Los sistemas de control industrial (ICS), control supervisor y adquisición de datos (SCADA) y tecnología operativa (OT) gestionan infraestructuras críticas: energía, agua, transporte, fabricación. A diferencia de la seguridad IT tradicional, donde la prioridad es la confidencialidad de los datos, en OT la prioridad es la seguridad física y la disponibilidad. Un ciberataque a un sistema OT puede causar daños físicos, paradas de producción y riesgos para la vida humana.
En 2026, CISA, el NIST y el Departamento de Energía de EE.UU. han publicado guías conjuntas para adaptar los principios de Zero Trust a entornos OT, reconociendo que las amenazas a infraestructuras críticas son una prioridad de seguridad nacional.
1. IT vs OT: Diferencias Fundamentales
| Característica | IT | OT |
|---|---|---|
| Prioridad | Confidencialidad | Disponibilidad y seguridad física |
| Ciclo de parches | Semanal-mensual | Anual o por ventana de mantenimiento |
| Tolerancia a reinicios | Alta | Baja o nula (24/7/365) |
| Sistema operativo | Windows/Linux modernos | Windows Embedded, RTOS, firmware propietario |
| Protocolos | TCP/IP, HTTP, SSH | Modbus, DNP3, Profinet, OPC-UA, IEC 61850 |
| Tiempo de vida | 3-5 años | 15-25 años |
| Actualizaciones | Continuas | Raras o inexistentes sin parada de planta |
| Seguridad por diseño | Rara vez | Casi nunca en sistemas legacy |
2. Arquitectura de Red OT: El Modelo Purdue
El modelo Purdue (ISA-95 / IEC 62264) divide la red OT en niveles jerárquicos que deben estar segmentados y con control de tráfico estricto entre ellos:
Nivel 5 — Red Corporativa (Enterprise Network)
↑ control de acceso, firewall
Nivel 4 — Servicios de negocio (DMZ)
↑ DMZ industrial (protocol break)
Nivel 3 — Operaciones (SCADA, HMI, historiadores)
↑ firewall OT
Nivel 2 — Control (PLC, RTU, DCS)
↑
Nivel 1 — Dispositivos de campo (sensores, actuadores)
↑
Nivel 0 — Proceso físico (válvulas, motores, bombas)
Reglas de segmentación esenciales:
- Nunca tráfico directo entre Nivel 0-2 y Nivel 4-5
- DMZ industrial obligatoria entre Nivel 3 y Nivel 4 con protocol break (sin reenvío de protocolos industriales)
- Acceso remoto solo a través de jump boxes con autenticación multifactor y registro de sesiones completo
- Monitorización de tráfico entre niveles con detección de anomalías
3. Protocolos Industriales y su Seguridad
| Protocolo | Uso típico | Seguridad por defecto | Recomendación |
|---|---|---|---|
| Modbus TCP | Comunicación PLC/HMI | Sin autenticación, sin cifrado | Segmentar en red aislada, monitorizar tráfico |
| DNP3 | Energía, agua, oil & gas | Autenticación opcional (Secure DNP3) | Usar Secure DNP3 con cifrado |
| Profinet | Automatización industrial | Sin autenticación | Segmentación, Profinet Security Class 3 |
| OPC-UA | Intercambio de datos | Cifrado y autenticación opcionales | ForzarSecurityMode: SignAndEncrypt |
| IEC 61850 | Subestaciones eléctricas | Sin autenticación nativa | Usar perfiles de seguridad IEC 62351 |
| EtherNet/IP | Automatización | Sin autenticación | Segmentar, usar CIP Security |
Dato real: Según el NIST SP 800-82 Rev.3, la mayoría de los protocolos industriales fueron diseñados sin consideraciones de seguridad, asumiendo que operaban en redes aisladas y de confianza. La conectividad moderna ha eliminado ese aislamiento, pero los protocolos siguen siendo los mismos.
4. Principales Amenazas a Entornos OT
Ataques documentados:
- Stuxnet (2010): el primer ataque conocido dirigido a sistemas SCADA. Destruyó centrifugadoras nucleares iraníes modificando la frecuencia de los variadores de velocidad Siemens S7.
- Triton/Trisis (2017): ataque a sistemas de seguridad (SIS) de Schneider Electric Triconex en una planta petroquímica saudí. Diseñado para causar daños físicos.
- Colonial Pipeline (2021): ransomware que paralizó el mayor oleoducto de la costa este de EE.UU. Aunque afectó principalmente a sistemas IT, la paralización de facturación obligó a detener el bombeo físico.
- Volt Typhoon (2023-2025): campaña patrocinada por el estado chino que comprometió infraestructuras críticas en EE.UU., incluyendo sistemas de energía y comunicaciones, estableciendo persistencia a largo plazo.
MITRE ATT&CK for ICS
MITRE ATT&CK for ICS organiza 12 tácticas específicas para entornos OT, incluyendo:
- Initial Access: conexión remota, ingeniería social, compromiso de proveedores
- Execution: ejecución de código en HMI, PLC o ingeniería
- Persistence: modificación de firmware, programa ladder logic malicioso
- Evasion: disfrazar comandos maliciosos como tráfico legítimo de control
- Impact: manipulación de procesos, denegación de control, daño físico
5. Zero Trust para OT (CISA 2026)
En abril de 2026, CISA publicó un documento conjunto con el Departamento de Guerra y el Departamento de Energía sobre la adaptación de principios Zero Trust a OT. Los pilares clave son:
Govern
- Establecer políticas de seguridad que abarquen tanto IT como OT
- Definir roles y responsabilidades claros para la seguridad OT
- Realizar evaluaciones de riesgo específicas para procesos industriales
Identify
- Mantener un inventario completo de activos OT — NIST NCCoE lanzó un proyecto en 2026 específicamente para abordar el desafío de la gestión de activos OT, que a menudo carecen de inventarios completos debido a limitaciones de sistemas legacy, activos distribuidos geográficamente y protocolos diversos.
- Clasificar activos por criticidad para el proceso industrial
- Mapear dependencias entre sistemas OT y procesos físicos
Protect
- Segmentación de red basada en el modelo Purdue
- Autenticación multifactor para todo acceso remoto a OT
- Gestión de parches con ventanas de mantenimiento planificadas
- Backups verificados de configuraciones de PLC y HMI
Detect
- Monitorización continua de tráfico de red OT con detección de anomalías
- SIEM con capacidad de entender protocolos industriales (no solo logs IT)
- Honeypots OT para detectar reconocimiento de adversarios
Respond
- Plan de respuesta a incidentes específico para OT (no copiar el plan IT)
- Procedimientos de contención que no causen daños físicos
- Coordinación con agencias reguladoras sectoriales
Recover
- Procedimientos de recuperación manual (sin depender de automatización que podría estar comprometida)
- Pruebas periódicas de restauración desde backups verificados
- Ejercicios de mesa con equipos de operaciones y seguridad
6. El Estándar ISA/IEC 62443
IEC 62443 es la serie de estándares más completa para seguridad en automatización industrial. Se organiza en 4 niveles:
| Parte | Enfoque | Contenido |
|---|---|---|
| 62443-1-x | General | Terminología, métricas, vida útil |
| 62443-2-x | Política y procedimientos | Programa de seguridad, gestión de parches, formación |
| 62443-3-x | Seguridad del sistema | Segmentación (zonas y conductos), evaluación de riesgos |
| 62443-4-x | Seguridad del producto | Ciclo de vida de desarrollo seguro, requisitos técnicos |
Los Security Levels (SL) definidos en IEC 62443:
| SL | Descripción | Ejemplo de medida |
|---|---|---|
| SL 0 | Sin requisitos especiales | — |
| SL 1 | Protección contra violación casual | Autenticación básica |
| SL 2 | Protección contra violación intencional con recursos limitados | Cifrado, control de acceso |
| SL 3 | Protección contra violación intencional con recursos sofisticados | Autenticación multifactor, segmentación |
| SL 4 | Protección contra violación intencional con recursos extendidos | Técnicas de prevención de intrusión específicas de OT |
7. Gestión de Activos OT
La falta de inventarios completos de activos OT es el problema número uno en seguridad industrial. El proyecto del NIST NCCoE 2026 aborda específicamente este desafío.
Prácticas recomendadas:
- Inventario automatizado con herramientas que entienden protocolos OT (Nozomi, Claroty, Dragos)
- Identificación de todos los dispositivos conectados (incluyendo los no gestionados)
- Documentación de firmware, versiones de software y configuraciones
- Seguimiento de cambios en la configuración de PLC y RTU
- Integración con el sistema de gestión de vulnerabilidades
Checklist de Seguridad OT
Segmentación y Red
- Modelo Purdue implementado con segmentación por niveles
- DMZ industrial con protocol break entre IT y OT
- Acceso remoto solo mediante jump box con MFA
- Tráfico entre niveles monitorizado y registrado
- Dispositivos OT en VLAN separadas sin acceso a internet directo
Gestión de Activos
- Inventario completo de activos OT (hardware, firmware, configuraciones)
- Clasificación por criticidad para el proceso industrial
- Mapa de dependencias entre sistemas OT y procesos físicos
Parches y Actualizaciones
- Ventanas de mantenimiento definidas para actualizaciones OT
- Backups de configuración de PLC/HMI antes de cada cambio
- Firmware actualizado dentro del soporte del fabricante
- Dispositivos fuera de soporte identificados y con mitigaciones compensatorias
Monitorización
- Monitorización de tráfico de red OT con análisis de protocolos industriales
- Detección de anomalías en comunicaciones entre dispositivos OT
- Logs centralizados de eventos OT (cambios de configuración, alarmas, accesos)
Respuesta a Incidentes
- Plan de respuesta específico para incidentes OT (no copia del plan IT)
- Procedimientos de contención validados para no causar daños físicos
- Contactos de emergencia de fabricantes de equipos OT
- Ejercicios de mesa con equipos de operaciones y seguridad al menos cada 6 meses
Conclusión
La seguridad en entornos OT no puede copiar las prácticas de IT. Las prioridades son diferentes (disponibilidad > confidencialidad), los protocolos son distintos, y el ciclo de vida de los equipos es mucho más largo. La segmentación basada en el modelo Purdue, la gestión de activos, la monitorización de tráfico OT y la adaptación de Zero Trust según la guía de CISA 2026 son los pilares de una estrategia efectiva. En infraestructuras críticas, un incidente de seguridad no es solo un problema de datos — es un problema de seguridad física.
Artículos Relacionados
- Seguridad en Redes: Defensa Perimetral — Fundamentos de firewalls, IDS/IPS y segmentación de red
- Qué es Zero Trust (Confianza Cero) — Adaptación de Zero Trust a entornos industriales OT
- Incident Response y DFIR según NIST — Planes de respuesta a incidentes en infraestructuras críticas
- Ransomware: Prevención y Respuesta Empresarial — Protección contra ransomware en entornos OT
- Firewall: Qué es, Tipos y Cómo Configurar uno — Tipos de firewall, iptables, pfSense y WAF