IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Seguridad OT

Quizá no tengas una planta, pero ya tienes OT (y no lo estás protegiendo)

13/07/2026 6 min de lectura Rubén Espinoza
Tablero PowerOperations de IT Experts monitoreando utility CFE, generador Generac y UPS APC en tiempo real
Tablero PowerOperations vigilando toda la cadena eléctrica de un vistazo — ver la demostración en vivo.

En septiembre de 2025, varios de los aeropuertos más grandes de Europa —Heathrow, Bruselas, Berlín-Brandenburg, Dublín— amanecieron repartiendo pases de abordar en papel. Filas enormes, vuelos cancelados, personal apuntando a mano. No fue una tormenta ni una huelga: fue un ransomware que golpeó a un proveedor compartido de sus sistemas de check-in (la plataforma MUSE de Collins Aerospace), y la agencia de ciberseguridad europea (ENISA lo confirmó). Un aeropuerto no se parece en nada a una fábrica —y aun así, lo que lo paralizó fue un ataque a la capa que mueve el mundo físico—. Ese es exactamente el malentendido que quiero desarmar.

OT no significa "fábrica"

Cuando un ingeniero que viene de TI escucha "seguridad OT", su cabeza dibuja una planta: PLCs, bandas, cascos, el modelo Purdue, la norma IEC 62443. Y concluye, con toda lógica aparente: "aquí no tenemos nada de eso, esto no aplica". El error está en la definición. OT (tecnología operativa) es cualquier sistema que interactúa con el mundo físico —que mide, controla o acciona algo real—. La industria fue solo el primer lugar donde se le puso nombre al problema. El término más honesto hoy es cyber-physical systems: computadoras que mueven cosas, no que procesan datos. Y esas están en tu edificio, tu recepción y tu cuarto de servidores, tengas o no una planta.

Por qué el ingeniero de TI no lo ve

No es descuido, es sesgo de formación —y de organigrama—. Primero, todo el material con el que se enseña OT nació en manufactura, con diagramas de SCADA; si tu negocio no tiene eso, asumes que estás fuera. Segundo, y más importante: en la mayoría de las empresas, las cámaras, el control de acceso y el aire acondicionado los compra y opera "facilities" o seguridad física, no TI. Así que nunca entran a la conversación de ciberseguridad —aunque cada uno de esos aparatos sea una computadora con firmware, una dirección IP y, muchas veces, la misma red que todo lo demás—.

El OT que ya tienes (y probablemente no vigilas)

Hagamos el inventario incómodo. Si tu organización ocupa un edificio, es casi seguro que tienes al menos tres frentes de OT:

  • El edificio mismo: HVAC, elevadores, iluminación, detección de incendios, todo coordinado por un sistema de automatización de edificios (BMS). Tu edificio es, literalmente, una computadora —lo desarmamos en automatización de edificios (BMS)—.
  • Tus cámaras y tu control de acceso: no son "seguridad física", son endpoints OT en tu red —cámaras IP, controladoras de puertas, lectores biométricos—. Por qué eso cambia todo lo vemos en CCTV y control de acceso son OT.
  • Tu cuarto de servidores: los UPS gestionables, las PDUs, el enfriamiento y los generadores son OT de instalaciones —y tumbarlos tumba todo lo demás—. Lo tratamos en las facilities del data center también son OT.

Y la lista sigue según el giro: la cadena de frío en retail, farmacéuticas y alimentos; los dispositivos médicos conectados en una clínica; el riego y el clima en agroindustria. Ninguno se ve "industrial". Todos son OT.

Esto no es teórico

Por si suena a advertencia abstracta: en 2025, la firma de seguridad Nozomi encontró trece vulnerabilidades en el Niagara Framework de Tridium —el middleware que corre la automatización de edificios inteligentes en oficinas, hospitales, hoteles y, sí, aeropuertos—. Encadenando varias de ellas, un atacante con acceso a la red puede llegar a ejecución de código como root sobre el dispositivo que controla el edificio (ver el detalle en el NVD y la cobertura del caso). No es una planta minera perdida: es el edificio de oficinas de al lado. La superficie de ataque OT del mundo "no industrial" es real, actual y explotable.

Por qué importa más que un problema de TI normal

Dos razones. La primera: cuando comprometen OT, la consecuencia no es un dato filtrado, es un efecto físico —puertas que no abren, cámaras ciegas, un cuarto de servidores que se sobrecalienta, un aeropuerto en papel—. La segunda: estos dispositivos son, en promedio, mucho peor cuidados que las computadoras de la oficina. Rara vez se parchan, muchos conservan contraseñas por defecto, y con frecuencia viven en la misma red plana que todo lo demás —sin la segmentación que los aislaría—. Es superficie de ataque de primera, desatendida por definición.

Qué hacer con esto

La buena noticia es que la disciplina no es nueva; es la misma que ya aplicas a TI, adaptada al mundo físico. Empieza por lo básico y lo tienes casi todo: saber qué aparatos tienes y en qué red viven (inventario y visibilidad de activos), separarlos de la red de oficina (segmentación), cambiarles las contraseñas de fábrica, y parchar lo que se pueda, priorizando lo que se explota. Si quieres los conceptos de fondo —qué hace distinto a OT, el modelo Purdue, la convergencia IT/OT—, ese es justo el terreno del resto de esta categoría, empezando por por qué proteger OT es distinto.

Y hay una cara de la que casi nadie habla hasta que es tarde: qué pasa mientras recuperas ese OT. La consecuencia física no se pausa, así que la continuidad importa tanto como la prevención —lo vimos en el ataque que dejó a varios aeropuertos europeos operando en papel en 2025, y lo desarrollamos en cuando el OT cae: el plan B manual—.

Versión ligera de PowerOperations corriendo en un HMI Siemens en sitio
La misma lógica de PowerOperations, en versión ligera, corriendo sobre un HMI Siemens en el sitio: monitoreo OT nativo en el piso, no solo un tablero web.

¿Conviene el HMI en planta, el dashboard web, o ambos? No es uno u otro —cada capa resuelve algo distinto—: lo desarrollamos en monitoreo OT: el HMI en planta vs. el dashboard web.

La pregunta que conviene hacerse

La pregunta no es "¿tenemos una planta que proteger?", sino ¿cuántas computadoras que tocan el mundo físico tenemos en la red —cámaras, accesos, el BMS, los UPS— y quién las está vigilando como vigilamos las laptops? Si la respuesta es "no lo habíamos pensado así", acabas de descubrir tu superficie OT. Verla, segmentarla y monitorearla —con herramientas de visibilidad OT como Nozomi y desde nuestro NOC/SOC administrado— es exactamente lo que hacemos. No necesitas una planta para tener un problema de OT; solo necesitas dejar de fingir que las cámaras y el edificio no son computadoras.

#ot #seguridad ot #cyber-physical #bms #cctv #ciberseguridad #edificios inteligentes

Preguntas frecuentes

¿La seguridad OT solo aplica a plantas industriales?

No. OT (tecnología operativa) es cualquier sistema que interactúa con el mundo físico: mide, controla o acciona algo real. La industria fue solo donde se nombró primero el problema. Oficinas, hospitales, hoteles, retail y data centers tienen OT en su automatización de edificios, cámaras y control de acceso, refrigeración y sistemas de energía, aunque no tengan nada que parezca una fábrica.

¿Qué sistemas OT tiene una empresa "no industrial"?

Típicamente al menos tres frentes: el sistema de automatización del edificio (HVAC, elevadores, iluminación, detección de incendios), las cámaras IP y el control de acceso (que son endpoints OT, no solo "seguridad física"), y las instalaciones del cuarto de servidores (UPS gestionables, PDUs, enfriamiento, generadores). Según el giro, también cadena de frío, dispositivos médicos o sistemas de riego.

¿Por qué la superficie OT suele estar más desprotegida que la de TI?

Porque estos dispositivos rara vez se parchan, muchos conservan contraseñas de fábrica y con frecuencia viven en la misma red plana que el resto, sin segmentación. Además suelen ser comprados y operados por facilities o seguridad física, no por TI, así que nunca entran a la conversación de ciberseguridad pese a ser computadoras conectadas a la red.

¿Un ataque a OT es más grave que uno a TI?

Es distinto: la consecuencia no es solo un dato filtrado, sino un efecto físico. Puertas que no abren, cámaras ciegas, un cuarto de servidores que se sobrecalienta o, como en los aeropuertos europeos de 2025, una operación que vuelve al papel. Por eso conviene tratar los sistemas ciber-físicos con la misma disciplina de seguridad que las computadoras de oficina, adaptada al mundo físico.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Seguridad OT

Monitoreo OT: el HMI en planta vs. el dashboard web (y por qué necesitas ambos)
Generación de emergencia: la planta que solo sabes si sirve cuando ya no hay luz (y cómo saberlo antes)
La cadena de frío también es OT: cuando una falla no es downtime, es inventario podrido