BRIEFING DE SEGURIDAD · 09.07.2026 DEENFRES

Casos de estudio

Cuando una llamada paraliza la producción automotriz

Por Alec Chizhik · 7 de julio de 2026 · 8 min de lectura

El 31 de agosto de 2025, los sistemas de Jaguar Land Rover comenzaron a comportarse de manera extraña. Pocos días después, la producción se detuvo. Durante cinco semanas, en las plantas de Inglaterra, Eslovaquia y Brasil casi no se fabricó nada. No fue un robot cifrado ni un control secuestrado lo que lo provocó, sino la caída de la TI de la que depende toda la fabricación. El caso muestra cómo un ataque a la TI de oficina puede paralizar toda una producción y su cadena de suministro.

El caso en resumen

  • Qué ocurrió: Un ciberataque a la TI de Jaguar Land Rover detuvo la fabricación en varios centros durante aproximadamente cinco semanas a partir del 1 de septiembre de 2025.
  • El daño: El Cyber Monitoring Centre estima los costes para la economía británica en unos 1,9 mil millones de libras, aproximadamente 2,2 mil millones de euros. Para JLR se acumularon unos 50 millones de libras de pérdidas por semana.
  • La lección: No se atacaron las máquinas, sino la TI sin la cual no pueden funcionar. Quien no separa TI y producción y no prepara un modo de contingencia, arriesga la parada total.

La situación inicial

Jaguar Land Rover es el mayor fabricante de automóviles de Gran Bretaña y produce en varios centros en Inglaterra, así como en plantas en Eslovaquia y Brasil. Como es habitual en la industria automovilística, la producción está muy sincronizada y depende de una cadena de datos continua. Los pedidos, el suministro de piezas, la logística y el control de las líneas de producción se gestionan a través de sistemas de TI que deben estar permanentemente disponibles. Si esta cadena falla en algún punto, la línea de producción se detiene.

2,2 mil millones €

daño económico estimado

alrededor de 1,9 mil millones de libras

Precisamente esta dependencia hace vulnerables a los fabricantes. Un atacante no necesita tomar el control de los controladores lógicos programables de una línea de producción para causar daños. Basta con inutilizar los sistemas de TI sin los que no se registra ningún pedido ni se suministra ninguna pieza. El ataque a JLR es un ejemplo de esta vulnerabilidad, porque no se dirigió a los sistemas de control de producción, sino a la red administrativa y desde allí arrastró a la fabricación.

El desarrollo

A finales de agosto de 2025 se detectaron las primeras irregularidades en un centro británico. El 1 de septiembre, JLR detuvo la producción de forma preventiva y envió a una gran parte de la plantilla a casa. Al principio se habló de una interrupción breve. Sin embargo, el análisis del incidente y la reconstrucción limpia de los sistemas se prolongaron.

31.08.2025
Primeras irregularidades en los sistemas
01.09.2025
Producción detenida
23.09.2025
Parada de producción extendida hasta octubre
22.10.2025
Reinicio gradual de la fabricación

El 23 de septiembre la empresa extendió la parada de producción hasta octubre. Solo alrededor del 22 de octubre se reiniciaron algunos procesos de fabricación, de forma gradual y controlada. Entre la primera paralización y el lento reinicio transcurrieron unas cinco semanas. Durante ese tiempo, una de las principales empresas industriales del país prácticamente no produjo nada, con consecuencias inmediatas para cientos de proveedores que dependen de los pedidos de JLR.

Cómo entraron los atacantes

Según análisis de seguridad coincidentes, el ataque no comenzó con una brecha técnica, sino con engaño. Se informa de una campaña de vishing, es decir, llamadas telefónicas en las que los atacantes se hicieron pasar por el soporte de TI interno y convencieron a los empleados para que entregaran sus credenciales de acceso. Con nombres de usuario y contraseñas válidos, accedieron luego a la red a través de la conexión VPN.

Los análisis también señalan credenciales de acceso más antiguas obtenidas mediante malware infostealer y el abuso de tokens de acceso que permitieron eludir la autenticación multifactor. No se puede confirmar desde fuera si todos los detalles son exactos. Pero el patrón es claro: no se trató de un exploit de día cero, sino de identidades válidas, un acceso remoto y la elusión de segundos factores débiles. Un grupo que se hace llamar Scattered Lapsus$ Hunters reivindicó el ataque.

La reacción

JLR optó por no reiniciar rápidamente y por una reconstrucción controlada. Los sistemas se investigaron, limpiaron y se reactivaron de forma gradual, en lugar de forzar la producción en condiciones de incertidumbre. Este camino cuesta tiempo, pero impide que los atacantes permanezcan en la red o que los sistemas comprometidos causen daños de nuevo.

La magnitud de la interrupción trascendió la empresa. Como cientos de proveedores dependen directamente de JLR, toda la cadena de suministro se vio bajo presión. El gobierno británico intervino y apoyó a los proveedores para evitar insolvencias y daños permanentes a la base industrial. Así, un único incidente de TI se convirtió en un tema de política económica.

Las lecciones

La primera lección se refiere a la identidad. El acceso se consiguió mediante ingeniería social y credenciales válidas, no a través de una vulnerabilidad de software. Un help desk que realiza restablecimientos y autorizaciones sin una verificación de identidad rigurosa es una puerta abierta. Los procedimientos resistentes al phishing como FIDO2 y una verificación estricta en el soporte reducen notablemente este riesgo, ya que las contraseñas robadas por sí solas ya no bastan.

La segunda lección se refiere a la separación entre TI y producción. Cuando un fallo en la red administrativa arrastra a la fabricación, falta segmentación. Las redes cercanas a la producción deben separarse estrictamente de la red de oficina, con transiciones definidas y un modo de contingencia preparado que permita que las líneas sigan funcionando durante un tiempo limitado incluso sin la TI central. Esta capacidad determina si un incidente cuesta horas o semanas.

La tercera lección se refiere a la cadena de suministro. La parada de JLR muestra lo mucho que un solo fabricante sostiene a toda una red de proveedores. Es precisamente aquí donde NIS2, con su obligación de seguridad en la cadena de suministro, entra en juego. Quien forma parte de una cadena así debe entender su propia resiliencia como contribución a la resiliencia de toda la red, no solo como un asunto interno.

Preguntas frecuentes

Cada pregunta está cerrada. Al tocarla se desbloquea la respuesta.

¿Se hackeó el propio sistema de control de producción en JLR?

Según la información disponible, no. El ataque afectó a los sistemas de TI de los que depende la fabricación. Como sin estos sistemas no funcionan los pedidos, el suministro de piezas ni el control de las líneas, la producción se detuvo de todos modos.

¿Cuánto duró la paralización?

Aproximadamente cinco semanas. La producción se detuvo a principios de septiembre de 2025 y solo alrededor del 22 de octubre se reinició de forma gradual.

¿Cómo entraron los atacantes?

Según los análisis disponibles, mediante ingeniería social y credenciales válidas. Los empleados fueron engañados por teléfono, los accesos obtenidos permitieron entrar en la red a través de la conexión VPN y se eludieron segundos factores débiles. No se trató de un exploit de día cero.

¿Cuál fue el daño económico?

El Cyber Monitoring Centre estima los costes para la economía británica en unos 1,9 mil millones de libras, aproximadamente 2,2 mil millones de euros. Solo para JLR se acumularon alrededor de 50 millones de libras de pérdidas por semana.

¿Cuál es la lección más importante para otros fabricantes?

La producción y la TI de oficina deben estar separadas. Para el caso de emergencia se necesita un modo de contingencia preparado. Además, procedimientos de inicio de sesión resistentes al phishing y un help desk con verificación de identidad estricta, para que las contraseñas robadas por sí solas ya no basten.

Selección de la redacción

RecomendadoSüdwestfalen-IT: la lección de la TI municipalRecomendadoMFA adaptativo: La presión del NIS2 como palanca de Zero Trust en la PYME

Más de la red MBF Media

Digital ChiefsLa inteligencia artificial escribe el código. ¿Quién responde por ello?

Lectura adicional

Una revista de Evernine Media GmbH