IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Segmentar IT/OT sin frenar la producción: los trade-offs reales

08/07/2026 4 min de lectura Rubén Espinoza

En una planta, el miedo real casi nunca es el hacker. Es parar la línea. Por eso cuando alguien propone "segmentar la red IT de la OT" —separar la red de oficina de la que controla máquinas—, la primera reacción de operaciones no es de alivio, es de sospecha: ¿esto va a frenar la producción? Es una pregunta legítima, y la respuesta honesta tiene matices.

Por qué no basta con "poner un firewall en medio"

En el papel suena simple: un firewall entre las dos redes y listo. En una planta real, casi nunca lo es. Muchas redes industriales están planas —todo habla con todo— porque así se instalaron hace diez o quince años, cuando nadie pensaba en un atacante. Meter una frontera de golpe en una red que nunca la tuvo tiene consecuencias inmediatas.

Los protocolos industriales (Modbus, PROFINET, EtherNet/IP y compañía) muchas veces no fueron diseñados con seguridad en mente: asumen una red confiable y hablan sin autenticación. Un firewall que los inspecciona mal, o que introduce el más mínimo retardo donde el proceso espera respuesta en milisegundos, puede degradar el control. Y algunos PLC viejos son tan frágiles que un escaneo agresivo basta para tumbarlos. Segmentar sin entender ese terreno es cambiar un riesgo de seguridad por un riesgo de disponibilidad.

El trade-off que casi nadie pone sobre la mesa

Aquí está la tensión de fondo, sin adornos: en OT, la disponibilidad manda. En TI el reflejo ante la duda es bloquear; en la planta, bloquear de más puede detener una línea que factura por minuto. Toda decisión de segmentación se mueve en ese eje —más control frente a más continuidad— y pretender que no hay costo es justo la promesa que deberías desconfiar.

La buena noticia es que el trade-off se administra. No se elige entre "seguro" y "operando": se elige cuánta fricción introduces, dónde y en qué orden, para reducir riesgo sin frenar lo que no debe frenarse.

Cómo se hace sin apagar la planta: por fases

Un despliegue serio casi nunca empieza bloqueando. Empieza observando:

  1. Primero, mapear. Definir las zonas y conductos —el lenguaje de IEC 62443, apoyado en el modelo Purdue— para saber qué habla con qué y qué de eso es legítimo.
  2. Después, escuchar. Se pone el control en modo monitor: ve el tráfico, no lo corta. Durante semanas aprende qué es normal en esa planta, que nunca es igual a la de al lado.
  3. Luego, reglas en modo alerta. Se definen las políticas, pero avisan en vez de bloquear. Ahí aparecen los falsos positivos —ese enlace legítimo que nadie documentó— y se corrigen antes de que rompan nada.
  4. Por último, hacer cumplir. Solo cuando el tráfico está entendido se pasa a bloquear, zona por zona, y de preferencia en ventanas de mantenimiento.

Es más lento que "instalar y encender". También es la diferencia entre segmentar y provocar un paro no programado.

Dónde entra la herramienta (y dónde no lo resuelve sola)

Para llevar esa frontera hacen falta equipos que entiendan protocolos industriales, no solo tráfico de oficina. Un firewall de nueva generación con reconocimiento OT —de Fortinet, por ejemplo— permite crear esas zonas y aplicar políticas por proceso, en modo transparente para no rediseñar el direccionamiento. Es la clase de equipo con el que trabajamos a diario en proyectos de firewall y seguridad de red.

Dicho con la misma honestidad: la caja no segmenta sola. Sin el mapeo previo, el periodo de aprendizaje y el ajuste fino, el mejor firewall del mercado es una fuente cara de falsos positivos —o de un bloqueo que detiene la producción. La herramienta habilita el trabajo; no lo sustituye.

La pregunta que conviene hacerse

Antes de comprar nada, la pregunta útil no es "¿qué firewall pongo?", sino ¿sabemos hoy qué habla con qué dentro de nuestra red industrial? Si la respuesta es "no del todo", ahí empieza el trabajo —y es exactamente por donde arranca un proyecto serio de ciberseguridad OT: entendiendo la planta antes de tocarla.

#segmentacion #seguridad ot #firewall industrial #fortinet #zonas y conductos #disponibilidad

Preguntas frecuentes

¿Segmentar la red IT/OT puede detener mi producción?

Mal ejecutado, sí: introducir una frontera de golpe en una red plana, con protocolos industriales frágiles, puede degradar el control o tumbar un PLC viejo. Bien ejecutado —por fases, empezando en modo monitor y bloqueando solo cuando el tráfico está entendido— el riesgo de paro se reduce al mínimo. La disponibilidad se administra, no se sacrifica.

¿Por qué no basta con instalar un firewall entre IT y OT?

Porque muchos protocolos industriales no fueron diseñados con seguridad y asumen una red confiable, y muchas redes de planta son planas desde hace años. Un firewall que los inspecciona mal o añade retardo puede afectar el proceso. Hace falta un equipo que entienda protocolos OT y, sobre todo, mapear y aprender el tráfico antes de bloquear.

¿Por dónde se empieza a segmentar una red industrial?

Por conocer qué habla con qué: mapear activos y definir zonas y conductos (siguiendo IEC 62443 y el modelo Purdue). Luego se observa el tráfico en modo monitor, se prueban reglas en modo alerta para depurar falsos positivos y solo al final se hace cumplir el bloqueo, zona por zona y en ventanas de mantenimiento.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Qué es IEC 62443 y qué te exige de verdad (no la versión de folleto)
El modelo Purdue explicado sin humo, para quien opera una planta
IT y OT no son lo mismo, y tratarlos igual es como te vulneran