Netcrook Logo
👤 KERNELWATCHER
🗓️ 18 Feb 2026   🌍 Asia

Intrusos Industriales: La Nueva Ola de Hackers que Apunta a Infraestructura Crítica en 2025

Dragos descubre tres nuevos grupos emergentes de amenazas cibernéticas que se enfocan en sistemas de control industrial, encendiendo las alarmas para la infraestructura crítica global.

Cuando las luces parpadean o el agua deja de fluir, es fácil culpar a una tormenta o a un interruptor defectuoso. Pero a medida que avanza 2025, una explicación más oscura comienza a tomar forma: una nueva generación de atacantes cibernéticos está infiltrando las redes invisibles que alimentan nuestro mundo. Según el último informe Year in Review de Dragos, tres grupos de amenazas recién identificados - Sylvanite, Azurite y Pyroxene - están apuntando metódicamente a los sistemas de control industrial (ICS) y la tecnología operacional (OT) en todo el mundo, señalando una escalada inquietante en la carrera armamentista cibernética contra la infraestructura crítica.

Datos Rápidos

  • En 2025, Dragos identificó tres nuevos grupos de amenazas - Sylvanite, Azurite y Pyroxene - que atacan activamente entornos ICS/OT.
  • Estos grupos han apuntado a sectores como energía, petróleo y gas, manufactura, agua y administración pública en Norteamérica, Europa, Asia y Oriente Medio.
  • Las técnicas van desde la explotación relámpago de vulnerabilidades hasta sofisticada ingeniería social y pivoteo de red desde IT hacia OT.
  • Algunos grupos están vinculados a actores respaldados por estados en China e Irán, con tácticas y objetivos superpuestos.
  • Los datos operativos robados podrían usarse para sabotaje futuro, no solo para espionaje.

Los Nuevos Rostros de las Amenazas ICS

El informe 2026 de Dragos revela que de los 26 grupos de amenazas rastreados, 11 estuvieron activos en 2025, con tres nuevos actores dejando su huella. Sylvanite actúa como un “corredor de explotación rápida”, armando vulnerabilidades recién descubiertas en cuestión de días - y a veces horas - tras su divulgación pública. En un caso, el grupo explotó una falla en una VPN menos de 48 horas después de que se hiciera pública, instalando puertas traseras persistentes y robando credenciales antes de entregar el acceso al notorio grupo Voltzite, especializado en infiltraciones a largo plazo en objetivos como la red eléctrica de EE. UU.

Las huellas de Sylvanite se han encontrado en sectores y continentes diversos, y sus actividades se superponen con grupos previamente vinculados a China, aunque Dragos advierte que la atribución sigue siendo difusa en el mundo sombrío del ciberespionaje.

Azurite, el segundo grupo nuevo, ha sido observado robando datos operativos detallados de industrias que van desde la manufactura hasta la defensa. Su modus operandi incluye secuestrar routers SOHO para construir redes proxy y usar dispositivos de borde comprometidos para acceder a entornos OT. En lugar de sabotear sistemas directamente, Azurite se enfoca en exfiltrar diagramas de red, datos de alarmas y configuraciones de PLC - planos vitales que podrían habilitar futuros ataques o interrupciones, especialmente en medio de tensiones geopolíticas.

El tercer actor de amenazas, Pyroxene, parece tener vínculos con grupos iraníes como APT35 y destaca por su uso de ingeniería social - creando perfiles falsos de reclutadores en LinkedIn para atraer víctimas. Pyroxene se especializa en moverse de dominios IT a OT y ha desplegado malware “wiper” capaz de dejar inoperativos los sistemas IT. Aunque no ataca directamente a los controladores industriales, tales ataques pueden paralizar operaciones al inutilizar la infraestructura IT crítica de la que depende OT, aumentando el riesgo de fallos en cascada en sectores como manufactura, servicios públicos y transporte.

Mientras tanto, grupos vinculados a Rusia como Kamacite y Electrum están expandiendo su alcance más allá de Ucrania, escaneando dispositivos industriales en EE. UU. y Europa, lo que sugiere un regreso a operaciones globales a medida que el frente cibernético del conflicto en Ucrania se enfría.

Más Allá del Espionaje: Preparándose para la Próxima Fase

Aunque gran parte de la actividad aún se centra en el espionaje y el robo de propiedad intelectual, Dragos advierte que los datos operativos detallados que ahora se están recolectando podrían sentar las bases para futuros sabotajes - convirtiendo potencialmente el conocimiento en impacto cinético. A medida que los atacantes perfeccionan su comprensión de los entornos ICS, los defensores deben mantenerse vigilantes, parcheando vulnerabilidades, segmentando redes y preparándose para amenazas que podrían no materializarse hasta que cambien los vientos geopolíticos.

La batalla por la infraestructura crítica ya no es teórica. Los adversarios están evolucionando, sus manuales de ataque se vuelven más sofisticados y las apuestas - literalmente - no podrían ser más altas.

WIKICROOK

  • ICS (Sistema de Control Industrial): Los ICS son sistemas informáticos que automatizan y controlan procesos industriales, como la manufactura y los servicios públicos, y son vitales para la eficiencia operativa y la seguridad.
  • OT (Tecnología Operacional): OT es el hardware y software utilizado para monitorear y controlar equipos, plantas y procesos industriales, distinto de los sistemas IT que gestionan datos.
  • n: Una vulnerabilidad n-day es una falla de seguridad conocida que permanece sin parchear en algún software, convirtiéndose en objetivo de ciberataques.
  • Web Shell: Un web shell es un script malicioso subido a un servidor por hackers, permitiéndoles controlar el servidor de forma remota a través de una interfaz web.
  • Wiper Malware: El wiper malware es un software malicioso que elimina o corrompe archivos de forma permanente, haciendo imposible su recuperación y causando graves pérdidas de datos o interrupciones del sistema.
Cybersecurity Critical Infrastructure Threat Groups
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news