IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

IT y OT no son lo mismo, y tratarlos igual es como te vulneran

08/07/2026 5 min de lectura Rubén Espinoza

Cuando una empresa industrial decide "ponerse seria" con la ciberseguridad, el reflejo más común es extender a la planta lo que ya funciona en la oficina: el mismo antivirus, el mismo firewall, el mismo agente que instala parches de Windows por las noches. Es un reflejo entendible. También es donde empiezan la mayoría de los problemas.

La tecnología de operación —los PLCs, los sistemas SCADA, las HMI que controlan una línea de producción— no es una extensión de la red de TI. Es otro entorno, con otras prioridades y otras reglas. Tratarlo igual no solo deja huecos de seguridad: puede detener la producción.

El primer cambio: las prioridades se invierten

En TI, el orden clásico de prioridades es confidencialidad, luego integridad y al final disponibilidad. Proteger que la información no se filtre suele estar por encima de que un servicio esté disponible cinco minutos más.

En OT, ese orden se invierte: primero disponibilidad, después integridad y al final confidencialidad. Que una línea de producción se detenga puede costar más —y ser más peligroso— que casi cualquier fuga de datos. Esa inversión no es un detalle académico: cambia qué controles son aceptables. En TI es normal que un antivirus ponga en cuarentena un archivo dudoso o que un equipo se reinicie para aplicar un parche crítico. En una planta, ese mismo comportamiento —bloquear "por si acaso" o reiniciar un controlador a medio proceso— es exactamente lo que no puede pasar.

Los protocolos industriales no fueron diseñados para desconfiar

Buena parte de los protocolos que hablan en una red industrial —Modbus, Profinet, DNP3, EtherNet/IP— nacieron para redes aisladas, donde se asumía que todo el que estaba conectado tenía derecho a estar ahí. Por diseño, muchos no autentican ni cifran nada.

En la práctica esto significa que un comando de "detén el motor" o "cambia este valor" no siempre pregunta quién lo envía. No puedes "solo activar MFA" en un PLC de hace doce años, ni pedirle a un SCADA que rechace órdenes sin firmar. La seguridad no se puede añadir dentro del protocolo; hay que construirla alrededor de él.

Por qué la herramienta de TI puede ser el problema, no la solución

Aquí es donde el consejo bienintencionado de TI se vuelve riesgoso. "Escanea toda la red en busca de vulnerabilidades" es una buena práctica en la oficina. En una red OT, un escaneo activo agresivo puede tumbar un dispositivo: muchos equipos industriales se cuelgan o se reinician cuando reciben tráfico que no esperaban, simplemente porque nunca fueron pensados para responder a un escáner moderno.

Lo mismo aplica a un parche forzado sobre un controlador a mitad de un lote, o a un agente de seguridad que consume recursos en una HMI que corre sobre hardware limitado y con un sistema operativo obsoleto y sin parchar. La herramienta que en TI reduce el riesgo, en OT puede provocar justo la interrupción que se quería evitar. Por eso el monitoreo industrial serio se apoya casi exclusivamente en descubrimiento pasivo —observar el tráfico sin inyectar nada— con plataformas diseñadas para entender protocolos industriales, como las de Nozomi Networks.

Empezar por ver, no por bloquear

Si los controles de TI no se pueden trasplantar, ¿por dónde se empieza? Por la visibilidad. Antes de imponer una sola regla, hay que responder una pregunta que muchas plantas no pueden contestar hoy: ¿qué está conectado a mi red industrial y quién puede darle órdenes?

A partir de ahí, el camino razonable es conocido: inventario pasivo de activos, segmentación entre la red de TI y la de OT —de modo que un equipo comprometido en la oficina no tenga línea directa al piso de producción— y un monitoreo que entienda el contexto industrial. Nada de esto elimina el riesgo; sería deshonesto prometerlo. Lo que hace es volverlo visible y gestionable, que es un punto de partida muy distinto a no saber qué hay en la red. Es también la base del servicio de ciberseguridad OT/industrial que operamos desde nuestro NOC/SOC.

Por qué esto importa aquí y ahora

El norte de México concentra manufactura, maquila e industria multisitio. Mucha de esa infraestructura OT creció de forma orgánica durante años, resolviendo necesidades de producción, sin que la seguridad fuera parte del diseño. No era un descuido: durante mucho tiempo esas redes estuvieron razonablemente aisladas.

Eso cambió. Hoy el ransomware que entra por un correo en la oficina puede terminar afectando la operación si no hay una frontera clara entre TI y OT, y los ataques que antes parecían lejanos ya llegan a entornos industriales. No es alarmismo; es una brecha de visibilidad que conviene cerrar antes de que alguien más la encuentre primero. Y la pregunta correcta para empezar no es "¿tengo antivirus en la planta?", sino "¿sé qué está conectado a mi red industrial y quién puede darle órdenes?".

#seguridad ot #ciberseguridad industrial #scada #plc #it/ot #nozomi networks

Preguntas frecuentes

¿Un firewall y un antivirus de TI no protegen también la red industrial?

Ayudan en el perímetro, pero no cubren lo específico de OT. Los controles de TI suelen priorizar bloquear ante la duda, algo que en una planta puede detener la producción, y no entienden los protocolos industriales ni los dispositivos que no toleran un agente o un escaneo. Protegen parte del camino, no el entorno OT completo.

¿Por qué escanear la red OT puede ser peligroso?

Muchos dispositivos industriales (PLCs, HMI, controladores) no fueron diseñados para responder a los escáneres modernos y pueden colgarse o reiniciarse ante tráfico inesperado. Un escaneo activo agresivo, que en TI es rutina, en OT puede provocar la interrupción de producción que se quería evitar. Por eso se prefiere el descubrimiento pasivo.

¿Por dónde se empieza a asegurar un entorno OT?

Por la visibilidad, no por imponer controles. Primero hay que saber qué activos existen y cómo se comunican (idealmente con descubrimiento pasivo), luego segmentar la red de TI de la de OT y establecer un monitoreo que entienda protocolos industriales. Imponer herramientas de TI antes de tener ese mapa suele causar más problemas de los que resuelve.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Segmentar IT/OT sin frenar la producción: los trade-offs reales
Qué es IEC 62443 y qué te exige de verdad (no la versión de folleto)
El modelo Purdue explicado sin humo, para quien opera una planta