La disolución de la frontera entre seguridad física y ciberseguridad
Durante décadas, la seguridad física de una instalación industrial y la ciberseguridad de sus sistemas de control operaron como disciplinas organizativamente separadas, con estructuras de reporte distintas (el CSO/jefe de seguridad física dependía de Operaciones; el CISO/jefe de IT Security dependía de Tecnología), metodologías de evaluación de riesgo independientes, y presupuestos administrados por diferentes unidades. Esta separación era tolerable cuando los sistemas de control industrial (PLCs, SCADA, DCS) eran entornos cerrados, sin conectividad de red, operados exclusivamente por protocolos propietarios en redes físicamente aisladas (el paradigma del “air gap”). En ese contexto, el compromiso de un sistema de control industrial requería acceso físico a las instalaciones — lo que hacía de la seguridad física de la planta el único control de ciberseguridad necesario.
La convergencia de IT (Information Technology) y OT (Operational Technology) que caracteriza la transformación industrial de las últimas dos décadas — impulsada por la necesidad de integración de datos de proceso con sistemas corporativos de planificación (ERP), por la adopción de protocolos Ethernet y TCP/IP en las redes de proceso, y por la proliferación de sensores y actuadores con interfaz de red nativa (el paradigma IIoT — Industrial Internet of Things) — ha disuelto el aislamiento que hacía del air gap una defensa suficiente. Hoy, la mayoría de los entornos industriales conectados presentan algún grado de conectividad entre los sistemas de control de proceso y las redes corporativas o externas, lo que expone los sistemas OT a los vectores de ataque cibernético que hasta entonces solo afectaban a las redes IT.
Este cambio implica que la seguridad física y la ciberseguridad ya no pueden ser gestionadas como programas independientes: una vulnerabilidad física (acceso no controlado de un contratista a la sala de control) puede ser el vector de entrada de un ataque cibernético al sistema de control; y una vulnerabilidad cibernética (un servidor SCADA comprometido) puede abrir remotamente un portón de acceso o desactivar un sistema de alarma. La gestión del riesgo en entornos industriales modernos requiere un programa integrado de seguridad física-cibernética.
OT vs IT: diferencias que determinan la estrategia de seguridad
La aplicación de los controles de ciberseguridad IT estándar al entorno OT sin adaptación es uno de los errores más frecuentes y costosos en proyectos de convergencia de seguridad industrial. Las diferencias entre los entornos IT y OT son suficientemente profundas para requerir una estrategia de seguridad diferenciada:
Prioridad de disponibilidad vs confidencialidad: en entornos IT, la tríada de seguridad CIA (Confidentiality-Integrity-Availability) generalmente prioriza la confidencialidad de los datos sobre la disponibilidad de los sistemas. En entornos OT, esta priorización está invertida: la interrupción de un proceso industrial puede tener consecuencias de seguridad física inmediatas para personas y para el entorno (explosiones, derrames, interrupciones de suministro de energía o agua) que son significativamente más graves que la exposición de los datos de proceso. Un parche de seguridad que requiere reiniciar un controlador de proceso durante la producción puede ser inaceptable en un entorno OT aunque sea trivial en IT.
Ciclo de vida del equipamiento: la vida útil de un PLC o de un DCS es de 15-25 años, frente a los 3-5 años típicos de un servidor IT. Esto significa que una proporción significativa del parque OT instalado en el mundo industrial opera con sistemas operativos que ya no reciben soporte de seguridad (Windows XP embebido en estaciones SCADA, firmware de PLC sin mecanismos de actualización remota) y con protocolos de comunicación diseñados sin cifrado ni autenticación (Modbus RTU/TCP, DNP3, PROFIBUS, OPC DA).
Consecuencias del error: en IT, una actualización de software que introduce un bug puede causar la caída de un servicio de negocio y se corrige con un rollback. En OT, un bug en el firmware de un PLC que controla la presión de un reactor químico puede causar un evento de seguridad física catastrófico antes de que sea detectado.
IEC 62443: el estándar de seguridad para IACS
La serie IEC 62443 — resultado del esfuerzo conjunto del ISA (International Society of Automation) mediante su comité ISA99 y la IEC TC65 — es el marco normativo de referencia internacional para la ciberseguridad de los sistemas de automatización y control industrial. A diferencia del ISO 27001, que es un estándar horizontal de gestión de la seguridad de la información aplicable a cualquier organización, el IEC 62443 es un estándar vertical desarrollado específicamente para el contexto de los sistemas de control de proceso, con reconocimiento de las particularidades técnicas, operativas y de riesgo de los entornos OT.
El IEC 62443-3-3 introduce el concepto de Zonas y Conductos (Zones and Conduits) como el mecanismo fundamental de segmentación de un sistema de control industrial. Una Zona es un agrupamiento de activos OT con los mismos requisitos de seguridad y el mismo nivel de confianza; un Conducto es el canal controlado de comunicación entre dos Zonas. El diseño del sistema conforme al IEC 62443-3-3 implica la definición del mapa de Zonas y Conductos, la asignación del Security Level objetivo (SL-T) a cada Zona basada en el análisis de riesgo del IEC 62443-3-2, y la verificación de que los controles de seguridad implementados en cada Zona y Conducto satisfacen el SL-T asignado. Para los Conductos entre la red corporativa IT y la red de proceso OT — el punto de mayor riesgo en la arquitectura IT/OT convergente — el IEC 62443 recomienda la implementación de un Data Diode (unidirectional security gateway) o de un DMZ OT con firewalls redundantes y un servidor de datos replicado, que permite la extracción de datos de proceso hacia IT sin permitir el flujo inverso de tráfico hacia OT.
Vectores físicos en ciberataques: el caso STUXNET y TRITON
El análisis forense de los ciberataques de mayor impacto a sistemas de control industrial documentados hasta 2025 revela consistentemente la presencia de un componente físico en la cadena de ataque. STUXNET (2010), el primer malware diseñado para sabotear equipamiento industrial físico, utilizó la propagación por dispositivos USB como vector de introducción en la red de proceso aislada de la planta de enriquecimiento de uranio de Natanz — Irán — que tenía un air gap efectivo respecto a Internet. El malware fue introducido por un contratista externo con acceso físico legítimo a la planta, cuyo laptop fue infectado previamente mediante ingeniería social. Una vez dentro, STUXNET se propagó a los PLCs Siemens S7-315 que controlaban las centrífugas, modificando sutilmente las velocidades de rotación mientras reportaba valores normales a los operadores.
TRITON/TRISIS (2017) es el único malware documentado diseñado específicamente para atacar los Sistemas de Seguridad Instrumentada (Safety Instrumented Systems — SIS), que son los sistemas de último recurso que disparan las paradas de emergencia de seguridad en plantas petroquímicas y de proceso cuando los parámetros del proceso alcanzan niveles peligrosos. El acceso inicial al sistema SIS en la planta petroquímica atacada en Arabia Saudita fue posible porque el sistema SIS de la marca Schneider Electric (Triconex) estaba conectado a la red de control de proceso OT mediante un switch de red, y la estación de ingeniería del SIS tenía conectividad con la red corporativa. La separación física entre la red SIS y la red OT — recomendada como requisito de diseño por el IEC 61511 (Functional Safety — Safety Instrumented Systems) — no había sido implementada.
CCTV y control de acceso como vectores: el riesgo de las redes convergentes
Los sistemas de seguridad física digitalizados — cámaras IP del sistema CCTV, controladores de acceso con interfaz Ethernet, videoporteros IP, sistemas de detección de intrusión con panel de alarma conectado a red — son, paradójicamente, un vector de entrada potencial a las redes de proceso OT cuando la arquitectura de red no los segmenta correctamente del tráfico de control industrial. Las cámaras IP de fabricantes de menor seguridad (particularmente equipos sin parches de seguridad regulares o con credenciales de fábrica no modificadas) han sido utilizadas como punto de entrada para comprometer redes industriales en varios incidentes documentados por el ICS-CERT.
El protocolo ONVIF (Open Network Video Interface Forum) sobre el que operan la mayoría de las cámaras IP de grado comercial no incluye autenticación mutual criptográficamente robusta en todas sus versiones, y el protocolo BACnet (ANSI/ASHRAE 135) utilizado por algunos sistemas de control de acceso no incluye cifrado nativo. Esto hace que los dispositivos de seguridad física no sean “seguros por diseño” frente a ataques de red cuando se ubican en segmentos de red con acceso a sistemas OT. La regla de arquitectura derivada de este análisis es que los dispositivos de seguridad física (cámaras, controladores de acceso) deben estar en una VLAN dedicada de seguridad física, con un firewall entre esa VLAN y la red OT que filtre explícitamente el tráfico permitido en ambas direcciones y registre las conexiones.
ISO 27001 y la seguridad física como control certificable
El estándar ISO 27001:2022 — la edición más reciente del Sistema de Gestión de la Seguridad de la Información (SGSI) de la International Organization for Standardization — incluye en su Anexo A un catálogo de controles de seguridad entre los que el control A.7 (Seguridad Física y del Entorno) establece los requisitos de seguridad física que deben implementarse como parte del SGSI. Los controles A.7.1 a A.7.13 abarcan: perímetros de seguridad física (definición de zonas controladas con sus requisitos de acceso), controles de acceso físico (combinación de autenticación por credencial y verificación de identidad del visitante), protección contra amenazas físicas y ambientales (protección contra incendio, inundación, fallo eléctrico), trabajo en áreas seguras (restricciones operativas en áreas de alta seguridad), escritorios y pantallas limpias, y gestión de la seguridad de los equipos físicos.
La certificación ISO 27001 de una organización industrial que también opera bajo el IEC 62443 — que se está convirtiendo en un requisito contractual de los grandes operadores de infraestructura crítica en el mundo — implica que el programa de seguridad física debe estar diseñado e implementado para satisfacer simultáneamente los controles A.7 del ISO 27001 y los requisitos de acceso físico a las Zonas OT del IEC 62443-3-3. La integración de estos dos marcos en un programa unificado de gestión del riesgo de seguridad física-cibernética es el resultado esperado de la convergencia de las funciones de CSO y CISO en las organizaciones industriales de mayor madurez de seguridad.