Europa del Sur cerró 2025 como la región europea con el mayor crecimiento de ciberamenazas dirigidas contra sistemas de automatización industrial, según el último informe de Kaspersky ICS CERT “Threat landscape for industrial automation systems. Europe, Q4 2025” sobre el panorama de amenazas en entornos industriales. La región, en la que se incluye España, también encabezó a nivel mundial las amenazas distribuidas mediante correo electrónico, con una tasa de detección 2,3 veces superior a la media global.
Los datos reflejan una evolución contraria a la tendencia observada a escala internacional. Mientras el porcentaje global de equipos industriales en los que se bloquearon objetos maliciosos descendió hasta el 19,7 %, su nivel más bajo desde 2022, Europa del Sur registró un incremento de la actividad maliciosa durante el último trimestre del año. Entre octubre y diciembre de 2025, el porcentaje de equipos ICS de la región en los que se bloquearon amenazas pasó del 18,1 % al 18,8 %. Aunque la cifra se situó ligeramente por debajo de la media mundial, fue la más elevada de todas las regiones europeas analizadas y multiplicó por 2,2 los registros de Europa del Norte, considerada la zona más segura del estudio.
España se mantuvo en línea con la tendencia regional. Durante el cuarto trimestre, el 18,19 % de los equipos industriales registró bloqueos de objetos maliciosos, una cifra prácticamente equivalente a la media de Europa del Sur.
Uno de los aspectos más significativos del informe es el protagonismo creciente del correo electrónico como vía de ataque contra infraestructuras industriales. Europa del Sur lideró el ranking mundial de amenazas detectadas a través de clientes de correo electrónico en entornos ICS, con una tasa 2,3 veces superior a la media global. Según los analistas de Kaspersky ICS CERT, este comportamiento puede interpretarse como un indicador de una mayor exposición a campañas dirigidas y amenazas avanzadas contra organizaciones industriales. El impacto resulta especialmente relevante en sectores como la biometría y la automatización de edificios, donde el acceso inicial a sistemas industriales puede facilitar posteriores ataques a la cadena de suministro o comprometer infraestructuras conectadas.
La región también ocupó la primera posición mundial en documentos maliciosos detectados en equipos industriales, con una tasa 2,2 veces superior a la media global. Este tipo de archivos suele distribuirse mediante campañas de phishing y constituye una de las principales puertas de entrada para malware, exploits y robo de credenciales corporativas. A ello se suma la elevada presencia de scripts maliciosos y páginas de phishing. Europa del Sur se situó como la cuarta región más afectada del mundo en esta categoría, registrando una tasa de bloqueos 1,4 veces superior a la media global. Muchas de estas campañas tienen como objetivo obtener credenciales de acceso a servicios corporativos para utilizarlas posteriormente en redes industriales.
El informe también alerta sobre el aumento de amenazas más sofisticadas dirigidas a entornos industriales. Europa del Sur ocupó la tercera posición mundial tanto en detecciones de spyware como de ransomware. En el caso del ransomware, la tasa registrada fue 1,8 veces superior a la media global y protagonizó el mayor crecimiento trimestral entre todas las regiones analizadas.
España no fue ajena a esta evolución. Los ataques de ransomware detectados en sistemas industriales aumentaron del 0,16 % en el tercer trimestre al 0,20 % en el cuarto trimestre de 2025, confirmando la tendencia al alza observada en toda la región.
Otro de los indicadores que refleja la presión creciente sobre las infraestructuras industriales españolas es el aumento de las amenazas procedentes de Internet. Durante el cuarto trimestre de 2025, el 7,68 % de los equipos ICS en España registró bloqueos relacionados con amenazas llegadas desde Internet, frente al 6,70 % contabilizado en el trimestre anterior. La cifra sitúa al país por encima de la media de Europa del Sur, establecida en el 6,97 %, y lo posiciona entre los mercados más afectados de la región por este tipo de ataques.
Los expertos de Kaspersky ICS CERT advierten de que los sistemas de automatización industrial continúan siendo un objetivo prioritario para campañas de phishing, ransomware y robo de credenciales. La creciente digitalización de los entornos industriales y la interconexión de infraestructuras críticas elevan la exposición al riesgo y refuerzan la necesidad de adoptar estrategias específicas de ciberseguridad para proteger los procesos operativos y los servicios esenciales.
