boton
Contactar

● Glosario de Ciberseguridad

¿Qué es OT (Operational Technology)?

Operational Technology (OT) es el hardware y software utilizado para monitorizar, controlar y automatizar equipos físicos y procesos industriales. OT incluye sistemas como SCADA, Distributed Control Systems (DCS), Programmable Logic Controllers (PLCs) y Human Machine Interfaces (HMIs) que operan fábricas, centrales eléctricas, plantas de tratamiento de agua, oleoductos y redes de transporte. Definido por primera vez por Gartner en 2006, OT se diferencia de Information Technology (IT) en que interactúa directamente con el mundo físico. A medida que las redes IT y OT convergen, proteger estos entornos se ha convertido en uno de los retos más urgentes de la ciberseguridad industrial.

Definición y conceptos fundamentales de OT

Operational Technology (OT) se refiere a los sistemas informáticos que gestionan operaciones industriales, a diferencia de las operaciones administrativas. Mientras IT gestiona correo electrónico, bases de datos y aplicaciones de negocio, OT gestiona los procesos físicos que producen bienes, generan electricidad, tratan agua y mueven vehículos. NIST define OT como «sistemas o dispositivos programables que interactúan con el entorno físico, o gestionan dispositivos que interactúan con el entorno físico.»

El término fue publicado por primera vez por Gartner en 2006, aplicado inicialmente a los sistemas de control de empresas eléctricas. Con el tiempo, se expandió para cubrir manufactura, petróleo y gas, transporte, automatización de edificios y cualquier entorno donde los ordenadores controlen directamente procesos físicos. OT no es una tecnología única sino una categoría amplia que incluye Industrial Control Systems (ICS), redes SCADA, PLCs, sensores, actuadores y los protocolos de comunicación especializados que los conectan.

Lo que diferencia a OT de cualquier otro entorno informático es su relación con el mundo físico. Cuando un sistema OT falla o se ve comprometido, las consecuencias van más allá de la pérdida de datos. Un PLC que funciona mal puede dañar equipos. Un sistema SCADA comprometido puede apagar una red eléctrica. Un sistema de seguridad manipulado puede poner vidas humanas en riesgo. Por eso los entornos OT priorizan la disponibilidad y la seguridad física por encima de todo lo demás.

OT en cifras: Los entornos OT están presentes en todos los sectores de infraestructura crítica. Solo la manufactura representa más del 30% de los despliegues OT. Se proyecta que el mercado global de seguridad OT supere los 40.000 millones de dólares en 2028, impulsado por la convergencia IT/OT y el rápido crecimiento de dispositivos Industrial IoT (IIoT) conectados a redes operacionales.

Sistemas OT clave: SCADA, DCS, PLC, RTU, HMI

OT no es una tecnología única sino una categoría que contiene varios sistemas especializados. Cada uno cumple una función específica en cómo las instalaciones industriales monitorizan y controlan sus operaciones.

1
SCADA (Supervisory Control and Data Acquisition)
Los sistemas SCADA recopilan datos en tiempo real de sensores y dispositivos de campo en una instalación o red geográficamente distribuida. Los operadores usan paneles SCADA para monitorizar el estado de los equipos, establecer parámetros y responder a alarmas. Son comunes en redes eléctricas, plantas de tratamiento de agua y oleoductos donde los activos cubren áreas extensas.
2
DCS (Distributed Control Systems)
Un DCS gestiona procesos de producción continuos como el refino químico, la fabricación farmacéutica o el procesamiento de alimentos. El control se distribuye entre múltiples controladores situados cerca de los equipos que gestionan, reduciendo los retardos de comunicación. DCS destaca donde la estabilidad del proceso y el control preciso de parámetros son fundamentales.
3
PLC (Programmable Logic Controller)
Los PLCs son ordenadores robustos que automatizan procesos industriales específicos: controlar brazos robóticos en una línea de ensamblaje, gestionar velocidades de cintas transportadoras o regular la temperatura de un horno. Ejecutan programas lógicos en tiempo real y son el dispositivo de control más común en las plantas de producción.
4
RTU (Remote Terminal Unit)
Las RTUs realizan funciones similares a los PLCs pero están diseñadas para ubicaciones remotas o distribuidas donde las conexiones cableadas no son prácticas. Recopilan datos de sensores y los transmiten al sistema SCADA. Se utilizan en campos petrolíferos, redes de distribución de agua y subestaciones eléctricas.
5
HMI (Human Machine Interface)
Los HMIs son las pantallas táctiles, displays e interfaces de software que permiten a los operadores interactuar con los equipos industriales. Visualizan datos del proceso, muestran estados de alarma y proporcionan controles de anulación manual. Traducen las salidas de PLCs y controladores DCS en información sobre la que un operador puede actuar rápidamente.

Todos estos sistemas se engloban bajo el paraguas de Industrial Control Systems (ICS). Cuando los profesionales de ciberseguridad hablan de seguridad ICS, se refieren a proteger el conjunto completo de sistemas SCADA, DCS, PLC, RTU y HMI que mantienen funcionando la infraestructura crítica.

OT vs. IT: las diferencias fundamentales

OT e IT comparten algunas tecnologías subyacentes, pero sus prioridades de diseño son fundamentalmente distintas. Entender estas diferencias es esencial para cualquier persona que trabaje en entornos industriales o en seguridad OT:

Dimensión IT (Information Technology) OT (Operational Technology)
Enfoque principal Gestión de datos y procesos de negocio Control y monitorización de procesos físicos
Prioridad de seguridad Confidencialidad > Integridad > Disponibilidad Disponibilidad > Seguridad física > Integridad > Confidencialidad
Tolerancia a paradas Ventanas de mantenimiento programadas Tiempo de inactividad casi nulo; muchos sistemas funcionan 24/7/365
Ciclo de vida Renovación típica cada 3 a 5 años 15 a 25+ años; los sistemas legacy son habituales
Parcheo Ciclos regulares (mensual, trimestral) Rara vez parcheados; las actualizaciones requieren parar producción
Protocolos TCP/IP, HTTP, DNS, TLS Modbus, DNP3, BACnet, Profibus, OPC UA
Impacto de fallo Pérdida de datos, interrupción del negocio Daño a equipos, daño medioambiental, riesgo para personas
Diseño de red Redes corporativas planas o segmentadas Jerárquico (modelo Purdue), históricamente con air gap
Entorno Oficina, centro de datos, cloud Planta de producción, campo, subestaciones, vehículos

La diferencia más importante es la consecuencia del fallo. En IT, un incidente de seguridad normalmente implica pérdida de datos o interrupción del servicio. En OT, un sistema comprometido puede causar daños físicos, contaminación medioambiental o pérdida de vidas humanas. Por eso la seguridad OT no puede limitarse a copiar las prácticas de seguridad IT.

Convergencia IT/OT

Durante décadas, las redes OT funcionaron completamente aisladas de los sistemas IT corporativos. Usaban protocolos propietarios, se ejecutaban en hardware dedicado y no tenían conexión a internet. La seguridad dependía de esta separación física, a menudo llamada air gap.

Ese aislamiento ha desaparecido en gran medida. Las organizaciones quieren usar datos operacionales para inteligencia de negocio, mantenimiento predictivo, optimización de la cadena de suministro y reporting regulatorio. Para lograrlo, los sistemas OT ahora se conectan a redes IT, plataformas cloud y servicios externos. Este proceso se llama convergencia IT/OT.

Qué impulsa la convergencia

Varios factores empujan a las organizaciones a conectar sus entornos OT e IT. Los dispositivos Industrial IoT (IIoT) generan datos operacionales que alimentan plataformas de analítica y modelos de machine learning. Los sistemas de planificación de recursos empresariales (ERP) necesitan datos de producción en tiempo real para optimizar programación e inventario. Los algoritmos de mantenimiento predictivo analizan datos de sensores de equipos OT para prevenir fallos antes de que ocurran. La monitorización remota permite a los ingenieros gestionar instalaciones geográficamente distribuidas sin desplazarse a cada ubicación.

Qué crea la convergencia

La convergencia aporta eficiencia operativa, pero también expone sistemas OT previamente aislados a todo el panorama de amenazas IT. Cuando una red OT se conecta a una red IT con acceso a internet, un atacante que comprometa un sistema de correo electrónico corporativo o una aplicación cloud puede ser capaz de moverse lateralmente hacia el entorno OT. Este es el reto de seguridad central de la convergencia IT/OT: los beneficios operacionales son sustanciales, pero también lo son los riesgos.

Convergencia en la práctica: Según encuestas del sector, más del 70% de las organizaciones OT han experimentado al menos una intrusión de malware en el último año. La mayoría de estos incidentes se originaron en la red IT y se propagaron al entorno OT a través de las conexiones convergentes. Esto convierte la frontera entre IT y OT, a menudo llamada Zona Desmilitarizada IT/OT (DMZ), en el control de seguridad más crítico de cualquier arquitectura convergente.

Retos de seguridad OT

Proteger entornos OT es fundamentalmente diferente de proteger entornos IT. Las mismas herramientas y enfoques que funcionan en IT corporativo pueden causar problemas graves cuando se aplican a sistemas industriales. Estos son los retos específicos que hacen de la seguridad OT una disciplina propia:

Sistemas legacy que no pueden parchearse

Muchos dispositivos OT ejecutan sistemas operativos y firmware con años o incluso décadas de antigüedad. Algunos funcionan con Windows XP o versiones antiguas de Linux embebido que ya no reciben actualizaciones de seguridad. Parchear estos sistemas requiere detener la producción, lo que puede costar miles de euros por hora de parada. El parcheo virtual a través de dispositivos de seguridad de red es la solución principal: aplicar firmas IPS a nivel de red para proteger dispositivos vulnerables sin tocar los dispositivos en sí.

Protocolos sin seguridad integrada

Los protocolos OT como Modbus, DNP3 y BACnet fueron diseñados hace décadas para fiabilidad, no para seguridad. Carecen de autenticación, cifrado o verificación de integridad integrados. Cualquiera con acceso a la red puede enviar comandos a un PLC a través de Modbus sin credenciales. La segmentación de red y la inspección de tráfico a nivel de protocolo son esenciales para prevenir el acceso no autorizado a equipos OT.

El escaneo puede romper equipos

Los escáneres de vulnerabilidades IT estándar envían paquetes de sondeo que los dispositivos OT nunca se diseñaron para manejar. Un escaneo activo puede bloquear un PLC, reiniciar una RTU o disparar una parada de seguridad. La seguridad OT se apoya en la monitorización pasiva que observa el tráfico de red sin inyectar paquetes, y en herramientas de Network Traffic Analysis (NTA) que aprenden el comportamiento normal de las redes industriales y detectan anomalías.

La visibilidad de activos es deficiente

Muchas organizaciones no tienen un inventario completo de sus activos OT. Dispositivos añadidos durante décadas, a menudo por diferentes proveedores y equipos, crean entornos donde nadie sabe exactamente qué está conectado. Sin visibilidad, la seguridad es imposible. El descubrimiento de activos OT debe tener en cuenta dispositivos que no responden a escaneos de red estándar y usan protocolos que las herramientas de descubrimiento IT no entienden.

La seguridad física debe ir primero

En seguridad IT, la respuesta a una amenaza detectada suele ser aislar el sistema afectado. En OT, aislar un sistema podría apagar un oleoducto, detener una línea de producción o desactivar un sistema de seguridad. Cada respuesta de seguridad debe sopesar el riesgo de la amenaza frente al riesgo de la respuesta. Los Safety Instrumented Systems (SIS) nunca deben verse comprometidos por medidas de seguridad destinadas a proteger otras partes de la red.

El «Modelo Purdue» y la segmentación de red

La Purdue Enterprise Reference Architecture (también conocida como modelo Purdue) es el marco estándar para organizar y segmentar las redes industriales. Divide el entorno en niveles jerárquicos, cada uno con funciones y requisitos de seguridad específicos:

0
Nivel 0: proceso físico
El equipo físico real: sensores, actuadores, motores, válvulas y el propio proceso industrial. Aquí es donde OT interactúa directamente con el mundo físico.
1
Nivel 1: control básico
PLCs, RTUs y otros controladores que leen datos de sensores y ejecutan lógica de control. Estos dispositivos toman las decisiones en tiempo real que mantienen los procesos funcionando dentro de sus parámetros previstos.
2
Nivel 2: supervisión de área
HMIs, servidores SCADA y estaciones de ingeniería que los operadores usan para monitorizar e interactuar con los dispositivos del Nivel 1. Esta es la capa de la sala de control donde los humanos observan y gestionan los procesos industriales.
3
Nivel 3: operaciones de planta
Manufacturing Execution Systems (MES), historiadores de datos y sistemas de gestión a nivel de planta. Este nivel recopila datos operacionales para programación de producción, gestión de calidad y reporting.
D
DMZ IT/OT (Zona Desmilitarizada)
La frontera crítica entre las redes OT e IT. Todo el tráfico entre ambas debe pasar por la DMZ, donde firewalls, diodos de datos y sistemas de inspección controlan y monitorizan lo que cruza la frontera. No se permite tráfico directo del Nivel 4 al Nivel 3 o inferior.
4
Niveles 4-5: IT corporativo y cloud
Sistemas de negocio corporativos, ERP, correo electrónico, servicios cloud y acceso a internet. Este es el entorno IT tradicional que debe estar separado de OT por la DMZ.

El modelo Purdue es referenciado por el estándar IEC 62443 de ciberseguridad industrial, que se construye sobre su estructura jerárquica para definir zonas de seguridad, conductos y niveles de seguridad. Una seguridad OT efectiva comienza con una segmentación de red adecuada siguiendo este modelo, asegurando que un compromiso en una zona no pueda propagarse libremente a otras.

Soluciones OT de Teldat

Teldat proporciona un portfolio completo de seguridad y networking OT a través de su solución be.OT, diseñada específicamente para entornos industriales donde las herramientas de seguridad IT estándar no son apropiadas.

be.OT: visibilidad, control, detección y protección

La solución be.OT de Teldat aborda los cuatro pilares de la seguridad OT. La visibilidad comienza con el descubrimiento automatizado de activos que identifica cada dispositivo en la red industrial, incluidos equipos legacy y dispositivos con protocolos propietarios. El control se logra mediante capacidades NGFW con más de 1.000 controles de aplicación ICS OT y firmas IPS desarrolladas específicamente para protocolos industriales. La detección aprovecha Network Traffic Analysis (NTA) con modelos de IA que aprenden el comportamiento normal de las redes OT y detectan anomalías, incluidos ataques zero day que los sistemas basados en firmas no captan. La protección integra todas estas capacidades en una plataforma de seguridad unificada que puede responder a amenazas automáticamente, desplegar contramedidas y proporcionar gestión centralizada.

Seguridad embebida en el borde

En entornos OT, la seguridad debe desplegarse lo más cerca posible de los equipos. Teldat embebe capacidades NGFW e IDS/IPS directamente en su hardware de red, de modo que cada nodo de red se convierte en un punto de aplicación de seguridad. Este enfoque de seguridad en el borde evita que las amenazas se propaguen lateralmente entre subredes y elimina la necesidad de appliances de seguridad separados en cada ubicación. La seguridad embebida de Teldat se ejecuta en CPUs dedicadas, por lo que la inspección no afecta al throughput del dispositivo de red.

Parcheo virtual para sistemas legacy

Dado que muchos dispositivos OT no pueden parchearse directamente, las firmas IPS de Teldat actúan como parches virtuales a nivel de red. Las vulnerabilidades en PLCs, RTUs y software SCADA se abordan bloqueando el tráfico de exploit en el punto de red más cercano, sin requerir ningún cambio en los dispositivos vulnerables. Esto es especialmente valioso en entornos donde detener la producción para una actualización de software no es viable.

Gestión unificada de seguridad IT/OT

La plataforma de seguridad de Teldat gestiona amenazas tanto IT como OT dentro de un único sistema, proporcionando una consola centralizada para visibilidad y gestión en redes convergentes. La telemetría OT se integra con be.Safe XDR para detección de amenazas con IA y respuesta correlacionada en eventos de red, endpoint e industriales.

La ventaja OT de Teldat: Como fabricante de hardware de red y proveedor de ciberseguridad, Teldat ofrece seguridad OT embebida en la propia infraestructura de red. be.OT combina descubrimiento de activos, NGFW con firmas ICS específicas, NTA con IA, parcheo virtual y gestión unificada IT/OT en un único ecosistema. Esto elimina la necesidad de productos puntuales separados y se adapta a los requisitos particulares de cada entorno industrial, desde smart grids y ferrocarriles hasta manufactura e infraestructura crítica.

Preguntas frecuentes sobre Operational Technology (FAQ’s)

❯ ¿Qué es Operational Technology (OT) en términos sencillos?

Operational Technology es el hardware y software que monitoriza y controla equipos físicos y procesos industriales. Incluye sistemas como SCADA, PLCs y DCS que operan fábricas, centrales eléctricas e instalaciones de tratamiento de agua. A diferencia de IT, que gestiona datos y aplicaciones de negocio, OT interactúa directamente con el mundo físico.

❯ ¿Cuál es la diferencia entre OT e IT?

IT gestiona datos, sistemas de negocio y redes corporativas. OT gestiona equipos físicos y procesos industriales. IT prioriza la confidencialidad de datos; OT prioriza la disponibilidad y la seguridad física. Los sistemas IT se renuevan cada 3 a 5 años; los sistemas OT pueden funcionar 15 a 25+ años. Ambos están convergiendo a medida que las redes industriales se conectan más.

❯ ¿Qué es la convergencia IT/OT?

La convergencia IT/OT es la integración de sistemas IT (aplicaciones de negocio, cloud, redes corporativas) con sistemas OT (SCADA, PLCs, sistemas de control industrial). Permite usar datos operacionales para inteligencia de negocio y mantenimiento predictivo, pero también expone sistemas OT previamente aislados a ciberamenazas de la red IT.

❯ ¿Cuáles son los principales sistemas OT?

Los principales sistemas OT son: (1) SCADA para monitorización y control centralizado en activos distribuidos. (2) DCS para gestionar procesos de producción continuos. (3) PLCs para automatizar equipos específicos en la planta de producción. (4) RTUs para recopilar datos en ubicaciones remotas. (5) HMIs para la interacción del operador con equipos industriales.

❯ ¿Por qué la seguridad OT es diferente de la seguridad IT?

La seguridad OT difiere porque los sistemas OT priorizan la disponibilidad y la seguridad física sobre la confidencialidad. Muchos dispositivos ejecutan software legacy que no puede parchearse. Los protocolos OT carecen de seguridad integrada. Los escáneres de vulnerabilidades IT estándar pueden bloquear equipos industriales. La seguridad OT requiere monitorización pasiva, parcheo virtual, segmentación según el modelo Purdue e inteligencia de amenazas ICS especializada.

❯ ¿Qué es el modelo Purdue?

La Purdue Enterprise Reference Architecture organiza las redes industriales en niveles jerárquicos: Nivel 0 (proceso físico), Nivel 1 (PLCs y RTUs), Nivel 2 (HMIs y SCADA), Nivel 3 (MES e historiadores), una DMZ separando OT de IT, y Niveles 4-5 (IT corporativo y cloud). Es el marco estándar para segmentación de redes OT, referenciado por el estándar IEC 62443 de ciberseguridad industrial.

Protege tu entorno OT con Teldat

be.OT de Teldat ofrece descubrimiento de activos, NGFW con IPS específico para ICS, análisis de tráfico de red con IA y gestión unificada de seguridad IT/OT para entornos industriales.