Más allá de la fábrica: por qué el riesgo tecnológico operativo está en todas partes

Por Phil Muncaster • 17 de septiembre de 2023

Cuando un (reporte) reveló 56 nuevas vulnerabilidades en productos de 10 proveedores de tecnología operativa (OT) el año pasado, los expertos lo aclamaron como una llamada de atención para la industria. El estudio destacó un problema endémico con los equipos OT: la necesidad de mejores prácticas de seguridad por diseño más básicas. El hecho de que tres cuartas partes de los productos evaluados como que contienen vulnerabilidades tuvieran certificaciones de seguridad válidas debería causar más nerviosismo entre los gerentes de TI/OT.

La conclusión es que los problemas destacados en el informe son tan profundos que es poco probable que se resuelvan en toda la industria en el corto plazo. Eso hace que los programas de seguridad empresarial tengan la responsabilidad de garantizar que el riesgo de OT se gestione con la misma atención al detalle que el de TI.

El qué y el por qué de la TO

Mientras que los sistemas de TI gestionan información y aplicaciones, OT cubre el hardware y el software utilizados para monitorear y controlar el mundo físico. Podría ser cualquier cosa, desde un cajero automático hasta un sistema de control industrial (ICS), un robot de fábrica o un controlador lógico programable (PLC). La tecnología se puede encontrar de manera más obvia en la fábrica. Pero abarca una amplia gama de industrias más allá de la manufactura, incluida la atención médica, el petróleo y el gas, los servicios públicos y el transporte.

Históricamente, los sistemas OT no estaban conectados a Internet y los dispositivos tendían a estar diseñados específicamente y ejecutaban software especializado. Eso significó que la seguridad fue tratada como una idea de último momento. Sin embargo, la mayoría de los equipos tienen conectividad hoy en día, lo que significa que los atacantes remotos pueden probarlos en busca de vulnerabilidades. Al mismo tiempo, suele ejecutar Windows u otro software comercial. Eso lo convierte en un objetivo atractivo.

Debido a que OT controla los procesos físicos, las violaciones de seguridad podrían permitir a los atacantes sabotear o interrumpir operaciones críticas. Los puntos finales vulnerables pueden incluso utilizarse como trampolín hacia las redes de TI para el robo de datos confidenciales. Uno Informe del 2022 afirma que el 83% de las organizaciones sufrieron una violación de OT en los 36 meses anteriores. Según cifras citadas por McKinsey, el coste por incidente de ataques graves puede ascender a 140 millones de dólares. No es sólo el riesgo financiero que las organizaciones deben considerar. OT también está regulada por la Directiva NIS 2 y su equivalente en el Reino Unido.

¿Cuáles son los riesgos?

La naturaleza especializada de OT significa que los sistemas están expuestos a ciertos riesgos cibernéticos que pueden no aplicarse a los entornos de TI. Incluyen:

Uso de protocolos de comunicaciones heredados e inseguros.
Proveedores que no prestan suficiente atención a la gestión de vulnerabilidades
Ciclos de vida del hardware de más de 10 años, lo que significa que los administradores se ven obligados a ejecutar sistemas operativos y software obsoletos.
Desafíos de aplicación de parches, ya que los equipos a menudo no se pueden desconectar para probar las actualizaciones (incluso si están disponibles)
Equipos demasiado antiguos para implementar soluciones de seguridad modernas
Certificaciones de seguridad que no reconocen defectos graves, dando a los administradores una falsa sensación de seguridad.
Problemas de seguridad por diseño que no se informan ni se asignan CVE, lo que significa que pasan desapercibidos
Equipos de TI/OT aislados, que pueden crear brechas en visibilidad, protección y detección.
Contraseñas inseguras y configuraciones erróneas (aunque esto también es común en entornos de TI)

Desde una perspectiva técnica, el Informe de previsión citado anteriormente destaca varias categorías de vulnerabilidad en muchos productos OT:

Protocolos de ingeniería inseguros
Criptografía débil o esquemas de autenticación rotos
Actualizaciones de firmware inseguras
Ejecución remota de código (RCE) a través de funcionalidad nativa

Cómo mitigar el riesgo de los sistemas OT

En cuanto a la seguridad de TI, la defensa en profundidad es la mejor manera de mitigar el riesgo cibernético de OT. Según Carlos Buenano, arquitecto principal de soluciones para tecnología operativa (OT) en Armis, comienza con la visibilidad de los activos de OT y luego aplica parches rápidamente.

"Dado que es muy común que los entornos OT tengan activos vulnerables, las organizaciones necesitan crear un inventario integral de activos de su red y tener inteligencia adicional sobre cuáles son esos activos y qué están haciendo realmente", le dice a ISMS.online. "Los datos contextuales permiten a los equipos definir qué riesgo representa cada dispositivo para el entorno OT y evaluar su impacto comercial para que puedan priorizar la corrección de vulnerabilidades críticas y/o armadas para reducir la superficie de ataque rápidamente".

Aquí hay una lista de verificación rápida para organizaciones:

Descubrimiento/gestión de activos: No puedes proteger lo que no puedes ver. Por lo tanto, comprenda el alcance total de la OT en la empresa.

Parches rápidos y escaneo continuo: Los activos de OT deben analizarse continuamente en busca de vulnerabilidades una vez descubiertas. Y un programa de parches basado en riesgos garantizará que se prioricen eficazmente los CVE. Considere la posibilidad de crear un entorno de prueba no crítico para parches. Y si ciertos activos no se pueden parchear, considere alternativas, como parcheo virtual, segmentación de red, SIEM y monitoreo de integridad.

Gestión de identidades y accesos: Implemente controles de acceso basados en roles, siga el principio de privilegio mínimo y admita la autenticación multifactor (MFA).

Segmentación: Separe las redes corporativas de las OT y segmente las redes OT para contener la propagación de malware.

Prevención de amenazas: Implemente controles como detección de intrusiones (IDS), software antivirus y herramientas de verificación de integridad de archivos para prevenir y detectar malware.

Cifrado y copia de seguridad: Proteja los datos de OT en reposo y en tránsito y tenga copias de seguridad para mitigar el impacto del ransomware.

Rompiendo los silos IT-OT

A medida que los sistemas OT y TI convergen en muchas organizaciones, las amenazas que alguna vez se limitaron a TI, como el compromiso remoto, se vuelven más comunes para los sistemas industriales. Por lo tanto, prevenir, detectar y responder a dichas amenazas requerirá una mayor interacción entre los equipos de TI y OT. Los equipos de OT pueden aprender mucho de la experiencia que TI ha acumulado a lo largo de los años en materia de controles de seguridad, y ambos tienen un gran interés en la continuidad del negocio.

"Al trabajar juntos, los equipos de TI y OT pueden identificar y mitigar los riesgos de ciberseguridad que afectan tanto a los entornos de TI como de OT, protegiendo así a la organización de los ciberataques", explica a ISMS.online el director técnico de Trend Micro Reino Unido e Irlanda, Bharat Mistry. "Además, la colaboración entre los equipos mejorará la eficiencia de los equipos de operaciones de seguridad y, en última instancia, ayudará a reducir los costos".

Desde una perspectiva de cumplimiento, esto puede requerir que la organización vaya más allá de los límites de ISO 27001 y busque certificaciones complementarias en el espacio OT.

“Vemos marcos como ISO 27001, Se utiliza en TI empresarial y marcos personalizados o personalizados como IEC 62443 para OT”, explica Mistry. "Sobre el papel, existe cierta superposición entre estos, pero en realidad, estos marcos son puntos de partida y, a menudo, se personalizan para adaptarse al entorno de la organización".

En última instancia, lo mejor para todos es trabajar juntos, dice Buenano de Armis.

"Desde una perspectiva organizacional, tener un enfoque basado en riesgos para la gestión de vulnerabilidades debe ir de la mano con el trabajo conjunto de los departamentos de OT y TI para ayudar a coordinar los esfuerzos de mitigación", concluye. "Los proyectos interdepartamentales ayudarán a optimizar la gestión de procesos y recursos y lograr un mayor cumplimiento y seguridad de los datos".

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster