- La creciente digitalización y conectividad de estos sistemas los hace más vulnerables a ciberataques, lo que podría tener consecuencias devastadoras en infraestructuras críticas como energía, agua y transporte.
Dr. Gustavo Guzmán Hernández*
Las infraestructuras críticas —como el suministro de agua, la energía y el transporte— son fundamentales para nuestra sociedad. Sin embargo, su creciente dependencia de la Tecnología Operacional (OT) las convierte en objetivos prioritarios para actores maliciosos. Este artículo explora principios esenciales para proteger entornos OT, desarrollados por organismos de ciberseguridad global como el Australian Cyber Security Centre (ACSC), proporcionando un marco para la toma de decisiones informada en contextos de alta complejidad técnica.
1. La seguridad como prioridad máxima
La seguridad en OT trasciende lo digital, afectando directamente la vida humana y el medio ambiente. Controles de ciberseguridad mal implementados pueden derivar en fallos catastróficos. Esto exige medidas como sistemas de recuperación predecibles y el desarrollo de arquitecturas capaces de operar bajo los estándares más altos, incluso en situaciones críticas. Además, la integración de la ciberseguridad como parte inherente de las estrategias de continuidad es esencial.
2. Conocimiento profundo del negocio
La defensa efectiva de OT empieza con un entendimiento detallado de los sistemas críticos, sus interdependencias y la arquitectura necesaria para protegerlos. Identificar procesos vitales permite diseñar controles de seguridad que garantizan la resiliencia operativa, minimizan interrupciones y optimizan recursos. Involucrar equipos interdisciplinarios de OT y TI es crucial para lograr una visión completa del ecosistema.
3. Protección estratégica de datos OT
Los datos OT, como configuraciones de controladores y diagramas de redes, representan una mina de oro para los adversarios, facilitando ataques dirigidos. Minimizar el acceso y la distribución de estos datos, implementar repositorios protegidos y monitorizar accesos son estrategias clave. Métodos como tokens canarios pueden alertar sobre accesos no autorizados y aumentar la capacidad de respuesta temprana.
4. Segmentación y segregación de redes
La separación efectiva entre redes OT, TI e internet es un principio básico, pero debe evolucionar para incluir protecciones contra interconexiones entre organizaciones y proveedores. La gestión y administración de sistemas críticos deben realizarse desde redes de alta seguridad para mitigar el riesgo de compromisos escalados. La segmentación debe aplicarse también dentro de la red OT, adaptándose a niveles de confianza y criticidad.
5. Seguridad en la cadena de suministro
La creciente interdependencia de dispositivos y servicios de terceros amplía las superficies de ataque en OT. Cada componente, desde periféricos hasta proveedores de servicios gestionados, debe ser evaluado rigurosamente. Esto incluye verificar la procedencia del firmware, asegurar firmas criptográficas y evitar prácticas que introduzcan vulnerabilidades, como conexiones directas a internet desde sistemas críticos.
6. El factor humano como primera línea de defensa
Los operadores y técnicos de campo son esenciales para la detección y respuesta a incidentes en OT. Invertir en capacitación, fomentar una cultura de ciberseguridad basada en la seguridad física e integrar la ciberseguridad en procesos operativos son estrategias esenciales. Además, es vital que las observaciones de posibles incidentes sean valoradas y respondidas sin generar barreras organizacionales.
En consideraciones finales, el panorama de la ciberseguridad en Tecnología Operacional (OT) está en constante evolución, impulsado por tendencias emergentes y desafíos globales. Según informes recientes, el año 2024 ha registrado un incremento sin precedentes en ciberataques, con pérdidas globales estimadas en 10,000 millones de euros, duplicando las cifras del año anterior[1].
La Inteligencia Artificial (IA) ha jugado un papel dual en este contexto. Por un lado, ha sido utilizada por ciberdelincuentes para perfeccionar y personalizar ataques, aumentando su precisión y efectividad. Por otro lado, la IA también se presenta como una herramienta defensiva crucial, capaz de detectar y mitigar amenazas de manera proactiva. Sin embargo, su implementación conlleva desafíos, como la necesidad de transparencia en los modelos utilizados y la gestión de posibles sesgos.
En respuesta a estas amenazas, la Unión Europea ha fortalecido su marco regulatorio con la Directiva NIS 2, que entró en vigor en octubre de 2024. Esta directiva establece requisitos más estrictos en materia de ciberseguridad para sectores críticos, incluyendo la implementación de autenticación multifactor, cifrado de datos y auditorías periódicas de vulnerabilidades. Se estima que alrededor de 100,000 nuevas empresas deberán cumplir con estas normativas, enfrentando sanciones significativas en caso de incumplimiento.
La protección de los sistemas OT se ha convertido en una prioridad estratégica. La creciente digitalización y conectividad de estos sistemas los hace más vulnerables a ciberataques, lo que podría tener consecuencias devastadoras en infraestructuras críticas como energía, agua y transporte. Organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) han destacado la urgencia de fortalecer la seguridad en OT, proporcionando guías actualizadas para abordar estas amenazas[2].
En este contexto, es imperativo que las organizaciones adopten un enfoque proactivo y holístico en ciberseguridad, integrando tecnologías avanzadas, cumpliendo con las regulaciones vigentes y fomentando una cultura organizacional que priorice la seguridad en todos los niveles. La colaboración internacional y la inversión en capacitación continua serán fundamentales para enfrentar los desafíos presentes y futuros en el ámbito de la ciberseguridad en OT.
Referencias:
Australian Signals Directorate’s Australian Cyber Security Centre. (2024). Principles of Operational Technology Cyber Security. Disponible en http://www.cyber.gov.au
Australian Signals Directorate’s Australian Cyber Security Centre. (2024). Principles of Operational Technology Cyber Security: Quick Reference Guide. Disponible en http://www.cyber.gov.au
Cadena SER. (2024). ¿Qué cambia la directiva de la UE que mejora la ciberseguridad y ya aplican los Estados?. Disponible en https://cadenaser.com/cmadrid/2024/10/22/que-cambia-la-directiva-de-la-ue-que-mejora-la-ciberseguridad-y-ya-aplican-los-estados-ser-madrid-sur/.
[1] El País. (2024). 2024 bate récords históricos en ciberataques, que con ayuda de la IA son cada vez más precisos. Disponible en https://elpais.com/tecnologia/2024-12-31/2024-bate-records-historicos-en-ciberataques-que-con-ayuda-de-la-ia-son-cada-vez-mas-precisos.html.[2] Ramírez Cuenca, F. (2024). Tendencias en ciberseguridad 2025: uso malicioso de la IA generativa y tecnologías operativas en la mira. ESET. Disponible en https://www.welivesecurity.com/es/informes/tendencias-ciberseguridad-2025-ia-generativa-regulacion-proteccion-ot/.
