1. ¿Cuáles son las principales diferencias entre la ciberseguridad IT y la ciber OT y por qué es relevante entenderlas para proteger los sistemas de control industrial?
2. ¿Cómo están evolucionando los ciberdelincuentes sus métodos de ataque a infraestructuras críticas?
3. ¿Qué papel juega el factor humano en la ciberseguridad industrial? ¿Cómo podemos concienciar y formar a los trabajadores para que sean la primera línea de defensa contra las ciberamenazas?
4. ¿Quién tiene la responsabilidad principal en la ciberseguridad industrial: usuarios, integradores, proveedores de tecnología o gobiernos? ¿Cómo se puede fomentar una colaboración efectiva entre todos los actores para crear un ecosistema industrial más seguro?
1.- Muchos dispositivos OT se implementaron hace años o décadas cuando la ciberseguridad no era tan preocupante, puesto que eran redes que estaban aisladas, precisamente para protegerlas de ataques del exterior. La convergencia OT/IT hace necesaria la conexión de estas redes OT al entorno IT, lo que proporciona muchas ventajas, como el mantenimiento predictivo, la gestión dinámica de activos y la optimización de procesos, entre otros. Sin embargo, al mismo tiempo, se incrementa dramáticamente la superficie de ataque. Por lo tanto, la ciberseguridad es clave para controlar los riesgos en procesos industriales modernos.
Cuando las organizaciones intentan proteger sus redes industriales, se encuentran con tres problemas principales:
Así, la principal diferencia es que la seguridad OT va por detrás de la seguridad IT. Las compañías del sector industrial han ido conectando sus entornos a las redes empresariales para automatizar la producción y obtener ventajas operativas. Ahora, los entornos de IT y de OT están integrándose más que nunca, y necesitan herramientas comunes para escalar y proteger la red. La automatización, la segmentación y las funcionalidades para identificar y resolver problemas de forma proactiva resultan fundamentales. Estas capacidades, ampliamente desplegadas en la empresa, deben así extenderse a las redes industriales.
2.- La necesidad de una ciberseguridad sólida para proteger la infraestructura crítica nunca ha sido mayor. Los ciberataques no dejan de crecer en número y complejidad. En un entorno hiperdistribuido y donde los ciberdelincuentes utilizan la IA para generar ataques más rápidos y masivos (la IA es capaz de generar un ataque basado en una vulnerabilidad reportada en cuestión de minutos, cuando antes se tardaban días o meses), necesitamos soluciones que se adapten a este entorno hiperdistribuido y que también utilicen la IA de forma nativa como escudo.
Según un reciente estudio de Cisco, el 89% de los responsables tecnológicos consultados citan el cumplimiento de la ciberseguridad como “muy o extremadamente importante”. Esto refleja la necesidad global de soluciones de seguridad sólidas diseñadas para las necesidades de los entornos industriales. De hecho, el 92% de los CIOs en España consideran más valiosa una solución de ciberseguridad unificada.
3.- Dado que el 30% de las empresas españolas admiten que los equipos de OT y IT trabajan de forma independiente, el informe de Cisco subraya el papel fundamental de una mejor colaboración entre estos dos equipos.
La eficiencia operativa y la agilidad dependen de una integración mucho mejor entre estos dos departamentos tradicionalmente independientes. Los beneficios incluyen operaciones simplificadas, mejoras en la defensa y remediación de los ataques y la toma de decisiones más rápidas y mejor informadas. Y una única solución de un mismo proveedor diseñada e integrada para ambos tipos de redes es un catalizador importante para impulsar la colaboración de IT/OT.
La IA también contribuirá a luchar contra las ciberamenazas, ayudando a automatizar tareas, mejorar la eficiencia operativa y generar conocimientos predictivos. El 46% de los CIO consultados por Cisco en España consideran que la IA es el avance tecnológico más significativo que afectará a las redes industriales en los próximos cinco años. Y es que no bastará con detectar el código malicioso; la próxima evolución de la seguridad consiste en detectar anomalías y patrones de comportamiento mediante avances en IA y aprendizaje automático.
Igualmente, es necesario extender la formación para que haya suficientes profesionales cualificados. Poco más de un año después del lanzamiento de la iniciativa European Cyber Academy de la Comisión Europea, Cisco ya ha formado a 224.000 personas de la UE en ciberseguridad, alcanzando el 90% del objetivo a tres años anunciado en marzo de 2023 (250.000 formaciones). En España tenemos acuerdos como con Incibe para formar a 15.000 personas en ciberseguridad.
4.- Todos los citados tenemos esa responsabilidad. Las redes OT requieren capacidades avanzadas de ciberseguridad, y el enfoque tradicional que consiste en implementar dispositivos dedicados para dotar de visibilidad en los entornos OT, detectar amenazas, proporcionar información para realizar una buena segmentación de zonas y garantizar el acceso remoto seguro está demostrando ser demasiado complejo de implementar, demasiado costoso de escalar y, en algunos casos, simplemente poco práctico.
Mientras definimos los estándares de redes del futuro, Cisco está incorporando los últimos avances en IT a los equipos de redes industriales de hoy. Nuestros switches y routers industriales incorporan capacidades avanzadas de ciberseguridad que permiten obtener visibilidad a escala, facilitar microsegmentación para crear zonas industriales seguras y hacer que el acceso a la red de confianza cero funcione con las limitaciones específicas de las operaciones industriales.
1.- La ciberseguridad IT se orienta a proteger la confidencialidad, integridad y disponibilidad de la información en sistemas empresariales, como redes y bases de datos. En contraste, la ciberseguridad OT se enfoca en garantizar la seguridad y disponibilidad de sistemas que controlan procesos físicos en entornos industriales, donde la estabilidad operativa es crítica. Con la creciente convergencia entre IT y OT, los sistemas de control industrial están cada vez más expuestos a amenazas cibernéticas. Por ello, es esencial comprender las diferencias entre ambas áreas para implementar estrategias de protección que aseguren la continuidad operativa y la seguridad en sectores industriales clave.
2.- Los ciberdelincuentes están sofisticando sus métodos de ataque a infraestructuras críticas al aprovechar la convergencia entre tecnologías de la información (IT) y tecnologías operativas (OT). Utilizan técnicas avanzadas como ransomware, dirigido, ataques de día cero y explotación de vulnerabilidades en sistemas legacy, combinados con ingeniería social para obtener acceso inicial. Además, se apoyan en la inteligencia artificial y el machine learning para automatizar y personalizar ataques, lo que aumenta su efectividad y la dificultad de detección. Esta evolución subraya la necesidad de una ciberseguridad robusta y adaptativa en entornos industriales para mitigar estos riesgos crecientes.
3.- El factor humano desempeña un papel fundamental en la ciberseguridad industrial, ya que los trabajadores pueden ser tanto el eslabón más fuerte como el más débil en la defensa contra ciberamenazas. Errores humanos, como el clic en un enlace de phishing o la mala configuración de un sistema, pueden comprometer incluso las infraestructuras más seguras. Para mitigar estos riesgos, es crucial concienciar y formar a los empleados, transformándolos en la primera línea de defensa. Esto se logra mediante programas de capacitación continua que incluyan simulaciones de ciberataques, talleres prácticos y la implementación de políticas claras y accesibles de seguridad. Además, es vital fomentar una cultura organizacional de ciberseguridad, donde los trabajadores entiendan la importancia de su rol y las consecuencias potenciales de sus acciones. De esta manera, se fortalecen las defensas industriales y se aumenta la resiliencia ante posibles ciberataques.
4.- La responsabilidad en la ciberseguridad industrial no recae en un solo actor, sino que es una responsabilidad compartida entre usuarios, integradores, proveedores de tecnología y gobiernos. Cada uno de estos grupos desempeña un rol esencial en la protección de las infraestructuras críticas. Los usuarios, como operadores de los sistemas, son responsables de aplicar buenas prácticas de seguridad, mantener las operaciones seguras y estar en alerta ante posibles amenazas. Los integradores, quienes diseñan y configuran los sistemas industriales, deben garantizar que estos estén construidos con seguridad desde el principio, minimizando las vulnerabilidades. Los proveedores de tecnología tienen la tarea de desarrollar productos resistentes a ciberataques y ofrecer actualizaciones regulares para abordar nuevas amenazas. Finalmente, los gobiernos han de establecer regulaciones claras, promover la creación de marcos de colaboración y facilitar la comunicación entre las diferentes partes.
Fomentar una colaboración efectiva entre todos estos actores es fundamental para crear un ecosistema industrial más seguro. Esto se puede lograr a través de la creación de alianzas público-privadas, donde se comparta información sobre ciberamenazas en tiempo real, se desarrollen estándares de seguridad comunes y se organicen ejercicios de simulación de ciberataques. Además, es esencial la participación activa en iniciativas conjuntas de ciberseguridad, como grupos de trabajo sectoriales o foros de intercambio de información. Solo mediante una colaboración estrecha y continua se podrá enfrentar de manera efectiva el complejo panorama de amenazas que enfrenta la industria hoy en día.
1.- Si echamos la vista unos años atrás, no se planteaba la necesidad de implementar ciberseguridad en los entornos industriales. Esto se debía, principalmente, a la estanqueidad de las propias instalaciones, derivada de los medios propietarios empleados en la transmisión de la información y a la falta de necesidad de interoperar con otras instalaciones industriales o con sistemas enclavados en entornos IT. Era lo que se podría definir como un escenario de dos islas no comunicadas: IT y OT.
Sin embargo, coincidiendo con la orientación mayoritaria de los fabricantes de soluciones de automatización industrial en el reemplazo de los medios físicos de comunicación entre componentes por otros basados en tecnología Ethernet, se facilitó el desarrollo y la puesta en marcha de un amplio abanico de aplicaciones que, partiendo de la posibilidad de acceder a las instalaciones industriales, mejoran de forma notable la operación de los procesos industriales y permiten obtener información operacional para optimizar el propio funcionamiento de los procesos de fabricación.
El entorno IT ya ha dado grandes pasos en la implementación de ciberseguridad. Podríamos decir que, salvo excepciones, la ciberseguridad se considera desde el diseño (y aun así ocurren ciberincidentes de forma habitual). Sin embargo, no ocurre lo mismo en el entorno OT, donde el “cambio”, o puesta en marcha a entornos de conectividad industrial requeridos por el negocio, se ha realizado sin la aplicación de las medidas de ciberseguridad adecuadas.
2.- No cabe duda de que la vía principal de acceso a las instalaciones industriales sigue siendo a través del entorno IT, y los ataques a los sistemas (SCADA, MES, etc.) se basan principalmente en malware asociado típicamente a IT (ransomware, etc.) y no en ataques específicos a componentes de automatización que no estén basados en sistemas operativos de propósito general.
Es cuestión de tiempo que, dentro de las tácticas de reconocimiento realizadas por los grupos atacantes se incluyan de forma habitual aquellas orientadas a la caracterización de redes industriales, que permitan la explotación de cualquiera de las múltiples vulnerabilidades que diariamente se identifican en componentes operacionales puros. A lo largo de los últimos años ya se han producido incidentes de este tipo, aunque generalmente ligados a ataques dirigidos.
3.- El personal de planta es vital para la continuidad de la producción. Si le instruimos en cómo operar de forma segura (safety, seguridad física) una máquina, ¿por qué no le incluimos en los planes de concienciación en materia de ciberseguridad (security, seguridad lógica) que precisamente disminuyen la posibilidad de que se produzca un ciberincidente en los sistemas productivos?
Pensamos que el hecho de que un operario no disponga de credenciales de acceso a los sistemas corporativos no le excluye automáticamente de ser “usado” por un atacante para llegar hasta los sistemas industriales, obviando vectores de ataque como el uso de pendrives, el riesgo de conexiones de equipamiento de terceros a redes de planta, o las consecuencias de un mal uso del equipamiento informático corporativo, entre otros.
Animamos a las empresas a que, al igual que de forma frecuente disponen de paneles informativos con el número de accidentes y bajas que se han producido en un determinado periodo de tiempo, y que causan un efecto positivo en la prevención, se incorporen los datos relacionados con los ciberincidentes para lograr el mismo efecto.
4.- La principal responsabilidad recae en la alta dirección de las empresas que, por otro lado, generalmente no es consciente del nivel de riesgo en materia de ciberseguridad al que está expuesto el entorno industrial (y, por lo tanto, la continuidad del propio negocio). Establecer un sistema de gestión de la ciberseguridad industrial, incorporándola como un proceso corporativo más impulsado directamente por la dirección, es fundamental.
No hay que olvidar la necesidad de que nuestros proveedores incorporen la ciberseguridad desde el diseño. En este sentido, exigir medidas de seguridad desde el momento de la solicitud de ofertas nos permitirá evitar problemas a posteriori.
1.- Mientras que la ciberseguridad IT se enfoca en la protección de la información, la privacidad de los datos y la continuidad de los servicios de TI, la ciberseguridad OT está más orientada a la disponibilidad, la seguridad física y la integridad de los sistemas de control industrial.
Hay una diferencia en los objetivos: en el ámbito IT, la confidencialidad de la información es primordial; en OT, la prioridad es mantener la continuidad y seguridad de las operaciones. La caída de un sistema IT puede significar pérdida de datos o tiempo de inactividad, mientras que en OT puede generar interrupciones en la producción, riesgos para la seguridad humana e incluso daños al medioambiente.
Una segunda diferencia en las prioridades: en IT, la protección contra malware y la prevención de fugas de información son fundamentales. Sin embargo, en OT, la preocupación principal es garantizar que los sistemas de control industrial operen sin interrupciones, lo que implica protegerlos de ataques que podrían manipular procesos físicos o interrumpir operaciones críticas.
Por último, una tercera diferencia en los entornos en los que operan: los sistemas IT suelen operar en entornos más estandarizados y actualizables, mientras que los sistemas OT son más heterogéneos y a menudo incluyen equipos y tecnologías que han estado en funcionamiento durante décadas. Estos sistemas suelen ser más difíciles de actualizar debido a su criticidad y, a veces, a la falta de soporte de los fabricantes.
Conocer estas diferencias es clave para proteger los sistemas de control industrial porque aplicar enfoques de ciberseguridad IT tradicionales a entornos OT sin adaptarlos puede ser ineficaz o incluso perjudicial. Es necesario un enfoque específico que considere la naturaleza crítica y sensible de los sistemas OT, donde un fallo puede tener consecuencias catastróficas, tanto en términos de seguridad física como de impacto económico.
2.- Los ciberdelincuentes están sofisticando constantemente sus métodos de ataque adaptándose y aprovechando las vulnerabilidades emergentes en los sistemas de control industrial (ICS). Esta evolución se caracteriza por varios factores clave:
3.- El factor humano juega un papel crucial en la ciberseguridad industrial, siendo tanto una de las mayores vulnerabilidades como una de las mejores defensas contra las ciberamenazas. Los trabajadores que operan y mantienen los sistemas de control industrial (ICS) son esenciales para proteger estas infraestructuras, pero también pueden ser, sin quererlo, vectores de acceso para los ciberdelincuentes.
Los errores humanos, como la configuración incorrecta de sistemas, el uso de contraseñas débiles o la apertura de correos electrónicos de phishing, son puertas de entrada comunes para los atacantes. Además, la falta de familiaridad con las amenazas cibernéticas y con las prácticas de seguridad digital puede llevar a que los empleados no detecten señales de un ataque inminente.
Para que los trabajadores se conviertan en una barrera efectiva contra las ciberamenazas, es importante que comprendan las posibles amenazas y cómo prevenirlas. Esto se logra a través de programas de concienciación que expliquen, en términos claros y prácticos, cómo las amenazas cibernéticas pueden afectar su entorno de trabajo y cuáles son las mejores prácticas para evitarlas. No basta con una formación inicial; el entorno de las ciberamenazas está en constante evolución. Las organizaciones deben implementar programas de formación continua que incluyan simulaciones de ataques, ejercicios de respuesta a incidentes y actualizaciones regulares sobre nuevas amenazas.
Además, es necesario fomentar una cultura de seguridad en toda la organización. Esto implica que todos, desde la alta dirección hasta los operadores de planta, entiendan su responsabilidad en la protección de los sistemas. La seguridad debe ser vista como parte integral del trabajo diario, no como una obligación adicional.
Por último, los trabajadores deben sentir que cuentan con el apoyo adecuado para reportar incidentes o vulnerabilidades sin temor a represalias. La colaboración entre los equipos de IT y OT también es esencial para abordar las amenazas de manera holística.
4.- La ciberseguridad industrial es una responsabilidad compartida que recae en todos los actores involucrados, por lo que la colaboración entre todos es esencial: usuarios y operadores, integradores, proveedores de tecnología y gobiernos. Cada uno de estos actores juega un papel crucial y complementario en la creación de un ecosistema industrial más seguro.
Algunas formas de fomentar esta cooperación son las siguientes:
Al fomentar la colaboración, compartir conocimientos y establecer estándares comunes se puede construir un ecosistema industrial resiliente y capaz de enfrentar las amenazas cibernéticas del futuro.
1.- Las diferencias clave entre la ciberseguridad IT y OT radican en sus enfoques y prioridades. En IT, la ciberseguridad se centra en proteger los datos y los sistemas para garantizar la confidencialidad, integridad y disponibilidad de la información. En cambio, en OT, la principal preocupación es asegurar la continuidad y seguridad de los procesos industriales, donde la disponibilidad es crucial, ya que cualquier tiempo de inactividad puede tener graves consecuencias económicas y operativas.
A la hora de proteger los sistemas de control industrial (ICS), es importante tener en cuenta dos factores que los diferencian de los entornos IT. Primero, los entornos OT emplean una amplia variedad de tecnologías y protocolos específicos de la industria, lo que puede introducir más vulnerabilidades en comparación con los entornos IT, que suelen utilizar tecnologías más estandarizadas. Segundo, la implementación de actualizaciones o soluciones de seguridad en OT puede ser más compleja, ya que a menudo requiere interrumpir las operaciones, algo que no siempre es viable sin afectar la producción.
Es importante entender estas diferencias para diseñar estrategias de ciberseguridad que se adapten a las necesidades específicas de los sistemas industriales. Implementar estrategias de ciberseguridad IT directamente en entornos OT puede ser ineficaz o incluso contraproducente.
2.- El incremento en la conectividad ha elevado el riesgo de ciberataques. Los atacantes están cada vez más sofisticados en sus métodos, explotando vulnerabilidades en dispositivos conectados para acceder a redes OT y lanzar ataques específicos a sistemas de control industrial. Estos tipos de malware no solo comprometen datos, sino que también manipulan procesos físicos y pueden interrumpir operaciones críticas, lo que subraya la necesidad de medidas de seguridad avanzadas y específicas para entornos industriales. Por otro lado, los ataques a la cadena de suministro se han convertido en una estrategia clave para los ciberdelincuentes.
A través de proveedores o terceros que tienen acceso a sistemas críticos, los atacantes logran introducirse en infraestructuras sensibles. Por esta razón, es esencial mantener una vigilancia constante y colaborar estrechamente con proveedores y socios para asegurarse de que las defensas de ciberseguridad sean robustas, estén actualizadas y puedan contrarrestar las amenazas emergentes de manera eficaz.
3.- El factor humano es la primera barrera frente a los ciberataques. Acciones como hacer clic en enlaces sospechosos, reutilizar contraseñas o compartir información sin tomar precauciones pueden abrir la puerta a ataques que pueden comprometer a los sistemas críticos. Además, los riesgos no solo provienen de errores involuntarios; también existen amenazas internas cuando los empleados actúan con negligencia o intenciones maliciosas.
Para fortalecer esta primera línea de defensa, es indispensable crear una cultura organizacional donde la ciberseguridad sea una responsabilidad compartida. Esto implica implementar políticas claras y procedimientos accesibles, así como desarrollar programas de concienciación y formación continua que capaciten a los empleados en buenas prácticas de ciberseguridad.
Estos programas deben enfocarse en ayudar a los empleados a reconocer y responder a amenazas comunes como el phishing o el manejo seguro de datos sensibles. Las simulaciones de ciberataques y los ejercicios prácticos son herramientas efectivas para preparar a los trabajadores ante incidentes reales.
4.- Debido a la complejidad de las infraestructuras críticas y la diversidad de amenazas, la ciberseguridad industrial es una responsabilidad compartida entre usuarios, integradores, proveedores de tecnología y gobiernos. Cada uno de estos actores es fundamental para garantizar la disponibilidad, integridad y confidencialidad en los entornos OT. Los proveedores de tecnología deben desarrollar soluciones bajo principios de seguridad por diseño, cumpliendo con estándares avanzados de ciberseguridad.
Los integradores son responsables de la correcta implementación de estas tecnologías, asegurando configuraciones seguras y adaptadas a los requisitos operativos. Los usuarios deben adoptar políticas de seguridad rigurosas, mantener la infraestructura actualizada y aplicar procedimientos de respuesta a incidentes. Por su parte, los gobiernos tienen que establecer marcos regulatorios robustos que promuevan la cooperación y la resiliencia en infraestructuras críticas.
La creación de un ecosistema de ciberseguridad industrial robusto exige una colaboración continua entre todos estos actores. Esto implica compartir información sobre amenazas, llevar a cabo iniciativas conjuntas de seguridad y desarrollar buenas prácticas operativas, apoyadas en normativas específicas del sector como el estándar ISA/IEC 62443.
----
Este artículo aparece publicado en el nº 558 de Automática e Instrumentación, pág de 36 a 43.
Más de 600 expositores y un extenso programa de conferencias destacan en esta ineludible cita indutrial
Inteligencia artificial, movilidad y economía circular protagonizan el 60 aniversario del evento
La integración de datos aporta visibilidad anticipada sobre cómo diseñar, fabricar y comercializar productos en diferentes zonas de todo el mundo
Reindustrialización y colaboración público-privada, claves para afrontar los desafíos del sector
Comentarios