En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

Por Phil Muncaster • 18 November 2025

La tecnología de la información (TI) suele acaparar los titulares, sobre todo ahora que nos adentramos en una nueva era donde la IA lo impulsa todo. Sin embargo, es la tecnología operativa (TO) la que sigue haciendo funcionar gran parte del mundo. Desde plantas de fabricación hasta centrales eléctricas, pasando por hospitales y redes de transporte, esta tecnología interactúa con el mundo físico para controlar maquinaria industrial vital. El problema es que nunca se diseñó para hacer frente al panorama de ciberamenazas del siglo XXI.^st siglo.

Esta es la razón nueva orientación Las recomendaciones del Centro Nacional de Ciberseguridad (NCSC) deberían ser bien recibidas por los operadores de tecnología operativa (TO). En ellas se destaca el primer paso fundamental para asegurar la TO: la visibilidad. Y se sugiere la norma ISO 27001 como una excelente manera de lograrlo.

Por qué importa la seguridad de la tecnología operativa

Dado que la tecnología operativa (TO) gestiona sistemas de control industrial, no hace falta mucha imaginación para comprender lo que está en juego. El secuestro de dichos sistemas permitiría a los ciberdelincuentes interrumpir potencialmente la infraestructura crítica (IC). De hecho, el año pasado se descubrió que adversarios patrocinados por el Estado chino se habían infiltrado en redes de IC estadounidenses. se preposicionaron activar ataques destructivos en caso de conflicto militar.

Además del daño físico potencial que podrían causar estos ataques a individuos y sociedades enteras, también podrían acarrear graves consecuencias financieras y de reputación para los proveedores de CNI y otros operadores de OT. Hace apenas unos meses, una aseguradora Marsh McLennan intentó cuantificar Para determinar la magnitud de este riesgo, utilizó su base de datos de reclamaciones propia y otra información relevante. Calculó que el riesgo financiero anual asociado a los incidentes de tiempo real podría ascender a 329.5 millones de dólares (250 millones de libras).

El problema radica en que los sistemas OT suelen estar mal protegidos. El equipo tiene una vida útil mucho mayor que el de los equipos de TI convencionales, lo que implica que a menudo ejecutan software y sistemas operativos obsoletos para los que ya no se ofrecen parches. Si bien teóricamente existen actualizaciones de seguridad, generalmente se prioriza la disponibilidad sobre la seguridad. Además, estas máquinas suelen operar en entornos críticos donde desconectarlas para probar y aplicar parches resulta logísticamente complejo. Los protocolos de comunicación obsoletos e inseguros también pueden generar riesgos de seguridad adicionales.

Lo que dice el NCSC

El enfoque del NCSC es sólido: no se puede proteger lo que no se ve. Por ello, recomienda a los operadores de OT que se centren primero en crear una visión integral de su arquitectura de OT. Esto va mucho más allá de una simple lista de activos, e incluye:

Componentes tales como dispositivos, controladores, software y sistemas virtualizados, todos ellos clasificados según su criticidad, exposición y requisitos de disponibilidad.
Conectividad: es decir, cómo interactúan estos activos dentro de la red OT y más allá.
Arquitectura de sistema más amplia incluyendo zonas, conductos y medidas de segmentación; disposiciones de resiliencia; y el razonamiento detrás de las decisiones de diseño
Cadena de suministro y acceso de terceros: Es decir, qué proveedores, integradores y prestadores de servicios se conectan al entorno OT y cómo se gestionan y protegen las conexiones.
Contexto empresarial y de impacto: Comprender qué sucedería desde una perspectiva operativa, financiera y de seguridad si un activo o conexión fallara o se viera comprometido.

La pestaña Orientación del NCSCEsta normativa, que también contó con la colaboración de agencias de EE. UU., Canadá, Nueva Zelanda, los Países Bajos y Alemania, se basa en cinco principios. Orienta a los operadores de tecnología operativa (TO) para que diseñen procesos que les permitan establecer y gestionar su «registro definitivo», identificar y categorizar los activos, identificar y documentar la conectividad y documentar los riesgos de terceros.

Protegiendo su registro definitivo

Quizás lo más interesante es Principio 2: Es fundamental establecer un programa de gestión de seguridad de la información de tecnología operativa (TO). Esto resulta esencial dada la sensibilidad de la información contenida en el registro definitivo. Podría incluir información de diseño y negocio, datos de identidad y autorización, datos operativos relacionados con el control en tiempo real de los sistemas de TO y evaluaciones de riesgos cibernéticos y de seguridad.

Los adversarios podrían usar esta información para perfeccionar sus ataques, creando un panorama completo de la arquitectura del sistema y seleccionando los componentes que atacarán y explotarán, según el NCSC. «Su organización debe contar con políticas y procedimientos claramente documentados sobre cómo proteger cada tipo de información», añade, instando a las organizaciones a considerar la clásica tríada «CIA». Esto implica garantizar:

La información confidencial solo es accesible para los sistemas y usuarios autorizados a tener acceso (confidencialidad).
La información es completa, íntegra y fiable, y no ha sido modificada (integridad).
Las organizaciones protegen la información contra interrupciones, retrasos y degradación del servicio (disponibilidad).

La ventaja de la ISO 27001

El NCSC recomienda que los operadores de terapia ocupacional “utilicen estándares como ISO / IEC 27001 para ayudar en la implementación de un sistema de gestión de seguridad de la información de OT”. Eso es música para los oídos del CPO de ISMS.online, Sam Peters, quien dice que refleja un consenso creciente: “los principios de un sistema de gestión de seguridad de la información estructurado y basado en riesgos se aplican con la misma eficacia a OT que a TI”.

Peters explica a ISMS.online que, tras haber trabajado con la norma durante muchos años, sabe exactamente lo eficaz que puede ser para ayudar a gestionar los riesgos relacionados con la tecnología operativa (TO).

«Sé de primera mano que la norma ISO 27001 proporciona un enfoque coherente para la visibilidad de los activos, la gestión de la configuración y el control de cambios; todos ellos aspectos fundamentales en entornos OT complejos y heredados, donde los cambios no planificados pueden tener implicaciones reales para la seguridad», añade. «Además, refuerza la garantía en las cadenas de suministro al formalizar la gestión del acceso, las actualizaciones y el mantenimiento por parte de terceros».

Según Peters, la norma ISO 27001 también ayuda desde una perspectiva técnica a las organizaciones a superar la brecha entre TI y OT mediante “terminología compartida, controles estandarizados y tratamiento de riesgos basado en evidencia”.

“Sin duda, esto apoya el llamado del NCSC a tener una visión definitiva de la arquitectura OT, garantizando que las decisiones de seguridad se basen en un conocimiento preciso y actualizado del sistema, en lugar de en suposiciones”, concluye.

“Para que quede claro, no se trata de superponer controles de TI a la tecnología operativa (TO). Se trata de aplicar un sistema de gestión probado que se adapte a las limitaciones únicas de los sistemas industriales, priorizando la disponibilidad, la seguridad y la resiliencia, al tiempo que se mantiene la trazabilidad y la mejora continua. Ese equilibrio es precisamente lo que la TO ha necesitado desde hace tiempo.”

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster