posible alcanzar una soberanía digital europea en ciberseguridad, y en qué medida, seguirá siendo objeto de debate. Lo que parece indiscutible es que conseguirlo será determinante para la resiliencia y competitividad de Europa en el escenario digital global. Soberanía europea en ciberseguridad: ¿es posible? La UE debe ser capaz de tomar decisiones estratégicas con independencia suficiente y, cuando ello no sea posible, tener la capacidad negociadora necesaria

4 red seguridad tercer trimestre 2025 SUSCRIPCIÓN ANUAL España.............................................................................48 € Europa, zona euro.........................................................96 € Resto de países............................................................ 144 € (suscripciones@borrmart.es) PRESIDENTE Guillermo Llorente Ballesteros Mapfre VOCALES Lorenzo Cotino Agencia Española de Protección de Datos (AEPD) Francisco Hortigüela Asociación de empresas electrónicas, tecnológicas, de telecomunicaciones, y contenidos digitales (Ametic) Fernando Rodríguez del Estal Asociación de Empresarios de TIC de Andalucía (ETICOM) Joaquín González Casal Asociación de Ingenieros e Ingenieros Técnicos en Informática (ALI) Vicente Aceituno Canal Asociación Española para la Seguridad de los Sistemas de Información (ISSA España) José Valiente Centro de Ciberseguridad Indutrial (CCI) Pedro Pacheco Unidad Central de Ciberdelincuencia del Cuerpo Nacional de Policía Juan A. Rodríguez Álvarez de Sotomayor Unidad de Delitos Telemáticos (GDT) de la Guardia Civil María Eugenia López Hernández Instituto Nacional de Ciberseguridad (Incibe) Javier Candau Centro Criptológico Nacional (CCN) Javier Roca Mando Conjunto del Ciberespacio (MCCE) Vanesa Gil ISACA Capítulo de Madrid Roberto Baratta ISMS Forum Spain Observatorio Nacional de Tecnología y Sociedad (ONTSI) Vicente Aguilera Díaz Open Web Application Security Project (OWASP) Eduvigis Ortiz Women4Cyber Spain CONSEJEROS INDEPENDIENTES Tomás Arroyo Javier Moreno Montón Javier Pagès Juan Carlos Batanero PRESIDENTE DE HONOR Alfonso Mur Bohigas CONSEJO TÉCNICO ASESOR BORRMART Presidenta - CEO: Ana Borredá. Presidente Honorífico: Fco. Javier Borredá Martín. Adjunto a la Presidencia: Antonio Caballero Borredá. Directora de Relaciones Institucionales: Mª Victoria Gómez. RED SEGURIDAD Directora: Yolanda Duro. Subdirector: Enrique González Herrero. Redactor Jefe: Juanjo Arenas. Redactora: Marta Serrano. Área digital: Laura Borredá y Natividad Benéitez. Colaboradores: Bernardo Valadés, Leticia Duque Guerrero y Jaime Sáez de la Llave. Publicidad: Paloma Melendo, Javier Borredá García y Virginia Alcalde. Maquetación: Macarena Fdez. López. Fotografía: Banco de imágenes GettyImages. Administración: Vanessa Aranaz. Redacción, Administración y Publicidad C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Comeco Gráfico S.L.U. Depósito Legal: M-46198-2002 ISSN: 1695-3991 STAFF RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 03/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

red seguridad tercer trimestre 2025 5 88 66 3 18 66 14 58 98 Editorial Soberanía europea en ciberseguridad: ¿es posible? Ciberseguridad industrial ¿Cuáles son los retos, puntos de mejora y necesidades de la ciberseguridad industrial? 19ENISE Una cita consolidada en la agenda internacional Ciberseguridad industrial Retos estratégicos en la ciberseguridad industrial Por José Valiente (CCI) Acceso seguro Cómo proteger el acceso dentro y fuera del perímetro corporativo Por Jorge Chamizo (Symantec) Ciberseguridad en el sector salud Entrevista a Carlos Tortosa Director de grandes cuentas de ESET España 6 52 88 Entrevista José García Serrano Jefe de la Unidad Central de Ciberdelincuencia de la Policía Nacional Entrevista Luis Jiménez Director de Ciberseguridad del Centro Tecnológico del Notariado Entrevista Mar López CEO de Sofistic sumario 6 52

6 red seguridad tercer trimestre 2025 entrevista La Policía Nacional es uno de los organismos involucrados en todo lo relacionado con delitos cometidos en la Red. ¿Qué unidades del cuerpo intervienen en esta tarea y cómo se coordinan entre sí? La lucha contra la ciberdelincuencia es uno de los objetivos estratégicos de la Policía Nacional. Es evidente que una parte significativa de la criminalidad se ha trasladado del espacio físico al virtual, ocupando lugares que años atrás eran impensables. Existen en la Red delitos que podemos definir como propios del ciberespacio, como ataques informáticos, exfiltración de datos, ransomware, denegaciones de servicio… Pero el abanico es mucho más amplio y heterogéneo: también se cometen estafas, extorsiones, violencia de género, amenazas, coacciones, injurias, calumnias, inducción a todo tipo de delitos, hostigamiento, explotación sexual de menores, etcétera. La lista es amplísima. Esta enorme variedad de ilícitos exige una respuesta integral de nuestra corporación, tanto a nivel territorial como centralizada, y de distintas especialidades que van desde las unidades de investiJosé García Serrano Jefe de la Unidad Central de Ciberdelincuencia de la Policía Nacional “Hay Estados poco colaboradores con la justicia internacional” La ciberdelincuencia es hoy una de las mayores amenazas para ciudadanos, organizaciones y Estados. Desde fraudes de todo tipo hasta ataques a infraestructuras críticas, el cibercrimen ha evolucionado en complejidad y alcance, sobre todo en los últimos años. En España, la Policía Nacional ha desempeñado un papel clave en esta lucha, con la creación del primer grupo de investigación de delitos tecnológicos hace ya tres décadas. Conversamos con el jefe de la Unidad Central de Ciberdelincuencia para conocer su estructura, funciones y retos en este sentido. Juanjo Arenas Fotos: Red Seguridad.

red seguridad tercer trimestre 2025 7 entrevista gación criminal hasta otras especializadas en actividades terroristas. Una de esas unidades policiales es la Unidad Central de Ciberdelincuencia, que este año cumple su trigésimo aniversario. ¿Cuál es la estructura de la Unidad y cuáles son sus funciones? En primer lugar, me gustaría aclarar que lo que este año conmemoramos es el 30 aniversario de la formación del primer grupo de investigación de delitos tecnológicos. En 1995 se comenzaron a construir los cimientos de lo que hoy es una sólida estructura policial de lucha contra los ciberdelitos. Actualmente contamos con una extensa red de unidades de investigación por todas nuestras comunidades autónomas y provincias. La Unidad Central de Ciberdelincuencia es la que se ocupa de las actividades delictivas en las que el uso de las nuevas tecnologías o sistemas de información suponga el instrumento o medio fundamental de comisión y que esté relacionado con el patrimonio, el consumo, la indemnidad del menor, la pornografía infantil, la libertad sexual, el honor, la intimidad, las redes sociales, los fraudes y la propiedad intelectual e industrial; así como con aquellas que atenten contra la confidencialidad, la integridad y la disponibilidad de los sistemas de información y comunicaciones. En ese sentido, se da apoyo y se facilita la coordinación al resto de las unidades territoriales. Asimismo, tenemos un servicio 24/7 de carácter humanitario que detecta y actúa para evitar conductas autolíticas de algunos usuarios de la Red. De nuestra Unidad cuelgan, en concreto, tres brigadas. Una de ellas es la Brigada Central de Investigación Tecnológica, a la que le corresponde investigar las actividades delictivas relacionadas con los delitos contra las personas en la Red. Por su parte, la Brigada de Seguridad Informática se encarga de la persecución de delitos de alta especialización relacionados con ciberataques, creación y distribución de software malicioso, utilización de criptovalores como mecanismo de intercambio monetario en el entorno cibercriminal y delitos contra la propiedad intelectual cometidos mediante la utilización de las nuevas tecnologías. Y la tercera es la Brigada Central de Fraudes Informáticos. A ella le corresponde la investigación de todas las tipologías delictivas relacionadas con los fraudes cometidos a través de Internet y con el uso de las telecomunicaciones. Aquí se incluyen el ámbito electrónico, los diferentes medios de pago y el fraude bancario y empresarial cuando el uso de las nuevas tecnologías o de sistemas de información suponga el instrumento o medio fundamental para la comisión de las conductas delictivas. ¿Qué características reunía la ciberdelincuencia en los inicios de la Unidad y, a grandes rasgos, cómo ha evolucionado durante estos 30 años? Desde los años noventa, los accesos indebidos, los virus rudimentarios o los primeros “piratas informáticos” que se probaban intentando vulnerar las endebles barreras de seguridad de los sistemas de la época se han transformado, derivando en no pocas ocasiones en complejas estructuras criminales transnacionales. Eran tiempos en que muy pocos tenían los conocimientos informáticos. Por no haber, no había ni conciencia de que “La lucha contra la ciberdelincuencia es uno de los objetivos estratégicos de la Policía Nacional”

8 red seguridad tercer trimestre 2025 entrevista desde el incipiente espacio virtual podíamos ser atacados o estafados. La llegada masiva de la banda ancha revolucionó la experiencia en línea, por no mencionar la implosión que generó la generalización de los terminales telefónicos inteligentes y sus aplicaciones. Pero si hay una palabra que define la evolución del ciberdelito es ‘exponencial’. En los últimos siete años hablamos de incrementos anuales entre el 25 y el 35 por ciento del número de denuncias presentadas en España, estando casi el 90 por ciento del total relacionadas con fraudes informáticos. En sus comienzos, los ciberdelitos eran cometidos por individuos sin una estructura delictiva de apoyo. Como mucho, eran pequeños grupos cuya motivación principal era el desafío técnico-intelectual, crearse un nombre dentro de su comunidad. El objetivo era la exhibición de habilidades técnicas, mientras que el ánimo de lucro era una motivación apenas relevante. El cibercrimen actual ha construido fuertes estructuras delictivas con modelos de negocio muy definidos. Se ha pasado de una actividad individual motivada, en ocasiones, por la mera curiosidad, a organizaciones criminales que persiguen el lucro económico o la desestabilización social, que pueden destruir empresas o poner en graves aprietos a algunos Estados. ¿Qué tipo de delitos digitales son los más frecuentes actualmente y cuáles están en crecimiento? Estadísticamente, los delitos más frecuentes en el ámbito digital son todos los ciberfraudes como falsas páginas web, fraude BEC [Business Email Compromise], los relacionados con el phishing, fraude en inversiones, romance scam… Pero es evidente que también se han incrementado los ataques informáticos de todo tipo para exfiltrar información sensible de las empresas e instituciones, así como el software malicioso que, introducido en un sistema, lo bloquea, exigiendo los ciberdelincuentes un rescate a cambio de devolver el control al usuario; el conocido ransomware. Este último es un ilícito especialmente pernicioso porque tiene capacidad para paralizar organizaciones enteras, causando enormes pérdidas económicas y reputacionales. ¿Qué perfiles de ciberdelincuentes están detectando más desde Policía Nacional? ¿Grupos organizados, actores individuales, Estados...? Hace 30 años, cuando solo existía la imagen que nos trasmitía el cine norteamericano, se trataba de un joven enganchado a la informática, autodidacta y con escasas habilidades sociales que, desde una oscura y siniestra habitación, rodeado de comida basura, intentaba vulnerar los sistemas de Gobiernos o grandes corporaciones. Este estereotipo ha mudado a delincuentes muy heterogéneos, variando en función de sus motivaciones, habilidades y el tipo de delitos que cometen, a la vez que muchos de ellos forman parte de un entramado criminal mucho más complejo y estructurado. En cualquier caso, el más habitual es el que se mueve por ánimo de lucro, por el rendimiento económico. Actúa de manera sistemática y organizada formando parte de organizaciones criminales más o menos potentes. Suelen tener elevados conocimientos técnicos, operando desde cualquier rincón del mundo y aprovechándose del anonimato que ofrece la Red. Otro perfil es el hacktivista, motivado por una ideología concreta, por la lucha por una causa política por la que está dispuesto a atacar a gobiernos y organizaciones. Por otro lado, a veces, la amenaza llega desde dentro: un cliente interno o trabajador desleal que tiene acceso a los sistemas y al que le empuja la venganza, problemas laborales o personales o el simple beneficio económico. Aunque ya no es tan habitual, también tenemos al atacante que se caracteriza por la mera satisfacción de su curiosidad, el desafío técnico y la búsqueda de reconocimiento y prestigio entre sus iguales. Y, por supuesto, hay ciberterroristas y actores estatales. Estos últimos, sin duda, son los que poseen más recursos y los más difíciles de rastrear. Sus objetivos son de alto valor y están relacionados con los recursos de un Estado, aunque los hay que también atacan a corporaciones privadas como una forma de obtener ingresos para sus propios gobiernos. ¿Qué papel juegan las nuevas tecnologías, como la inteligencia artificial, en la actividad de los ciberdelincuentes? ¿Y en la de los que persiguen estos delitos, como es su caso? “Los ciberterroristas y actores estatales son los más difíciles de rastrear”

www.wallix.com Controla, supervisa y limita cada conexión para proteger tu infraestructura crítica. Reduce el coste total de propiedad (TCO) • Mantén la productividad • Aumenta la eciencia operativa • Obtén un ROI inmediato • Cumple con la normativa • Más información en Acceso remoto seguro ACCESOS CONTROLADOS Y LIMITADOS / SUPERVISIÓN EN TIEMPO REAL / TRAZABILIDAD 24/7

10 red seguridad tercer trimestre 2025 entrevista La respuesta colectiva nos hace más fuertes y más eficientes, consiguiendo mejores resultados a menor coste. A nivel internacional, instituciones como Europol e Interpol articulan canales de comunicación para el intercambio de información y la coordinación de investigaciones, apoyando igualmente en operaciones complejas que afectan a varios Estados. Poseen un conocimiento y capacidad técnica muy elevada que aportan calidad a las investigaciones. También se conforman equipos de investigación conjuntos con miembros de diferentes cuerpos de seguridad y órganos judiciales que se coordinan para llevar a cabo investigaciones. En nuestro país, además, existen órganos de coordinación. Es el caso del Centro de Inteligencia contra el Crimen Organizado (CITCO), en el que convergemos todas las fuerzas de seguridad que investigamos estos delitos, tanto nacionales como autonómicas. De esta forma se establecen acuerdos de colaboración y cooperación tanto para el desarrollo de investigaciones como otros aspectos relacionados con materia formativa, prevención o adquisición de herramientas tecnológicas. plejidad elevada y afectan a un gran número de víctimas. Nuestros juzgados, que sufren una enorme carga de trabajo, precisan de una mayor especialización para afrontar la instrucción de estos asuntos que, además, pueden llegar a colapsar el órgano judicial por el volumen de afectados. En este sentido, me gustaría resaltar el imprescindible trabajo que desarrolla la Fiscalía de Criminalidad Informática, que dirige una amplia red de fiscales especializados en la materia. Existen numerosos cuerpos policiales o agencias especializadas en la lucha contra la ciberdelincuencia tanto europeos como estatales. ¿Cómo cooperan entre sí, dado sobre todo el carácter internacional de muchos ciberdelincuentes y de sus actividades ilícitas? La cooperación entre agencias de seguridad es otro objetivo estratégico en la lucha contra la ciberdelincuencia que se articula mediante protocolos, mecanismos e instituciones. La cooperación permite compartir experiencias, información, inteligencia y técnicas de investigación y, sobre todo, colaborar en el desarrollo y ejecución de las operaciones. Las nuevas tecnologías como la IA actúan desde una doble vertiente, multiplicando tanto las capacidades ofensivas de los delincuentes como las defensivas de los investigadores. Los dos actores somos radicalmente diferentes, totalmente opuestos, enfrentados. El juego entre “el gato y el ratón” siempre ha estado ahí, aunque coincidiendo con algunas herramientas que ambos utilizamos: por ejemplo, los delincuentes pueden utilizar un dron para identificar objetivos y la Policía para vigilar investigados. Con la IA pasa algo parecido. Los delincuentes ya no necesitan tener un conocimiento técnico profundo para ejecutar sus ataques, ya que las herramientas de IA hacen parte del “trabajo”. Pero para nosotros también ha supuesto un gran avance al facilitar, por ejemplo, un análisis forense acelerado o al ayudar a atribuir un ataque a un grupo específico. ¿Qué tipo de dificultades legales o jurídicas encuentran a la hora de perseguir delitos cometidos en el entorno digital? Una de las características típicas de estos delitos es que la mayoría de ellos se pueden cometer en cualquier momento y desde cualquier rincón del mundo. Los malos lo saben; son conscientes de los inconvenientes legales que puede generar la aplicación de diferentes legislaciones para las fuerzas de seguridad y los operadores jurídicos. No obstante, cada vez hay más convenios internacionales para aliviar los procesos de cooperación judicial internacional. La colaboración es especialmente efectiva dentro del ámbito de la Unión Europea y, en general, con los países occidentales. En cualquier caso, todavía hay Estados poco colaboradores con la justicia internacional. Por otra parte, estos ilícitos, en muchos casos, pueden conllevar una com-

monográfico CONTENIDOS Artículos: José Valiente (CCI) Rafael Rosell (S2Grupo) Elena Miguel (Leet Security) Pedro Viana (Kaspersky) Luis Manuel Guillén (NTT Data) Borja Pérez (Stormshield) Jordi Garasa (TXOne) Cuestionarios: Estado de situación de la ciberseguridad industrial ¿Dónde debe avanzar el sector industrial en el ámbito cíber? Ciberseguridad industrial

14 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial La ciberseguridad industrial atraviesa una etapa crítica. La transformación digital, el auge de los ciberincidentes de alto impacto y la presión normativa sitúan a las organizaciones en un escenario de máxima exigencia. No se trata únicamente de evitar ataques, sino de garantizar la continuidad de servicios esenciales como el agua, la energía, el transporte o la alimentación. En este contexto, comprender los principales retos, necesidades y puntos de mejora se vuelve una cuestión estratégica. La respuesta no se encuentra solo en más tecnología, sino en nuevas formas de coordinación, roles especializados y marcos de decisión capaces de equilibrar intereses contrapuestos. Desafíos En este sentido, los principales desafíos estratégicos en la ciberseguridad industrial son los siguientes: La presión del tiempo y la producción. En entornos industriales, el tiempo es un recurso tan crítico como la propia energía. Cada minuto de inactividad puede traducirse en pérdidas económicas, sanciones contractuales o riesgos para la seguridad física. Tras un ataque de ransomware, la presión para reanudar la producción es inmensa. Sin embargo, esta urgencia suele conducir a decisiones apresuradas: restauraciones sin verificar copias de seguridad, apertura de bypass entre redes OT e IT o medidas provisionales que terminan convirtiéndose en definitivas. El reto aquí es reconciliar dos necesidades que parecen opuestas: la continuidad operativa y la seguridad. La mejora pasa por diseñar respuestas en fases a corto, medio y largo plazo que permitan restaurar operaciones bajo controles mínimos y, al mismo tiempo, planificar refuerzos estructurales que eviten reincidencias. Solo así se logra resistir la urgencia inmediata sin hipotecar la resiliencia. Falta de alineación entre áreas técnicas y de negocio. La segunda gran dificultad surge de la falta de sintonía entre las prioridades de negocio y las de las áreas técnicas al gestionar un ciberincidente. Mientras la dirección y producción se centran en la reputación, la continuidad de las entregas o el cumplimiento contractual, ingeRetos estratégicos en la ciberseguridad industrial José Valiente Director del Centro de Ciberseguridad Industrial (CCI)

red seguridad tercer trimestre 2025 15 ciberseguridad industrial monográfico niería y mantenimiento priorizan la contención del ataque y el análisis forense. Este choque de intereses suele desembocar en estrategias fragmentadas y, en ocasiones, contradictorias. La solución requiere crear roles puente que traduzcan intereses y lenguajes distintos. El Industrial Cybersecurity Officer (ICSO) encarna precisamente este rol con conocimiento especializado en ciberseguridad. Su aportación radica en coordinar a los actores, traducir la visión técnica al negocio y viceversa y estructurar la respuesta en fases. Gracias a este rol, las decisiones dejan de ser impulsivas y fragmentadas para convertirse en consensuadas y sostenibles. Escasez de información fiable en tiempo real. En muchos ciberincidentes industriales, el problema no es solo la magnitud del ataque, sino la falta de visibilidad sobre lo que realmente está ocurriendo. ¿Hasta dónde se ha extendido la intrusión? ¿Qué sistemas están comprometidos? ¿Son fiables los backups disponibles? La ausencia de información transparente y precisa en tiempo real impide valorar riesgos y consecuencias con la objetividad necesaria. La mejora pasa por invertir en preparación y visibilidad. Esto incluye simulaciones de crisis, validación periódica de copias de seguridad, despliegue de herramientas de monitorización adaptadas a entornos OT y uso de plataformas colaborativas que permitan ensayar respuestas antes de que llegue la crisis. Anticiparse es la única forma de decidir con datos y no con suposiciones. Conflictos de intereses entre actores. La ciberseguridad industrial no se resuelve en un despacho aislado, sino en una mesa donde se sientan directivos, responsable de producción, ingeniería, tecnología, mantenimiento y proveedores tecnológicos. Cada uno defiende objetivos propios y, a menudo, opuestos. Mientras el fabricante busca restaurar rápidamente para cumplir con sus compromisos, el responsable de producción exige continuidad operativa y la ingeniería necesita tiempo para contener el ataque. La cooperación, sin embargo, no surge de manera natural. Es necesario un marco que incentive a los actores a permanecer en un acuerdo común. Aquí resulta clave el concepto de equilibrio de Nash: un escenario en el que ninguno de los participantes obtiene más beneficios actuando en solitario que cooperando. Para alcanzarlo, se necesitan facilitadores neutrales, como el ICSO, y principios rectores que actúen como brújula: transparencia en la comunicación, proporcionalidad en las medidas adoptadas, resiliencia como meta y aprendizaje como legado de cada crisis. Déficit de experiencia y roles especializados. La falta de madurez en ciberseguridad industrial sigue siendo uno de los mayores frenos. Muchas organizaciones delegan la gestión de incidentes en perfiles de mantenimiento o producción que, aunque expertos En muchos ciberincidentes industriales, el problema no es solo la magnitud del ataque, sino la falta de visibilidad

16 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial en su área, carecen de experiencia en gestión de cibercrisis. Esto deriva en decisiones reactivas e incompletas. El sector necesita dar un paso hacia la profesionalización. La formación continua de equipos OT/IT, la incorporación de roles como el ICSO y la integración en ecosistemas de colaboración son medidas esenciales. Cuando el ICSO está conectado a un entorno de referencia, como el del Centro de Ciberseguridad Industrial (CCI), su capacidad de gestión crece de manera exponencial: cuenta con guías de cumplimiento, simulaciones, publicaciones sectoriales y una red de expertos que le otorgan legitimidad y respaldo. Así, la organización no solo supera mejor la crisis, sino que puede convertirla en una oportunidad de reputación y liderazgo sectorial. Cooperación y resiliencia como horizonte. Más allá de la gestión inmediata de incidentes, el verdadero reto de la ciberseguridad industrial es consolidar la resiliencia. Esto significa no limitarse a restaurar lo dañado, sino aprovechar cada crisis para reforzar arquitecturas, segmentar redes, mejorar copias de seguridad y aprender de los errores cometidos. La resiliencia, junto con la transparencia y la cooperación, constituye el núcleo de una estrategia sostenible. John Nash demostró que, en escenarios complejos, la cooperación entre actores que persiguen intereses diferentes genera mejores resultados que la búsqueda individual de beneficios. Esta idea conecta de manera natural con la misión del CCI: equilibrar innovación y regulación, seguridad y continuidad, inversión y resiliencia. El futuro de la ciberseguridad industrial dependerá de la capacidad de transformar este principio en práctica cotidiana. Conclusión La ciberseguridad industrial afronta retos enormes: la presión del tiempo, la falta de alineación entre negocio y técnica, la escasez de información fiable, los conflictos de intereses y el déficit de roles especializados. Sin embargo, cada uno de estos desafíos encierra también una oportunidad de mejora. La respuesta pasa por adoptar un enfoque estratégico basado en el equilibrio. Equilibrio que solo se alcanza mediante cooperación establecida, roles especializados y marcos de decisión que permitan tomar medidas consensuadas y sostenibles. La clave está en decidir con visión y no con precipitación, en cooperar más que en competir y en aprender de cada incidente para reforzar la resiliencia. En definitiva, el principal reto de la ciberseguridad industrial es alcanzar ese equilibrio en el que todos los actores entiendan que cooperar les ofrece más beneficios que actuar en solitario. El principal reto está en que los actores entiendan que cooperar ofrece más beneficios que actuar en solitario

18 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial ¿Cuáles son los principales retos, puntos de mejora y necesidades que tiene ante sí la ciberseguridad industrial? Este es el estado de situación de la ciberseguridad industrial José Gabriel Álvarez Lorenzo CISO de la Autoridad Portuaria de Huelva "El principal reto técnico será adaptar los entornos OT a marcos normativos diseñados para entornos IT" La ciberseguridad industrial ha dejado de ser una cuestión opcional para convertirse en un imperativo regulatorio. Con la entrada en vigor de la Directiva (UE) 2022/2555 (NIS2), las organizaciones industriales deben cumplir con exigencias reforzadas en materia de gestión de riesgos, resiliencia operativa, seguridad en la cadena de suministros, notificación de incidentes y gobernanza de la seguridad digital. En España, su esperada transposición redefinirá las obligaciones de operadores de servicios esenciales e infraestructuras críticas. El principal reto técnico residirá en adaptar entornos OT, a menudo con sistemas heredados y sin parches, a marcos normativos diseñados para entornos IT. Esto implica segmentación de redes, autenticación multifactor, inventariado de activos o monitorización continua mediante soluciones como IDS/IPS industriales. Además, la legislación exigirá una gobernanza clara: responsables designados, auditorías periódicas, formación especializada y evaluación de riesgos en la cadena de suministro. La convergencia IT/OT deberá abordarse desde una arquitectura Zero Trust si se pretende tener éxito, con visibilidad integral y respuesta automatizada ante amenazas que permitan proteger la continuidad de los procesos productivos. Cumplir con la normativa no solo mitigará riesgos legales, sino que reforzará la resiliencia operativa y reputacional del sector industrial europeo. La ciberseguridad pasará de mero complemento a pilar estratégico. Dada la creciente digitalización de los entornos industriales, la ciberseguridad se ha convertido en un pilar crítico para garantizar su continuidad operativa, integridad de los procesos y protección. No en vano, a medida que fábricas, redes eléctricas y sistemas críticos se interconectan, también lo hacen sus vulnerabilidades. En este especial damos voz a profesionales de la ciberseguridad industrial para trazar una radiografía del panorama actual y explorar qué caminos conducen a una protección más robusta, resiliente y alineada con la realidad operativa del sector.

red seguridad tercer trimestre 2025 19 ciberseguridad industrial monográfico Carlos Asún Global Chief Information Security Officer de Food Delivery Brands Juan Andrés Crespo Naón CISO de Emmasa "Un factor de mejora es la colaboración entre fabricantes, integradores, operadores y autoridades regulatorias" "La resiliencia debe ser el eje central ante un panorama de amenazas en constante evolución" La ciberseguridad industrial engloba una serie de objetivos críticos derivados del creciente aumento de ataques, fraudes y la convergencia entre IT y OT. Uno de los principales desafíos es la obsolescencia de muchos sistemas industriales que carecen de capacidades básicas de seguridad como la segmentación, la monitorización o la respuesta ante incidentes. Además, la creciente conectividad impulsada por la Industria 4.0 y el Internet Industrial de las Cosas amplía la superficie de ataque, exponiendo infraestructuras críticas a riesgos cada vez mayores. Otro factor de mejora clave es la colaboración entre fabricantes, integradores, operadores y autoridades regulatorias, la cual debe fortalecerse para establecer marcos normativos y buenas prácticas. En resumen, la ciberseguridad industrial requiere una estrategia integral que combine tecnología, procesos y personas para garantizar la continuidad y la seguridad de operaciones esenciales para la sociedad. También existe una falta de cultura y formación en ciberseguridad entre los operadores y técnicos de planta. A esto se le suma la necesidad de segmentar correctamente las redes industriales, aplicar actualizaciones sin comprometer la disponibilidad de los procesos y desarrollar protocolos de respuesta ante incidentes específicos para entornos OT con equipos que tengan el know how y la experiencia adecuada. La ciberseguridad industrial enfrenta múltiples desafíos en el sector del agua, donde la convergencia entre operación crítica y transformación digital genera riesgos crecientes. Uno de los principales obstáculos es la infraestructura heredada, con sistemas de control industrial diseñados sin seguridad integrada, protocolos obsoletos y equipos sin capacidad de actualización, lo que incrementa su exposición a ciberamenazas. Asimismo, la creciente conectividad amplía la superficie de ataque, exigiendo estrategias como segmentación de redes y monitorización continua. A esto se suma la falta de concienciación entre operarios y técnicos, que requiere una cultura organizacional centrada en la seguridad. El cumplimiento de normativas como IEC 62443 o NIS2 representa otro reto en entornos con recursos limitados. Además, el surgimiento de amenazas avanzadas demanda planes de respuesta sólidos y redundancia operativa. Finalmente, la dependencia de proveedores externos introduce riesgos en la cadena de suministro, necesitando auditorías y contratos con cláusulas de seguridad estrictas. Para mejorar, es clave priorizar la actualización de sistemas, la capacitación del personal y la adopción de frameworks de seguridad, junto con la colaboración sectorial para compartir inteligencia. La resiliencia debe ser el eje central ante un panorama de amenazas en constante evolución.

20 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial José Fernández Zapata Responsable de Seguridad de la Información y DPD de la Autoridad Portuaria de Valencia David González González Global CISO de Grupo Coren "Integrar la ciberseguridad desde fases tempranas puede marcar la diferencia para las empresas del sector" "El desafío al que se enfrenta la ciberseguridad industrial reside en la hiperconectividad de las plantas industriales" Aunque se trata de un problema que paulatinamente comienza a corregirse, sigue siendo complejo encontrar proveedores de sistemas industriales que integren la ciberseguridad como un elemento esencial en el diseño y despliegue de sus soluciones. Todavía se percibe una carencia de cultura en este ámbito dentro de muchas empresas de ingeniería, que va desde la ausencia del principio de “ciberseguridad desde el diseño” hasta la inexistencia de planes de gestión del ciclo de vida del producto con foco en la seguridad. También son frecuentes las carencias en procedimientos de bastionado, en la gestión de accesos o en el control de cambios. En situaciones puntuales, incluso se han detectado prácticas inapropiadas que introducen riesgos adicionales. Esta falta de madurez por parte de los proveedores debe compensarse con una mayor exigencia de los clientes, que en muchos casos priorizan la continuidad del servicio o la rapidez en la implantación frente a criterios de seguridad. La aplicación de marcos regulatorios y normativos como la Directiva NIS2 o la familia de estándares IEC 62443 contribuirá a impulsar un cambio progresivo. Integrar la ciberseguridad desde fases tempranas no solo permite reducir riesgos, sino que puede convertirse en un factor de competitividad y diferenciación para las empresas del sector. El principal desafío al que se enfrenta la ciberseguridad industrial en la actualidad reside en la hiperconectividad de las plantas industriales, donde los sistemas OT, IT e IoT se encuentran interrelacionados con frecuencia. Esta situación, impulsada por la necesidad de obtener la mayor cantidad de datos posible para su posterior explotación, automatización y agentificación, se ve agravada por la presencia de sistemas legacy con vulnerabilidades no corregibles. Esta combinación complica la implementación de medidas de seguridad y la garantía de disponibilidad en entornos que hasta hace poco estaban completamente desconectados. Otros desafíos relevantes incluyen la falta de visibilidad sobre los dispositivos conectados, la escasa posibilidad de detener las operaciones para realizar intervenciones, el diseño de equipos sin seguridad por defecto, la falta de formación del personal en ciberseguridad y, especialmente, la inminente llegada de múltiples normativas que afectará al sector, al menos en España y Europa. Es crucial destacar que la ciberseguridad industrial ha dejado de ser un complemento para convertirse en el núcleo de la continuidad operativa. Además, puede convertirse en un factor diferencial para el crecimiento y la confianza de los clientes.

Contáctanos: www.outpost24.com SUMÉRGETE EN LA SUPERFICIE DE ATAQUE DE TU EMPRESA Y descubre cómo remediar los riesgos y la exposición antes de que los ciberdelincuentes puedan aprovecharlos contra la privacidad, seguridad e integridad de vuestros datos, afectando a vuestra reputación; además de cumplir con requisitos de cumplimiento normativo ¿Qué incluye? Supervisión automatizada 24×7 Incorporación sencilla sin instalación local Opciones de inteligencia de amenazas y DRP Amplias integraciones, incluidas Jira, ITSM, SOAR y CAASM Detección de dominios y procesamiento de datos con tecnología de IA

22 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial Rafael Hernández González Special projects. Technology & Digital Solutions de Moeve Luis Manuel Jiménez Ruiz Jefe de Grupo de Automatización y Control de Aljarafesa "Es clave integrar servicios gestionados que cubran tanto IT como OT y fortalecer la resiliencia tecnológica" "Hay que aplicar criterios de ciberseguridad a sistemas industriales ya en funcionamiento" La ciberseguridad industrial enfrenta una transformación profunda. La convergencia entre entornos IT y OT ha ampliado la superficie de ataque, exigiendo una protección integral que abarque desde sensores hasta sistemas de control. A esto se le suma la complejidad operativa de entornos híbridos, con tecnologías heredadas, visibilidad limitada y una heterogeneidad que dificulta la implementación de medidas y su gestión centralizada. La evolución de las amenazas es constante y la gestión de las vulnerabilidades es un desafío que debe tener como objetivo mantener la disponibilidad y la fiabilidad. Uno de los grandes retos es la escasez de talento especializado, lo que ralentiza la evolución de capacidades. Además, el cumplimiento normativo obliga a adaptar procesos y a reforzar la gobernanza. Entre los puntos de mejora destaca la necesidad de modelos operativos transversales que eviten silos, así como la automatización de la detección y respuesta mediante inteligencia artificial. La cultura de ciberseguridad también debe reforzarse con formación continua y ejercicios de simulación. Finalmente, es clave integrar servicios gestionados que cubran tanto IT como OT, fortalecer la resiliencia tecnológica y acompañar la innovación desde el diseño. Solo así podremos garantizar una ciberseguridad industrial robusta, alineada con la transformación digital del sector. Entre los múltiples retos a los que se enfrenta la ciberseguridad industrial destacaría conseguir sistemas industriales ciberseguros en un contexto de necesidades de interconexión crecientes entre los ámbitos de sistemas de información y de operación, así como de difusión del IIoT. Además de alcanzar una normativa y recomendaciones ciber con un alcance práctico a las necesidades de los sectores de la sociedad. Respecto a sus puntos de mejora, habría que aplicar criterios de ciberseguridad a sistemas industriales ya en funcionamiento. Por ejemplo, en sistemas de elevada edad que no se diseñaron con criterios de ciberseguridad y en sistemas más recientes que, pudiendo actualizarse, pocas veces se ejecuta por lo delicado de la intervención. De hecho, se tiende a no tocar los sistemas industriales que, en mayor o menor grado, están obsoletos, implantando protecciones externas y cuyo objetivo es evitar/frenar que el ciberataque llegue al equipo industrial. Resolver este déficit de seguridad es a la vez punto de mejora y reto y, por ello, estamos trabajándolo. Por último, habría que potenciar los equipos responsables de ciberseguridad industrial, dotándolos de medios “propios”: proveedores, sistemas y medios humanos. Sin olvidarnos de incrementar el conocimiento de los sistemas industriales, adaptando personal ejecutor de automatismos a esta materia.

24 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial Alfonso López-Escobar Jefe de Seguridad de la Información de Emasesa Antonio Simón Martínez Coordinador de Seguridad Informática y Ciberseguridad de Metro de Madrid "Hay que aprovechar las mejores prácticas consolidadas en IT y adaptarlas a los sistemas OT" "El ‘ransomware’ sigue siendo una amenaza constante, especialmente en sistemas antiguos" Uno de los principales retos de la ciberseguridad industrial es eliminar los silos que, con el tiempo, se han ido generando entre la ciberseguridad IT y OT, en muchos casos sustentados en premisas discutibles. Si bien existen diferencias tecnológicas relevantes entre ambos entornos, son aún mayores las similitudes y, sobre todo, el valor que aporta un enfoque integral y holístico de la ciberseguridad. La experiencia demuestra que, salvo casos muy específicos, los ciberataques contra sistemas OT suelen tener su origen en accesos no autorizados a través de redes y/o sistemas IT. Por tanto, el “castillo” debe protegerse en su conjunto, sin fragmentar la defensa. Para ello, resulta esencial aprovechar las mejores prácticas consolidadas en el ámbito IT –mucho más maduro en ciberseguridad– y adaptarlas a los sistemas OT, considerando sus particularidades tecnológicas. No obstante, igual de importante es contar con recursos humanos especializados: profesionales con formación y experiencia en ciberseguridad, capaces de entender ambos mundos, coordinar esfuerzos y aplicar medidas técnicas y organizativas de forma coherente. Solo con la combinación de tecnología, procedimientos y especialistas cualificados se podrá garantizar una defensa eficaz y sostenida en el tiempo. La ciberseguridad industrial afronta retos cada vez más exigentes en un entorno hostil, con nuevos actores, siendo esencial su contribución a configurar y fortalecer un ecosistema con objetivos comunes, abordándolo desde una visión global que trascienda el ámbito empresarial para integrarse en la conciencia colectiva. En ese sentido, el ransomware sigue siendo una amenaza constante, especialmente en sectores con sistemas antiguos y presupuestos ajustados, que son más vulnerables ante la necesidad de la continuidad operativa. Asimismo, la inteligencia artificial ha democratizado el acceso a herramientas, suponiendo un importante vector de ataque y nuevos desafíos para la detección y la respuesta. Otro punto crítico es la seguridad en la cadena de suministro, que presenta la necesidad de evaluar y mitigar riesgos derivados, y de planes de respuesta sólidos ante los incidentes. Además, la regulación que obliga a que los productos digitales sean seguros desde su diseño y se mantengan actualizados, supone un reto en cuanto a la gestión activa de las vulnerabilidades, que también puede suponer un revulsivo para reforzar la confianza y mejorar la competitividad. Por último, la escasez de talento especializado, la influencia de la acelerada digitalización que genera entornos híbridos y el riesgo de tecnologías en la sombra son también retos importantes.

ciberseguridad industrial monográfico José Luis Vega CISO de Grupo Central Lechera Asturiana "La convergencia IT/OT es una oportunidad estratégica para construir una defensa integral en proyectos industriales" La ciberseguridad industrial en Grupo Central Lechera Asturiana está inmersa en un proceso de evolución clave: alcanzar el mismo nivel de madurez que ya hemos consolidado en el entorno IT. En nuestras plantas, donde operan tecnologías industriales críticas, proteger el entorno OT es esencial no solo para garantizar la continuidad operativa, sino también para reforzar el compromiso con la calidad y la excelencia de nuestros productos; algo fundamental en un sector tan exigente como el alimentario. Esto es, en última instancia, un compromiso con nuestros clientes y consumidores. Estamos avanzando con acciones como el descubrimiento y la monitorización continua de activos, la segmentación de redes y la formación especializada. Además, contar con un responsable de OT dentro del Área de Sistemas nos permite establecer un canal directo y eficaz entre ciberseguridad y los procesos industriales, esencial para alinear tecnología y protección. La convergencia IT/OT no es solo una necesidad técnica, sino una oportunidad estratégica para construir una defensa integral. El cumplimiento de la Directiva NIS2 refuerza nuestro compromiso con la resiliencia digital, pero uno de los grandes retos sigue siendo incorporar la ciberseguridad desde el diseño en los proyectos industriales, de modo que se convierta en un componente natural de la innovación industrial. Medios que dejan huella Una nueva realidad exige un nuevo camino. B RRMART Horizontal - 220mm ancho x 153 mm copia.pdf 1 02/11/2023 15:01:32

26 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial David Montero Gamero Corporate Product & Service Cybersecurity Manager de CAF Juan Antonio Sánchez Jefe del Departamento de Ciberseguridad, CISORSI de la Autoridad Portuaria de Cartagena "Es esencial una gestión eficaz y una comunicación clara sobre los beneficios de una mayor protección digital" "Integrar la ciberseguridad industrial en la estrategia portuaria es clave para una infraestructura digital segura" Los retos de CAF en ciberseguridad industrial se dividen en dos ámbitos clave. En primer lugar, en el entorno de fábrica, nos enfrentamos a desafíos clásicos: procesos consolidados y hábitos de trabajo que pueden generar resistencia al cambio. La implementación de medidas de seguridad puede percibirse como una limitación a la autonomía operativa, por lo que es esencial una gestión del cambio eficaz y una comunicación clara sobre los beneficios de una mayor protección digital. En segundo lugar, desde el punto de vista de nuestros productos y servicios –como los equipos embarcados o los propios trenes–, la ciberseguridad es crítica. Estos sistemas deben ser funcionales y resilientes frente a amenazas externas, cumpliendo con normativas como la Directiva NIS2 o la Ley de Ciberresiliencia. Ambas normativas exigen un control más riguroso de la cadena de suministro, lo que supone un reto importante en un sector con proveedores muy especializados y poca experiencia en ciberseguridad. Esto complica la adopción de prácticas como la gestión de vulnerabilidades o la seguridad por defecto. Además, la coexistencia con sistemas de seguridad funcional (safety) y la conectividad limitada en entornos ferroviarios dificultan la respuesta ante incidentes o la aplicación de parches de seguridad. Las tecnologías operacionales son fundamentales para la operativa portuaria, ya que controlan procesos críticos como el atraque, el suministro energético, el balizamiento o la monitorización ambiental. En este contexto, la ciberseguridad industrial afronta retos estructurales, organizativos y tecnológicos, y la falta de perfiles especializados en entornos OT limita la capacidad de respuesta ante amenazas en infraestructuras críticas. Por ello, es prioritario implantar planes formativos que capaciten en detección y mitigación de vulnerabilidades en sistemas SCADA, PLC o sensores. Además, la elevada dependencia de proveedores externos exige establecer cláusulas contractuales específicas y realizar auditorías OT que verifiquen el cumplimiento de requisitos de ciberseguridad. La integración de estos activos en los SOC, junto con capacidades de vigilancia digital adaptadas al entorno industrial, permitirá una supervisión más eficaz y continua. Por otra parte, el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad incorporará al derecho español los requisitos de la Directiva NIS2, con medidas específicas para proteger entornos OT y reforzar la supervisión sobre operadores esenciales. Integrar la ciberseguridad industrial en la estrategia portuaria es clave para consolidar una infraestructura digital segura, resiliente y alineada con los desafíos del entorno marítimo actual.

Ciberseguridad industrial que permite a tu empresa prosperar Kaspersky Industrial CyberSecurity es una plataforma de detección y respuesta extendida (XDR) ceeiicada para proteger distintos niveles de los sistemas de automatización. Es implacable contra las ciberamenazas, sencilla con los procesos y ofrece un enfoque holístico para la ciberseguridad OT.

28 red seguridad tercer trimestre 2025 monográfico ciberseguridad industrial ¿Cómo debe avanzar la industria en materia de ciberseguridad? La industria vive un momento de transformación sin precedentes que abre la puerta a nuevos modelos de producción más eficientes, pero también a un mayor número de riesgos. Los ataques a infraestructuras críticas, el robo de datos sensibles, las interrupciones en cadenas de suministro o la manipulación de procesos industriales son algunas de las amenazas que ponen en jaque la continuidad del negocio y la confianza de clientes y ciudadanos. Con este telón de fondo, Red Seguridad y el Centro de Ciberseguridad Industrial reunirán, en octubre, a varios profesionales del sector en el primer Desayuno ICSO, un foro de debate en el que se abordarán los pasos que deben dar las organizaciones industriales para elevar su nivel de ciberseguridad. En este sentido, la empresa patrocinadora de este encuentro (Zscaler) y las copatrocinadoras (GMV, TXOne y Nozomi) analizan cuáles son los aspectos más urgentes y necesarios al respecto.

RkJQdWJsaXNoZXIy MTI4MzQz