La seguridad OT (Operational Technology, o tecnología operativa) es la disciplina que protege los sistemas informáticos que supervisan y controlan procesos físicos: líneas de producción, redes eléctricas, plantas de tratamiento de agua, oleoductos o sistemas de climatización de un edificio. A diferencia de la ciberseguridad IT tradicional, donde el activo a proteger es la información, en OT lo que está en juego es el mundo físico. Un fallo de seguridad no acaba solo en una filtración de datos: puede detener una fábrica, cortar el suministro eléctrico de una ciudad o poner en riesgo a las personas que trabajan en planta.
Qué es la seguridad OT y qué son los ICS
Un sistema de control industrial (ICS) es el conjunto de hardware y software que automatiza un proceso físico. El término ICS es un paraguas que engloba varias tecnologías: los sistemas SCADA (control y adquisición de datos), los sistemas de control distribuido (DCS), los controladores lógicos programables (PLC) y las unidades terminales remotas (RTU). Todos comparten un objetivo común: leer el estado de un proceso a través de sensores y actuar sobre él mediante actuadores, con mínima intervención humana.
La seguridad OT, por tanto, es la protección de todo ese ecosistema frente a accesos no autorizados, manipulación y sabotaje. Su prioridad no es la confidencialidad, como en IT, sino la disponibilidad y la integridad del proceso. En seguridad industrial se habla de la tríada invertida: donde IT prioriza Confidencialidad, Integridad y Disponibilidad (en ese orden), OT prioriza Disponibilidad, Integridad y Confidencialidad. Un operador que no puede leer el estado de una caldera es un problema más grave que un dato robado.
OT frente a IT: por qué no se defienden igual
La tentación de aplicar las prácticas de seguridad IT directamente a un entorno OT es un error frecuente y peligroso. Las diferencias son estructurales:
- Ciclo de vida del activo. Un servidor IT se renueva cada 3 a 5 años. Un PLC puede llevar en producción entre 15 y 30 años, corriendo firmware que dejó de recibir actualizaciones hace más de una década.
- Tolerancia a la interrupción. En IT reiniciar un servidor es rutina. En OT, detener un PLC sin la secuencia correcta puede arruinar producto en curso, dañar maquinaria o disparar una parada de emergencia.
- Parcheado. En IT se parchea cada mes. En OT, aplicar un parche exige recualificar y validar todo el proceso, por lo que muchos sistemas nunca se actualizan durante años.
- Escaneo activo. Una herramienta como Nmap, inofensiva en IT, puede tumbar un PLC antiguo que no gestiona bien paquetes inesperados. En OT se prioriza el análisis pasivo del tráfico.
- Protocolos. IT habla TCP/IP, HTTP y TLS. OT habla Modbus, DNP3 o PROFINET, protocolos diseñados para la fiabilidad, no para la seguridad, y a menudo sin autenticación ni cifrado.
Entender estas diferencias es el primer paso de cualquier programa serio de ciberseguridad industrial: aplicar un agente EDR pensado para IT sobre una HMI heredada puede romper comunicaciones críticas con el mismo efecto que un ataque.
Componentes de un sistema de control industrial
SCADA
Un sistema SCADA (Supervisory Control And Data Acquisition) es la capa de supervisión: recopila datos de campo en tiempo real, los presenta a los operadores y permite enviar comandos de control. Un SCADA típico gestiona infraestructura distribuida geográficamente, como una red de distribución de agua o subestaciones eléctricas repartidas por una región.
PLC y RTU
El PLC (Programmable Logic Controller, o autómata programable) es el corazón del control. Es un ordenador industrial robusto que ejecuta una lógica programada para leer sensores y accionar actuadores en ciclos de milisegundos. Fabricantes como Siemens (serie S7), Rockwell/Allen-Bradley o Schneider dominan este mercado. La RTU (Remote Terminal Unit) cumple una función similar, pero está diseñada para ubicaciones remotas con comunicaciones por radio o celular, habitual en utilities.
HMI, DCS e historiador
La HMI (Human-Machine Interface) es la pantalla desde la que el operador visualiza el proceso y actúa sobre él. Muchas HMI en producción corren sobre versiones antiguas de Windows sin ruta de actualización. El DCS (Distributed Control System) es un sistema de control para procesos continuos dentro de una única planta, típico en refinerías o químicas. Y el historiador es la base de datos que almacena la telemetría del proceso, un activo puente muy codiciado porque suele estar conectado tanto a la red OT como a la red corporativa.
El Modelo Purdue en breve
El Modelo Purdue es el mapa mental de referencia para segmentar una arquitectura industrial. Organiza los activos en niveles, desde el proceso físico (Nivel 0: sensores y actuadores) hasta los sistemas corporativos globales (Nivel 5), pasando por el control básico (Nivel 1: PLC y RTU), la supervisión de área (Nivel 2: SCADA e HMI), la gestión de operaciones (Nivel 3: MES) y una DMZ industrial (Nivel 3.5) que actúa como zona de amortiguación entre operaciones y corporativo.
La regla de oro es que ningún flujo debe saltar directamente entre la red IT y el núcleo OT: todo tráfico entre ambos mundos debe atravesar la DMZ industrial, donde se concentran los controles de inspección y autenticación. Si quieres profundizar en cómo se traduce Purdue a zonas y conductos y qué controles priorizar en fabricación, lo desarrollamos en detalle en nuestra guía sobre ciberseguridad de la industria 4.0 y convergencia IT/OT.
Por qué la OT es difícil de defender
Tres factores estructurales convierten la defensa de la OT en un reto muy distinto al de la IT.
Ciclos de vida de décadas. Un variador de frecuencia o un PLC instalados a principios de siglo siguen siendo funcionales y críticos. Nadie los sustituye mientras funcionen, porque el cambio implica paradas planificadas, recualificación y validación completa. El resultado es un parque de dispositivos con vulnerabilidades conocidas y sin parche posible.
Protocolos heredados sin seguridad nativa. Los protocolos industriales nacieron cuando la red vivía físicamente aislada:
- Modbus (puerto TCP 502) no incorpora autenticación ni cifrado. Cualquier nodo con visibilidad de red puede leer registros y escribir setpoints.
- DNP3, común en utilities, tiene una variante Secure Authentication, pero el despliegue en campo es desigual.
- PROFINET y EtherNet/IP, muy presentes en fabricación, tampoco autentican en su forma básica.
Estas debilidades no son bugs corregibles con un parche: son rasgos de diseño heredados. Por eso la defensa no pasa por arreglar el protocolo, sino por segmentar y vigilar quién habla con quién.
Aversión al parcheo. La consigna operativa en OT es "si funciona, no lo toques". Un parche mal aplicado puede detener la producción, así que la ventana entre la publicación de una CVE y su corrección se mide en meses o años, no en días. La compensación pasa por controles alrededor del activo vulnerable (segmentación, monitorización, acceso restringido), no por el parche en sí.
Convergencia IT/OT y la superficie de ataque IIoT
Durante décadas, la seguridad OT descansaba sobre el llamado air gap: la red industrial estaba físicamente separada de todo lo demás. Ese aislamiento ha desaparecido. La convergencia IT/OT conecta las líneas de producción con el ERP corporativo, con plataformas cloud de analítica y con sensores del IoT industrial (IIoT) que envían telemetría para mantenimiento predictivo.
Cada uno de esos puentes legítimos es también una vía de ataque. El patrón de intrusión moderno casi nunca empieza en la OT: comienza con un phishing o una credencial comprometida en la red IT y, desde ahí, pivota hacia la OT a través de una estación de ingeniería o de un historiador mal segmentado. El IIoT agrava el problema porque multiplica los puntos de entrada: cámaras IP, sensores y controladores conectados que se despliegan con credenciales de fábrica y nunca se parchean. Para entender cómo se materializan estos ataques en la práctica y qué amenazas ICS están activas, revisa nuestro análisis de amenazas críticas IoT/OT en 2026.
Cómo se protege la OT: un marco de defensa
Proteger un entorno OT no consiste en trasplantar herramientas IT, sino en aplicar controles adaptados a las restricciones del proceso. El orden de prioridad recomendado cuando se parte de baja madurez es el siguiente.
- Inventario de activos. No se puede proteger lo que no se conoce. Plataformas como Claroty, Nozomi Networks o Dragos realizan descubrimiento pasivo a partir del tráfico de red, sin enviar paquetes que puedan alterar dispositivos sensibles. En esta fase suelen aflorar activos conectados que nadie documentaba.
- Segmentación. Definir zonas y conductos según el Modelo Purdue y materializarlos con firewalls industriales. La DMZ industrial que separa IT de OT es innegociable.
- Monitorización pasiva. Sensores que capturan tráfico mediante port mirroring o TAPs y detectan anomalías sin inyectar tráfico activo. El marco MITRE ATT&CK for ICS aporta el lenguaje común para modelar las tácticas y técnicas del adversario.
- Acceso remoto controlado. Concentrar el acceso de proveedores e integradores a través de un jump host único, con autenticación multifactor obligatoria, autorización por ticket y grabación de sesión. Las VPN abiertas permanentes deben eliminarse.
- Estándar de referencia. La norma IEC 62443 es el estándar internacional para la seguridad de sistemas de automatización y control industrial. Define niveles de seguridad (SL1 a SL4), requisitos fundamentales y el modelo de zonas y conductos. Sus controles se alinean directamente con las exigencias regulatorias. Puedes empezar por nuestra guía del estándar IEC 62443 de ciberseguridad OT.
Sobre este marco técnico se apoya además la obligación regulatoria. La Directiva NIS2 extiende las obligaciones de ciberseguridad a la manufactura, la energía y otros sectores que operan infraestructura OT. Si tu organización está en alcance, el punto de partida es un diagnóstico honesto, como el que describimos en la guía de cumplimiento NIS2 en España.
Preguntas frecuentes
¿Cuál es la diferencia entre seguridad OT y seguridad IT?
La seguridad IT protege datos y prioriza la confidencialidad. La seguridad OT protege procesos físicos y prioriza la disponibilidad y la integridad: que la planta siga funcionando de forma segura importa más que la confidencialidad de un dato. Además, los activos OT tienen ciclos de vida de décadas, no toleran interrupciones y usan protocolos sin autenticación, lo que hace inviable aplicar directamente las herramientas y prácticas de IT.
¿Qué es un sistema ICS?
Un ICS (sistema de control industrial) es el conjunto de hardware y software que automatiza un proceso físico. Es un término paraguas que engloba SCADA, DCS, PLC y RTU. Su función es leer el estado de un proceso mediante sensores y actuar sobre él con actuadores para mantenerlo dentro de parámetros seguros y productivos.
¿Se puede hacer un pentest sobre una red OT en producción?
Sí, pero con una metodología radicalmente distinta a la de un pentest IT. Se prioriza el reconocimiento pasivo, la revisión de arquitectura y el análisis de configuración. Las pruebas activas se reservan para entornos de réplica o ventanas de parada planificadas, siempre con el acuerdo explícito del cliente, porque un escaneo agresivo puede tumbar un dispositivo antiguo.
Recursos relacionados
- Ciberseguridad IoT y OT: amenazas críticas en 2026
- Ciberseguridad industria 4.0 y OT: protección NIS2
- IEC/ISA 62443: estándar de ciberseguridad OT
- NIS2 España: cumplimiento 2026
- Auditoría NIS2 paso a paso
Da el primer paso con Secra
La seguridad OT no se resuelve con una herramienta ni con un proyecto puntual: exige visibilidad continua, una segmentación bien diseñada y un marco de mejora alineado con IEC 62443 y NIS2. Si gestionas infraestructura industrial y no conoces tu superficie de ataque real, el primer paso es un diagnóstico. Nuestra auditoría IoT/OT mapea tus activos, evalúa la segmentación IT/OT y prioriza las brechas más urgentes sin comprometer la producción. Contacta con nuestro equipo para una sesión inicial de descubrimiento.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

