iot-ot
industria 4.0
OT
SCADA

Ciberseguridad industria 4.0 y OT: protección NIS2 para fabricación 2026

Ciberseguridad industria 4.0: convergencia IT/OT, NIS2 manufactura crítica, SCADA, Modbus, segmentación industrial y plan de cumplimiento.

Secra8 de junio de 202614 min de lectura

La industria 4.0 conecta plantas tradicionales con el ecosistema IT corporativo, plataformas cloud, sensores IoT industriales y motores de analítica avanzada. Esa convergencia permite optimizar líneas de producción, anticipar fallos mediante mantenimiento predictivo y reducir costes operativos, pero también amplifica la superficie de ataque y expone procesos físicos críticos a vectores que hasta hace pocos años pertenecían exclusivamente al ámbito ofimático. La Directiva NIS2 reconoce este nuevo escenario e incluye la manufactura crítica como entidad esencial o importante, según el sector y el tamaño, sometiendo a cientos de fabricantes españoles a obligaciones formales de gestión del riesgo, notificación de incidentes y supervisión.

Este artículo recorre los conceptos clave que cualquier responsable industrial necesita interiorizar para abordar la ciberseguridad OT con criterio: convergencia IT/OT, sectores en alcance, Modelo Purdue, protocolos industriales habituales, ataques históricos de referencia, riesgos específicos del sector, controles técnicos prioritarios y un plan de cumplimiento NIS2 adaptado a fabricación.

Lo esencial. La industria 4.0 ha disuelto el viejo air-gap entre planta y oficina. Los PLCs, HMIs y motores SCADA son hoy accesibles desde el entorno corporativo, frecuentemente con protocolos sin autenticación nativa. NIS2 obliga a fabricantes críticos a demostrar gestión de riesgo y notificar incidentes en plazo. La combinación recomendada es Modelo Purdue para segmentar, IEC 62443 como estándar técnico de referencia y monitorización pasiva con herramientas OT-aware para no interferir con la producción.

Convergencia IT/OT en una frase

Ya no existe un air-gap real en la mayoría de plantas. Los PLCs son accesibles desde el dominio corporativo a través de saltos intermedios, los sistemas MES intercambian datos con el ERP de forma constante y los sensores de proceso envían telemetría a plataformas cloud para mantenimiento predictivo. Cada uno de estos puentes legítimos es también una vía potencial para un atacante que haya conseguido un punto de apoyo en IT y busque escalar al entorno operativo. Las separaciones documentadas en los diagramas de red rara vez resisten una revisión técnica honesta: aparecen reglas de firewall demasiado permisivas, conexiones de mantenimiento olvidadas y dispositivos dual-homed que actúan como puente involuntario entre zonas que deberían estar aisladas.

NIS2 aplicado a manufactura

La transposición española de NIS2 sitúa varios subsectores de manufactura crítica en el alcance directo de la norma. Entre los más relevantes para el tejido industrial nacional se encuentran:

  • Fabricación de productos químicos, incluyendo derivados, fertilizantes y productos para la industria.
  • Producción, transformación y distribución de alimentos cuando la organización supera los umbrales de tamaño.
  • Fabricación de productos sanitarios y diagnósticos in vitro, así como equipos médicos.
  • Fabricación de equipos eléctricos y electrónicos para uso industrial y profesional.
  • Fabricación de vehículos de motor, remolques y semirremolques.
  • Fabricación de otro material de transporte: aeronaves, naves espaciales y maquinaria asociada.
  • Fabricación de maquinaria y equipo no clasificada previamente, segmento muy amplio que incluye buena parte del tejido industrial intermedio.

Los umbrales se aplican mediante criterios de tamaño según la Recomendación 2003/361/CE: las empresas grandes (más de 250 personas o facturación superior a 50 millones) clasifican como esenciales en los subsectores definidos como tales, mientras que las medianas se categorizan generalmente como importantes. Existen excepciones para entidades que prestan servicios únicos en el territorio, sin las cuales se generaría un impacto significativo. La diferencia entre esencial e importante afecta al régimen sancionador y a la intensidad de supervisión, no al catálogo mínimo de medidas exigibles, que se mantiene en el artículo 21 con independencia de la categoría.

Modelo Purdue como mapa mental

El Modelo de Referencia Purdue para Arquitectura de Empresa, integrado posteriormente en ISA-95 e IEC 62443, sigue siendo el mapa mental más utilizado para razonar sobre segmentación industrial. Sus niveles habituales son:

  • Nivel 0: el proceso físico, con sensores y actuadores.
  • Nivel 1: control básico, con PLCs y controladores que leen sensores y accionan actuadores.
  • Nivel 2: supervisión y control de área, con HMIs, sistemas SCADA locales e historiadores de proceso.
  • Nivel 3: gestión de operaciones de producción, con MES, gestión de batch, calidad y planificación de turno.
  • DMZ industrial (3.5): zona desmilitarizada entre operaciones y corporativo, con servidores intermedios, jump hosts, réplicas de historiador y patch servers.
  • Nivel 4: sistemas corporativos del site, como ERP local, correo y servidores de archivos.
  • Nivel 5: sistemas corporativos globales, cloud y servicios externos.

La traducción técnica de Purdue al estándar IEC 62443 se materializa mediante zonas y conductos. Una zona agrupa activos con el mismo nivel de seguridad requerido y un conducto define las comunicaciones autorizadas entre zonas. La segmentación lógica recomendada bloquea por defecto el tráfico entre niveles no adyacentes y obliga a que cualquier flujo entre IT y OT atraviese la DMZ industrial, donde se concentran los controles de inspección, autenticación y registro.

Protocolos industriales y sus riesgos

Los protocolos OT se diseñaron en una era en la que la red industrial vivía aislada físicamente. Sus vulnerabilidades estructurales no son fallos puntuales corregibles con un parche, sino características arquitectónicas heredadas:

  • Modbus TCP/RTU: no incorpora autenticación ni cifrado nativos. Cualquier nodo con visibilidad de red puede leer registros y escribir setpoints sin credenciales. Las propuestas Modbus Security (especificación 2018) apenas han calado en despliegues reales.
  • DNP3: ampliamente usado en utilities. La variante DNP3 Secure Authentication añade integridad y autenticación, pero el despliegue en campo es desigual y muchos dispositivos siguen aceptando tráfico no autenticado.
  • BACnet: estándar para automatización de edificios. Sus mecanismos de seguridad opcionales rara vez se activan, lo que deja sistemas de climatización, iluminación y control de accesos expuestos en redes integradas con la corporativa.
  • Profinet: desarrollado por Siemens y muy presente en Europa. La variante PROFIsafe protege la integridad funcional, pero no defiende contra ataques deliberados de red.
  • EtherNet/IP: habitual en fabricantes norteamericanos, basado en CIP. Sin autenticación en su forma básica.
  • S7Comm y S7Comm-Plus: protocolo propietario de Siemens para PLCs S7. S7Comm carece de autenticación efectiva; S7Comm-Plus introdujo mejoras, pero existen técnicas documentadas para eludirlas.
  • HART: protocolo de campo que conecta instrumentación a controladores. Las variantes WirelessHART añaden cifrado, pero la versión cableada original transporta datos en claro.

Conocer qué protocolos hablan los activos de la planta y dónde se enrutan sus comunicaciones es el primer requisito para diseñar una segmentación realista.

Ataques históricos contra OT

Los incidentes públicos contra entornos industriales son escasos comparados con los del mundo IT, pero los confirmados tienen un peso enorme como referencias técnicas y políticas. Conviene revisarlos sin glamorizar a los actores ni convertir los relatos en manuales.

  • Stuxnet (2010): gusano dirigido contra centrifugadoras de enriquecimiento de uranio en Natanz, Irán. Combinó múltiples zero-days, certificados firmados y manipulación específica de PLCs Siemens S7-300/400 para alterar la frecuencia de los variadores. Marcó un antes y un después al demostrar que el malware puede dañar equipo físico.
  • Industroyer / CrashOverride (2016) e Industroyer2 (2022): familia de malware atribuida a Sandworm, utilizada contra la red eléctrica ucraniana. Hablaba directamente protocolos IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OPC DA para abrir disyuntores y provocar cortes de suministro.
  • TRITON / TRISIS (Saudi Aramco, 2017): malware dirigido contra sistemas instrumentados de seguridad Schneider Triconex en una planta petroquímica saudí. Su objetivo era reprogramar el SIS para inhibir paradas de emergencia, con potencial de impacto físico grave. Un error en el despliegue activó las paradas y reveló el ataque.
  • Colonial Pipeline (2021): ransomware DarkSide contra los sistemas IT de un operador de oleoductos estadounidense. Aunque el cifrado afectó a IT, la decisión operativa de detener la red OT por precaución provocó desabastecimiento de combustible en la costa este durante varios días. Ilustra cómo un incidente en IT impacta operaciones aunque no toque directamente los controladores.

Cada uno de estos casos aporta lecciones específicas sobre vectores iniciales, persistencia, manipulación de procesos y respuesta. Forman parte de la cultura técnica mínima que un equipo OT debe manejar.

Riesgos específicos del sector

La fabricación presenta una combinación de factores que la convierten en un objetivo singular:

  • Dispositivos legacy de 15 a 30 años sin posibilidad de parches. PLCs en producción desde principios de siglo siguen siendo el corazón de muchas líneas. Sustituirlos implica paradas planificadas, recualificación y validación funcional completa.
  • Vendor remote access sin MFA. Integradores y fabricantes mantienen accesos de soporte que con frecuencia se implementaron mediante túneles VPN abiertos, credenciales compartidas y sin segundo factor. Es uno de los vectores iniciales más comunes en incidentes documentados.
  • HMIs Windows XP y Windows 7 sin upgrade path. Las estaciones de operación dependen de drivers y software del proveedor del sistema de control que muchas veces no soportan sistemas operativos modernos. El upgrade implica renegociar contratos de mantenimiento o cambiar plataforma.
  • Convergencia accidental IT→OT. Despliegues de actualizaciones del ERP, herramientas de gestión de identidad o agentes EDR diseñados para IT acaban llegando a equipos de planta y rompen comunicaciones críticas. Lo contrario también ocurre: un equipo de mantenimiento conecta un portátil al switch industrial sin medir consecuencias.
  • Engineering workstations comprometidas. Las estaciones de ingeniería que programan PLCs son objetivos de alto valor. Un atacante con control sobre ellas puede modificar lógica de control, descargar nuevos programas y manipular el proceso desde dentro.
  • Supply chain de integradores externos. Los integradores acceden a múltiples clientes con herramientas compartidas. Un compromiso de un integrador o de su laptop de trabajo puede propagarse a varias plantas simultáneamente.

Controles técnicos prioritarios

El orden de prioridad recomendado para una planta que parte de un nivel bajo de madurez es:

  • Inventario de activos OT. Sin saber qué hay conectado no se puede proteger. Plataformas como Claroty, Nozomi Networks o Dragos realizan descubrimiento pasivo a partir del tráfico de red, sin enviar paquetes que puedan alterar dispositivos sensibles.
  • Segmentación IEC 62443 zones and conduits. Definir zonas claras, documentar conductos autorizados y materializar la separación con firewalls industriales o switches gestionados. La DMZ industrial es innegociable.
  • Monitorización pasiva. Sensores Dragos, Nozomi o Claroty capturan tráfico mediante port mirroring o TAPs y detectan anomalías sin inyectar tráfico activo.
  • Hardening de engineering workstations. Política estricta de allowlisting, cifrado de disco, MFA en el dominio, deshabilitación de USB salvo casos justificados y revisión periódica de software instalado.
  • Backup verificado de PLCs y HMIs. Copias periódicas de proyecto, lógica de control y configuración, con restauración probada al menos una vez al año en banco.
  • Runbooks de respuesta a incidentes OT-aware. Cualquier acción de contención que implique apagar o aislar parte de la planta debe coordinarse con producción y mantenimiento. Apagar un PLC sin secuencia adecuada puede dañar producto en curso o equipos.
  • Acceso remoto de proveedor con jump host y MFA. Concentrar accesos a través de un bastión único, con grabación de sesión, autorización por ticket y segundo factor obligatorio.

Plan de cumplimiento NIS2 para industria

Un plan realista para fabricación crítica se estructura en fases que combinan obligaciones regulatorias y madurez técnica:

  1. Identificación de activos y procesos críticos. Inventario detallado de líneas, sistemas de control, comunicaciones y dependencias externas. Clasificación según impacto en continuidad y seguridad.
  2. Gap análisis frente a IEC 62443 y NIS2 artículo 21. Evaluación de las diez áreas de medidas mínimas exigidas: análisis de riesgo, gestión de incidentes, continuidad, cadena de suministro, seguridad en adquisición y desarrollo, evaluación de eficacia, criptografía, recursos humanos, control de accesos y MFA.
  3. Segmentación priorizada. Diseño de zonas y conductos, refuerzo de DMZ industrial y separación de redes de planta. Implementación por fases, alineada con paradas planificadas.
  4. Despliegue de monitorización. Sensores pasivos, integración con el SOC corporativo o un servicio gestionado especializado en OT, definición de casos de uso de detección específicos.
  5. Tabletop exercises y simulacros. Ejercicios documentales con dirección, operaciones y mantenimiento, escalando hasta simulacros parciales sobre líneas no críticas.
  6. Notificación temprana operativa. Procedimientos para cumplir los plazos NIS2 de notificación inicial en 24 horas y reporte completo en 72 horas, con la autoridad competente designada por la transposición española.

Encaje IEC 62443 con NIS2

NIS2 establece obligaciones de gestión del riesgo y resultado, pero no impone un framework técnico concreto. IEC 62443 es el estándar internacional de referencia para seguridad de sistemas de control industrial y se ha consolidado como la mejor forma de demostrar madurez técnica frente a auditores y supervisores. El mapping habitual asocia cada medida mínima del artículo 21 con uno o varios requisitos IEC 62443: la gestión del riesgo encuentra reflejo en 62443-3-2 (assessment), las medidas técnicas en 62443-3-3 (system security requirements) y la cadena de suministro en 62443-2-4 (proveedores). Adoptar IEC 62443 no garantiza por sí solo el cumplimiento NIS2, pero proporciona un marco probado que facilita la conversación con la administración y reduce la ambigüedad interpretativa.

Preguntas frecuentes

¿Una pyme industrial está obligada por NIS2?

Depende del subsector y del tamaño. Las microempresas y pequeñas empresas, según los criterios de la Recomendación 2003/361/CE, quedan generalmente fuera del alcance directo, salvo excepciones específicas como prestadores únicos de servicios críticos en un territorio. A partir del umbral de mediana empresa, si el subsector está incluido, aplican las obligaciones del artículo 21. Conviene revisar la transposición española vigente y los anexos de subsectores antes de descartar la aplicación.

¿IEC 62443 es certificable?

Sí. Existen esquemas de certificación de producto, de proceso y de personal. La certificación de producto la gestionan entidades como ISASecure y TÜV bajo diferentes niveles de seguridad. Los integradores pueden certificarse en 62443-2-4 y los profesionales pueden obtener credenciales personales reconocidas. La certificación no es obligatoria para cumplir NIS2, pero aporta evidencia objetiva ante auditorías y procesos comerciales.

¿Un pentest OT es destructivo?

Un pentest OT bien planteado no debe ser destructivo. La metodología profesional combina reconocimiento pasivo, revisión documental, análisis de configuración y, en caso justificado, pruebas activas sobre entornos de réplica o ventanas de parada planificadas. Las pruebas intrusivas sobre planta en producción se evitan salvo solicitud expresa del cliente y con un protocolo de seguridad estricto. La diferencia con un pentest IT es el peso del modelo de amenaza y la coordinación con operaciones.

¿Cómo gestionar el acceso remoto del integrador?

El estándar recomendado es jump host dedicado, autenticación multifactor obligatoria, autorización por ticket con ventana temporal limitada, grabación de sesión y revisión periódica de cuentas. Las VPN abiertas permanentes y las credenciales compartidas deben eliminarse. Los contratos de mantenimiento se actualizan para reflejar el nuevo procedimiento.

¿Qué SCADA es seguro hoy?

Ningún producto es seguro por sí mismo. La seguridad se construye con configuración endurecida, segmentación correcta, gestión activa de actualizaciones, monitorización y procedimientos operativos. Las plataformas modernas de los principales fabricantes ofrecen funcionalidades de seguridad razonables, pero la responsabilidad de configurarlas y mantenerlas recae en el operador. Una auditoría específica de la plataforma desplegada es siempre más útil que comparar fichas de producto.

¿Qué hacer con un HMI Windows XP?

La situación es habitual y rara vez tiene solución inmediata. Las medidas de mitigación de corto plazo incluyen aislar el HMI en una microsegmento de red, restringir comunicaciones a un único PLC asociado, eliminar cualquier conexión saliente a internet, deshabilitar puertos USB, aplicar allowlisting de aplicaciones y monitorizar de forma específica. La hoja de ruta a medio plazo debe contemplar la sustitución por una plataforma soportada, generalmente coordinada con el upgrade del sistema de control asociado.

Recursos relacionados

Auditoría OT/ICS con Secra

Secra acompaña a fabricantes industriales en el camino hacia el cumplimiento NIS2 con un enfoque OT-aware. Nuestros servicios incluyen pentest industrial no intrusivo sobre entornos de réplica o ventanas de parada, auditoría IEC 62443 con identificación de zonas y conductos, gap análisis NIS2 manufactura alineado con los anexos de la transposición española y soporte a la definición de procedimientos de notificación y respuesta. Trabajamos con sensibilidad operativa, comprendiendo que cualquier acción técnica debe respetar los tiempos y restricciones de la planta.

Si tu organización necesita avanzar en ciberseguridad industrial sin asumir riesgos sobre la continuidad productiva, contacta con nuestro equipo para una conversación inicial sin compromiso.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

iot-ot

Ciberseguridad IoT y OT: amenazas críticas en 2026

CISA alerta en abril 2026 sobre fallos críticos en ICS de Mitsubishi, Delta y Honeywell. Cómo auditar y proteger tu infraestructura IoT/OT.

2026-04-3011 min