Hay una categoría de OT que casi todas las empresas tienen, que está a la vista de todos, y que casi nadie cuenta como riesgo de ciberseguridad: las cámaras y el control de acceso. Se compran como "seguridad física", los instala un proveedor de seguridad, y los administra alguien que no es TI. Pero una cámara IP, una controladora de puerta o un lector biométrico son, técnicamente, lo mismo que una laptop: computadoras con firmware, dirección IP y conexión a tu red. Es decir, endpoints OT —y como vimos que OT no es solo de fábricas, estos cuentan—.
El malentendido de "seguridad física"
Llamarlos "seguridad física" no es incorrecto, pero esconde la otra mitad de su naturaleza. Ese nombre hace que la conversación se quede en lentes, ángulos y grabación —y nunca llegue a firmware, contraseñas, red y actualizaciones—. El resultado organizacional es predecible: el CCTV vive en un limbo donde el área de seguridad no lo ve como TI y el área de TI no lo ve como suyo, así que nadie lo endurece.
Por qué importa: la cámara como puerta de entrada
Un dispositivo de video comprometido sirve para tres cosas, todas malas: espiar (lo obvio), cegar la vigilancia en el momento de otro ataque, y —lo más subestimado— servir de trampolín hacia el resto de la red desde un punto que nadie monitorea. Las botnets que secuestran cámaras conectadas a internet para lanzar ataques masivos existen justamente porque hay millones de estos dispositivos expuestos y sin mantener. El problema, ojo, casi nunca es la cámara en sí: es cómo se desplegó.
Consumer no es lo mismo que profesional
Aquí conviene una precisión honesta. El equipo profesional serio —una cámara Hikvision, por ejemplo— no llega "abierto": obliga a definir una contraseña de administrador la primera vez que se activa, no trae una clave universal de fábrica como muchos dispositivos de consumo tipo hogar. Es decir, la plataforma ayuda. Donde se juega la seguridad es en el despliegue: mantener el firmware al día, ponerlas en su propia red, no exponerlas directo a internet y gestionarlas de forma centralizada. Lo mismo que ya explicamos a fondo en cámaras IP y ciberseguridad.
Cómo tratarlos (como el OT que son)
- Red propia: cámaras y accesos en su VLAN, segmentados de la red de oficina y sin salida directa a internet.
- Firmware al día: sí, las cámaras y controladoras reciben parches de seguridad; hay que aplicarlos.
- Credenciales fuertes y únicas: nada de la misma contraseña en las 40 cámaras.
- Gestión centralizada: una plataforma como HikCentral permite ver el estado, el firmware y los accesos de todo el parque desde un punto, en lugar de dispositivo por dispositivo.
La pregunta que conviene hacerse
La pregunta no es "¿tengo cámaras funcionando?", sino ¿alguien mantiene el firmware, las contraseñas y la red de mis cámaras y accesos con el mismo rigor que las computadoras de la oficina —o están en tierra de nadie entre seguridad física y TI? Cerrar esa tierra de nadie —tratar el CCTV y el control de acceso como los endpoints OT que son— es parte de cómo integramos seguridad física y ciberseguridad. Los otros frentes del mismo hueco: la automatización del edificio (BMS) y las instalaciones del cuarto de servidores.