Identidades, datos y continuidad: el nuevo paradigma de la ciberseguridad industrial

En un entorno industrial cada vez más conectado y automatizado, la ciberseguridad se ha convertido en un elemento esencial para garantizar la continuidad de las operaciones. La comunicación entre PLC, sensores, SCADA y otros sistemas OT ya no es un simple intercambio de datos: es el corazón de la producción. Por eso, comprender cómo los protocolos industriales incorporan medidas de protección —desde la autenticación hasta el cifrado o el control de permisos— resulta clave para prevenir accesos no autorizados, manipulaciones de información y ataques que puedan afectar directamente a la actividad de la planta. A continuación, hablamos de todo ello con varios expertos en la materia.

La verificación de identidad en entornos industriales es uno de los pilares fundamentales de la ciberseguridad OT. Tradicionalmente, este control dependía de mecanismos físicos: “quién tiene la llave para abrir el armario donde se encuentran determinados controles” o quién dispone de las llaves compartidas para ejecutar acciones críticas, recuerda Agustín Valencia Gil Ortega, responsable de Seguridad OT y Advisor de Seguridad en Fortinet. En aquellos tiempos, los registros de turno eran obligatorios, dejando constancia de quién estaba a cargo de los sistemas, y los dispositivos instalados eran únicamente los necesarios por cuestiones de fiabilidad y coste. 

“El control de acceso basado en roles es necesario, pero no es suficiente si no se asocia de manera efectiva a los distintos dominios a los que se accede”, Agustín Valencia Gil Ortega, responsable de Seguridad OT y Advisor de Seguridad en Fortinet

Sin embargo, con la digitalización de los sistemas, este enfoque ya no es suficiente. La adopción de redes internas y externas requiere un control de identidad robusto, que funcione a todos los niveles: dispositivo, servidor, aplicación, sistema operativo y red. Según Fortinet, “un PLC tradicionalmente admite las peticiones de quien establezca comunicación, no es capaz de distinguir si la orden viene del DCS o SCADA, o viene de un usuario remoto legítimo o de un atacante”. Por ello, la filosofía de confianza cero se vuelve indispensable para prevenir accesos no autorizados.

Cisco refuerza esta idea señalando que “no se confía en ningún dispositivo ni usuario por defecto, independientemente de su ubicación en la red”, aplicando múltiples capas de verificación. Así Rocío Dantart, directora de IoT Industrial para EMEA en Cisco, explica que herramientas como Cisco Cyber Vision permiten un “descubrimiento continuo de todos los activos industriales mediante Deep Packet Inspection (DPI), generando un inventario detallado con fabricante, modelo, versión de firmware y comportamiento de comunicación de cada dispositivo”. A partir de este inventario, Cisco Identity Services Engine (ISE) aplica políticas de autenticación dinámicas mediante certificados digitales X.509, 802.1X y autenticación multifactor (MFA) para usuarios humanos. Para dispositivos que no soportan protocolos de autenticación modernos, se utiliza un perfilado pasivo basado en comportamiento de red, dirección MAC y atributos contextuales. Además, el acceso remoto se controla mediante Cisco Secure Equipment Access (SEA), que aplica Zero Trust Network Access (ZTNA) verificando explícitamente a proveedores y técnicos antes de permitir cualquier interacción con los equipos de planta.

“No se confía en ningún dispositivo ni usuario por defecto, independientemente de su ubicación en la red”, Rocío Dantart, directora de IoT Industrial para EMEA en Cisco.

Marc Sarrias, Country Manager para Iberia de Palo Alto Networks, contextualiza por su parte la magnitud del reto actual: “Según nuestro último informe para el sector, el número de dispositivos OT accesibles desde internet ya alcanzó en 2024 19,6 millones globalmente, un 332% más respecto al año anterior… En ese contexto, la identidad, humana o no, se ha convertido en el nuevo perímetro de seguridad”. En su opinión, la gestión de identidades y accesos privilegiados debe limitar privilegios permanentes y habilitar accesos temporales y auditables, especialmente cuando la convergencia IT/OT expone los sistemas industriales a amenazas externas.

Y Carlos Baquero Arenal, responsable de Preventa de Serval Networks, complementa esta perspectiva señalando que “la validación no se limita al momento inicial de acceso, sino que se mantiene de forma continua durante toda la sesión. De esta manera, si un usuario ya autenticado comienza a realizar acciones inusuales o fuera de lo habitual, como intentar reprogramar un controlador a las 3:00 de la madrugada, el sistema puede interpretar ese comportamiento como anómalo y revocar automáticamente el acceso”. 

En el mismo sentido, desde Stormshield Iberia, el responsable Técnico Antonio Martínez Algora enfatiza la importancia del perfil del usuario: “El perfil del usuario es clave porque no determina solo un acceso binario de sí o no, sino sobre todo qué tipo de acciones están autorizadas en función de su perfil, por ejemplo, si es operario o supervisor, y con qué nivel de privilegio”. Este enfoque se complementa con la verificación de la seguridad del dispositivo desde el que se accede, incluyendo sistemas operativos actualizados y protección antivirus activa, integrando así un modelo de Zero Trust Network Access (ZTNA) para redes OT.

Sin embargo, Thales propone una perspectiva más criptográfica: “cada dispositivo -ya sea un PLC, sensor o gateway OT- recibe un certificado digital único, firmado criptográficamente por esa Autoridad de Certificación. Cuando intenta conectarse a la red, presenta ese certificado; si la firma no es válida o el certificado ha sido revocado, la conexión se deniega de forma automática, sin intervención humana”, explica Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products. La empresa también destaca que la clave privada nunca abandona el hardware HSM, asegurando que incluso si el servidor de la CA se ve comprometido, los materiales criptográficos permanecen inviolables.

Finalmente, Raúl Núñez, Presales Engineer TrendAI en Trend Micro,recuerda que la evolución histórica de los protocolos industriales implica que muchos sistemas no fueron diseñados con seguridad integrada. Raúl Núñez señala que “las redes industriales no nacieron inicialmente con seguridad desde el diseño, su función estaba diseñada para la operación y los protocolos utilizados eran protocolos no cifrados… Con el paso de los años se han ido evolucionando los protocolos agregando cifrado en las comunicaciones o integridad de comunicaciones”. La verificación de identidad, por tanto, debe adaptarse tanto a sistemas heredados como a dispositivos modernos, aplicando un conjunto de controles coordinados que incluyan autenticación multifactor, gestión centralizada de identidades y perfilado de dispositivos.

En síntesis, todos los fabricantes coinciden: la verificación de identidad en entornos OT ya no puede depender de controles físicos o contraseñas compartidas. La autenticación debe ser continua, granular y adaptada a cada dispositivo y usuario, asegurando que solo los actores legítimos puedan interactuar con los sistemas críticos y que cualquier comportamiento anómalo sea detectado y mitigado de forma inmediata.

Protección de las comunicaciones industriales

Pero, ¿qué mecanismos se utilizan para proteger los datos que viajan entre dispositivos y evitar así que puedan ser interceptados o leídos por terceros? En este punto, hay que recordar que la protección de las comunicaciones en entornos OT es un desafío complejo, que combina la necesidad de garantizar la confidencialidad e integridad de los datos con la obligación de mantener la disponibilidad y los tiempos de respuesta de los sistemas críticos. Como explica Valencia, “al contrario de lo que se piensa, las comunicaciones industriales incorporan históricamente mecanismos de chequeo para asegurar la integridad de las comunicaciones y evitar tomar malas lecturas debidas, principalmente, a interferencias por otros equipos de campo”. Sin embargo, cuando estas comunicaciones migran a redes Ethernet, se incorporan nuevas capas de seguridad, como la autenticación de equipos y la detección de intrusos, evitando ataques tipo Man-in-the-Middle (MITM). La verificación, según Fortinet, “es vital que sea continua, ya que los atacantes aprovechan cualquier resquicio si solo se controla en el inicio de las comunicaciones”.

Cisco coincide en que la convergencia IT/OT ha eliminado el perímetro tradicional de confianza. Rocío Dantart señala que “muchos protocolos heredados como Modbus, PROFINET, DNP3 o EtherNet/IP carecen de cifrado nativo por haber sido diseñados antes de la era de la conectividad”. Para proteger estas comunicaciones, Cisco combina segmentación por zonas y conductos según IEC 62443, cifrado extremo a extremo donde es posible mediante TLS 1.3, MACsec en switches industriales y túneles VPN IPsec para enlaces remotos. Además, Cisco Cyber Vision permite inspeccionar el tráfico en tiempo real y detectar intentos de escucha no autorizada.

“La buena práctica es aplicar gestión de identidades y accesos privilegiados, limitar privilegios permanentes y habilitar accesos temporales y auditables”, Marc Sarrias, Country Manager para Iberia de Palo Alto Networks.

Marc Sarrias, de Palo Alto Networks, subraya en este sentido la importancia del cifrado en distintas capas: “el mecanismo básico es el cifrado de los datos en tránsito, que evita que la información pueda ser interceptada o leída por terceros… Cada vez más organizaciones empiezan a mirar hacia la criptografía postcuántica, porque muchos sistemas industriales tienen ciclos de vida muy largos y las decisiones criptográficas que se tomen hoy deben seguir siendo seguras dentro de una o dos décadas”. Aun así, advierte que “en OT el cifrado nunca se puede aplicar de forma aislada. La gestión de claves y certificados, la compatibilidad con sistemas heredados o el impacto que determinadas medidas pueden tener en la latencia o en el rendimiento del proceso industrial son factores críticos”. Por ello, las medidas de cifrado deben complementarse con segmentación y control del tráfico, de forma que solo los sistemas autorizados puedan intercambiar información y cualquier comunicación anómala pueda detectarse rápidamente.

Por su parte, Carlos Baquero de Serval Networks enfatiza la necesidad de combinar diferentes mecanismos para proteger el tráfico industrial: “el objetivo principal es garantizar tanto la confidencialidad como la integridad de los datos… Entre los mecanismos más importantes se encuentra, en primer lugar, el cifrado de datos… A ello se suman los túneles VPN… Junto a estas medidas, la segmentación de red desempeña un papel esencial”. Explica que la microsegmentación y el uso de firewalls industriales permiten crear burbujas de comunicación muy controladas, limitando el movimiento lateral de posibles atacantes y reforzando la protección frente a ransomware o accesos no autorizados.

Asimismo, desde Stormshield aportan un enfoque complementario, destacando que “muchos dispositivos utilizan protocolos de comunicación de datos que fueron diseñados años atrás en entornos y redes aisladas y que no contemplaban en su diseño medidas de seguridad como confidencialidad, integridad, autenticación robusta entre emisor y receptor… La solución para protegerlos pasa por usar equipos de seguridad conectados a los dispositivos que actúan como una capa de protección y que establezcan conexiones seguras y cifradas tipo VPN”. La compañía resalta que, además de la confidencialidad, la integridad debe ser verificada continuamente, para detectar manipulaciones y garantizar que lo recibido es exactamente lo que se envió.

Thales, por su parte, ofrece un enfoque basado en hardware certificado: “Las soluciones de cifrado convencionales -como Ipsec- operan sólo en la capa 3 y añaden latencia que los sistemas de control en tiempo real simplemente no pueden tolerar… Responden a esta problemática con los High Speed Encryptors (HSE), cifradores de red certificados que protegen los datos en movimiento sin aumentar la latencia… Operan en capas 2, 3 y 4 simultáneamente, siendo ideales para entornos SCADA, donde los protocolos industriales propietarios no siempre son compatibles con las arquitecturas de cifrado convencionales”. La empresa asegura que sus soluciones cumplen con las certificaciones más exigentes, incluyendo FIPS 140-2 Nivel 3 y Common Criteria EAL4+.

Por último, en Trend Micro recuerdan que, aunque los protocolos modernos incorporan cifrado e integridad, “existe gran número de entornos en los que se siguen usando protocolos no seguros. Para poder proteger este último caso, se cuenta con dispositivos tipo IPS, que permiten analizar a nivel de los protocolos la capa de aplicación y asegurar que no existe una malformación del paquete o permitir únicamente una serie de funciones específicas del protocolo”. La compañía enfatiza que un enfoque completo requiere controles sobre las aplicaciones que se ejecutan, asegurando que solo puedan operar con permisos autorizados y sin impactar la producción.

En conjunto, los fabricantes coinciden en que proteger las comunicaciones industriales requiere un enfoque múltiple: segmentación de red, cifrado adaptado a la criticidad y capacidad de los dispositivos, microsegmentación y monitorización continua del tráfico. La integración de estas medidas permite no solo evitar la interceptación o manipulación de datos, sino también detectar comportamientos anómalos de forma temprana, manteniendo la operación de los sistemas críticos sin interrupciones.

Integridad de mensajes y prevención de ataques de replay

Llegados a este punto, no es baladí tener en cuenta, por supuesto, que garantizar que los mensajes que circulan por las redes industriales no han sido manipulados y no pueden ser reutilizados fuera de contexto es uno de los pilares fundamentales de la ciberseguridad OT. La manipulación de comandos o su repetición maliciosa puede tener consecuencias físicas directas sobre la planta, desde detener procesos hasta provocar daños en equipos o incluso riesgos para la seguridad de las personas.

En este sentido, en Fortinet recuerdan que “el control de acceso basado en roles es necesario, pero no es suficiente si no se asocia de manera efectiva a los distintos dominios a los que se accede, tanto a nivel de sistemas operativos, como de aplicaciones de control o configuración, o a nivel de red con los comandos permitidos dentro de los protocolos de comunicación industrial”. Para Fortinet, garantizar la integridad de los mensajes requiere no solo autenticar a los usuarios, sino también verificar continuamente los dispositivos y el tráfico, de manera que cualquier intento de manipulación sea detectado de forma inmediata.

Cisco refuerza esta perspectiva, destacando que la protección frente a ataques de replay y la integridad de los mensajes son requisitos críticos en entornos OT. Rocío Dantart explica: “En el plano preventivo, los protocolos con soporte de seguridad nativo -como OPC UA con sus perfiles de seguridad o DNP3 con autenticación SAv5- incorporan firmas digitales y contadores de secuencia que invalidan cualquier reutilización de comandos previos”. Para los protocolos heredados sin estas capacidades, Cisco utiliza análisis de comportamiento mediante Cyber Vision, que aprende las secuencias de comandos típicas, los rangos de valores esperados y los patrones de comunicación, alertando ante cualquier desviación que pueda indicar un ataque de inyección o replay. Además, la segmentación granular mediante Cisco ISE y Secure Firewall asegura que solo los dispositivos autorizados puedan enviar determinados tipos de comandos a los equipos correctos, minimizando el riesgo de manipulación.

Y Marc Sarrias, de Palo Alto Networks, subraya la importancia de la autenticación continua y de los controles sobre accesos privilegiados: “Para abordarlo, es esencial adoptar un modelo Zero Trust, donde ningún usuario o dispositivo se considera confiable por defecto… Acciones aparentemente rutinarias, como la conexión de un proveedor para tareas de mantenimiento remoto o el acceso de un ingeniero a un sistema de control, deben verificarse continuamente”. Además, enfatiza que “la mayoría de las actividades de los atacantes son visibles mucho antes de que se produzca un impacto operativo… Existe una ventana real para detectar y detener la intrusión si las organizaciones monitorizan de forma continua el comportamiento de las comunicaciones industriales y detectan desviaciones respecto al funcionamiento normal del proceso”.

“En el mundo industrial, la seguridad no sólo significa ‘que no entren los hackers’, sino que el sistema sea Resiliente”, Carlos Baquero Arenal, responsable de Preventa de Serval Networks.

Carlos Baquero de Serval Networks detalla por su parte los mecanismos técnicos que garantizan la integridad y la protección frente a replay: “Para evitar la Manipulación (Integridad) el objetivo es que el receptor sepa si el mensaje ha sido alterado durante el trayecto… Esto garantiza no solo que el mensaje está íntegro, sino que proviene de una fuente auténtica. Para evitar la Reutilización (Anti-Replay)… se usan medios como ‘Números de Secuencia’, ‘Sellos de Tiempo’ o ‘Números de un solo uso’, con lo que el mensaje incluye la hora exacta de creación, y si el mensaje llega con un retraso superior a un umbral permitido, se considera inválido o caducado”. Además, subraya que “la mejor forma de evitar manipulaciones y reutilizaciones indebidas de comandos pasa por combinar mecanismos criptográficos que protejan la integridad del mensaje con controles de secuencia, tiempo y unicidad que impidan su repetición fuera del contexto legítimo”.

Stormshield coincide en que la integridad es crítica para mantener la calidad y seguridad de los procesos: “Garantizar que los mensajes no han sido manipulados y que no se puedan reutilizar comandos antiguos es clave en entornos industriales, porque un ataque que afecte a la integridad puede degradar la calidad del proceso, provocar errores operativos y acabar impactando en la reputación de la empresa y en las ventas futuras”. La compañía aplica este principio mediante herramientas que verifican los mensajes en tránsito y permiten detectar cualquier alteración, asegurando que el control de la planta permanezca fiable.

Eutimio Fernández, de Thales, aporta una perspectiva basada en hardware certificado y cifrado autenticado: “En Thales Cybersecurity Products actuamos en dos capas complementarias. Por un lado, los Luna HSM permiten implementar firmas digitales y autenticación de mensajes mediante HMAC en cada transacción entre dispositivos OT… Por otro, los High Speed Encryptors implementan cifrado autenticado con AES-GCM, que combina confidencialidad e integridad en una sola operación criptográfica y que, por diseño, impide la reutilización de mensajes previos”. Según Thales, esta combinación de capas crea una defensa en profundidad prácticamente impenetrable ante la inyección o repetición de comandos.

Y un último apunte aportado por Trend Micro: proteger la integridad de los mensajes también implica analizar el comportamiento del tráfico a nivel de protocolos. “Existen protocolos modernos que incorporan dentro de las comunicaciones controles para asegurar la integridad de las comunicaciones, no obstante, existe gran número de entornos en los que se siguen usando protocolos no seguros. Para poder proteger este último caso, se cuenta con dispositivos tipo IPS, que permiten analizar a nivel de los protocolos la capa de aplicación y asegurar que no existe una malformación del paquete o permitir únicamente una serie de funciones específicas del protocolo”, concluye Núñez.

En conjunto, todos los fabricantes coinciden en que la integridad de los mensajes y la prevención de ataques de replay requieren una estrategia múltiple: uso de criptografía, control de secuencia y tiempo, segmentación de la red, monitorización continua y autenticación estricta de usuarios y dispositivos. Esta aproximación permite garantizar que los comandos enviados en la planta se ejecuten solo de la manera prevista, evitando manipulación, reutilización indebida y riesgos operativos.

Control de acceso, mínimo privilegio y gestión de identidades

Analizamos ahora otro punto a tener muy en cuenta: la gestión de identidades y el control de acceso, ejes fundamentales para proteger las redes industriales, especialmente en un contexto de convergencia IT/OT donde el perímetro tradicional de seguridad ha desaparecido. Cada portavoz coincide en que la identidad se ha convertido en el nuevo perímetro de seguridad, y que garantizar que solo las personas y dispositivos autorizados puedan interactuar con los sistemas de control es esencial para prevenir incidentes que afecten a la producción o a la seguridad de las personas.

Para Agustín Valencia, “el control de acceso basado en roles es necesario, pero no es suficiente si no se asocia de manera efectiva a los distintos dominios a los que se accede, tanto a nivel de sistemas operativos, como de aplicaciones de control o configuración, o a nivel de red con los comandos permitidos dentro de los protocolos de comunicación industrial”. Además, subraya la importancia de la consistencia entre los sistemas: “Un gran reto en estos entornos es que haya una consistencia entre los tipos de usuarios y la asociación efectiva a los usuarios nominales validados, el sistema que controla los usuarios Windows (denominado Directorio Activo) debe sincronizarse con otras plataformas como la de acceso a red”. Fortinet propone soluciones que combinan segmentación de procesos según la norma ISA/IEC62443, control de tráfico industrial, gestión de acceso basada en roles y plataformas de acceso remoto privilegiado, evitando la proliferación de cuentas genéricas y reforzando la trazabilidad de las acciones.

Cisco adopta un enfoque similar, aplicando el principio de mínimo privilegio como pilar central de su estrategia. Rocío Dantart explica que “Cisco ISE actúa como el motor de políticas centralizado: a partir del perfil de cada dispositivo o usuario, asigna dinámicamente Security Group Tags (SGTs) que definen qué recursos puede alcanzar ese activo y con qué nivel de acceso, aplicadas de forma consistente en toda la infraestructura sin necesidad de ACLs estáticas difíciles de mantener”. Además, para operadores humanos, Cisco implementa un modelo de acceso orientado a tareas: “El técnico solicita acceso a un equipo concreto para una operación específica, y el sistema concede un acceso temporalmente limitado y supervisado, eliminando el uso de credenciales VPN genéricas compartidas”. Esta aproximación permite cumplir con requisitos normativos como la Directiva NIS2, que exige autenticación multifactor y control de acceso basado en roles en infraestructuras críticas.

Para Palo Alto Networks, la identidad y el control de privilegios son aún más críticos en entornos hiperconectados: “La digitalización industrial, lo que muchos denominan Industria 5.0, está basada en la hiperconectividad, multiplicando el número de identidades que interactúan con los sistemas de producción… En ese contexto, la identidad, humana o no, se ha convertido en el nuevo perímetro de seguridad”. Marc Sarrias enfatiza la necesidad de auditar continuamente accesos y limitar privilegios: “La buena práctica es aplicar gestión de identidades y accesos privilegiados, limitar privilegios permanentes y habilitar accesos temporales y auditables… controlar las identidades es una de las formas más eficaces de evitar que un incidente de ciberseguridad se traduzca en un impacto real en la producción”.

Carlos Baquero, de Serval Networks, aporta un enfoque técnico complementario: “En el caso de los usuarios que operan o mantienen la red, tanto de forma local como remota, conviene aplicar varias capas de verificación complementarias… Destaca la doble autenticación o la autenticación multifactor (MFA), junto con el uso de servicios de directorio centralizados, como Active Directory, que permiten gestionar de forma unificada las identidades. A ello se suma el control de acceso basado en roles, de modo que, una vez verificado, cada usuario solo pueda acceder a la información y a las funciones que realmente necesita para desempeñar su trabajo, reduciendo así la superficie de ataque”. Para los dispositivos conectados, Serval recomienda certificados digitales, listas blancas de MAC y fingerprinting de comportamiento, asegurando que cualquier dispositivo que se comporte de manera inesperada pueda ser marcado como sospechoso y aislado.

“Existen múltiples tecnologías y diseños orientados a eliminar puntos singulares de fallo y a mantener la continuidad del servicio sin degradar los controles de seguridad”, Antonio Martínez Algora, responsable Técnico en Stormshield Iberia.

Stormshield complementa esta visión destacando la importancia de limitar tanto el acceso como el alcance de las acciones permitidas: “El perfil del usuario es clave porque no determina solo un acceso binario de sí o no, sino sobre todo qué tipo de acciones están autorizadas en función de su perfil… y también si el dispositivo desde el que se conecta cumple unos requisitos de seguridad, es decir, si tiene el sistema operativo actualizado, o cuenta con protección antivirus o antimalware habilitada”. La compañía aplica ZTNA en redes OT para reforzar la identidad, limitar el alcance y reducir el riesgo, asegurando que cada acción realizada por usuarios o dispositivos esté estrictamente controlada.

Eutimio Fernández, de Thales, aporta un enfoque basado en hardware y certificados criptográficos: “Cada dispositivo -ya sea un PLC, sensor o gateway OT- recibe un certificado digital único, firmado criptográficamente por esa Autoridad de Certificación. Cuando intenta conectarse a la red, presenta ese certificado; si la firma no es válida o el certificado ha sido revocado, la conexión se deniega de forma automática, sin intervención humana”. Esto permite definir roles operativos estrictamente separados, extender el control a los dispositivos de campo y garantizar trazabilidad completa de todas las operaciones, mitigando riesgos asociados a credenciales compartidas o privilegios excesivos.

“Cada dispositivo -ya sea un PLC, sensor o gateway OT- recibe un certificado digital único, firmado criptográficamente por esa Autoridad de Certificación”, Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.

Concluyendo, Trend Micro recuerda que, además de la gestión de identidades, es fundamental asegurar que solo se ejecuten los aplicativos autorizados: “La primera barrera de protección es realizar un buen bastonazo del sistema, esto nos permite que solo se puedan ejecutar unos determinados aplicativos, con determinados permisos. Las soluciones más efectivas en este campo son aplicando este principio, nos permite prevalecer la ejecución del aplicativo sin impactar en la producción”. Esta combinación de control de acceso, mínimo privilegio, segmentación de la red y auditoría continua de accesos proporciona un marco integral para proteger los entornos OT, asegurando que cada identidad y cada dispositivo actúe únicamente dentro de sus permisos asignados.

Resiliencia y continuidad de la operación frente a fallos

Y terminamos este profundo análisis deteniéndonos en la resiliencia en entornos industriales, que no solo es una cuestión de seguridad, sino también de disponibilidad y continuidad operativa. Todos los portavoces coinciden en que una solución de ciberseguridad no puede poner en riesgo la producción ni ralentizar procesos críticos; por ello, la protección y la operación deben ir de la mano. En palabras de Agustín Valencia de Fortinet, “la resiliencia juega un papel importante y es clave entender qué causas pueden motivar el fallo para estar preparados. A los firewalls industriales se les exige disponer de un bypass interno para que garantice la continuidad de las comunicaciones en caso de fallo del dispositivo… aunque la probabilidad de que esto suceda es baja, este modelo permite asegurar que la incorporación de un nuevo elemento en la arquitectura de la red no introduce un punto adicional de interrupción del servicio”.

La estrategia de redundancia y alta disponibilidad se repite en las opiniones de todos los fabricantes. Rocío Dantart, de Cisco, explica que “los switches y routers industriales de Cisco (familia Catalyst IE) soportan protocolos de redundancia como HSR (High-availability Seamless Redundancy) y PRP (Parallel Redundancy Protocol), que facilitan la continuidad de las comunicaciones incluso ante el fallo de un enlace o nodo sin interrupciones perceptibles para el sistema de control”. Además, la segmentación por zonas permite que incidentes internos no se propaguen: “Si una zona experimenta un comportamiento anómalo o un ataque DDoS interno, Cisco ISE y Secure Firewall aíslan automáticamente esa zona, impidiendo la propagación a otras áreas de planta”.

Marc Sarrias, de Palo Alto Networks, subraya que la reconexión segura y la gestión de sesiones son esenciales: “Uno de los mecanismos fundamentales es garantizar que, cuando se produce una reconexión o reinicio de sistemas, las sesiones de comunicación se restablezcan siempre mediante autenticación y negociación de claves nuevas… Estos mecanismos permiten que los sistemas recuperen la comunicación de forma segura tras interrupciones de red sin degradar las garantías de autenticidad e integridad del tráfico”. La segmentación por zonas y el control de flujos aseguran que incidentes en un área no afecten a otras, y la monitorización continua desde SOC especializados permite detectar anomalías antes de que impacten en la producción.

Carlos Baquero de Serval Networks añade que la resiliencia no puede separarse de la seguridad: “En el mundo industrial, la seguridad no sólo significa ‘que no entren los hackers’, sino que el sistema sea Resiliente, y si un mecanismo de seguridad bloquea la producción porque hubo un microcorte de energía, el remedio es peor que la enfermedad”. Por ello, las soluciones de Serval integran mecanismos de Fail-Safe y Fail-Secure: “Fail-Open (Abierto en fallo): en procesos críticos donde la vida humana depende de la comunicación constante, algunos firewalls industriales permiten que el tráfico pase sin filtrar si el equipo se avería. Se prioriza la Disponibilidad sobre la seguridad absoluta. Fail-Closed (Cerrado en fallo): en procesos de alta confidencialidad o riesgo de explosión, si el sistema de seguridad falla, se corta la comunicación para evitar que un atacante aproveche el ‘hueco’”. Además, se utilizan protocolos de anillo y redundancia como MRP, HSR o PRP, que garantizan que un fallo físico no comprometa la operación, y mecanismos de persistencia de sesión y reconexión segura, con tokens de corta duración y almacenamiento temporal de logs para evitar puntos ciegos.

Antonio Martínez Algora, de Stormshield, coincide en la necesidad de mantener la continuidad operativa incluso ante fallos eléctricos o saturaciones de red: “Existen múltiples tecnologías y diseños orientados a eliminar puntos singulares de fallo y a mantener la continuidad del servicio sin degradar los controles de seguridad… redundancia de los elementos críticos, bypass para dispositivos esenciales ante cortes de alimentación eléctrica, redundancia y balanceo del tráfico entre enlaces de comunicaciones para absorber picos y gestionar la sobrecarga, topologías malladas, y otros esquemas de resiliencia que permiten mantener rutas alternativas y recuperar la conectividad de forma controlada cuando se producen reconexiones o incidencias en la red”.

Eutimio Fernández, de Thales, aporta un enfoque complementario basado en hardware: “Los equipos Luna Network HSM están diseñados para operar en configuraciones de alta disponibilidad y clústering activo-activo: múltiples unidades se sincronizan de forma transparente, de modo que si una falla, otra asume inmediatamente las operaciones criptográficas sin pérdida de servicio ni exposición de claves. Esa misma filosofía se aplica a los High Speed Encryptors… creando una malla de cifrado resiliente sin punto único de fallo, logrando así equiparar la resiliencia de seguridad y la resiliencia operativa”. De esta forma, la protección criptográfica no compromete la continuidad de la planta ni la capacidad de recuperación tras fallos o reconexiones.

“La primera barrera de protección es realizar un buen bastonazo del sistema, esto nos permite que solo se puedan ejecutar unos determinados aplicativos, con determinados permisos”, Raúl Núñez, Presales Engineer TrendAI en Trend Micro.

Por último, Raul Nuñez, desde Trend Micro, recuerda que la infraestructura física también forma parte de la resiliencia: “El entorno de producción industrial ha sido por defecto muy cuidadoso desde el diseño en tener fuentes de alimentación que controlen sobrecargas o tener redundado tanto a nivel de alimentación como a nivel de comunicaciones con elementos de red en alta disponibilidad o dispositivos de red que incorporen bypass físico en los interfaces”. Esta visión integral demuestra que la resiliencia industrial abarca desde la arquitectura de red y hardware, hasta protocolos de comunicación, software de seguridad y control de acceso, asegurando que los sistemas continúen operando sin comprometer la seguridad ni la integridad de los datos.

----

Este artículo aparece publicado en el nº 568 de Automática e Instrumentación págs 64 a 73