En 2021, un atacante accedió remotamente al sistema de tratamiento de agua de una ciudad en Florida e intentó elevar los niveles de hidróxido de sodio a concentraciones peligrosas para la salud. Un operador lo detectó a tiempo y revirtió el cambio manualmente. El sistema de control tenía software sin actualizar desde hace años y estaba conectado a internet sin autenticación robusta.
No fue ciencia ficción. Fue un martes por la mañana.
La convergencia IT/OT y la superficie de ataque que nadie planeó
Durante décadas, los entornos de tecnología operativa —sistemas de control industrial, SCADA, PLCs, redes de planta— existieron en un mundo separado del de la tecnología de información corporativa. Esa separación física era, en sí misma, un control de seguridad. Atacar un sistema de control industrial requería acceso físico o conocimiento muy especializado.
La digitalización industrial cambió eso. La necesidad de conectar los sistemas de planta con los sistemas de gestión empresarial —para monitoreo en tiempo real, para eficiencia operativa, para análisis de datos de producción— creó puentes entre dos mundos que tenían premisas de seguridad radicalmente distintas. El mundo IT asume que los sistemas pueden actualizarse, parchearse y reiniciarse. El mundo OT asume que los sistemas deben estar disponibles de forma continua y que una interrupción puede costar millones o poner en riesgo procesos físicos irreversibles.
El resultado es una superficie de ataque que combina la conectividad del mundo IT con la fragilidad del mundo OT. Y los atacantes lo saben.
Por qué los controles IT no funcionan en OT
Cuando el equipo de seguridad intenta aplicar su modelo de gestión de vulnerabilidades al entorno OT, aparece el primer problema: muchos de esos sistemas no pueden parchearse. No porque nadie lo haya intentado, sino porque el fabricante no publica parches para versiones antiguas, porque parchear requiere una ventana de mantenimiento que la planta no puede tomar, o porque el sistema está tan integrado con el proceso físico que cualquier cambio requiere validación extensa antes de implementarse.
El segundo problema es la visibilidad. Los protocolos industriales —Modbus, DNP3, Profinet, entre otros— no son los mismos que los protocolos de red corporativa. Las herramientas de monitoreo de seguridad IT no los entienden de forma nativa. Sin visibilidad sobre el tráfico de red OT, no hay forma de detectar comportamiento anómalo ni movimiento lateral entre sistemas.
El tercer problema es el impacto de la respuesta. En un entorno IT, contener un incidente puede implicar aislar un servidor o revocar credenciales. En un entorno OT, aislar un controlador puede detener una línea de producción, dañar equipos que requieren secuencias de apagado controlado o interrumpir procesos que no se pueden detener abruptamente sin consecuencias físicas. La respuesta a incidentes que funciona en IT puede empeorar el incidente en OT.
¿Qué hacer al respecto?
El punto de partida es el inventario. En entornos OT, frecuentemente nadie tiene un mapa completo de qué dispositivos están conectados, qué versión de firmware tienen y qué comunicaciones establecen con la red IT. Sin ese inventario, cualquier esfuerzo de seguridad opera sobre suposiciones.
El segundo paso es la segmentación. Separar las redes IT y OT con controles que limiten qué tráfico puede cruzar entre ellas —y monitorear activamente ese tráfico— reduce drásticamente la posibilidad de que un atacante que compromete la red corporativa llegue a los sistemas de planta. La segmentación no tiene que ser perfecta desde el inicio: tiene que ser mejor que la ausencia total de separación que tienen muchos entornos hoy.
El tercer paso es adaptar el plan de respuesta a incidentes para OT. Definir con el equipo de operaciones qué sistemas pueden aislarse en caso de incidente, en qué secuencia y con qué condiciones. Ese ejercicio, hecho con tiempo, evita que durante un incidente real el equipo de seguridad tome decisiones de contención que el equipo de planta sabe que van a causar daños adicionales.
¿Tu organización tiene hoy visibilidad sobre qué dispositivos industriales están conectados a la red corporativa y qué tráfico cruza entre ambos entornos?
Acciones inmediatas
- Realiza un inventario de dispositivos OT conectados a la red y documenta qué comunicación tienen con sistemas IT. Si no existe ese mapa, es la brecha más urgente de resolver. No se puede proteger lo que no se conoce, y en entornos industriales eso aplica literalmente: un dispositivo no inventariado puede ser el punto de entrada de un atacante durante meses sin que nadie lo detecte.
- Identifica qué sistemas OT tienen acceso a internet —directo o indirecto— y evalúa si ese acceso es necesario. Muchos dispositivos industriales tienen conectividad que fue habilitada para mantenimiento remoto o actualizaciones y nunca fue revisada como superficie de ataque. Cada conexión no justificada es una exposición activa.
- Revisa si existe segmentación real entre la red IT y la red OT o si ambas comparten el mismo espacio de direccionamiento sin controles de tráfico entre ellas. La segmentación es el control de mayor impacto en entornos industriales y el que más frecuentemente está ausente o es superficial.
- Incluye al equipo de operaciones de planta en la conversación de ciberseguridad OT. Los ingenieros de planta saben cómo funcionan los sistemas, qué puede detenerse, en qué secuencia y con qué consecuencias. Sin ese conocimiento, el equipo de seguridad no puede diseñar controles que la operación pueda adoptar sin poner en riesgo la producción.
- Verifica si tu plan de respuesta a incidentes actual tiene procedimientos específicos para entornos OT. Si el plan fue escrito solo pensando en infraestructura IT, necesita una extensión que defina qué hacer cuando el incidente afecta sistemas de control industrial. Esa extensión debe ser co-creada con el equipo de operaciones, no impuesta desde seguridad.
Si tu organización opera entornos industriales y quiere evaluar su exposición en la convergencia IT/OT, contáctanos en https://tbsek.mx/contacto/.
