En una planta, el miedo real casi nunca es el hacker. Es parar la línea. Por eso cuando alguien propone "segmentar la red IT de la OT" —separar la red de oficina de la que controla máquinas—, la primera reacción de operaciones no es de alivio, es de sospecha: ¿esto va a frenar la producción? Es una pregunta legítima, y la respuesta honesta tiene matices.
Por qué no basta con "poner un firewall en medio"
En el papel suena simple: un firewall entre las dos redes y listo. En una planta real, casi nunca lo es. Muchas redes industriales están planas —todo habla con todo— porque así se instalaron hace diez o quince años, cuando nadie pensaba en un atacante. Meter una frontera de golpe en una red que nunca la tuvo tiene consecuencias inmediatas.
Los protocolos industriales (Modbus, PROFINET, EtherNet/IP y compañía) muchas veces no fueron diseñados con seguridad en mente: asumen una red confiable y hablan sin autenticación. Un firewall que los inspecciona mal, o que introduce el más mínimo retardo donde el proceso espera respuesta en milisegundos, puede degradar el control. Y algunos PLC viejos son tan frágiles que un escaneo agresivo basta para tumbarlos. Segmentar sin entender ese terreno es cambiar un riesgo de seguridad por un riesgo de disponibilidad.
El trade-off que casi nadie pone sobre la mesa
Aquí está la tensión de fondo, sin adornos: en OT, la disponibilidad manda. En TI el reflejo ante la duda es bloquear; en la planta, bloquear de más puede detener una línea que factura por minuto. Toda decisión de segmentación se mueve en ese eje —más control frente a más continuidad— y pretender que no hay costo es justo la promesa que deberías desconfiar.
La buena noticia es que el trade-off se administra. No se elige entre "seguro" y "operando": se elige cuánta fricción introduces, dónde y en qué orden, para reducir riesgo sin frenar lo que no debe frenarse.
Cómo se hace sin apagar la planta: por fases
Un despliegue serio casi nunca empieza bloqueando. Empieza observando:
- Primero, mapear. Definir las zonas y conductos —el lenguaje de IEC 62443, apoyado en el modelo Purdue— para saber qué habla con qué y qué de eso es legítimo.
- Después, escuchar. Se pone el control en modo monitor: ve el tráfico, no lo corta. Durante semanas aprende qué es normal en esa planta, que nunca es igual a la de al lado.
- Luego, reglas en modo alerta. Se definen las políticas, pero avisan en vez de bloquear. Ahí aparecen los falsos positivos —ese enlace legítimo que nadie documentó— y se corrigen antes de que rompan nada.
- Por último, hacer cumplir. Solo cuando el tráfico está entendido se pasa a bloquear, zona por zona, y de preferencia en ventanas de mantenimiento.
Es más lento que "instalar y encender". También es la diferencia entre segmentar y provocar un paro no programado.
Dónde entra la herramienta (y dónde no lo resuelve sola)
Para llevar esa frontera hacen falta equipos que entiendan protocolos industriales, no solo tráfico de oficina. Un firewall de nueva generación con reconocimiento OT —de Fortinet, por ejemplo— permite crear esas zonas y aplicar políticas por proceso, en modo transparente para no rediseñar el direccionamiento. Es la clase de equipo con el que trabajamos a diario en proyectos de firewall y seguridad de red.
Dicho con la misma honestidad: la caja no segmenta sola. Sin el mapeo previo, el periodo de aprendizaje y el ajuste fino, el mejor firewall del mercado es una fuente cara de falsos positivos —o de un bloqueo que detiene la producción. La herramienta habilita el trabajo; no lo sustituye.
La pregunta que conviene hacerse
Antes de comprar nada, la pregunta útil no es "¿qué firewall pongo?", sino ¿sabemos hoy qué habla con qué dentro de nuestra red industrial? Si la respuesta es "no del todo", ahí empieza el trabajo —y es exactamente por donde arranca un proyecto serio de ciberseguridad OT: entendiendo la planta antes de tocarla.