Cuando una empresa industrial decide "ponerse seria" con la ciberseguridad, el reflejo más común es extender a la planta lo que ya funciona en la oficina: el mismo antivirus, el mismo firewall, el mismo agente que instala parches de Windows por las noches. Es un reflejo entendible. También es donde empiezan la mayoría de los problemas.
La tecnología de operación —los PLCs, los sistemas SCADA, las HMI que controlan una línea de producción— no es una extensión de la red de TI. Es otro entorno, con otras prioridades y otras reglas. Tratarlo igual no solo deja huecos de seguridad: puede detener la producción.
El primer cambio: las prioridades se invierten
En TI, el orden clásico de prioridades es confidencialidad, luego integridad y al final disponibilidad. Proteger que la información no se filtre suele estar por encima de que un servicio esté disponible cinco minutos más.
En OT, ese orden se invierte: primero disponibilidad, después integridad y al final confidencialidad. Que una línea de producción se detenga puede costar más —y ser más peligroso— que casi cualquier fuga de datos. Esa inversión no es un detalle académico: cambia qué controles son aceptables. En TI es normal que un antivirus ponga en cuarentena un archivo dudoso o que un equipo se reinicie para aplicar un parche crítico. En una planta, ese mismo comportamiento —bloquear "por si acaso" o reiniciar un controlador a medio proceso— es exactamente lo que no puede pasar.
Los protocolos industriales no fueron diseñados para desconfiar
Buena parte de los protocolos que hablan en una red industrial —Modbus, Profinet, DNP3, EtherNet/IP— nacieron para redes aisladas, donde se asumía que todo el que estaba conectado tenía derecho a estar ahí. Por diseño, muchos no autentican ni cifran nada.
En la práctica esto significa que un comando de "detén el motor" o "cambia este valor" no siempre pregunta quién lo envía. No puedes "solo activar MFA" en un PLC de hace doce años, ni pedirle a un SCADA que rechace órdenes sin firmar. La seguridad no se puede añadir dentro del protocolo; hay que construirla alrededor de él.
Por qué la herramienta de TI puede ser el problema, no la solución
Aquí es donde el consejo bienintencionado de TI se vuelve riesgoso. "Escanea toda la red en busca de vulnerabilidades" es una buena práctica en la oficina. En una red OT, un escaneo activo agresivo puede tumbar un dispositivo: muchos equipos industriales se cuelgan o se reinician cuando reciben tráfico que no esperaban, simplemente porque nunca fueron pensados para responder a un escáner moderno.
Lo mismo aplica a un parche forzado sobre un controlador a mitad de un lote, o a un agente de seguridad que consume recursos en una HMI que corre sobre hardware limitado y con un sistema operativo obsoleto y sin parchar. La herramienta que en TI reduce el riesgo, en OT puede provocar justo la interrupción que se quería evitar. Por eso el monitoreo industrial serio se apoya casi exclusivamente en descubrimiento pasivo —observar el tráfico sin inyectar nada— con plataformas diseñadas para entender protocolos industriales, como las de Nozomi Networks.
Empezar por ver, no por bloquear
Si los controles de TI no se pueden trasplantar, ¿por dónde se empieza? Por la visibilidad. Antes de imponer una sola regla, hay que responder una pregunta que muchas plantas no pueden contestar hoy: ¿qué está conectado a mi red industrial y quién puede darle órdenes?
A partir de ahí, el camino razonable es conocido: inventario pasivo de activos, segmentación entre la red de TI y la de OT —de modo que un equipo comprometido en la oficina no tenga línea directa al piso de producción— y un monitoreo que entienda el contexto industrial. Nada de esto elimina el riesgo; sería deshonesto prometerlo. Lo que hace es volverlo visible y gestionable, que es un punto de partida muy distinto a no saber qué hay en la red. Es también la base del servicio de ciberseguridad OT/industrial que operamos desde nuestro NOC/SOC.
Por qué esto importa aquí y ahora
El norte de México concentra manufactura, maquila e industria multisitio. Mucha de esa infraestructura OT creció de forma orgánica durante años, resolviendo necesidades de producción, sin que la seguridad fuera parte del diseño. No era un descuido: durante mucho tiempo esas redes estuvieron razonablemente aisladas.
Eso cambió. Hoy el ransomware que entra por un correo en la oficina puede terminar afectando la operación si no hay una frontera clara entre TI y OT, y los ataques que antes parecían lejanos ya llegan a entornos industriales. No es alarmismo; es una brecha de visibilidad que conviene cerrar antes de que alguien más la encuentre primero. Y la pregunta correcta para empezar no es "¿tengo antivirus en la planta?", sino "¿sé qué está conectado a mi red industrial y quién puede darle órdenes?".