Casi uno de cada cinco sistemas industriales en España registró ciberamenazas a finales de 2025

Kaspersky ICS CERT ha publicado su informe “Threat landscape for industrial automation systems. Europe, Q4 2025”, que sitúa a Europa del Sur  como el área europea con mayor crecimiento de ciberamenazas contra sistemas de automatización industrial durante el último trimestre de 2025. A nivel global, el porcentaje de equipos ICS en los que se bloquearon objetos maliciosos descendió hasta el 19,7%, el nivel más bajo desde 2022, pero el comportamiento en Europa del Sur ha sido el opuesto, con un incremento notable de actividad maliciosa.

En concreto, el porcentaje de equipos ICS afectados en Europa del Sur ha aumentado del 18,1% en el tercer trimestre al 18,8% en el cuarto, la cifra más alta entre todas las regiones europeas y 2,2 veces superior a la registrada en Europa del Norte, la zona más segura del análisis. En España, el 18,19% de los sistemas industriales ha registrado bloqueos de objetos maliciosos en el cuarto trimestre, una cifra prácticamente idéntica al trimestre anterior (18,25%) y muy cercana a la media regional.

 

El correo electrónico sigue siendo la principal vía de entrada de amenazas

Uno de los datos más relevantes del informe es el fuerte crecimiento de las amenazas distribuidas a través del correo electrónico. Europa del Sur ha liderado todas las regiones del mundo en ataques detectados desde clientes de email, con una tasa 2,3 veces superior a la media global. Según Kaspersky, este tipo de amenazas refleja una mayor exposición a ataques avanzados dirigidos contra infraestructuras industriales, especialmente en sectores como biometría y automatización de edificios, donde el compromiso de sistemas ICS puede desencadenar ataques posteriores a la cadena de suministro.

La región también ha encabezado la clasificación mundial en documentos maliciosos bloqueados en equipos ICS, con una tasa 2,2 veces superior a la media global. Estos archivos, habitualmente distribuidos mediante campañas de phishing, actúan como puerta de entrada para malware, exploits o robo de credenciales corporativas. Además, Europa del Sur ha ocupado el cuarto puesto mundial en scripts maliciosos y páginas de phishing bloqueadas, con una tasa 1,4 veces superior a la media global, muchas de ellas diseñadas para robar datos de autenticación e infiltrarse posteriormente en redes industriales.

El informe también destaca el crecimiento del spyware y del ransomware en sistemas industriales de la región. Europa del Sur ha ocupado el tercer puesto mundial en ambos indicadores. En ransomware, la cifra se ha situado 1,8 veces por encima de la media global y ha registrado el mayor crecimiento trimestral de todas las regiones analizadas. En España, los ataques de ransomware han aumentado del 0,16% en el tercer trimestre al 0,20% en el cuarto.

Como amenaza destacada del trimestre, Kaspersky ICS CERT ha señalado la campaña de phishing Curriculum-vitae-catalina, distribuida mediante correos electrónicos que simulaban currículums y contenían el malware Backdoor.MSIL.XWorm. Esta campaña ha impulsado especialmente el crecimiento de gusanos informáticos en sectores como automatización de edificios y construcción.

En el caso concreto de España, el informe sitúa al país entre los más afectados de Europa del Sur por amenazas procedentes de Internet dirigidas a sistemas industriales, con un 7,68% de equipos ICS afectados en el cuarto trimestre, por encima de la media regional (6,97%) y en aumento respecto al 6,70% del trimestre anterior.

Los analistas de Kaspersky ICS CERT han recordado que los sistemas de automatización industrial continúan siendo un objetivo prioritario para campañas de phishing, ransomware y robo de credenciales, especialmente en sectores críticos e infraestructuras conectadas.