OT, IoT, IIoT. Tres siglas que suenan casi igual, se usan como sinónimos en presentaciones, y confunden hasta a quien lleva años en tecnología. No son lo mismo, y la diferencia no es trivia de examen: entenderlas mal lleva a decisiones de seguridad equivocadas. Aquí está el mapa, en cristiano.
OT: el veterano que nació aislado
La tecnología operativa (OT) es la más antigua de las tres. Es el control industrial clásico —PLCs, SCADA, sensores y actuadores— que en muchos sitios tiene décadas de antigüedad y que nació en un mundo aislado: esos sistemas se diseñaron cuando estar desconectados de todo era lo normal y lo seguro. Su prioridad número uno es, y siempre ha sido, la disponibilidad y la seguridad física: que el proceso no pare y que nadie se lastime. La ciberseguridad no estaba en su ADN, sencillamente porque no estaban conectados a nada.
IoT: el recién llegado que nació conectado
El internet de las cosas (IoT) es lo opuesto en origen. Son dispositivos que nacieron conectados, pensados desde el primer día para hablar por la red y subir datos a la nube. Priorizan los datos y la conveniencia, suelen ser baratos y masivos, y —como vimos— arrastran malos hábitos de seguridad. Donde el OT es viejo, robusto y aislado, el IoT es nuevo, ligero y conectado por definición.
IIoT: donde los dos mundos chocan
El IIoT (IoT industrial) es la convergencia de los otros dos: llevar la conectividad, los sensores modernos y la telemetría del IoT al mundo tradicional de la OT. En la práctica es poner sensores inteligentes en equipo industrial que antes estaba mudo, y mandar esos datos a la nube para analizarlos, predecir fallas y optimizar. La promesa es enorme —visibilidad y eficiencia que la OT clásica nunca tuvo—. El problema también: el IIoT conecta lo que estaba deliberadamente aislado (la OT) usando tecnología que es insegura por diseño (el IoT). Junta lo mejor de ambos mundos, y también sus riesgos.
El mapa: OT nació aislado, IoT nació conectado, y el IIoT los une —conectando lo aislado con tecnología insegura por diseño—.
Por qué la distinción importa para la seguridad
Aquí está la razón de fondo para no mezclar las siglas. La OT era segura, en parte, porque estaba aislada. El IIoT rompe ese aislamiento en nombre de la visibilidad, y de repente sistemas industriales de hace veinte años —sin parches, sin autenticación moderna, diseñados para confiar en todo lo que les hablara— quedan expuestos a la red. Es la misma convergencia IT/OT que hace tan delicada la seguridad industrial: no puedes proteger lo que conectaste como si siguiera aislado. Requiere monitoreo y visibilidad específicos de OT —herramientas como Nozomi nacieron justo para ver este mundo sin perturbarlo—.
El encuadre que de verdad sirve
Al final, más que memorizar qué sigla es cuál, conviene hacerle a cada dispositivo tres preguntas: ¿toca el mundo físico? (entonces es OT y su falla tiene consecuencias reales), ¿está conectado a la red? (entonces es superficie de ataque), y ¿quién puede alcanzarlo? (entonces sabes tu exposición). Esas tres preguntas te dan más que cualquier sigla.
La idea que se queda
OT es el control físico que nació aislado; IoT son los dispositivos que nacieron conectados; IIoT es la convergencia que conecta lo primero usando lo segundo —con toda su promesa y todo su riesgo—. La distinción importa porque la seguridad de cada uno es distinta, y porque conectar sin entender es cómo se crean los agujeros. Es la base para tomar en serio la ciberseguridad OT.