#9 sin ningún tipo de seguridad (incluidos firewalls o enrutadores)
En según qué entornos, esto sigue ocurriendo. En la universidad donde trabajo todavía no se han migrado ni la mitad de las máquinas a rangos privados. Una máquina que unos estudiantes de doctorado enchufaron y configuraron con Remote Desktop la hackearon 2 veces, ambas veces le metieron un ransomware. Y esa tenía Windows 10, porque lo normal en sistemas legacy es tener Windows 98, XP o similares.
#22 el mismo servicio que un PC de escritorio: ninguno. Pero por defecto, en el momento en que se instala el trasto en cuestión (CNC como dice #21, horno de reflow, pick&place, sistema de inspección óptica, máquina de wirebonding, controles de la sala blanca...), se les da conexión a Internet, para actualizaciones del software de lo que controlan, porque es conveniente para los que trabajan con los cacharros (enviar diseños, configuraciones, monitorización, etc.). Pero llega un momento en que se desactiva el punto de red que tienen cerca y se les quita el cable de red, que es cuando se acaban las actualizaciones de seguridad del sistema.
El problema es que muchas universidades tienen rangos públicos bastante grandes, así que nunca se preocuparon por meter un router de por medio. Une a eso que los responsables de IT no saben o no tienen ganas de hacer su trabajo. Si yo enchufo una Raspberry Pi a la red y le doy una IP libre del rango público, puedo hacer casi lo que me plazca y abrir los puertos que quiera.