La transformación digital ha alcanzado los sistemas que antes parecían impermeables al ciberespacio: las plantas eléctricas, los acueductos, las refinerías, manufactureras y los ferrocarriles. Hoy, la operación de la infraestructura crítica está profundamente conectada con sistemas digitales que controlan procesos físicos, abriendo nuevas fronteras para la eficiencia … pero también para el riesgo. En este contexto, la ciberseguridad de las tecnologías operativas (OT, por sus siglas en inglés) emerge como un campo clave en la defensa de los servicios esenciales que sostienen la vida moderna.
Un blanco cada vez más atractivo para los ciberataques.
La ciberseguridad OT se refiere al conjunto de prácticas, tecnologías y procedimientos diseñados para proteger sistemas de control industrial (ICS) y otros componentes ciberfísicos de posibles incidentes maliciosos o accidentales. Estos sistemas gestionan funciones críticas como la distribución de energía, el suministro de agua potable o la automatización de procesos industriales. Su particularidad es que, a diferencia de los sistemas tradicionales de tecnología de la información (IT), cualquier alteración en un entorno OT puede tener consecuencias físicas inmediatas y, a menudo, peligrosas.
La creciente digitalización de infraestructuras esenciales ha ampliado la superficie de ataque para actores maliciosos. Casos como el apagón masivo en Ucrania en 2015, el ciberataque al oleoducto Colonial en Estados Unidos (2021) y el intento de sabotaje en la planta de tratamiento de agua de Oldsmar, Florida, muestran que las amenazas no son hipotéticas: son una realidad presente y en expansión.
Entornos distintos, prioridades distintas: IT vs. OT
Aunque ambos mundos —el IT y el OT— requieren protección frente a ciberamenazas, su enfoque y prioridades son profundamente distintos. Mientras que la ciberseguridad IT se construye en torno a la triada de Confidencialidad, Integridad y Disponibilidad (CIA), el enfoque OT prioriza la seguridad física y la disponibilidad operativa.
En el entorno IT, una intrusión puede comprometer información sensible o propiedad intelectual. En OT, una intrusión puede detener una planta, dañar maquinaria o, en el peor de los casos, poner en riesgo vidas humanas. Además, muchas instalaciones industriales dependen de equipamiento legado (legacy), con sistemas que pueden tener décadas en funcionamiento y carecen de actualizaciones regulares. Esto obliga a una estrategia de seguridad más conservadora, donde cualquier cambio debe ser evaluado para no comprometer la estabilidad del proceso.
La arquitectura tradicional: el modelo Purdue.
Para entender cómo se organiza la tecnología operativa dentro de una organización, uno de los marcos más utilizados es el modelo Purdue, una referencia clásica que segmenta los sistemas en cinco niveles: desde la red corporativa hasta el control físico de los procesos industriales.
Los niveles superiores (4 y 5) corresponden a las redes empresariales, mientras que los niveles del 1 al 3 abarcan el entorno de producción: desde el sistema de control distribuido (DCS) y los controladores lógicos programables (PLC) hasta las interfaces SCADA y estaciones de ingeniería. Si bien el modelo Purdue sigue siendo una herramienta valiosa, la incorporación de dispositivos IoT industriales (IIoT) ha desdibujado sus límites, haciendo que los niveles se integren y comuniquen entre sí con mayor frecuencia, aumentando el riesgo de que una amenaza se propague entre capas.
Ciberataques de Alto Perfil en infraestructura crítica: lecciones de un riesgo creciente.
Diversos ciberataques de alto perfil han demostrado que existen vulnerabilidades explotables en cada capa de las arquitecturas OT, desde los niveles corporativos hasta los controladores físicos. Uno de los más paradigmáticos fue Stuxnet en 2010. Esta sofisticada amenaza, introducida mediante un dispositivo USB, logró replicarse silenciosamente entre sistemas Windows hasta llegar a los controladores SCADA encargados de operar centrífugas nucleares en Irán. Una vez dentro, Stuxnet saboteó físicamente las operaciones al alterar la velocidad de rotación de las centrífugas mientras enviaba datos falsos a los operadores, enmascarando el ataque.
Este incidente dejó en evidencia fallas fundamentales en el control de medios removibles, la gestión de permisos de instalación y la falta de monitoreo de comportamiento anómalo en la red.
Otro caso destacado fue el intento de sabotaje a la planta de tratamiento de agua en Oldsmar, Florida, en 2021, donde un atacante logró ingresar a los sistemas operativos del lugar a través de software de acceso remoto mal configurado y credenciales débiles. Una vez dentro, el actor malicioso intentó alterar los niveles de hidróxido de sodio (lejía) en el suministro de agua, pero fue detectado a tiempo por un operario. Este ataque evidenció la necesidad crítica de implementar mejores políticas de actualización de software, autenticación multifactor y monitoreo constante.
Ese mismo año, el ataque de ransomware contra Colonial Pipeline paralizó el transporte de combustibles en la costa este de EE. UU., provocando escasez y caos logístico. Los atacantes aprovecharon una VPN antigua y no retirada, accedieron con credenciales válidas pero no revocadas y cifraron los sistemas corporativos. Este evento remarcó la importancia de contar con visibilidad completa de activos, una gestión rigurosa del acceso de usuarios y procesos sólidos de autenticación y retiro de servicios obsoletos.
En septiembre de 2024, la ciudad de Arkansas City, Kansas, debió pasar a modo manual en su planta de tratamiento de agua tras detectar un ciberataque. Aunque la calidad del agua no fue comprometida, los ciudadanos experimentaron baja presión y retrasos en el servicio. El hecho ocurrió solo días después de una advertencia oficial de Water ISAC sobre amenazas rusas dirigidas al sector. La rápida intervención de autoridades locales, en coordinación con el Departamento de Seguridad Nacional (DHS) y el FBI, evitó un impacto mayor. El incidente resalta la urgente necesidad de contar con monitoreo completo de activos OT, protocolos de seguridad robustos para la infraestructura hídrica y un enfoque más proactivo en el intercambio de inteligencia sobre amenazas entre entidades del sector.
Línea de tiempo de ataques clave en el ambito OT
| Año | Ataque | Objetivo | Mecanismo |
|---|---|---|---|
| 2010 | Stuxnet | Sistemas SCADA y PLC nucleares | Propagación vía USB, modificación de código PLC, sabotaje físico oculto |
| 2013 | Havex / Dragonfly | Servidores OPC en sistemas SCADA | Backdoor plantado en dispositivos encontrados por escaneo de protocolos industriales |
| 2015 | BlackEnergy & KillDisk | Red eléctrica ucraniana | Phishing para plantar malware y destruir archivos clave de UPS y RTU |
| 2016 | Shamoon 2 (Disttrack) | Compañías energéticas del Golfo | Acceso remoto, malware persistente, eliminación masiva de datos |
| 2017 | ClearEnergy | PLCs específicos en SCADA | Explotación de vulnerabilidad de firmware para borrar lógica de control |
| 2017 | WannaCry Ransomware | Sistemas Windows sin parches | Encriptación masiva a través de vulnerabilidad EternalBlue |
| 2017 | Industroyer (CrashOverride) | Subestaciones eléctricas | Control remoto de interruptores eléctricos, mapeo de red y comandos destructivos |
| 2020 | SolarWinds | Ataque a la cadena de suministro de software | Código malicioso inyectado en actualizaciones del software Orion |
| 2021 | Oldsmar, FL | Planta de tratamiento de agua | Acceso remoto mediante software inseguro y manipulación de químicos |
| 2021 | Colonial Pipeline | Oleoducto de EE. UU. | Ransomware mediante VPN heredada y credenciales activas |
| 2024 | Arkansas City | Planta de agua municipal | Intrusión no especificada; detección temprana evitó consecuencias críticas |
Estos casos refuerzan un mensaje crucial: la seguridad de la tecnología operacional no puede seguir siendo una preocupación secundaria dentro de las estrategias de ciberseguridad. La sofisticación de los ataques, combinada con la fragilidad de sistemas legados y la interconexión creciente con redes TI, exige una revalorización urgente de las políticas de defensa en infraestructura crítica.
El desafío está en construir capacidades adaptativas, implementar detección temprana, y reforzar la colaboración entre organismos públicos y privados. La resiliencia de las naciones dependerá, cada vez más, de la seguridad de sus sistemas ciberfísicos.
Los operadores de infraestructura crítica siguen luchando con la falta de visibilidad en sus entornos de Tecnología Operacional (OT). Datos confiables sobre activos OT constituyen la base de toda estrategia de ciberseguridad industrial. Para proteger adecuadamente, primero hay que conocer lo que se tiene. Pero ir más allá de un simple inventario es crucial: no basta con saber qué dispositivos están conectados; es necesario comprender a fondo detalles como versiones de software, vulnerabilidades, parches aplicados, reglas de firewall y posiciones de los interruptores clave de los PLC.
Este nivel de visibilidad se vuelve aún más importante a medida que los ciberataques se tornan más furtivos y sofisticados. Grupos como Volt Typhoon utilizan técnicas de living off the land (LOTL), aprovechando herramientas legítimas ya presentes en el sistema. Este tipo de ataques puede evadir las defensas tradicionales, por lo que es esencial vigilar comportamientos inusuales como modificaciones en configuraciones, creación de cuentas nuevas, eventos de logs sospechosos o actividad inusual en los registros del sistema. Detectar estos signos tempranos puede significar la diferencia entre una intrusión frustrada y un sabotaje exitoso.
Una de las causas de esta falta de visibilidad es la reticencia histórica hacia métodos de monitoreo activo. Esto se debe en parte a incidentes pasados donde ejercicios liderados desde el IT, mal implementados, interrumpieron procesos OT críticos. Sin embargo, el manejo de activos OT ha madurado significativamente en las últimas dos décadas. Hoy, la recopilación integrada de datos, cuando se implementa correctamente, es una forma segura y eficaz de conocer y proteger los activos OT.
Un enfoque integral de recolección de datos OT debería centralizar múltiples fuentes, entre ellas:
- Ingreso manual de datos: desde hojas de cálculo en CSV o JSON, con detalles recolectados in situ.
- Monitoreo pasivo: análisis del tráfico de red OT para identificar dispositivos y sus comportamientos, sin generar interferencia.
- Monitoreo activo: bajo metodologías probadas, permite obtener datos más detallados como versiones de software, configuraciones, reglas de firewall, etc.
- Soluciones con agentes: cuando son aceptables, los agentes ofrecen recolección continua de datos con bajo impacto.
- Monitoreo sin agentes (agentless): útil en entornos sensibles donde los agentes están prohibidos o la conectividad es limitada.
- Sondeo nativo (native polling): extracción segura de información detallada desde dispositivos industriales como PLCs, RTUs y relés.
- Integración directa de bases de datos: muchas organizaciones ya almacenan datos OT valiosos en sistemas SQL u otros; integrarlos a una plataforma central es fundamental.
A medida que los ciberataques de alto perfil aumentan en número y sofisticación, las empresas privadas deben prepararse para enfrentar amenazas cada vez más capaces, incluso de actores estatales. Esta tarea puede abordarse de manera más efectiva mediante la comprensión sistemática de la arquitectura de red y aprendiendo de los ataques anteriores.
Una herramienta clave en esta labor es el marco MITRE ATT&CK for ICS, publicado por la organización sin fines de lucro MITRE. Esta matriz ofrece un lenguaje común en la industria para describir las tácticas, técnicas y procedimientos (TTPs) que los atacantes usan para acceder, explorar y explotar entornos industriales.
El marco identifica 11 categorías principales que reflejan el ciclo de vida de una intrusión:
- Acceso inicial, evasión y persistencia: cómo entran y permanecen los atacantes.
- Inhibición de respuestas: cómo desactivan mecanismos de defensa.
- Descubrimiento, recolección y movimiento lateral: cómo exploran y entienden el entorno.
- Ejecución, control de comando y manipulación de procesos: cómo impactan los sistemas para cumplir sus objetivos.
El uso del marco MITRE permite priorizar controles, detectar comportamientos anómalos según patrones conocidos y fortalecer puntos críticos.
Comprender la evolución del panorama de amenazas ya no es solo un asunto técnico, sino una necesidad empresarial. Sin medidas sólidas de seguridad industrial, las compañías se exponen a riesgos significativos para su seguridad física, estabilidad financiera y reputación corporativa.
Las pérdidas económicas pueden derivar de tiempos de inactividad inesperados, costos legales, multas regulatorias y primas de seguros elevadas.
A nivel de reputación, un incidente puede erosionar la confianza de clientes y socios, disminuyendo la base de usuarios y afectando los ingresos a largo plazo. Por ello, es fundamental que los responsables de ciberseguridad aprendan a comunicar eficazmente los riesgos al liderazgo ejecutivo y a justificar presupuestos adecuados para programas de ciberseguridad OT.
Solicitar inversiones en herramientas, personal y procesos para proteger la infraestructura crítica ya no es opcional. Es una decisión estratégica que impacta toda la cadena de valor del negocio.
Marcos para ciberseguridad OT/ICS
A la hora de decidir dónde enfocar futuras inversiones en ciberseguridad OT, existen múltiples estándares que pueden orientar el camino. Uno de los más reconocidos es el NIST Cybersecurity Framework (CSF), que ofrece un método claro y estructurado para identificar oportunidades de optimización en procesos de seguridad. Diseñado como una guía voluntaria, el CSF ayuda a las organizaciones a desarrollar estrategias sólidas de ciberseguridad alineadas con los objetivos del negocio.
El marco del NIST se organiza en torno a cinco funciones clave del ciclo de seguridad:
- Identificar: comprender activos, sistemas, personas, datos y capacidades.
- Proteger: desarrollar salvaguardas apropiadas para asegurar servicios críticos.
- Detectar: implementar mecanismos para identificar la ocurrencia de eventos anómalos.
- Responder: establecer acciones adecuadas ante incidentes de ciberseguridad.
- Recuperar: mantener planes de resiliencia y restaurar capacidades afectadas.
Aplicar el CSF en entornos OT requiere una comprensión detallada de los componentes únicos de estos sistemas, junto con el personal, los procesos y las tecnologías apropiadas para cada fase del ciclo.
Otro estándar ampliamente adoptado para el diseño de programas de ciberseguridad OT/ICS es la serie ISA/IEC 62443. Esta colección de normas proporciona un marco flexible de controles de seguridad diseñados específicamente para sistemas de control industrial. Define técnicas, procesos y procedimientos que permiten a las organizaciones mitigar vulnerabilidades y reducir riesgos de forma eficaz.
Uno de los principales beneficios de ISA/IEC 62443 es su enfoque modular, que permite aplicar controles de seguridad de forma coherente en dispositivos, redes e infraestructuras industriales diversas. Además, esta norma favorece la colaboración entre fabricantes, integradores y operadores, estableciendo un lenguaje común que mejora la interoperabilidad y la seguridad por diseño.
La visibilidad profunda de activos, la integración de múltiples métodos de monitoreo, la adopción de marcos como MITRE ATT&CK, NIST CSF e ISA/IEC 62443, y la capacidad de comunicar el riesgo al negocio, son factores clave para construir entornos industriales resilientes.
La seguridad OT no es solo una cuestión técnica, sino un componente esencial de la continuidad operativa y la estabilidad empresarial. Las organizaciones que lo comprendan y actúen con decisión estarán mejor posicionadas para enfrentar el panorama de amenazas emergentes y proteger los sistemas que hacen posible nuestra vida moderna.
Fuentes:
IndustrialCyber.co. (2025). Urgent need for resilient industrial cybersecurity professionals…
IndustrialCyber.co. (2022). Building ICS cyberdefenses using NIST guidelines…
CISA. (2025). Primary Mitigations to Reduce Cyber Threats to Operational Technology.
Ciberprisma - alianza por la ciberseguridad 