La Agencia de Seguridad Nacional (NSA) se ha asociado con agencias de ciberseguridad de
Australia, Canadá, Alemania, Japón, Países Bajos, Nueva Zelanda, Corea del Sur y el Reino Unido
para lanzar una guía que presenta seis principios fundamentales. Estos principios están destinados
a ayudar en la creación y el mantenimiento de un entorno seguro y crítico para la infraestructura
tecnológica operativa (OT).
Su propósito es proporcionar a las organizaciones que gestionan infraestructuras críticas un marco
para proteger sus entornos tecnológicos operativos (OT) frente a amenazas cibernéticas,
asegurando la continuidad de servicios esenciales como energía, agua potable y transporte. La
creciente dependencia de la tecnología operativa y la complejidad de estos entornos implican
desafíos significativos en la toma de decisiones empresariales, especialmente al introducir nuevas
tecnologías, seleccionar proveedores o desarrollar planes de continuidad.
El documento detalla seis principios fundamentales que deben guiar a las organizaciones en la
creación y mantenimiento de entornos OT seguros:
1. La seguridad es primordial
2. Conocer el negocio es fundamental
3. Los datos OT son valiosos y deben protegerse
4. Segmentar y segregar las redes OT
5. Asegurar la cadena de suministro
6. Las personas son esenciales para la ciberseguridad OT
Cada principio está diseñado para ayudar a los responsables en la toma de decisiones a identificar
y mitigar riesgos cibernéticos asociados con la tecnología operativa. El documento proporciona
directrices claras para implementar controles adecuados, reducir vulnerabilidades y promover la
continuidad del negocio. Además, resalta la importancia de alinear la ciberseguridad con la cultura
organizacional y la colaboración entre todos los niveles de la entidad, desde los ingenieros hasta los
ejecutivos.
Este marco busca garantizar que los sistemas críticos no solo operen de manera eficiente, sino
también de forma segura, minimizando la exposición a ciberamenazas y manteniendo la confianza
pública en los servicios esenciales.
Principio 1: La seguridad es primordial
Este principio subraya la importancia crítica de la seguridad en los entornos operativos (OT),
destacando que, a diferencia de los sistemas corporativos de TI donde la innovación rápida puede
ser prioritaria, en OT es esencial garantizar la seguridad física y evitar amenazas que puedan poner
en riesgo la vida humana y la continuidad de los servicios críticos. Las organizaciones que operan
infraestructuras críticas, como plantas de energía o sistemas de tratamiento de agua, deben
considerar siempre los peligros físicos y las posibles repercusiones que una falla, sea por error
humano o por ataque cibernético, podría tener sobre la seguridad pública y la estabilidad social.
Aspectos Clave
● Protección de vidas humanas y el medio ambiente: Los sistemas OT operan equipos que, si
son alterados o manipulados, podrían provocar incidentes peligrosos como explosiones,
fugas químicas, descargas eléctricas o colapsos estructurales.
● Continuidad del servicio: La seguridad también abarca la necesidad de mantener la
operatividad de los servicios esenciales, como el suministro de agua potable o energía, para
evitar el impacto negativo en la sociedad.
Ejemplos y Consideraciones
● Respuesta a incidentes: Las organizaciones deben estar preparadas para responder a
incidentes en sistemas que requieren un funcionamiento seguro. En algunos casos, pagar
un rescate (como en ataques de ransomware) no es viable, ya que no se puede garantizar
que el sistema vuelva a un estado seguro.
● Validez de los respaldos: Si un atacante ha estado presente en la red OT, puede ser difícil
confiar en las copias de seguridad disponibles, ya que podrían haberse visto
comprometidas.
● Planes de recuperación: Los sistemas críticos deben contar con procedimientos de
recuperación bien definidos que aseguren una vuelta segura a la operación, incluso después
de interrupciones importantes.
Este principio recalca la necesidad de un enfoque riguroso y disciplinado en la operación y gestión
de sistemas OT. La seguridad en estos entornos no solo implica proteger contra ciberataques, sino
también garantizar que cualquier cambio o interrupción no afecte la integridad física del sistema ni
ponga en peligro vidas humanas o servicios esenciales. La clave es que las organizaciones adopten
una mentalidad preventiva, priorizando siempre la seguridad sobre cualquier otro objetivo.
Principio 2: Conocer el negocio es fundamental
Este principio subraya la importancia de que las organizaciones comprendan a fondo los procesos y
sistemas operativos que respaldan sus servicios críticos. La premisa es que, para proteger
adecuadamente la tecnología operativa (OT), es imprescindible conocer tanto las necesidades
esenciales del negocio como las características específicas de los sistemas que permiten su
funcionamiento.
Aspectos Clave
● Identificación de sistemas vitales: Las organizaciones deben determinar cuáles son los
sistemas esenciales que permiten la continuidad de los servicios críticos. Esto incluye
identificar qué partes del proceso operativo son indispensables para la producción y el
suministro de servicios fundamentales como energía, agua o transporte.
● Entendimiento del proceso OT: Es esencial comprender cada parte del proceso controlado
por sistemas OT, asegurando que se puedan identificar dependencias y puntos críticos. La
arquitectura diseñada debe permitir la defensa de estos sistemas vitales frente a amenazas,
tanto internas como externas.
● Integración de ciberseguridad en la planificación: Los equipos responsables de diseñar,
operar y mantener los sistemas OT deben estar alineados con el contexto empresarial. Esto
incluye entender cómo los procesos físicos conectados al entorno OT aportan valor al
negocio y cómo las interrupciones pueden impactar el servicio a los usuarios.
● Conexiones y dependencias: Las organizaciones necesitan saber cómo los sistemas OT se
interconectan con otros sistemas y qué dependencias existen. Esto es vital para evaluar
riesgos y establecer controles efectivos.
● Planes de continuidad y gestión de crisis: La creación de planes de respuesta ante
incidentes, continuidad de negocio y gestión de crisis debe incluir la participación tanto de
expertos en ingeniería de procesos como de ciberseguridad. Además, estos planes deben
ser continuamente ejercitados, revisados y actualizados para garantizar su eficacia.
Ejemplos y Consideraciones
● Top-Down vs. Bottom-Up: La aproximación "top-down" ha llevado a separar redes OT e IT,
pero la perspectiva "bottom-up" permite identificar los elementos mínimos necesarios para la
operación de procesos críticos. Por ejemplo, para generar electricidad, es posible que solo
se necesiten un generador, un controlador y un suministro de combustible adecuado.
● Packs de información para terceros: Al involucrar a terceros en la gestión de sistemas OT,
es esencial proporcionar documentación clara que incluya contactos, herramientas
permitidas, y procedimientos para asegurar una colaboración efectiva sin comprometer la
seguridad.
● Señales visuales y controles físicos: Identificar y marcar físicamente los dispositivos
autorizados en el entorno OT ayuda a reducir el riesgo de interferencias no autorizadas y
permite una rápida toma de decisiones en caso de eventos de seguridad.
Este principio resalta que la comprensión del negocio es crucial no solo para implementar medidas
de ciberseguridad efectivas, sino también para priorizar la recuperación durante incidentes.
Asimismo, fomenta una colaboración fluida entre los equipos de operaciones y ciberseguridad,
asegurando que el enfoque en ciberseguridad esté alineado con las necesidades del negocio y el
contexto operacional.
Principio 3: Los datos OT son extremadamente
valiosos y deben protegerse
Desde la perspectiva de un adversario, el conocimiento sobre la configuración de un sistema OT
(Operational Technology) es altamente valioso, ya que los entornos OT tienden a mantenerse
estables y sin cambios frecuentes. Esta estabilidad permite que actores maliciosos puedan
desarrollar malware específico y sofisticado para atacar dichos sistemas con precisión.
Tipos de datos críticos en OT:
● Datos de configuración de ingeniería: Incluyen diagramas de red, secuencias de operación,
esquemas lógicos y datos de configuración, como direcciones de dispositivos. Estos datos
no cambian con frecuencia y pueden ser relevantes durante décadas, facilitando la
preparación de ataques dirigidos.
● Datos efímeros: Como niveles de voltaje o presión, que ofrecen información en tiempo real
sobre el estado de los procesos y pueden revelar detalles sobre operaciones internas o de
clientes.
● Propiedad Intelectual (IP) y Datos Personales (PII): Los datos sobre clientes o procesos,
como los registros de pacientes en salud o datos de medición en sectores de energía o
agua, requieren protección tanto como los datos de configuración.
Implicaciones y estrategias de protección:
● Controlar el almacenamiento: Las organizaciones deben definir dónde y cómo se almacenan
los datos OT para evitar su exposición. Aunque las redes OT suelen estar segmentadas, es
frecuente que los datos críticos se almacenen en sistemas IT corporativos, lo que aumenta
la exposición.
● Minimizar la distribución de datos: Los procesos internos deben evitar la propagación
innecesaria de datos OT entre diferentes sistemas para reducir riesgos.
● Detectar accesos no autorizados: Implementar herramientas como tokens canarios que
alerten si se accede o extraen datos OT de forma no autorizada.
Preguntas clave para la protección de datos OT
● Tienen los proveedores o consultores copias de los datos críticos?
● Se almacena información OT en sistemas corporativos o nubes externas?
● Se realizan controles para evitar que sistemas de seguridad, como EDRs, filtren datos OT
fuera del entorno?
● Existe un proceso claro de destrucción de datos al desmantelar equipos OT?
Este principio destaca la necesidad de alertar y monitorear el acceso a los datos OT, ya que la falta
de control puede facilitar ataques sofisticados y la manipulación de sistemas críticos. Por tanto, una
estrategia sólida de ciberseguridad debe incluir controles sobre el flujo y almacenamiento de datos,
así como medidas para detectar y responder ante posibles violaciones.
Principio 4: Segmentar y segregar las redes OT de
todas las demás redes
Este principio resalta la importancia de la segmentación y segregación en los entornos para
protegerlos frente a amenazas cibernéticas y minimizar los riesgos de compromiso. El principio se
basa en la idea de que las redes OT deben mantenerse separadas no solo de las redes
corporativas de TI, sino también de cualquier otra red que pueda introducir riesgos adicionales.
Importancia de la segmentación y segregación
● Reducción del riesgo: Las redes OT son más críticas que las redes de TI porque controlan
procesos físicos esenciales (por ejemplo, electricidad, agua y transporte). Estas redes no
deben estar directamente conectadas a las redes de TI, que tienden a ser más vulnerables
por su exposición a Internet y servicios como correo electrónico o navegación web.
● Seguridad entre OT y otras redes: Es fundamental proteger no solo la comunicación entre
las redes de OT e IT, sino también las conexiones entre diferentes redes OT de terceros
(como proveedores, clientes o socios). Estas conexiones pueden convertirse en un vector
de ataque si no se gestionan adecuadamente.
Ejemplos e implicaciones del principio
● Seguridad en conexiones entre OT y terceros: Las conexiones con redes OT de otros
actores, como proveedores de energía o empresas de transmisión, pueden abrir brechas en
la seguridad si no se gestionan correctamente.
● Separación física y lógica: Se recomienda que las funciones críticas estén separadas física
y lógicamente, para asegurar que incluso si una red menos crítica es comprometida, las
redes más críticas permanezcan protegidas.
● Seguridad en la administración de sistemas: Las cuentas y sistemas administrativos
deben estar adecuadamente segregados. Por ejemplo, los sistemas críticos de OT no deben
depender de servicios administrados desde redes de TI con menor nivel de seguridad, ya
que comprometer estas cuentas podría poner en riesgo la red OT.
● Riesgos de escalamiento de privilegios: Un atacante que acceda a la red de TI podría
escalar privilegios y comprometer el firewall o dispositivos de control de la red OT si estas
infraestructuras no están adecuadamente separadas.
Este principio subraya que cualquier conexión existente en una red OT debe considerarse un
potencial punto de vulnerabilidad y tratarse con el más alto nivel de seguridad. La segmentación no
solo debe aplicarse entre OT e IT, sino también entre diferentes zonas dentro de OT, de acuerdo
con sus niveles de criticidad. Además, las organizaciones deben evaluar continuamente las
configuraciones administrativas para asegurar que la gestión de las redes OT no dependa de
sistemas externos menos seguros.
Principio 5: La cadena de suministro debe ser
segura
La seguridad de la cadena de suministro ha sido un foco de atención durante varios años, y muchas
publicaciones previas ya han cubierto esta área. Sin embargo, en los entornos de tecnología
operativa (OT), este principio resalta algunas consideraciones específicas adicionales, ya que no
basta con aplicar controles genéricos.
Ejemplos y consideraciones:
● Cambiar la perspectiva sobre los riesgos del proveedor: Tradicionalmente, solo los
proveedores grandes o los más críticos desde un punto de vista operativo eran evaluados
rigurosamente. Sin embargo, desde la perspectiva de ciberseguridad, el tamaño o
importancia del proveedor no es determinante. Un dispositivo o servicio aparentemente
menor puede abrir puertas críticas para los atacantes si no es seguro.
● Exposición en entornos OT abiertos: En los sistemas OT, mensajes de control críticos se
envían a menudo sin cifrado, a través de mensajes multicast o broadcast que cualquier
dispositivo en la red puede recibir e interpretar. Esto hace que cualquier componente del
entorno —como impresoras, routers, o estaciones de trabajo de ingenieros— pueda ser un
punto de acceso para amenazas.
● Conocer el origen y la trayectoria de los dispositivos: Es esencial rastrear el origen y uso
previo de los dispositivos conectados a la red OT, incluidos los laptops de consultores o
proveedores. Estos podrían haberse conectado previamente a redes menos seguras, lo que
introduce un riesgo potencial al transferirse al entorno OT.
● Evaluar capacidades ocultas de los dispositivos: No solo es importante lo que los
dispositivos pueden hacer en su configuración actual, sino también lo que podrían hacer si
se altera su firmware o configuración. Si los proveedores tienen acceso remoto para realizar
actualizaciones, las organizaciones deben asegurarse de que el firmware esté firmado
criptográficamente y que su integridad sea verificada antes de su instalación.
● Evaluación rigurosa del comportamiento del proveedor: Las organizaciones deben
considerar las prácticas de los proveedores que requieren excepciones a las políticas de
seguridad como indicadores negativos. Por ejemplo, si un proveedor solicita conexiones
directas desde la red OT hacia internet para soporte o actualización de firmware, se debe
cuestionar la idoneidad del proveedor y buscar alternativas más seguras.
● Control del tráfico y análisis de seguridad: Un buen control consiste en conectar un
dispositivo a la red mientras se captura el tráfico con un analizador de paquetes, para
verificar que no se comuniquen sin autorización con direcciones remotas.
La seguridad de la cadena de suministro es crítica porque las interconexiones y dependencias entre
múltiples dispositivos y sistemas aumentan la exposición a ciberataques. Un solo dispositivo
comprometido o mal gestionado puede representar una vulnerabilidad significativa para toda la
infraestructura OT. Por lo tanto, este principio insta a mantener un control estricto sobre todos los
elementos de la cadena de suministro, garantizando que cada componente que interactúe con la
infraestructura crítica cumpla con los estándares de seguridad más altos.
Principio 6: Las personas son esenciales para la
ciberseguridad OT
Este principio subraya que la seguridad cibernética en tecnología operativa (OT) no puede lograrse
sin la participación activa y capacitada de las personas. Las herramientas y procesos técnicos por sí
solos no son suficientes para prevenir o detectar incidentes. La respuesta efectiva ante incidentes
depende de personas con el entrenamiento, habilidades y conocimientos adecuados para manejar
estos desafíos.
Importancia de la cultura de ciberseguridad basada en la
seguridad
● Se destaca la necesidad de construir una cultura de ciberseguridad fuerte, enfocada en la
seguridad física y digital. La organización debe considerar los principios de ciberseguridad
como un aspecto esencial de la seguridad en el trabajo, no solo como una obligación
tecnológica.
● Los técnicos de campo y otros operativos son la primera línea de defensa y juegan un rol
crucial en la detección de comportamientos sospechosos. Aunque estos empleados no
suelen ser expertos en ciberseguridad, su conocimiento práctico del entorno OT les permite
identificar anomalías que podrían indicar incidentes cibernéticos.
Retos y estrategias clave
● Capacitación diversificada: Es necesario un equipo interdisciplinario, compuesto por
expertos en ciberseguridad, ingenieros de control, personal de operaciones y gerentes de
activos. Todos estos roles deben alinearse en los principios básicos de OT, aunque
provengan de culturas y prioridades diferentes.
● Cambio cultural: Para el personal sin experiencia en ingeniería o infraestructuras críticas,
puede ser un desafío adoptar el enfoque “la seguridad es primordial.” La organización debe
fomentar un entendimiento compartido entre todas las áreas involucradas.
● Reportes sin miedo: Es esencial empoderar a los operativos para reportar posibles
incidentes sin temor a represalias o ridículo. Debe haber procedimientos claros para que las
observaciones sean valoradas y gestionadas oportunamente.
Desarrollo de conciencia y cultura cibersegura
● Incluir la ciberseguridad en procesos clave: La ciberseguridad debe integrarse en
evaluaciones de seguridad, pruebas de aceptación (FAT/SAT), y gestión de cambios de
ingeniería. Métodos como la Ingeniería informada por ciberseguridad (Cyber-Informed
Engineering) ayudan a fortalecer esta integración.
● Evitar comportamientos de riesgo: Un ejemplo destacado es el mantenimiento remoto sin
informar al personal en el sitio, lo que puede hacer que los operadores ignoren
comportamientos anómalos por considerarlos normales. Esto demuestra la necesidad de
transparencia en las operaciones.
● Reevaluación de incidentes: Los operadores deben ser entrenados para considerar la
posibilidad de compromisos cibernéticos en problemas operacionales. Históricamente, estos
problemas se han atribuido solo a fallos técnicos, lo que puede resultar en la pérdida de
evidencia clave para investigaciones cibernéticas.
Este principio destaca que la combinación de tecnología, procesos y personas es esencial para
mantener la seguridad en los entornos OT. El involucramiento activo y la preparación del personal,
junto con una cultura organizacional enfocada en la seguridad, son fundamentales para la
resiliencia cibernética en infraestructuras críticas.
Conclusión
El enfoque presentado no se limita a establecer controles técnicos, sino que promueve una
integración holística de la ciberseguridad en todas las dimensiones del entorno OT: procesos,
personas y tecnología. Los principios resaltan la importancia de alinear la gestión de riesgos con la
seguridad física y operativa, garantizando así una resiliencia completa. La colaboración entre
expertos técnicos y operativos, junto con una gestión eficiente de proveedores y datos, es
fundamental para mantener la integridad de las infraestructuras críticas.
Finalmente, la adopción de estos principios requiere no solo recursos tecnológicos, sino un
compromiso organizacional profundo que fomente una cultura de ciberseguridad basada en la
seguridad, la colaboración y la transparencia. Con este marco, las organizaciones podrán enfrentar
los desafíos actuales y futuros de forma eficiente, garantizando la continuidad de servicios
esenciales y la protección de sus activos más valiosos.



