iot-ot
pentesting industrial
auditoría OT
ICS

Pentesting industrial y auditoría OT/ICS: metodología

Metodología de pentesting industrial y auditoría OT/ICS: alcance, descubrimiento de activos, testing seguro no destructivo y mapeo a Purdue e IEC 62443.

Secra6 de julio de 202611 min de lectura

El pentesting industrial y la auditoría OT/ICS son la vía técnica para saber, con evidencia y no con suposiciones, si un entorno de automatización y control resistiría a un atacante real sin comprometer el proceso físico. A diferencia de una auditoría web o de infraestructura corporativa, aquí el objetivo no es proteger datos, sino un proceso que mueve turbinas, dosifica reactivos o gobierna una línea de producción. Un escaneo agresivo mal planificado puede degradar una comunicación crítica o detener una planta. Por eso una evaluación de seguridad OT se diseña y se ejecuta de forma muy distinta a un pentest IT.

Este artículo describe cómo se define el alcance y se ejecuta realmente un pentest industrial: descubrimiento de activos, testing pasivo frente a activo, pruebas seguras y no destructivas sobre OT en producción, mapeo a las zonas del Modelo Purdue y a IEC 62443, herramientas, entregables y hoja de ruta de remediación, y el modelo de contratación. Para los fundamentos del dominio remitimos a qué es la seguridad OT/ICS, y para el marco de referencia técnico a IEC/ISA 62443.

Lo esencial. Un pentest OT no es un pentest IT acelerado. La disponibilidad es la prioridad absoluta, los dispositivos son frágiles y muchos protocolos carecen de autenticación. La metodología empieza siempre por el descubrimiento pasivo, prioriza el testing no destructivo, reserva las pruebas activas para entornos fuera de producción o ventanas controladas, y mapea cada hallazgo a las zonas del Modelo Purdue y a los niveles de seguridad de IEC 62443. El entregable no es una lista de CVEs, sino una hoja de ruta de remediación por zona y por riesgo de proceso.

Por qué un pentest OT no es un pentest IT

En IT, la tríada de seguridad prioriza la confidencialidad. En OT, el orden se invierte: disponibilidad, integridad y luego confidencialidad. Detener un servidor web durante un escaneo es una molestia; detener un PLC que controla una caldera es un incidente de seguridad física con consecuencias para personas y equipos. Esta diferencia condiciona toda la metodología.

Los activos OT son, además, especialmente frágiles. Muchos PLCs y RTUs con pilas TCP/IP antiguas se reinician o entran en fallo ante un escaneo SYN normal, una consulta malformada o simplemente un volumen de conexiones que un servidor moderno ni notaría. A esto se suma que protocolos como Modbus/TCP, DNP3, EtherNet/IP (CIP), S7comm o Profinet nacieron para redes aisladas y de confianza, sin autenticación ni cifrado nativos. Ese diseño heredado, más que una vulnerabilidad concreta, es el verdadero terreno de juego del pentesting industrial: quien alcanza el segmento de control suele poder leer y escribir registros sin credenciales.

El resultado práctico es una regla que gobierna todo el trabajo: en OT no se prueba nada que no se pueda justificar, y no se toca ningún activo en producción sin ventana y autorización explícitas. La seguridad del auditor se mide tanto por lo que encuentra como por lo que evita provocar. Para el contexto de amenazas que hace esto urgente, conviene revisar las amenazas críticas IoT/OT en 2026.

Alcance y descubrimiento de activos

El alcance de una auditoría OT se define en un taller previo (pre-engagement) donde participan seguridad, operaciones y, cuando existe, el responsable de seguridad funcional. Ahí se acuerdan las reglas del compromiso: qué segmentos entran, qué activos quedan expresamente fuera (los sistemas instrumentados de seguridad casi siempre lo están), qué ventanas de mantenimiento se pueden usar y quién tiene autoridad para abortar una prueba en tiempo real.

El primer trabajo técnico es el inventario, porque no se puede auditar lo que no se conoce. En OT rara vez existe un inventario fiable, así que se reconstruye combinando fuentes:

  • Descubrimiento pasivo a partir de una copia de tráfico (SPAN o TAP) analizada con herramientas OT como Nozomi Guardian, Claroty CTD, Dragos Platform o la utilidad abierta GRASSMARLIN, complementadas con Wireshark y Zeek para el detalle de protocolo.
  • Revisión documental de diagramas de red, listados de PLC, configuraciones de switches gestionados y tablas ARP de los equipos de red, que aportan activos que el tráfico pasivo no revela si están en silencio.
  • Entrevistas con operaciones, que suelen conocer equipos heredados, accesos remotos de proveedor y conexiones no documentadas que ninguna herramienta detecta sola.

El objetivo de esta fase es un inventario de activos, un mapa de comunicaciones y una arquitectura de red validada. Sobre esa base se puede razonar el riesgo; sin ella, cualquier prueba activa es un disparo a ciegas.

Testing pasivo frente a activo en OT

La escalera de intrusividad es el corazón de la metodología. Se sube peldaño a peldaño y solo cuando el anterior no basta para responder a la pregunta de riesgo.

Análisis pasivo. No inyecta un solo paquete en la red de control. A partir del tráfico capturado se identifican activos, versiones de firmware, flujos entre zonas, protocolos en claro, credenciales transmitidas sin cifrar y comunicaciones que cruzan niveles del Modelo Purdue que no deberían tocarse. Una parte enorme de los hallazgos de valor sale de aquí, sin ningún riesgo para el proceso.

Testing activo no destructivo. Cuando hace falta confirmar exposición, se usan sondeos cuidadosos: consultas de identificación de dispositivo en protocolos industriales, enumeración de servicios con perfiles conservadores (Nmap con --max-rate bajo, sin escaneos agresivos ni de versión sobre PLCs sensibles) y verificación de segmentación intentando alcanzar zonas restringidas desde otras. Estas pruebas se ejecutan preferentemente contra la DMZ industrial, activos IT/OT de frontera y sistemas fuera de producción.

Testing activo intrusivo. Escritura de registros Modbus, cambios de estado, explotación de CVEs concretos o pruebas de denegación se reservan para un entorno de laboratorio, un gemelo digital, un banco de pruebas o una ventana de parada acordada. Nunca se lanza contra un activo vivo del proceso sin un plan de reversión y la firma de operaciones. Este mismo principio de graduar el riesgo aparece en las diferencias entre auditoría de caja blanca, negra y gris aplicadas al mundo industrial.

Mapeo a zonas Purdue e IEC 62443

Un pentest industrial no entrega hallazgos sueltos: los sitúa en la arquitectura. El Modelo Purdue organiza el entorno en niveles, desde el proceso físico y la instrumentación (nivel 0), pasando por el control básico (nivel 1), la supervisión SCADA (nivel 2) y las operaciones de planta (nivel 3), hasta la DMZ industrial (nivel 3.5) y el dominio corporativo (niveles 4 y 5). Cada hallazgo se etiqueta con el nivel donde vive y, sobre todo, con los cruces indebidos entre niveles que un atacante aprovecharía para pivotar de IT hacia OT.

Sobre ese mapa se superpone la evaluación de IEC 62443-3-2, que particiona el sistema en zonas y conductos y asigna a cada zona un nivel de seguridad objetivo (SL-T). El pentest aporta la medida del lado real: contrasta el nivel alcanzado (SL-A) frente a ese objetivo usando los requisitos de sistema de 62443-3-3 y los de componente de 62443-4-2. La distancia entre lo que la zona necesita y lo que ofrece es el gap que la auditoría cuantifica. Para el detalle de este marco, remitimos al análisis de IEC 62443 como estándar de ciberseguridad OT.

Como referencia adicional, cada técnica observada se cruza con MITRE ATT&CK for ICS y con NIST SP 800-82 Rev. 3, lo que traduce el hallazgo técnico a un lenguaje de tácticas de adversario y de controles reconocibles por un regulador o un CISO.

Herramientas y técnicas

El instrumental combina utilidades genéricas usadas con extrema prudencia y herramientas específicas de OT:

  • Descubrimiento y protocolo: Wireshark y Zeek para disección pasiva; plataformas OT (Nozomi, Claroty, Dragos) para inventario y detección de anomalías; GRASSMARLIN para topología pasiva.
  • Enumeración industrial: los scripts NSE de Nmap del proyecto Redpoint (s7-info, enip-info, modbus-discover, bacnet-info), plcscan y clientes ligeros de Modbus, DNP3 o OPC UA para identificación no destructiva.
  • Explotación controlada: Metasploit y sus módulos SCADA, el Industrial Exploitation Framework (ISF) y pruebas de concepto de CVEs concretos, siempre en laboratorio o ventana.
  • Acceso remoto y segmentación: revisión de jump hosts, VPN de proveedor, reglas de firewall industrial y diodos de datos, donde suele concentrarse la exposición real.

En cuanto a vulnerabilidades de referencia, el pentest contextualiza casos como CVE-2021-22681 (clave embebida en Rockwell Studio 5000), el conjunto OT:ICEFALL documentado por Forescout con 56 fallos en productos de múltiples fabricantes, o las capacidades del malware PIPEDREAM/INCONTROLLER alertado por CISA. No se trata de coleccionar CVEs, sino de mostrar qué caminos concretos existen desde el punto de entrada hasta el activo que gobierna el proceso.

Entregables y hoja de ruta de remediación

El valor de la auditoría se materializa en el informe, y en OT ese informe tiene una estructura propia:

  1. Resumen ejecutivo con el riesgo de proceso en lenguaje de negocio, no solo de CVSS.
  2. Inventario de activos y arquitectura validados durante el descubrimiento.
  3. Hallazgos con evidencia, criticidad, impacto sobre el proceso y ubicación en el Modelo Purdue.
  4. Gap frente a IEC 62443, con el contraste SL-A frente a SL-T por zona.
  5. Hoja de ruta de remediación priorizada por riesgo y por esfuerzo, agrupada por zona: segmentación y refuerzo de la DMZ industrial, endurecimiento de accesos remotos de proveedor con jump host y MFA, monitorización pasiva continua, gestión de parches en ventanas y exigencias de compra a proveedores según 62443-4-1.
  6. Verificación posterior (retest) de las correcciones aplicadas.

La remediación reconoce que en OT no se parchea a demanda: muchas acciones son compensatorias (segmentar, monitorizar, restringir flujos) porque actualizar el firmware exige una parada. Las buenas prácticas de fondo se detallan en el artículo sobre seguridad SCADA: amenazas y buenas prácticas.

Modelo de contratación

Un pentest industrial se contrata por fases y con coordinación estrecha con la planta. La secuencia habitual es: taller de alcance y reglas del compromiso, fase pasiva sin riesgo, fase activa no destructiva sobre frontera y DMZ, pruebas intrusivas solo en laboratorio o ventana de parada, y sesión de cierre con operaciones. El trabajo puede ser presencial (imprescindible para el tap de tráfico y la validación física) o mixto, y siempre incluye un canal de aborto inmediato.

Este enfoque se alinea con NIS2, que eleva las exigencias sobre entornos industriales y su cadena de suministro. La relación entre auditoría OT y este marco se desarrolla en ciberseguridad industria 4.0 y OT bajo NIS2, y la lógica general de contratar y ejecutar un pentest se explica en la guía de pentesting para empresas.

Preguntas frecuentes

¿Es seguro hacer un pentest en una planta en producción?

Sí, si se hace con metodología OT. La fase pasiva no inyecta tráfico y no tiene impacto. Las pruebas activas se gradúan, se acotan a la frontera IT/OT y a la DMZ, y todo lo intrusivo se reserva para laboratorio o ventanas de parada. El riesgo se gestiona con reglas del compromiso, un canal de aborto y la firma de operaciones.

¿Qué diferencia hay entre un pentest OT y una auditoría IEC 62443?

Son complementarios. La auditoría IEC 62443 evalúa el diseño, las zonas, los conductos y la madurez frente al estándar. El pentest aporta la validación práctica: intenta alcanzar y manipular activos para medir el nivel de seguridad realmente alcanzado (SL-A). Lo ideal es combinarlos, usando el pentest para verificar los supuestos de la evaluación de riesgo.

¿Se explotan de verdad los PLCs durante la auditoría?

Solo en un entorno donde sea seguro. Sobre activos en producción se prioriza la observación pasiva y el sondeo no destructivo. La escritura de registros, los cambios de estado o la explotación de CVEs se llevan a un banco de pruebas, un gemelo digital o una parada programada, nunca contra el proceso vivo sin un plan de reversión.

¿Qué entregables debo esperar?

Un resumen ejecutivo orientado a riesgo de proceso, un inventario de activos y arquitectura validados, hallazgos ubicados en el Modelo Purdue, un análisis de gap frente a IEC 62443 por zona y una hoja de ruta de remediación priorizada, con retest de las correcciones. El informe debe servir tanto al equipo técnico como a dirección y a un auditor de NIS2.

¿Cuánto dura un proyecto de pentesting industrial?

Depende del tamaño y de la segmentación, pero un alcance típico de una planta media suele moverse entre dos y cuatro semanas, con la fase pasiva y el descubrimiento concentrando la primera parte y las pruebas activas coordinadas en ventanas acordadas. Los entornos multi-planta se abordan por fases.

Recursos relacionados

Pentesting industrial y auditoría OT/ICS con Secra

Secra ejecuta pentesting industrial y auditoría OT/ICS con sensibilidad operativa: empezamos por el descubrimiento pasivo, graduamos cada prueba activa, mapeamos los hallazgos al Modelo Purdue y a IEC 62443, y entregamos una hoja de ruta de remediación priorizada por riesgo de proceso. Trabajamos coordinados con la planta, respetando sus ventanas y sus restricciones.

Si tu organización necesita validar la resiliencia de su entorno industrial antes de que lo haga un atacante, conoce nuestra auditoría de seguridad IoT/OT o contacta con nuestro equipo para una conversación inicial sin compromiso.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo