El 2025 Mobile, IoT & OT Threat Report de Zscaler ThreatLabz no deja espacio para la interpretación: los vectores móviles, IoT (Internet de las Cosas) y OT (Tecnología Operacional) han dejado de operar como silos independientes. La infraestructura crítica se ha convertido en el terreno preferido de grupos de amenaza que explotan, con precisión sistemática, la interdependencia de estos tres dominios para maximizar el impacto de sus operaciones.

Los números son la señal más clara de que esto ya no es una advertencia hipotética. Los ataques de malware IoT aumentaron un 459% en el sector energético y un 861% en el educativo. El malware móvil para Android escaló un 67% interanual. Esto no es ruido estadístico, es el patrón de una campaña organizada contra los cimientos digitales de la economía global.

El Dispositivo Móvil como Vector de Entrada Persistente

El perímetro corporativo tradicional colapsó hace años. Lo que lo reemplazó fue una superficie de ataque distribuida y en constante movimiento, cuyo nodo más vulnerable sigue siendo el dispositivo móvil del empleado. Android concentra la mayor parte de la actividad maliciosa registrada y los adversarios lo explotan con una sofisticación que ya rivaliza con los playbooks de APT más consolidados.

El troyano bancario Anatsa es el caso paradigmático. Apunta actualmente a más de 831 instituciones financieras en todo el mundo y se distribuye a través de aplicaciones aparentemente legítimas en la Play Store, catalogadas bajo categorías inofensivas como "Herramientas" para luego abusar de los Servicios de Accesibilidad de Android y obtener control total del dispositivo. Una vez dentro, puede leer la pantalla, interceptar credenciales de sesión y operar de forma autónoma dentro de las apps bancarias de la víctima, sin que el usuario detecte actividad anómala. No hay alerta. No hay fricción visible. Solo exfiltración continua.

Las capacidades de evasión ya no son un módulo añadido. Son parte del diseño original desde la primera compilación:

• Archivos ZIP malformados y ofuscación polimórfica para superar el análisis estático de las soluciones antivirus tradicionales antes de la instalación.
• Verificación activa del entorno: el malware detecta si se ejecuta en un sandbox o emulador y suspende toda actividad hasta confirmar que opera en un dispositivo físico real.
• Xnotice RAT combina keylogging continuo con screen capture para exfiltrar datos en tiempo real, con capacidad para evadir EDR convencionales que no inspeccionan tráfico cifrado de aplicaciones móviles.

El dispositivo móvil no es el destino final. Es el punto de entrada hacia redes corporativas donde, cada vez con más frecuencia, coexisten segmentos OT conectados sin la segmentación adecuada.

Cuando el Router se Convierte en Pivote de Ataque

La expansión de dispositivos conectados desde sensores industriales hasta equipos médicos ha generado una superficie de ataque que los adversarios explotan a escala industrial. El ecosistema de malware IoT está dominado por un oligopolio estable: Mirai, Mozi y Gafgyt acumulan el 75% de todas las cargas útiles maliciosas registradas en el período analizado.

Su longevidad no es accidental, su modelo es brutalmente eficiente, explotación automatizada de vulnerabilidades conocidas en dispositivos con firmware obsoleto, credenciales por defecto o puertos de gestión expuestos directamente a internet.

El router es el pivote central de esta estrategia. Representa más del 75% de los objetivos en ataques IoT, y la razón es estructural: su posición en la red lo convierte en el activo de mayor rentabilidad operativa para el adversario. Los atacantes explotan vulnerabilidades de inyección de comandos y RCE (Ejecución Remota de Código) no autenticadas para reclutar estos dispositivos en sus botnets, transformándolos en plataformas de lanzamiento para ataques DDoS masivos o en puntos de entrada para el lateral movement dentro de redes corporativas.

En entornos donde los segmentos de TI y OT no están adecuadamente aislados, que son la mayoría, según el informe, ese lateral movement puede alcanzar sistemas de control industrial con una facilidad que sorprendería a muchos responsables de seguridad. Los atacantes no necesitan zero-days para cruzar esa frontera. Les basta con credenciales débiles en un router que lleva tres años sin actualizar.

Geográficamente, la distribución de amenazas se redistribuye. Estados Unidos sigue siendo el principal objetivo con el 54% de los ataques IoT, pero el crecimiento de hotspots en Hong Kong (15%) y Alemania (7%) indica una diversificación deliberada de la infraestructura operativa de los grupos de amenaza, probablemente en respuesta a mayores capacidades de atribución en territorio norteamericano.

Energía, Salud y Manufactura: los Sectores que no Pueden Fallar

La convergencia IoT-OT alcanza su dimensión más crítica en sectores donde un compromiso digital tiene consecuencias físicas directas e inmediatas. Manufactura y transporte concentran conjuntamente el 40% de todos los ataques de malware IoT, impulsados por la integración profunda entre dispositivos IoT modernos y sistemas OT legados que nunca fueron diseñados para operar en entornos conectados. Un compromiso en un punto aparentemente menor de la red puede propagarse a través de sistemas SCADA interconectados, causando paradas de producción no planificadas, fallos logísticos en cascada y disrupciones en las cadenas de suministro globales. La interdependencia es el vector.

En energía y salud, el crecimiento es exponencial: 387% en ataques Android en el sector energético y 224% en el sanitario. La lógica del adversario es transparente, estos objetivos ofrecen el mayor retorno posible, ya sea económico o estratégico. Un ransomware que paraliza un hospital no solo cifra archivos: interrumpe cirugías en curso, desactiva monitores de pacientes en UCI y fuerza desvíos de ambulancias a centros alternativos. Un ataque coordinado contra infraestructura energética con acceso a sistemas SCADA puede escalar mucho más allá de un incidente informático convencional, con consecuencias que se miden en cortes de suministro a miles de hogares.

La proliferación de dispositivos de IoT médico (IoMT) bombas de infusión, monitores cardíacos, equipos de diagnóstico por imagen conectados a redes estándar de TI es, en este contexto, una puerta trasera institucionalizada que ningún CISO debería tolerar sin un plan de segmentación activo.

Estrategia Defensiva: Zero Trust como Marco Unificador

Zscaler propone un enfoque de defensa integral basado en los principios de Zero Trust para entornos OT e industriales. Las recomendaciones no son orientativas, son controles operativos cuya ausencia ya está siendo explotada activamente:

1. Visibilidad y gestión unificada de activos: Un inventario completo y clasificado de todos los dispositivos móviles, IoT y OT es el punto de partida no negociable. Sin saber qué hay en la red, la defensa es reactiva por definición. Lo que no se ve, no se puede proteger.
2. Segmentación y microsegmentación granular: Aplicar políticas de "redes de uno" para aislar dispositivos críticos limita drásticamente el lateral movement en caso de brecha. En entornos OT, esto equivale a control de daños antes de que el incidente ocurra.
3. Endpoint móvil equiparado al escritorio: Soluciones MDM y MTD deben aplicar las mismas restricciones de acceso que se exigen a los equipos corporativos tradicionales. El teléfono del empleado es un endpoint de plena equivalencia operativa, no un dispositivo personal con acceso privilegiado.
4. Inspección completa del tráfico SSL/TLS: Los adversarios utilizan canales cifrados para las comunicaciones de mando y control (C2) y la exfiltración de datos. Inspeccionar todo el tráfico cifrado sin excepciones no es una mejora opcional, es una condición de operación en cualquier entorno con exposición a estos vectores.

---

Los vectores de amenaza móvil, IoT y OT ya no son tres problemas con tres presupuestos separados. Son un sistema interconectado que los adversarios comprenden mejor, y explotan con más consistencia, que muchos equipos de seguridad corporativos. La pregunta no es si tu organización tiene dispositivos IoT expuestos o redes OT con conectividad parcial a internet, casi con certeza los tiene. La pregunta real es: ¿cuántos saltos necesita un atacante para llegar desde uno de esos dispositivos hasta los sistemas que sostienen tus operaciones críticas?