IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Monitorear una red OT no es como monitorear TI (y por qué un escaneo puede tumbar un PLC)

08/07/2026 3 min de lectura Rubén Espinoza

En una red de oficina, escanear es rutina: lanzas una herramienta, interrogas cada dirección IP y te devuelve qué hay ahí. Nadie se inmuta. Haz exactamente lo mismo en una red industrial y puedes reiniciar un PLC en plena producción. La diferencia no es de grado, es de naturaleza.

Por qué el escaneo activo es peligroso en OT

Muchos dispositivos de una planta —PLC, RTU, controladores de hace diez, quince años o incluso más, por ahí he visto algunos Rockwell PLC 5 funcionando en 2026— tienen recursos de cómputo mínimos y una tcp stack apenas suficiente para su trabajo. No fueron diseñados para recibir tráfico inesperado; asumen una red confiable y ordenada. Un escaneo activo de los que en TI son inofensivos puede saturar a ese dispositivo, hacer que deje de responder o reiniciarlo. Y un controlador que se reinicia mientras gobierna un proceso no es un incidente informático: es un paro de línea, con lo que eso cuesta.

Esta es la misma fragilidad de la que hablamos al segmentar sin frenar la producción: en OT, la disponibilidad manda, y cualquier herramienta que toca la red tiene que respetarlo.

La alternativa: escuchar en vez de interrogar

Por eso el monitoreo industrial serio se hace, casi siempre, de forma pasiva. En lugar de preguntarle a cada equipo "¿quién eres?", el sensor escucha una copia del tráfico que ya circula —normalmente a través de un puerto espejo del switch— y a partir de ahí infiere qué dispositivos existen, cómo se comunican entre sí y qué patrón de tráfico es normal en esa planta. No inyecta nada. No interrumpe nada. Herramientas como Nozomi Networks se construyen sobre este principio, precisamente porque el proceso no puede detenerse para que alguien lo mire.

El beneficio adicional es que, una vez que el sistema aprende qué es normal, detectar lo anormal se vuelve posible: un dispositivo nuevo que nadie autorizó, una conexión que nunca había existido, un comando fuera de lo habitual.

Lo que el enfoque pasivo no te da

Sería deshonesto vender el monitoreo pasivo como una solución mágica. Tiene un límite claro: solo ve lo que habla. Un dispositivo silencioso, o uno que transmite muy de vez en cuando, puede tardar en aparecer o no aparecer en absoluto durante el periodo de observación. Tampoco reemplaza un inventario de ingeniería bien hecho: complementa lo que sabes, no lo sustituye.

En la práctica, el enfoque pasivo es el punto de partida más seguro, y sobre él se añaden —con criterio y con mucho cuidado— datos de configuración y, cuando el riesgo lo justifica, consultas activas muy selectivas hechas en ventanas controladas. Nunca un barrido a ciegas sobre la planta entera.

La pregunta que conviene hacerse

Antes de instalar cualquier sonda, vale la pena preguntarse algo más básico: ¿sabemos siquiera todo lo que está conectado a nuestra red industrial? Casi nunca la respuesta es un sí rotundo —y ese hueco, el de la visibilidad, es el tema del que hablamos por separado. Empezar a cerrarlo, sin perturbar el proceso, es parte de lo que hacemos en ciberseguridad OT.

#monitoreo ot #nozomi #escaneo activo #monitoreo pasivo #plc #ciberseguridad industrial

Preguntas frecuentes

¿Por qué no puedo escanear una red OT como una red de oficina?

Porque muchos dispositivos industriales (PLC, RTU) tienen recursos y pilas de red mínimas y no fueron diseñados para responder a tráfico inesperado. Un escaneo activo agresivo puede saturarlos, hacer que dejen de responder o reiniciarlos, y en un proceso en marcha eso equivale a un paro. En TI el escaneo es rutina; en OT es un riesgo operativo real.

¿Qué es el monitoreo pasivo de OT?

Es observar el tráfico de la red industrial sin inyectar nada: el sensor escucha una copia del tráfico (por ejemplo vía un puerto espejo) e infiere qué dispositivos hay, cómo se comunican y qué es normal, sin interrogar a los equipos. Herramientas como Nozomi Networks se basan en este enfoque para no perturbar el proceso.

¿El monitoreo pasivo lo detecta todo?

No. Solo ve lo que habla por la red durante el periodo de observación: un dispositivo silencioso o que rara vez transmite puede pasar desapercibido, y no reemplaza un inventario de ingeniería. Es la base más segura para empezar, pero se complementa con datos de configuración y, con mucho cuidado, con consultas activas selectivas.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Visibilidad de activos OT: no puedes proteger lo que no sabes que existe
Convergencia IT/OT: quién manda cuando seguridad y producción chocan
Segmentar IT/OT sin frenar la producción: los trade-offs reales