La semana pasada, en una reunión con un cliente industrial, alguien del equipo IT propuso «segmentar la red OT como haríamos con cualquier VLAN corporativa». Parecía razonable. Técnicamente correcto. Y habría tumbado la producción en menos de 24 horas.
El problema no era la propuesta en sí. El problema es que quien la hacía nunca había visto qué pasa cuando un PLC pierde comunicación con el HMI en mitad de un batch. Nunca había programado un bloque de seguridad en un S7 sabiendo que si la lógica falla, una válvula no cierra cuando toca. Son cosas que no aparecen en ningún manual de ciberseguridad, pero que hay que tener en cuenta cuando pueden afectar en planta.
La ciberseguridad OT no es IT con casco
La ciberseguridad OT no es ciberseguridad IT con casco. Y sin embargo, cada vez veo más profesionales que saltan al mundo OT desde IT sin haber tocado jamás un autómata. Hacen GAP analysis contra IEC 62443 con una checklist, marcan casillas, entregan un informe bonito… y el cliente se queda exactamente igual de expuesto.
A ver, un GAP analysis no es rellenar una tabla. Es entender por qué ese PLC lleva 15 años sin un parche y no se puede parar. Es saber que en ciertos procesos químicos, reiniciar un controlador no es «un downtime de 5 minutos» — es perder un batch de 200.000€ y pasar una noche sin dormir. O que el firewall que propones entre L2 y L3 puede romper la sincronización de un DCS si no conoces los flujos de datos del proceso.
Zonas y conductos: más allá de la norma
IEC 62443 habla de zonas y conductos. Pero para definir zonas y conductos de verdad, necesitas entender el proceso. Qué equipos no pueden perder comunicación entre sí ni por un segundo, cuál es la diferencia real entre un lazo de control crítico y una señal de monitorización, por qué la segmentación que funcionó en la planta anterior aquí no vale. Cada instalación es un mundo y no hay dos iguales.
20 años construyendo lo que ahora protejo
Yo he pasado más de 20 años diseñando, programando y poniendo en marcha sistemas de automatización industrial. PLCs, SCADAs, DCS, en industria alimentaria, química, refinación. He construido los sistemas que ahora protejo. Y la verdad es que eso marca una diferencia enorme: cuando analizo un riesgo en una instalación, no estoy leyendo una norma en abstracto. Estoy viendo la planta y las consecuencias reales de cada decisión.
La ciberseguridad no se hace desde el despacho, hay que bajar a planta y ensuciarse.
¿Significa esto que solo los ingenieros de automatización pueden hacer ciberseguridad OT? No, claro que no. Pero sí creo que quien la haga necesita haber pasado tiempo en planta, no solo en la oficina. Entender cómo funciona un proceso industrial antes de intentar protegerlo. Y sobre todo, tener la humildad de escuchar al ingeniero de proceso y al técnico de mantenimiento, porque ellos conocen su instalación mejor que cualquier norma.
Disponibilidad y safety por delante
En OT, la disponibilidad y la safety van por delante de la confidencialidad. Si no tienes eso claro desde el primer día, vas a tomar decisiones equivocadas por muy buena que sea tu formación en IT.
IEC 62443 es un marco excelente. NIS2 va a obligar a muchas empresas industriales a tomarse esto en serio por fin. Pero lo que protege de verdad una instalación es el criterio de quien aplica las normas. Y el criterio no se construye a base de certificaciones, sino pasando horas en planta y analizando los procesos en el día a día.
Primer post, sin filtros
Este es mi primer post después de mucho tiempo en silencio. He decidido que ya toca compartir lo que veo en proyectos reales, sin filtros. Si trabajas protegiendo entornos industriales, cuéntame: ¿cuántas veces has tenido que frenar una decisión de seguridad porque quien la proponía no conocía el proceso?