Hay una frase que en ciberseguridad se repite tanto que perdió fuerza, pero en una planta industrial es literal: no puedes proteger lo que no sabes que existe. Y la realidad incómoda es que casi ninguna planta puede afirmar, con la mano en el corazón, que conoce todo lo que tiene conectado a su red.
Por qué el inventario casi siempre está mal
No es negligencia; es cómo crecen estas redes. Una planta se arma a lo largo de años: un integrador instala una línea y se va, otro añade un equipo para resolver un problema puntual, alguien conecta una laptop de mantenimiento "solo un momento" y ahí se queda. Lo que hubo de documentación vive en un Excel que dejó de actualizarse hace tres administradores. El resultado es un mapa mental colectivo, incompleto y a veces contradictorio, de lo que de verdad está ahí.
Ese hueco no es un detalle administrativo. Es el punto ciego sobre el que se construyen todos los riesgos: el equipo olvidado con una configuración de fábrica, el acceso remoto que alguien dejó abierto, la conexión a internet que nadie recuerda haber autorizado.
Cómo se arma el mapa sin tocar el proceso
La forma segura de recuperar esa visibilidad es el descubrimiento pasivo, el mismo principio del que hablamos al explicar por qué monitorear OT no es como monitorear TI: en lugar de interrogar a los equipos —lo que en OT es arriesgado—, un sensor escucha el tráfico que ya circula e identifica quién es cada dispositivo, de qué fabricante, con qué protocolos habla y con quién. Herramientas como Nozomi Networks convierten semanas de escucha en un inventario vivo y en un diagrama de comunicaciones que ninguna hoja de cálculo iba a darte.
Por primera vez, en muchos casos, la planta ve un mapa real de sí misma: no el que creía tener, sino el que tiene.
Sé honesto sobre lo que este mapa no incluye
Como todo enfoque pasivo, el descubrimiento tiene un límite: solo registra lo que habla durante el periodo de observación. Un dispositivo silencioso puede tardar en aparecer, y ciertos datos —versiones de firmware, configuraciones internas— no siempre se obtienen escuchando. Por eso un inventario serio combina el descubrimiento pasivo con la información de ingeniería que sí exista y con verificaciones puntuales. La visibilidad no es un botón; es un proceso que se mantiene.
Por qué esto va primero
La visibilidad no es un lujo que se añade al final: es el cimiento. No puedes definir zonas y conductos según IEC 62443 sobre activos que no conoces, ni segmentar una red que no has mapeado. Todo lo demás en ciberseguridad OT se apoya en esta pregunta, que conviene responder antes de comprar nada: ¿tenemos un inventario en el que de verdad confiamos?