Convergencia IT/OT. Entender amenazas, entender el negocio.

Recientemente, conversando con un cliente sobre iniciativas de transformación digital en su industria, surgió inevitablemente el tema de la Inteligencia Artificial.

Este tipo de diálogo es perfecto para poner sobre la mesa las barreras que pueden frenar proyectos cuyo valor es indiscutible, pero que requieren entender a fondo su aplicación, su seguridad y los riesgos que pueden suponer para el resto de la infraestructura.

Inconsistencia en la arquitectura de seguridad

Muchas plantas industriales ya están implementando proyectos de segmentación de redes, tanto a nivel perimetral como interno, siguiendo los principios de la norma ISA/IEC62443. El problema aparece cuando la introducción de nuevas tecnologías pretende conectar todo, a veces saltándose la filosofía de protección sobre la que se está construyendo, por necesidades no siempre bien comprendidas o explicadas.

¿Llegará la IA al nivel de planta? Sin duda, pero debe hacerse de forma segura.

Apertura al Edge y a la Nube

La Inteligencia Artificial requiere una capacidad de cómputo que supera con creces los medios tradicionales de planta. ¿Cómo securizar este entorno?

Aquí es donde el negocio puede aportar claridad. La IA promete identificar áreas de mejora y optimización que escapan al análisis humano convencional. Sin embargo, en la industria, toda aplicación necesita repetibilidad: ante los mismos datos de entrada, la respuesta de la IA debe ser siempre la misma. Si esto no ocurre, genera desconfianza. Mientras el modelo está en fase de aprendizaje, esto puede pasar desapercibido, pero una vez que converge, el negocio no tolerará desviaciones. Cambios de versión, datos no validados o prompts no controlados pueden alterar el modelo logrado con tanto esfuerzo.

De repente, la arquitectura a proteger ya no está solo en la planta, sino también en el Edge y la nube. Hay que proteger aplicaciones cloud, vigilar su desarrollo, responder rápido a vulnerabilidades (DevSecOps) y aplicar defensas frente a prompts maliciosos. Es habitual que resurja aquí la convergencia y divergencia IT/OT: la nube también puede ser OT y requiere un enfoque de proceso end-to-end.

La IA, junto con la instrumentación inteligente (IIoT) conectada a la nube, amplía enormemente la superficie de exposición a ataques. Por eso, enfoques como la microsegmentación son clave para evitar que estos despliegues se conviertan en atajos hacia zonas previamente securizadas.
 

Entendiendo los ataques y su impacto

A menudo se debate sobre la frecuencia de los ataques a entornos OT, pero basta un solo ataque exitoso para comprometer toda la organización.

El Informe sobre el panorama global de amenazas de Fortinet 2025 alerta de que los sistemas OT ya no solo sufren daños colaterales, sino que se han convertido en objetivo primario de los ataques.

Se observan dos grandes tipos de atacantes: por un lado, los ciberdelincuentes, que buscan interrumpir servicios críticos y exigir rescates; por otro, agentes nación estado, que emplean amenazas persistentes avanzadas (APT) para infiltrarse y lanzar ataques destructivos en el futuro.

Este cambio convierte a las redes OT en un objetivo especialmente atractivo para el ransomware. El sector de la fabricación, por segundo año consecutivo, ha sido el más atacado, ya que los ciberdelincuentes calculan el daño económico de paralizar una línea de producción y lo usan como estrategia de extorsión. El caso de Jaguar Land Rover, que estuvo casi dos meses sin operar, supuso pérdidas de 2.000 millones de libras.

La motivación es clara: las organizaciones industriales no pueden permitirse tiempos de inactividad, y los atacantes lo saben.

Amenazas de OT: rápidas, específicas y, a menudo, con escasa tecnología 

Aunque se habla mucho de exploits de día cero, en la práctica son más comunes técnicas como “living off the land”, es decir, el abuso de herramientas y credenciales legítimas ya presentes en los sistemas. Un caso real en Oriente Medio muestra cómo los atacantes, usando credenciales robadas y herramientas estándar de Windows, permanecieron ocultos más de dos años en una infraestructura crítica antes de desplegar malware personalizado. ¿Su punto de entrada? Una credencial comprada en la darkweb por menos de 150 dólares.

Esta es la realidad a la que nos enfrentamos: los eslabones más débiles suelen ser los sistemas sin parches, la mala higiene en la actualización de las contraseñas y las vías de acceso remoto con un control inadecuado.

Defensa basada en la información: convertir la inteligencia en acción

La información sobre amenazas por sí sola no es suficiente, solo entendiendo la aplicabilidad a nuestros entornos se convierte en inteligencia. Un modelo de defensa basado en la información sobre amenazas ayuda a las organizaciones a defender los sistemas industriales, como las líneas de fabricación, las redes eléctricas y las refinerías, al adaptar sus operaciones de seguridad al comportamiento real de los atacantes. Para ello es importante que contemple el uso de marcos como MITRE ATT&CK ICS, que cataloga las tácticas y técnicas conocidas utilizadas específicamente contra los sistemas de control industrial.

De esta manera, el equipo de defensa de la organización podrá detectar las tácticas de los atacantes, como el reconocimiento y el movimiento lateral, asignar técnicas conocidas a la telemetría actual y priorizar la respuesta en función del riesgo conocido para los activos críticos.

Este tipo de alineación, que ya estamos poniendo en práctica algunas compañías, ofrece alertas de alta fidelidad, centra los esfuerzos solo en las amenazas que atentan contra nuestros entornos, simula entornos señuelo para atrapar a los intrusos y automatiza muchas acciones para poder hacer más con los mismos medios.

Una llamada a la acción

Como expertos en seguridad OT, vemos tres prioridades en las que deben centrarse los defensores.

Por un lado, cerrar las brechas básicas de seguridad, asegurar la segmentación, aplicar parcheo, cambiar las credenciales predeterminadas y gestionar las identidades, aplicar la autenticación multifactorial (MFA) y realizar evaluaciones periódicas de la superficie de ataque externa.

El segundo punto a considerar es invertir en operaciones de seguridad informadas sobre amenazas, para lo que se requiere la creación de manuales de estrategias alineados con MITRE ATT&CK para ICS, el uso de tecnologías de engaño para detectar movimientos laterales y la integración de la información sobre amenazas con plataformas de registro y análisis.

Por último, es básico prepararnos para responder. No olvidar realizar simulacros de ataques, formar a los equipos para detectar las brechas, ser capaces de predecir siguientes pasos del atacante y establecer la preparación para la respuesta a incidentes en todos los equipos de TI y OT.

----

Este artículo aparece publicado en el nº 566 de Automática e Instrumentación págs 26 y 27.