IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Visibilidad de activos OT: no puedes proteger lo que no sabes que existe

08/07/2026 3 min de lectura Rubén Espinoza

Hay una frase que en ciberseguridad se repite tanto que perdió fuerza, pero en una planta industrial es literal: no puedes proteger lo que no sabes que existe. Y la realidad incómoda es que casi ninguna planta puede afirmar, con la mano en el corazón, que conoce todo lo que tiene conectado a su red.

Por qué el inventario casi siempre está mal

No es negligencia; es cómo crecen estas redes. Una planta se arma a lo largo de años: un integrador instala una línea y se va, otro añade un equipo para resolver un problema puntual, alguien conecta una laptop de mantenimiento "solo un momento" y ahí se queda. Lo que hubo de documentación vive en un Excel que dejó de actualizarse hace tres administradores. El resultado es un mapa mental colectivo, incompleto y a veces contradictorio, de lo que de verdad está ahí.

Ese hueco no es un detalle administrativo. Es el punto ciego sobre el que se construyen todos los riesgos: el equipo olvidado con una configuración de fábrica, el acceso remoto que alguien dejó abierto, la conexión a internet que nadie recuerda haber autorizado.

Cómo se arma el mapa sin tocar el proceso

La forma segura de recuperar esa visibilidad es el descubrimiento pasivo, el mismo principio del que hablamos al explicar por qué monitorear OT no es como monitorear TI: en lugar de interrogar a los equipos —lo que en OT es arriesgado—, un sensor escucha el tráfico que ya circula e identifica quién es cada dispositivo, de qué fabricante, con qué protocolos habla y con quién. Herramientas como Nozomi Networks convierten semanas de escucha en un inventario vivo y en un diagrama de comunicaciones que ninguna hoja de cálculo iba a darte.

Por primera vez, en muchos casos, la planta ve un mapa real de sí misma: no el que creía tener, sino el que tiene.

Sé honesto sobre lo que este mapa no incluye

Como todo enfoque pasivo, el descubrimiento tiene un límite: solo registra lo que habla durante el periodo de observación. Un dispositivo silencioso puede tardar en aparecer, y ciertos datos —versiones de firmware, configuraciones internas— no siempre se obtienen escuchando. Por eso un inventario serio combina el descubrimiento pasivo con la información de ingeniería que sí exista y con verificaciones puntuales. La visibilidad no es un botón; es un proceso que se mantiene.

Por qué esto va primero

La visibilidad no es un lujo que se añade al final: es el cimiento. No puedes definir zonas y conductos según IEC 62443 sobre activos que no conoces, ni segmentar una red que no has mapeado. Todo lo demás en ciberseguridad OT se apoya en esta pregunta, que conviene responder antes de comprar nada: ¿tenemos un inventario en el que de verdad confiamos?

#visibilidad ot #inventario de activos #nozomi #descubrimiento pasivo #ciberseguridad industrial

Preguntas frecuentes

¿Por qué el inventario de activos OT suele estar incompleto?

Porque las redes industriales crecen de forma orgánica durante años: distintos integradores instalan equipos, se agregan dispositivos para resolver un problema puntual, se documenta en un Excel que después nadie actualiza. El resultado es que casi ninguna planta puede afirmar con certeza todo lo que tiene conectado.

¿Cómo se descubren activos OT sin arriesgar el proceso?

Mediante descubrimiento pasivo: un sensor escucha el tráfico de la red (por ejemplo con Nozomi Networks) e identifica dispositivos, fabricantes, protocolos y relaciones entre ellos sin enviar tráfico a los equipos. Así se arma un mapa de lo que existe y cómo se comunica sin el riesgo de un escaneo activo.

¿Por qué la visibilidad es lo primero en ciberseguridad OT?

Porque no puedes proteger, segmentar ni evaluar el riesgo de algo cuya existencia desconoces. La visibilidad es el prerrequisito de definir zonas y conductos (IEC 62443), de segmentar la red y de cualquier plan de defensa. Sin inventario confiable, todo lo demás se construye sobre suposiciones.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Monitorear una red OT no es como monitorear TI (y por qué un escaneo puede tumbar un PLC)
Convergencia IT/OT: quién manda cuando seguridad y producción chocan
Segmentar IT/OT sin frenar la producción: los trade-offs reales