Hay un momento que se repite en casi todos los proyectos. Llegas a una planta industrial, te presentan al equipo, te dan los EPI y alguien te dice: «¿quieres que te conectemos a la red para empezar?»
No. Lo primero que hago es preguntar. Pedir documentación: listados de activos, P&IDs, esquemas eléctricos, diagramas de red si los hay, arquitectura de control. Antes de tocar nada quiero entender qué se supone que hace ese proceso y cómo debería funcionar en papel.
Pero toda esa documentación casi nunca está junta ni accesible. Ciberseguridad, si existe como departamento, no la tiene. IT tampoco, para ellos la planta es «eso de abajo que tiene sus propias cosas y que no entienden». Producción te mira raro porque hasta entonces nadie les había pedido los P&IDs. Mantenimiento en el mejor de los casos te puede facilitar el esquema eléctrico y poco más.
Porque el integrador que hizo la puesta en marcha ya no existe. Cerró, fue absorbido, nadie sabe quién programó ese autómata en 2009. No hay backup del PLC, no hay fuentes del HMI, y el ingeniero que sabía cómo funcionaba aquello se jubiló sin hacer traspaso. Pasa más de lo que nadie quiere admitir.
Cuando no hay documentación, que es lo habitual, toca hacer las preguntas que nadie ha hecho antes: qué proceso se ejecuta ahí exactamente, qué pasa si se para, quién lo arranca, cada cuánto se interviene, qué han cambiado en los últimos años que nadie documentó, qué equipos se han sustituido sin actualizar esquemas. Con las respuestas, aunque sean incompletas, ya tienes un punto de partida que ningún escaneo de red te va a dar.
Después pido que me enseñen la planta. Y aquí es donde ves la desconexión. Producción no entiende por qué alguien de ciberseguridad necesita saber cómo funciona un reactor. IT quiere liderar el proyecto pero nunca ha bajado a planta. Y a veces el responsable de automatización ni siquiera sabe que se está haciendo una auditoría en «su» instalación.
El caso es que cuando consigues sentar al técnico de mantenimiento o al jefe de producción y te explican el proceso, todo cambia. Porque el PLC que controla presión, temperatura, agitación, calentamiento y enfriamiento de un reactor no se protege igual que el que mueve una cinta transportadora. Punto. Eso no lo ves en ningún inventario de activos. Lo ves cuando el técnico te dice: «si este lazo se pierde durante la fase exotérmica, tenemos un problema gordo». A partir de ahí sabes qué es crítico de verdad y qué puede esperar.
Documentar todo esto es parte del trabajo. El integrador que ya no existe, el backup que nunca se hizo, el HMI que nadie actualiza desde 2012, las modificaciones que se hicieron en caliente sin dejar rastro. Todo eso es contexto que luego necesitas para tomar decisiones de protección con criterio.
Y entonces sí, auditoría técnica. Con herramientas pasivas (TAP, puerto espejo, monitorización OT), con cuidado, sabiendo ya qué estás mirando y por qué importa. En OT un escaneo activo, un Nmap lanzado sin más, puede tumbar un PLC que no espera ese tráfico o colgar un HMI legacy un viernes por la tarde, que es cuando suelen pasar estas cosas. Las herramientas pasivas te dan visibilidad sin riesgo: qué hay en la red, quién habla con quién, qué protocolos se usan. Pero sólo confirman y completan lo que ya has entendido del proceso. Sin ese contexto previo, los datos que saques son ruido.
IEC 62443 empieza por definir el sistema bajo consideración, el SuC. Y para eso necesitas el inventario técnico, sí, pero también la documentación que puedas reunir y sobre todo el conocimiento de la gente que lleva años arrancando esa planta cada lunes. Sin esa última pata vas cojo. Y lo que veo demasiado a menudo es que alguien llega, enchufa un portátil a un switch, genera un PCAP, saca un informe bonito, y se va sin haber entendido qué hace esa planta ni por qué importa.
La ciberseguridad OT no empieza en un puerto del switch. Empieza preguntando, bajando a planta y documentando. La auditoría técnica viene después, para afinar. Primero contexto, después tecnología.