OT · IT · SCADA · PLC · IEC 62443 · NIS2

Ciberseguridad industrial OT/IT para empresas

La red de planta
no puede estar conectada
a la red corporativa sin control.

Segregamos y protegemos entornos industriales OT — SCADA, PLC, HMI y dispositivos de campo — frente a amenazas que entran por la red corporativa IT. Para fabricación, logística y distribución que no pueden permitirse una parada de producción.

Evaluar mi seguridad industrial → Ver qué incluye

Segregación OT/IT certificada IEC 62443 · NIS2 Sin parada de producción

Arquitectura OT/IT — Estado Segregado

Zonas de red

Zona IT — Red corporativaNivel 4-5

ERPADEmailVPN

FIREWALL INDUSTRIAL + DMZ

DMZ IndustrialNivel 3.5

HistorianServidor saltoAV OT

Zona OT — ControlNivel 2-3

SCADAHMIMESOPC-UA

Campo — DispositivosNivel 0-1

PLCRTUSensoresActuadores

Eventos recientes

Intento de acceso directo IT→OT bloqueado por firewall

hace 2h

Dispositivo no inventariado detectado en red OT

hace 6h

Acceso remoto técnico externo via servidor de salto — OK

ayer

Zonas segmentadas

Activos OT

Brechas OT/IT

El riesgo real de los entornos industriales conectados

Una línea de producción parada no es un problema de IT — es un problema de negocio.

Los entornos OT industriales llevan décadas sin diseñarse para estar conectados a internet ni a redes corporativas. La convergencia IT/OT ha abierto vectores de ataque que antes no existían.

Red IT y OT en el mismo segmento

El PC de oficina y el PLC de la línea de producción en la misma VLAN. Si un equipo de oficina se infecta con ransomware, la propagación puede llegar al SCADA y parar toda la planta en minutos.

Acceso remoto de proveedores sin control

El técnico del fabricante de maquinaria accede directamente a los PLCs a través de TeamViewer o conexión directa sin registro, sin autenticación robusta y sin limitación de acceso por tiempo o recurso.

PLCs y HMIs con firmware de hace 10 años

Los dispositivos OT se diseñaron para durar décadas. Sus sistemas operativos y firmware tienen vulnerabilidades conocidas sin parche disponible. La estrategia no es parchear — es aislar y controlar el acceso.

Sin inventario de activos OT conocido

Nadie sabe exactamente cuántos PLCs, HMIs, sensores y dispositivos de campo hay en la red OT, ni qué versión de firmware tienen. No se puede proteger lo que no se conoce.

Qué hacemos

Segregación OT/IT, visibilidad de activos y protección del entorno de producción.

Un enfoque específico para entornos industriales — donde no se puede parchear todo, no se puede parar la producción para hacer cambios y la disponibilidad es tan crítica como la seguridad.

Arquitectura

Segregación OT/IT

Diseño e implantación de la arquitectura de red en niveles Purdue — separación física y lógica entre la red corporativa IT y la red de control OT mediante firewall industrial y DMZ.

Arquitectura por niveles Purdue — zonas IT, DMZ y OT aisladas Firewall industrial entre IT y OT con política restrictiva DMZ para historian, servidor de salto y transferencia controlada de datos Sin flujo directo IT→OT — todo pasa por la DMZ supervisada

Purdue ModelIEC 62443

Protección OT

Seguridad SCADA y PLC

Protección de los sistemas de control industrial — SCADA, PLCs, HMIs y RTUs — sin interferir con la disponibilidad ni el ciclo de control, aplicando controles compensatorios donde no hay parche posible.

Bastionado de HMIs y estaciones de ingeniería accesibles Lista blanca de comunicaciones permitidas entre dispositivos OT Controles compensatorios para dispositivos sin soporte de parches Protección de protocolos industriales — Modbus, DNP3, OPC-UA

SCADAPLCOPC-UA

Visibilidad

Inventario de activos OT

Descubrimiento pasivo de todos los activos conectados a la red OT — sin necesidad de agentes ni de interrumpir la producción — con identificación de fabricante, modelo, firmware y comunicaciones activas.

Descubrimiento pasivo — sin tráfico activo que afecte a los PLCs Identificación automática de fabricante, modelo y versión de firmware Mapa de comunicaciones — quién habla con quién en la red OT Detección de dispositivos no autorizados o no inventariados

ClarotyDragosNozomi

Detección

Monitorización y detección de anomalías

Monitorización continua del tráfico OT con detección de anomalías basada en el comportamiento normal de la red — alerta ante cualquier comunicación inusual en la red de control.

Referencia de comportamiento normal de la red OT en reposo Alertas ante cambios de configuración no autorizados en PLCs Detección de escaneos y movimiento lateral dentro de OT Correlación con eventos IT para visibilidad OT/IT unificada

NDR OTDetección anomalías

Acceso remoto

Acceso remoto seguro OT

Plataforma de acceso remoto seguro a entornos OT para técnicos internos y proveedores externos — con autenticación multifactor, grabación de sesiones, control granular por activo y límite temporal.

Servidor de salto en DMZ — sin acceso directo a la red OT desde internet Autenticación multifactor obligatoria para técnicos y proveedores Grabación de sesiones — auditoría completa de qué hizo cada técnico Permisos por activo específico — el técnico solo ve su máquina

PAMMFAGrabación

Cumplimiento

NIS2 e IEC 62443

Evaluación del nivel de madurez frente a IEC 62443 y preparación para el cumplimiento de NIS2 en entidades esenciales e importantes del sector industrial, logístico y de distribución.

Análisis de brechas frente a IEC 62443-2-1 y 62443-3-3 Evaluación de obligaciones NIS2 según sector y tamaño Plan de adecuación priorizado por riesgo y coste Documentación de controles para auditorías y requisitos regulatorios

IEC 62443NIS2

Sectores que atendemos

Especialización en los sectores industriales con mayor exposición OT.

Cada industria tiene sus protocolos, sus dispositivos y sus restricciones operativas. No aplicamos el mismo enfoque a una planta química que a un almacén logístico.

Fabricación

Líneas de producción con PLCs, robots y sistemas MES conectados. Protección sin parar la producción ni afectar a los tiempos de ciclo.

PLCMESSCADA

Logística y distribución

Almacenes con sistemas SGA, cintas transportadoras automatizadas y lectores conectados a red. Visibilidad y control sin impactar el rendimiento operativo.

SGA/WMSAGVRFID

Infraestructuras críticas

Energía, agua y edificios con sistemas BMS, SCADA de subestaciones y control de instalaciones bajo requisitos regulatorios estrictos.

BMSSCADANIS2

Alimentación y farmacéutica

Entornos con requisitos de trazabilidad, validación de sistemas y cumplimiento GMP donde la seguridad y la disponibilidad deben coexistir sin compromisos.

GMPFDA 21 CFRTrazabilidad

Cómo trabajamos

Primero conocemos la planta. Luego protegemos sin tocar lo que funciona.

En entornos OT no hay entorno de pruebas. Cada cambio se planifica con el equipo de operaciones y se ejecuta en ventanas que no afecten a la producción.

Evaluación OT

Inventario pasivo de activos, mapa de comunicaciones, análisis de la arquitectura actual y evaluación de riesgos específicos del entorno industrial. Sin agentes, sin impacto en producción.

Entregable: informe de riesgos OT

Diseño de arquitectura

Propuesta de segregación OT/IT, diseño de zonas, firewall industrial y DMZ. Validada con el equipo de operaciones antes de tocar nada — la disponibilidad de producción no es negociable.

Entregable: arquitectura validada

Implantación por fases

Ejecución en ventanas de mantenimiento planificadas con el equipo de planta. Cada fase se valida antes de pasar a la siguiente. Plan de marcha atrás documentado para cada cambio.

Entregable: entorno segregado

Monitorización continua

Visibilidad continua del entorno OT — alertas de anomalías, gestión de accesos remotos, revisión periódica de la política de seguridad y reporte para cumplimiento normativo.

Entregable: SLA de seguridad OT

Impacto real

Lo que cambia con una red industrial correctamente segmentada y monitorizada.

Datos de proyectos de ciberseguridad industrial completados con clientes del sector fabricación y logística.

Propagaciones de ransomware IT→OT tras la segregación

Con la DMZ industrial y el firewall OT correctamente configurados, los incidentes de ransomware en la red corporativa IT quedan contenidos sin llegar a los sistemas de control de producción.

Antes: red plana — IT y OT en el mismo segmento sin barrera

100%

Activos OT desconocidos identificados en el inventario inicial

El descubrimiento pasivo de activos revela siempre dispositivos no inventariados — PLCs olvidados, HMIs legacy, dispositivos IoT instalados por proveedores sin notificación al equipo IT.

Antes: inventario manual incompleto con lagunas significativas

−85%

Reducción de superficie de ataque en red OT

La combinación de segmentación, lista blanca de comunicaciones y control de acceso remoto elimina la gran mayoría de los vectores de ataque disponibles antes de la implantación.

Antes: acceso directo desde IT a todos los dispositivos OT

Preguntas frecuentes

Lo que nos preguntan antes de un proyecto de ciberseguridad industrial.

¿Se puede mejorar la seguridad OT sin parar la producción?

Sí, y es el enfoque estándar en entornos OT. La fase de inventario y descubrimiento es completamente pasiva — no genera tráfico activo y no afecta a los PLCs. Los cambios de arquitectura (firewall, DMZ) se implantan en paralelo al entorno existente y la transición se planifica en la siguiente parada de mantenimiento programada. El objetivo siempre es cero impacto en la disponibilidad de producción.

¿Qué es el modelo Purdue y por qué es relevante para nuestra fábrica?

El modelo Purdue es una arquitectura de referencia para entornos industriales que define 5 niveles — desde los dispositivos de campo (nivel 0-1) hasta la red corporativa (nivel 4-5) — con zonas de seguridad separadas entre ellos. El principio clave es que la comunicación entre niveles solo se permite de forma controlada y a través de puntos específicos. Es la base de la norma IEC 62443 y el punto de partida de cualquier diseño de ciberseguridad industrial serio.

¿NIS2 afecta a nuestra empresa? ¿Qué obliga a hacer?

La directiva NIS2 transpuesta en España obliga a entidades esenciales e importantes de sectores como energía, transporte, agua, salud, infraestructuras digitales y fabricación crítica a implementar medidas de gestión de riesgos de ciberseguridad. Incluye obligaciones de notificación de incidentes, medidas técnicas mínimas y responsabilidad de la dirección. Si fabricáis componentes para infraestructuras críticas o sois una empresa de más de 250 empleados en sectores cubiertos, probablemente os aplica. Hacemos la evaluación inicial sin coste.

Los PLCs no se pueden parchear — ¿cómo se protegen entonces?

Con controles compensatorios. Si no se puede parchear el dispositivo, se controla quién puede acceder a él y desde dónde, se monitoriza cualquier comunicación inusual hacia él, se limita qué comandos pueden enviársele desde la red y se le aísla en un segmento con acceso mínimo. La ciberseguridad industrial no se basa en parchear todo — se basa en que si algo entra, no pueda llegar al dispositivo o hacer nada relevante aunque llegue.

¿Cómo se gestiona el acceso remoto de los técnicos de los fabricantes de maquinaria?

El acceso remoto de terceros es uno de los vectores de ataque más frecuentes en OT. La arquitectura correcta implica un servidor de salto en la DMZ industrial — el técnico accede a la DMZ con autenticación multifactor, desde allí solo puede conectarse al activo específico que tenga autorizado, durante la ventana de tiempo aprobada, y la sesión queda grabada íntegramente. No hay acceso directo desde internet a la red OT sin pasar por este control.

¿Qué es un ataque a infraestructura crítica y por qué afecta a empresas industriales?

Un ataque a infraestructura crítica es cualquier ciberataque que afecta a sistemas de los que depende la operación de sectores esenciales — energía, agua, transporte, manufactura, logística. NIS2 define explícitamente estos sectores como prioritarios en ciberseguridad. Para una empresa industrial, sus sistemas OT — PLCs, SCADA, robots, sensores — son objetivos de atacantes que buscan interrumpir la producción, extorsionar con ransomware o causar daño físico. Los incidentes en plantas industriales europeas han aumentado significativamente desde 2022.