Un análisis „Analyzing CPS Attack Trends“ Claroty Team 82 muestra que actores oportunistas utilizan métodos de bajo nivel técnico para interrumpir sistemas ciberfísicos en sectores alineados con conflictos en curso.
Los conflictos geopolíticos continúan moldeando la actividad cibernética dirigida contra sistemas operativos. Una investigación que abarca de enero a diciembre de 2025 examinó más de 200 ataques verificados contra sistemas ciberfísicos (CPS) realizados por colectivos hacktivistas. Los incidentes, extraídos de fuentes abiertas, plataformas sociales y canales de mensajería, ilustran un patrón de operaciones oportunistas en lugar de intrusiones complejas.
Los atacantes alineados con intereses rusos dirigieron principalmente sus esfuerzos hacia países de la Unión Europea y Ucrania. Italia representó el 18 por ciento de esos incidentes, seguida de Francia con el 11 por ciento y España con el 9 por ciento. Las acciones directas contra Ucrania fueron el 8 por ciento, afectando a menudo infraestructura de energía y calefacción. Los grupos asociados con posiciones iraníes se concentraron en objetivos en Estados Unidos (42 por ciento) e Israel (39 por ciento), con participaciones menores en Francia, Grecia y otras naciones mencionadas. Los ataques reflejan alineaciones regionales. Entidades de habla rusa se centraron en naciones que brindan apoyo en el conflicto de Ucrania. Actores iraníes y árabes enmarcaron las operaciones como respuestas a desarrollos en Oriente Medio. Un conjunto menor de grupos fuera de las zonas centrales adoptó posiciones rusas, extendiendo el alcance mediante recursos compartidos.
Los sectores de manufactura, agua y aguas residuales, y generación de energía formaron el núcleo de los objetivos, superando juntos el 45 por ciento de los casos. La manufactura lideró con el 19 por ciento, agua y aguas residuales con el 15 por ciento, y energía con el 12 por ciento. Estos sectores se seleccionaron por su visibilidad y el potencial para señalar disrupciones en los servicios diarios. Sectores adicionales incluyeron agricultura (10 por ciento), petróleo y gas (9 por ciento), comercio minorista y hotelería (8 por ciento), atención médica (8 por ciento) y otros con participaciones menores.
Los patrones técnicos destacan. En el 82 por ciento de los incidentes, los atacantes emplearon clientes de Virtual Network Computing (VNC) para acceder a activos expuestos en internet. Los dispositivos presentaban frecuentemente credenciales predeterminadas o débiles, lo que permitía el control remoto. Los sistemas de Supervisory Control and Data Acquisition (SCADA) y Human-Machine Interface (HMI) aparecieron en el 66 por ciento de los compromisos. El acceso al protocolo Modbus ocurrió en un subconjunto menor, generalmente combinado con VNC. Otros vectores incluyeron HTTP (7 por ciento), software de proveedores (6 por ciento) y casos limitados de PCs comprometidos o protocolos de control remoto.
La secuencia operativa siguió etapas consistentes. Los actores primero identificaron clases de dispositivos que exponían servicios como VNC o Modbus. Luego consultaron plataformas de escaneo para localizar instancias expuestas en internet. La enumeración se basó en clientes de código abierto para leer registros o probar credenciales. El acceso condujo a cambios de parámetros que alteraron procesos físicos. Los pasos finales incluyeron la captura de evidencia y la publicación de reclamos en canales públicos o cerrados para asociar las acciones con posiciones políticas.
El enfoque difiere de las campañas convencionales dirigidas. En lugar de una presencia sostenida o explotación de vulnerabilidades zero-day, los grupos seleccionaron activos expuestos que coincidían con criterios geográficos o ideológicos. Las herramientas permanecieron básicas: visores VNC gratuitos como UltraVNC y TightVNC, utilidades de línea de comandos, módulos de Metasploit y, en casos limitados, software de estaciones de trabajo de ingeniería de proveedores. Muchos sistemas atacados, incluidos controladores lógicos programables antiguos y unidades HMI integradas, conservaron configuraciones de fábrica.
La metodología de investigación involucró el mapeo de fuentes en la web, foros y plataformas de mensajería, seguido de recopilación continua centrada en CPS expuestos en internet, protocolos OT y sectores críticos, verificación de reclamos de actores mediante capturas de pantalla o videos compartidos, y análisis estructurado del contexto geopolítico, sector de la víctima y vector técnico. Las limitaciones incluyen la dependencia de datos autorreportados, posible exageración para aumentar el impacto y exclusión de eventos no reportados. El conjunto de datos cubre la actividad de 2025 y precede a ciertos desarrollos posteriores.
Los hallazgos indican que la exposición de protocolos de acceso remoto y la ausencia de autenticación crean puntos de entrada accesibles. Las organizaciones que operan activos CPS enfrentan enumeración rutinaria por parte de actores que buscan efectos rápidos y visibles para avanzar en sus causas declaradas. Los incidentes subrayan el papel de los controles básicos de configuración —como desactivar la exposición innecesaria a internet, cambiar credenciales predeterminadas y segmentar redes OT— para limitar el alcance de estas operaciones.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de