¿Qué es la ciberseguridad OT? Protección de plantas industriales
¿Qué es la OT-Security? OT-Security es la protección de la tecnología operativa, es decir, el hardware y software que controla procesos físicos en producción, energía e infraestructura. Incluye sistemas de control industrial, entornos SCADA y controladores programables. La OT-Security sigue prioridades diferentes a la seguridad informática tradicional, porque aquí la disponibilidad de la planta está por encima de todo.
Lo más importante en resumen
- Qué protege: Los sistemas que controlan máquinas, instalaciones y procesos físicos, desde la línea de producción hasta la subestación.
- La diferencia: En OT la disponibilidad precede a la confidencialidad. Un parche que deja una planta fuera de servicio puede costar más que el riesgo que cubre.
- El desafío: Ciclos de vida de veinte años o más, protocolos heredados sin autenticación y una creciente interconexión con la TI.
¿Por qué la OT funciona diferente a la IT?
En la seguridad informática clásica suele primar el triángulo confidencialidad, integridad y disponibilidad. En la OT ocurre lo contrario. La disponibilidad ocupa el primer puesto, ya que una línea de producción detenida o una falla en una subestación generan consecuencias físicas y económicas inmediatas. La seguridad, entendida como safety, es decir, la protección de personas y medio ambiente, se añade como una dimensión propia.
El cronograma temporal difiere. Mientras que los sistemas de IT se reemplazan cada pocos años, las instalaciones operan durante veinte años y más. Muchos controladores clásicos utilizan protocolos como Modbus o Profinet, que originalmente se diseñaron sin autenticación. Nuevos perfiles y mecanismos de seguridad de gateways pueden limitar el riesgo, pero en el legado la protección suele ser una responsabilidad del diseño de red. Una actualización requiere ventanas de mantenimiento planificadas en lugar de implementaciones espontáneas.
Así permanecen a menudo las instalaciones de producción en funcionamiento, mucho más allá del ciclo de vida de los sistemas IT clásicos
Fuente: BSI
Dónde surgen los riesgos
Durante mucho tiempo, las redes OT estaban físicamente aisladas de la esfera exterior. Esa separación está cediendo paso, ya que la gestión remota, el análisis de datos y la conexión con sistemas empresariales aportan ventajas. Con la interconexión, la superficie de ataque se expande. Una red IT comprometida puede convertirse así en una puerta de entrada a la producción.
Se complica aún más, ya que muchas instalaciones carecen de funciones de seguridad incorporadas y no se pueden retrofit fácilmente. Herramientas IT tradicionales, como escaneos de vulnerabilidades agresivos, pueden perturbar incluso los controladores sensibles. La seguridad OT, por tanto, requiere métodos adaptados en lugar de una simple transferencia de prácticas IT.
PRIMEROS PASOS PARA ASEGURAR LA OT
- ✓Crear un inventario completo de todas las instalaciones OT y sus protocolos
- ✓Segmentar las redes OT de la IT y controlar los enlaces
- ✓Proteger y registrar los accesos de mantenimiento remoto
- ✓Adaptar los planes de respuesta a particularidades OT, como ventanas de mantenimiento
El marco para la seguridad OT
Como estándar central se ha consolidado la serie de normas IEC 62443. Aborda a operadores, integradores y fabricantes y describe los requisitos de seguridad a lo largo de todo el ciclo de vida de una instalación, entre ellas la evaluación de riesgos con zonas y conduits (parte 62443-3-2) así como los requisitos del sistema y los niveles de seguridad (parte 62443-3-3). En Alemania, el BSI incluye la OT, entre otros, en los componentes IND del compendio IT-Grundschutz, como el IND.1 de procesos de control y automatización. Como referencia estadounidense, NIST SP 800-82 complementa la protección de los sistemas de control industriales. Frecuentemente se utiliza el modelo Purdue como estructura, que separa los niveles desde la automatización de campo hasta la informática empresarial.
Regulatoriamente, la OT gana mayor atención. NIS2 y el marco KRITIS abarcan a muchos operadores de instalaciones industriales. Para la industria DACH, con su fuerte producción, la seguridad OT se ha convertido en una parte esencial de la obligación de ciberresiliencia.
Cómo se unen IT y OT
Durante mucho tiempo, los equipos de IT y OT trabajaron separados, con objetivos y lenguajes propios. La IT pensaba en ciclos de parches y confidencialidad, mientras que la OT se centraba en la disponibilidad y la seguridad de las instalaciones. Con la creciente interconexión, esta separación ya no es viable. Un ataque que comienza en la red corporativa puede terminar afectando la producción.
El camino pasa por una gobernanza compartida en lugar de que una parte absorba a la otra. Resulta útil establecer una responsabilidad integral, a menudo bajo el CISO, que supervise la seguridad de IT y OT bajo un mismo paraguas, sin ignorar las particularidades de la OT. Evaluaciones de riesgos conjuntas, planes de respuesta coordinados y una visión compartida van acercando ambas áreas paso a paso.
La mirada a la cadena de suministro
Un riesgo a menudo subestimado en la OT es el acceso desde fuera. Las instalaciones suelen ser mantenidas por fabricantes o integradores a distancia, con amplios permisos y accesos propios. Cada uno de estos accesos es una posible puerta de entrada que debe tratarse con la misma meticulosidad que las cuentas internas.
Lo adecuado son accesos de mantenimiento remoto controlados y registrados en lugar de conexiones permanentes abiertas. El acceso solo se habilita cuando se necesita, está ligado a una persona y se registra. Además, las exigencias de seguridad deben incluirse en los contratos con los proveedores para que la cadena, del fabricante a la instalación, sea rastreable y garantizada.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Cuál es la diferencia entre IT y OT?
La Tecnología de la Información (IT) procesa la información, mientras que la Tecnología Operacional (OT) controla los procesos físicos. En el ámbito de la IT, normalmente la confidencialidad ocupa el primer plano, mientras que en la OT se prioriza la disponibilidad y la seguridad de las personas y las instalaciones.
¿Qué significan ICS, SCADA y SPS?
ICS es el término general para sistemas de control industriales. SCADA se refiere a sistemas de supervisión y control de procesos distribuidos. SPS significa sistemas programables de control, que regulan máquinas individuales.
¿Por qué no se puede parchear simplemente la Tecnología Operacional (OT)?
Los equipos suelen funcionar sin descanso. Una actualización puede interrumpir la operación o poner en riesgo la certificación. Los parches requieren ventanas de mantenimiento programadas y pruebas exhaustivas, en lugar de aplicarse de forma improvisada.
¿Cuál es el estándar aplicable a la OT-Security?
Como referencia central sirve la serie de normas IEC 62443. Define requisitos para operadores, integradores y fabricantes a lo largo de todo el ciclo de vida.
¿Está la OT-Security afectada por NIS2?
En muchos casos sí. NIS2 y el marco KRITIS abarcan a numerosos operadores de instalaciones industriales e infraestructurales, cuya OT queda así bajo las obligaciones de seguridad.
Más de la red MBF Media
cloudmagazinUn modelo para todo será un error de arquitectura en 2026MyBusinessFuturePasaporte digital de producto: qué deben hacer los fabricantesDigital ChiefsCinco lugares donde se rompe el software de la cadena de suministro


