Una de cada seis empresas industriales atacadas por ransomware en el primer trimestre de 2025 era una empresa alimentaria. España registró 122.223 incidentes de ciberseguridad en 2025, un 26% más que el año anterior, con 392 ataques de ransomware documentados. Si tu empresa produce, transforma o distribuye alimentos en Castilla y León, este artículo es para ti.
No para alarmarte. Para que tengas los datos.
Por qué el sector agroalimentario está en el punto de mira
Los operadores de ransomware no eligen a sus víctimas al azar. Eligen sectores donde parar la producción cuesta mucho y las empresas tienen pocas alternativas mientras reconstruyen sus sistemas. El sector agroalimentario cumple ese perfil mejor que casi ningún otro.
Una línea de sacrificio no puede esperar. La recogida de leche no se reprograma. La cadena de frío no admite pausas de 72 horas. Y el Reglamento CE 178/2002 exige trazabilidad de lote en todo momento. Si el ERP está cifrado, la distribución de producto puede quedar legalmente bloqueada hasta que los registros sean recuperados.
La mayoría de las empresas del sector operan con uno o dos responsables informáticos que gestionan a la vez la infraestructura, los proveedores y los usuarios. No porque hayan tomado una mala decisión, sino porque es la configuración estándar para una empresa de 50 a 200 empleados. Los atacantes lo saben, y lo incorporan a su cálculo.
Según el ENISA Threat Landscape 2025, el 14,9% de los incidentes de ransomware en la UE afectan al sector industrial. El mismo informe documenta 82 variantes distintas de ransomware activas y sitúa al ransomware como la amenaza número uno para el sector industrial europeo por tercer año consecutivo.
Los grupos que están atacando ahora mismo
Tres organizaciones criminales concentran la mayor actividad documentada contra el sector agroalimentario e industrial en Europa durante el último año.
Qilin ha registrado más de 700 ataques documentados, convirtiendo la manufactura alimentaria en su sector prioritario. Su método de entrada: dispositivos VPN y firewall Fortinet sin actualizar. El coste documentado de uno de sus ataques al sector: 31 millones de USD en ingresos perdidos (Asahi Group Holdings, septiembre 2025).
Akira y FOG comparten vectores de entrada idénticos: fallos en VPN SonicWall y destrucción activa de copias de seguridad mediante una vulnerabilidad en Veeam (CVE-2024-40711, severidad 9,8 sobre 10). Ambos grupos son capaces de cifrar toda la infraestructura de una pyme en menos de cuatro horas desde el primer acceso.
El caso de referencia más citado en el sector es JBS Foods (2021): el mayor productor cárnico del mundo paralizado en tres continentes en menos de 24 horas, con un pago de rescate de 11 millones de dólares. Vector de entrada: acceso remoto sin segundo factor de autenticación.
Lo que un atacante ve cuando busca empresas como la tuya
Una de las cosas que más sorprende a los directivos cuando les mostramos este análisis es que la exposición de su empresa es pública, verificable y accesible con herramientas gratuitas. Un atacante puede identificar y clasificar a una empresa como objetivo antes de que ella sepa que está siendo evaluada.
Nuestro análisis del sector en Castilla y León encontró lo siguiente.
- ERPs con pantalla de login accesibles desde internet sin ninguna capa de protección previa, algunos con vulnerabilidades críticas publicadas que afectan a versiones todavía en uso activo en la región.
- 235 endpoints de escritorio remoto visibles desde internet en las capitales provinciales de Castilla y León. Salamanca: 68. Valladolid: 51. León: 29. Varios ejecutan sistemas operativos que ya no reciben parches de seguridad de Microsoft.
- Paneles de control industrial e interfaces visibles en la región, en algunos casos en la misma red que los equipos de oficina, sin autenticación necesaria para acceder a ellos.
- Dispositivos de almacenamiento de backup accesibles públicamente desde fuera de la red, algunos con vulnerabilidades activas. Si son alcanzados antes de que se detecte el ataque, la recuperación sin pagar se vuelve significativamente más difícil.
Dos controles que cambian el resultado
La diferencia entre un incidente que cuesta 75.000 euros y uno que supera el millón la determina, en la mayoría de los casos documentados, dos factores.
MFA en todos los accesos remotos. La autenticación en dos pasos en VPN, escritorio remoto e interfaz web del ERP bloquea el vector de entrada principal de Qilin, Akira y FOG simultáneamente. No requiere equipo especializado ni inversión en nueva infraestructura. Requiere una decisión y un periodo de adaptación con empleados y proveedores externos.
Copias de seguridad desconectadas y verificadas. El 79% de las intrusiones exitosas documentadas en 2025 no emplearon malware. Los atacantes entraron con credenciales válidas y, una vez dentro, el objetivo fue destruir los backups antes de cifrar. Una copia de seguridad desconectada de la red principal y verificada periódicamente es la diferencia entre restaurar en horas y negociar con criminales.
Desde 2026, la transposición de NIS2 añade responsabilidad personal de los directivos en materia de ciberseguridad, extensible a su patrimonio.