boton
Contactar

● Glosario de Ciberseguridad

¿Qué es la convergencia IT/OT?

La convergencia IT/OT es la integración de los sistemas de Information Technology corporativos (aplicaciones de negocio, servicios cloud, redes corporativas) con los sistemas de Operational Technology (SCADA, PLCs, DCS, sistemas de control industrial). La convergencia permite a las organizaciones usar datos operacionales para inteligencia de negocio, mantenimiento predictivo y monitorización remota. Pero también expone entornos industriales previamente aislados por air gap al panorama completo de amenazas IT. Proteger redes convergentes requiere un enfoque fundamentalmente distinto: segmentación de red según el modelo Purdue e IEC 62443, Network Traffic Analysis pasiva para visibilidad OT, y gestión unificada de seguridad IT/OT que correlacione amenazas en ambos dominios.

Definición y factores de la convergencia IT/OT

La convergencia IT/OT es el proceso de conectar los sistemas de Information Technology con los de Operational Technology para que datos y servicios fluyan entre los dominios corporativo e industrial. En la práctica, esto significa que los datos de SCADA llegan a los sistemas ERP, las lecturas de sensores alimentan modelos de machine learning, los ingenieros pueden monitorizar equipos remotamente a través de dashboards cloud, y la lógica de negocio influye en los calendarios de producción en tiempo real.

Durante décadas, IT y OT operaron como mundos completamente separados. Las redes OT usaban protocolos propietarios, se ejecutaban en hardware dedicado y no tenían conexión a internet. Este aislamiento físico (el air gap) era el control de seguridad principal. La convergencia disolvió ese air gap, impulsada por varias fuerzas:

1
Industrial IoT (IIoT) y datos de sensores
Los dispositivos IIoT generan volúmenes masivos de datos operacionales de equipos, procesos y entornos. Estos datos solo son valiosos si llegan a plataformas de analítica, que normalmente residen en infraestructura IT o en la nube.
2
Mantenimiento predictivo e IA
Los modelos de machine learning analizan datos de vibración, temperatura y rendimiento de sensores OT para predecir fallos de equipos antes de que ocurran. Estos modelos requieren conectividad entre los sensores (OT) y la infraestructura de cómputo (IT/cloud).
3
Monitorización y gestión remota
Los ingenieros y operadores necesitan monitorizar y gestionar instalaciones geográficamente distribuidas sin desplazarse a cada ubicación. Esto requiere que los sistemas OT sean accesibles a través de redes IT y, cada vez más, a través de plataformas cloud.
4
Integración con ERP y cadena de suministro
Los datos de producción de la planta alimentan directamente los sistemas de planificación de recursos empresariales para gestión de inventario, programación y optimización de la cadena de suministro. Esto requiere flujo de datos en tiempo real del Nivel 3 OT al Nivel 4 IT.
5
Reporting regulatorio y cumplimiento
Regulaciones como NIS2 exigen a las organizaciones informar sobre la postura de seguridad de su infraestructura crítica. Esto requiere visibilidad tanto en IT como en OT, que solo es posible en arquitecturas convergentes.

La paradoja de la convergencia: La convergencia crea eficiencia operativa y ventaja competitiva, pero cada conexión entre IT y OT es también una ruta de ataque potencial. Las organizaciones que convergen sin proteger la frontera se enfrentan a que todo el panorama de amenazas IT alcance sus sistemas industriales más críticos.

Redes planas vs redes segmentadas

La decisión arquitectónica más importante en la convergencia IT/OT es si la red es plana o segmentada. Esta distinción determina si un incidente de seguridad queda contenido o se propaga desde los sistemas de oficina a la planta de producción:

Una red plana permite que cualquier dispositivo se comunique con cualquier otro sin restricciones. No hay zonas, no hay firewalls entre IT y OT, y no hay controles de acceso que separen un portátil de oficina de un PLC. En una red convergente plana, un atacante que compromete la cuenta de correo de un empleado mediante phishing puede moverse lateralmente hasta alcanzar servidores SCADA, HMIs o PLCs. La superficie de ataque es toda la red.

Una red segmentada divide el entorno en zonas basadas en función y requisitos de seguridad. El modelo Purdue define la jerarquía estándar: IT corporativo en los Niveles 4-5, una DMZ IT/OT como frontera, operaciones de planta en el Nivel 3, sistemas de control en los Niveles 1-2 y procesos físicos en el Nivel 0. El tráfico entre zonas se controla mediante firewalls con reglas de denegación total y permiso por excepción.

Dimensión Red plana Red segmentada
Comunicación Cualquier dispositivo habla con cualquier otro El tráfico solo fluye entre zonas autorizadas a través de firewalls
Superficie de ataque Toda la red es alcanzable desde cualquier punto Cada zona está aislada; el compromiso queda contenido
Movimiento lateral Sin restricciones; el atacante se mueve libremente de IT a OT Bloqueado en las fronteras de zona por firewalls y controles de acceso
Visibilidad Difícil; los patrones de tráfico son caóticos Clara; cada zona tiene baselines de tráfico definidos
Cumplimiento No cumple IEC 62443 ni NIST SP 800-82 Alineado con modelo Purdue, zonas y conductos IEC 62443
Recuperación Una sola brecha puede afectar toda la operación La brecha queda contenida en una zona; las demás siguen operando

La manufactura sigue siendo el sector más atacado por ransomware por cuarto año consecutivo, con un aumento del 61% en 2025. La mayoría de los ataques exitosos explotan redes planas donde no hay segmentación entre IT y OT. La segmentación de red es la defensa más efectiva contra el movimiento lateral desde IT hacia entornos de producción.

Riesgos y rutas de ataque de la convergencia

Entender cómo los ataques atraviesan redes convergentes es esencial para diseñar defensas efectivas. La ruta de ataque típica en un entorno IT/OT convergente sigue un patrón predecible:

1
Acceso inicial a través de IT
El atacante gana entrada mediante phishing, una vulnerabilidad explotada en una aplicación pública, o un proveedor externo comprometido con acceso VPN. Esto ocurre enteramente dentro de la red IT.
2
Movimiento lateral hacia OT
El atacante escala privilegios y se mueve lateralmente por la red IT. Si la red es plana o la DMZ IT/OT está mal configurada, el atacante alcanza los segmentos de red OT.
3
Reconocimiento OT
Una vez dentro de la red OT, el atacante identifica dispositivos industriales (PLCs, servidores SCADA, HMIs) observando tráfico de protocolos industriales (Modbus, DNP3, OPC UA). Los dispositivos OT normalmente no tienen autenticación, lo que facilita el reconocimiento.
4
Impacto industrial
El atacante despliega ransomware que cifra sistemas OT, envía comandos no autorizados a PLCs para alterar puntos de ajuste, desactiva sistemas de seguridad instrumentados, o exfiltra datos de proceso propietarios. Las consecuencias van desde paradas de producción hasta daños en equipos e incidentes de seguridad física.
5
Acceso persistente
Los atacantes avanzados establecen acceso persistente dentro de las redes OT, que es difícil de detectar porque los entornos OT carecen de las herramientas de detección en endpoint comunes en IT.

El riesgo de la convergencia en cifras: Más del 70% de las organizaciones OT sufrieron intrusiones de malware en el último año, con la mayoría entrando por IT. La manufactura es el sector más atacado por ransomware por cuarto año consecutivo. El coste medio de inactividad por un ataque de ransomware OT es de 1,9 millones de dólares por día. El 45% de los entornos OT evaluados por equipos de seguridad profesionales tenían falta total de visibilidad de red.

¿Cómo proteger redes convergentes IT/OT?

Proteger un entorno convergente no es un proyecto único sino un programa por fases. Las siguientes prácticas, ordenadas por impacto, forman la base de una arquitectura de seguridad convergente:

1
Establecer la DMZ IT/OT
Crear una zona de red intermedia entre IT corporativo y OT operacional. Todo el tráfico entre ambos dominios debe pasar por la DMZ, donde firewalls, diodos de datos y sistemas de inspección aplican control de acceso. Sin comunicación directa del Nivel 4 al Nivel 3 o inferior. Este es el control más importante.
2
Segmentar OT en zonas y conductos
Dividir la red OT en zonas basadas en función y riesgo, siguiendo IEC 62443. Cada línea de producción, sistema de control o instalación se convierte en una zona con sus propias políticas de firewall. Los conductos entre zonas se inspeccionan y se restringen a los protocolos y dispositivos que necesitan comunicarse.
3
Desplegar Network Traffic Analysis pasiva
Usar herramientas NTA que observen el tráfico OT sin inyectar paquetes. Los modelos de IA aprenden el comportamiento normal de la red industrial (qué dispositivos se comunican, con qué protocolos, a qué intervalos) y detectan anomalías que indiquen acceso no autorizado, movimiento lateral o abuso de protocolos.
4
Implementar parcheo virtual
Aplicar firmas IPS a nivel de red para bloquear tráfico de exploit dirigido a vulnerabilidades conocidas en dispositivos OT legacy que no pueden parchearse directamente. Esto protege PLCs, RTUs y software SCADA sin requerir paradas de producción.
5
Aplicar control de acceso basado en identidad
Sustituir credenciales compartidas y acceso VPN amplio por controles granulares basados en identidad. Exigir autenticación multifactor en todas las sesiones remotas. Asegurar que el acceso de proveedores y contratistas sea limitado en tiempo y restringido a dispositivos específicos.
6
Unificar la monitorización de seguridad IT/OT
Desplegar una plataforma de seguridad única (XDR) que correlacione eventos de ambos entornos IT y OT. Un ataque que empieza con un phishing en IT y avanza hacia OT debe detectarse como un único incidente correlacionado, no como dos alertas separadas sin relación.

Visibilidad y monitorización en entornos convergentes

La visibilidad es la base de la seguridad en redes convergentes. Sin saber qué dispositivos están conectados, qué tráfico fluye y qué constituye el comportamiento normal, los equipos de seguridad no pueden detectar amenazas ni responder eficazmente.

El reto de la visibilidad de activos

Muchas organizaciones no tienen un inventario completo de sus activos OT. Dispositivos instalados a lo largo de décadas por diferentes proveedores crean entornos donde nadie sabe exactamente qué hay en la red. Las herramientas de descubrimiento IT usan escaneo activo, que puede bloquear equipos OT. El descubrimiento de activos OT debe usar métodos pasivos: observar el tráfico de red para identificar dispositivos por sus patrones de comunicación sin enviar paquetes de sondeo.

Network Traffic Analysis con IA

Network Traffic Analysis (NTA) es la herramienta de monitorización principal para entornos convergentes. NTA observa pasivamente todo el tráfico en la red OT, construyendo una baseline comportamental de las operaciones normales. Los modelos de IA aprenden qué dispositivos se comunican con qué otros dispositivos, usando qué protocolos, a qué intervalos y con qué características de payload. Cuando algo se desvía de esta baseline, ya sea un dispositivo IT no autorizado comunicándose con un PLC, un comando Modbus enviado fuera del horario operativo normal, o un volumen inusual de datos saliendo de la red OT, el sistema NTA genera una alerta.

Detección correlacionada entre IT y OT

Los ataques más avanzados atraviesan tanto IT como OT. Un phishing compromete una cuenta IT, el atacante se mueve lateralmente por IT, cruza la DMZ y alcanza OT. Si la seguridad IT y OT operan en silos con herramientas de monitorización separadas, cada equipo ve solo parte del ataque. Una plataforma unificada de Extended Detection and Response (XDR) correlaciona eventos de endpoints IT, tráfico de red, servicios cloud y telemetría OT, presentando la cadena de ataque completa como un único incidente.

Las brechas de visibilidad son la norma, no la excepción: El 45% de los entornos OT evaluados por equipos de seguridad profesionales en 2024 tenían falta total de visibilidad de red. Sin visibilidad, la detección, el triaje y la respuesta son imposibles a escala. NTA pasiva combinada con XDR unificado cierra esta brecha sin interrumpir las operaciones industriales.

Marcos y gobernanza para la convergencia

Proteger la convergencia IT/OT es tanto un reto de gobernanza como técnico. Propiedad clara, políticas compartidas y alineación con marcos reconocidos son esenciales:

IEC 62443 zonas y conductos

IEC 62443 proporciona el marco técnico definitivo para proteger redes industriales convergentes. Su modelo de zonas y conductos define cómo segmentar la red, qué controles de seguridad aplicar en cada frontera y cómo asignar Niveles de Seguridad (SL-1 a SL-4) basados en riesgo. El estándar también aborda los roles de propietarios de activos, integradores de sistemas y proveedores de productos.

NIST CSF y SP 800-82

El NIST Cybersecurity Framework proporciona la estructura general de gobernanza (Identificar, Proteger, Detectar, Responder, Recuperar), mientras que NIST SP 800-82 mapea esas funciones específicamente a sistemas de control industrial. Juntos complementan IEC 62443 y son ampliamente referenciados por organizaciones que construyen programas de seguridad convergentes.

Directiva NIS2 y mandatos regulatorios

La Directiva NIS2 en Europa exige a los operadores de infraestructura crítica implementar medidas de gestión de riesgos que cubran toda su infraestructura tecnológica, incluidas las redes IT/OT convergentes. NIS2 requiere reporte de incidentes en 24 horas, medidas de seguridad de la cadena de suministro y responsabilidad personal de la dirección. Mandatos similares existen en EEUU a través de CIRCIA y NERC CIP.

Alineación organizativa

La convergencia requiere que los equipos IT y OT trabajen juntos bajo una gobernanza compartida. En 2025, el 52% de las organizaciones reportaron que el CISO es ahora responsable de la ciberseguridad OT (frente al 18% en 2022), y el 80% planeaba trasladar la seguridad OT bajo el CISO en los próximos 12 meses. Un comité de seguridad multifuncional que incluya IT, OT, dirección de operaciones y dirección ejecutiva crea responsabilidad compartida. Políticas de seguridad unificadas que reconozcan las restricciones específicas de OT, en lugar de aplicar políticas IT al por mayor, generan compromiso de ambos lados.

Soluciones de Teldat para convergencia IT/OT

Teldat aborda los retos de seguridad de la convergencia IT/OT a través de dos soluciones integradas: be.OT para seguridad OT industrial y be.Safe XDR para detección unificada de amenazas y respuesta en ambos dominios.

be.OT: proteger el lado OT de la convergencia

be.OT proporciona los cuatro pilares de la seguridad OT en entornos convergentes. Visibilidad mediante descubrimiento automatizado de activos que identifica cada dispositivo en la red industrial usando métodos pasivos. Control mediante NGFW con más de 1.000 controles de aplicación ICS específicos y firmas IPS para protocolos industriales (Modbus, DNP3, BACnet, OPC UA). Detección mediante Network Traffic Analysis con IA que aprende el comportamiento normal de OT y detecta anomalías incluyendo movimiento lateral desde IT, comandos de protocolo no autorizados y ataques zero day. Protección mediante parcheo virtual que bloquea tráfico de exploit dirigido a dispositivos legacy sin requerir paradas de producción.

be.Safe XDR: detección unificada de amenazas IT/OT

be.Safe XDR correlaciona eventos de seguridad de endpoints IT, tráfico de red, servicios cloud y telemetría OT de be.OT en una única plataforma. Un ataque que comienza con un phishing en IT y avanza hacia OT aparece como una cadena de incidentes correlacionada, no como alertas desconectadas en consolas separadas. La detección con IA identifica patrones de ataque complejos que abarcan ambos dominios, y los flujos de respuesta automatizada contienen las amenazas antes de que alcancen activos OT críticos.

Seguridad embebida en cada frontera

Teldat embebe capacidades NGFW e IDS/IPS directamente en su hardware de red, convirtiendo cada router y switch en un punto de aplicación de seguridad. En arquitecturas convergentes, esto significa que la seguridad se aplica en la DMZ IT/OT, en cada frontera de zona dentro de OT y en cada sucursal o ubicación remota, sin necesidad de appliances de seguridad separados. CPUs dedicadas gestionan la inspección sin impactar el throughput de la red.

La ventaja de convergencia de Teldat: Como fabricante de hardware de red y proveedor de ciberseguridad, Teldat ofrece seguridad en la intersección de IT y OT. be.OT protege la red industrial con descubrimiento de activos, NGFW específico para ICS, NTA con IA y parcheo virtual. be.Safe XDR unifica la monitorización de seguridad IT y OT con detección correlacionada y respuesta automatizada. Juntos, proporcionan a las organizaciones un único ecosistema que protege toda la arquitectura convergente, desde el borde corporativo hasta la planta de producción.

Preguntas frecuentes sobre convergencia IT/OT (FAQ’s)

❯ ¿Qué es la convergencia IT/OT?

La convergencia IT/OT es la integración de sistemas IT corporativos (aplicaciones de negocio, cloud, redes) con sistemas OT (SCADA, PLCs, sistemas de control industrial). Permite usar datos operacionales para inteligencia de negocio y mantenimiento predictivo, pero también expone entornos OT previamente aislados a ciberamenazas de la red IT.

❯ ¿Por qué la convergencia IT/OT es arriesgada?

La convergencia conecta sistemas industriales diseñados para fiabilidad (no seguridad) con redes corporativas que enfrentan amenazas constantes. Más del 70% de organizaciones OT sufrieron intrusiones de malware en el último año, con la mayoría entrando por IT. Una red plana convergente sin segmentación permite que un atacante que comprometa un sistema de negocio alcance directamente equipos SCADA y PLCs.

❯ ¿Cuál es la diferencia entre redes planas y segmentadas?

Una red plana permite que cualquier dispositivo se comunique con cualquier otro. Una red segmentada divide el entorno en zonas (según el modelo Purdue e IEC 62443) con firewalls entre ellas. La segmentación es la defensa más efectiva contra el movimiento lateral desde IT hacia entornos de producción.

❯ ¿Cómo se protege una red convergente IT/OT?

Proteger redes convergentes: (1) Establecer la DMZ IT/OT. (2) Segmentar OT en zonas y conductos según IEC 62443. (3) Desplegar NTA pasiva. (4) Implementar parcheo virtual. (5) Aplicar control de acceso con MFA. (6) Unificar monitorización IT/OT con XDR.

❯ ¿Qué es la DMZ IT/OT?

La DMZ IT/OT es una zona de red intermedia entre IT corporativo y OT operacional. Todo el tráfico entre IT y OT debe pasar por la DMZ, donde firewalls y sistemas de inspección controlan el acceso. No se permite comunicación directa entre sistemas IT y controladores OT. Es el control de seguridad más crítico en cualquier arquitectura convergente.

❯ ¿Qué papel juega el análisis de tráfico de red?

El Network Traffic Analysis (NTA) proporciona visibilidad pasiva en redes convergentes sin interrumpir operaciones. Los modelos de IA aprenden el comportamiento normal de OT y detectan anomalías como comandos no autorizados, movimiento lateral desde IT o explotación de protocolos industriales. NTA combinado con XDR cierra la brecha de visibilidad que aún afecta al 45% de los entornos OT.

Protege tu red convergente IT/OT con Teldat

be.OT y be.Safe XDR ofrecen descubrimiento de activos, NGFW específico ICS, NTA con IA, parcheo virtual y monitorización unificada IT/OT para entornos industriales convergentes.