Seguridad OT/ICS: por qué el pentesting de IT no basta para entornos industriales

Aplicar la misma metodología de pentesting de IT a un entorno OT/ICS es, en el mejor de los casos, ineficaz, y en el peor, peligroso. Las redes industriales priorizan la disponibilidad continua y la seguridad física sobre la confidencialidad, usan protocolos que un escáner de IT no entiende, y un fallo en un sistema de control puede tener consecuencias físicas, no solo una brecha de datos.

La prioridad invertida: disponibilidad y seguridad física antes que confidencialidad

En IT, la tríada de seguridad suele priorizar confidencialidad e integridad, con la disponibilidad como tercer criterio. En OT/ICS ocurre justo al revés: la prioridad absoluta es que la línea de producción, la subestación eléctrica o el sistema de control de procesos no se detenga y no ponga en riesgo a las personas, incluso si eso implica aceptar más exposición de datos de la que se toleraría en un entorno IT. Esta inversión de prioridades cambia por completo qué pruebas son aceptables y cuáles no.

Protocolos y equipos que un pentesting de IT no está diseñado para tocar

Los entornos OT/ICS usan protocolos industriales —Modbus, PROFINET, DNP3, OPC UA— y equipos como PLCs, RTUs y sistemas SCADA que no siguen el mismo modelo de red ni las mismas asunciones de robustez que un servidor o una aplicación web. Muchos de estos dispositivos ejecutan firmware antiguo, sin parchear desde hace años porque una actualización requiere parar la producción, y no están diseñados para soportar el volumen de tráfico o las técnicas de un escáner de vulnerabilidades convencional: un escaneo agresivo puede colapsar un PLC y detener físicamente una línea de producción.

La segmentación IT/OT y el modelo Purdue como punto de partida

Antes de plantear cualquier prueba técnica en el entorno OT, hay que entender y validar la segmentación entre la red corporativa (IT) y la red industrial (OT), habitualmente estructurada según el modelo Purdue en niveles jerárquicos. Un fallo de segmentación —un servidor en la zona intermedia (DMZ industrial) mal configurado, una VPN de mantenimiento remoto sin restricciones— es a menudo la vulnerabilidad más crítica de todo el entorno, porque convierte cualquier compromiso de IT convencional en un potencial punto de entrada a sistemas físicos críticos.

Qué evaluar en un entorno OT/ICS: metodología adaptada, no genérica

Una evaluación de seguridad OT/ICS combina revisión pasiva de tráfico de red (para no arriesgar la disponibilidad), análisis de la segmentación IT/OT, revisión de accesos remotos de mantenimiento (a menudo el vector de entrada más explotado), inventario de dispositivos y firmware, y, cuando es viable con el cliente, pruebas activas controladas en entornos de laboratorio o réplicas, nunca directamente sobre producción sin ventanas de mantenimiento acordadas. Se apoya en marcos específicos como IEC 62443, distintos de los usados en IT convencional.

FAQ

¿Puedo pedir el mismo pentesting que hago en mi red IT para mi planta industrial?

No es recomendable. Un escaneo o pentesting pensado para IT puede provocar caídas de disponibilidad en dispositivos OT frágiles, e ignora protocolos y riesgos específicos (Modbus, PLCs, seguridad física) que un enfoque IT no cubre. Se necesita una metodología adaptada, con foco en no interrumpir la producción.

¿Este servicio sustituye a un pentesting IoT?

No, son complementarios: el pentesting de dispositivos IoT y hardware evalúa la seguridad de dispositivos conectados individuales (firmware, comunicaciones, hardware físico), mientras que una evaluación OT/ICS analiza el entorno industrial completo —segmentación, protocolos, accesos remotos— en el que esos dispositivos operan.