El 29 de abril de 2026, CISA, junto con el Departamento de Guerra, el DOE, el FBI y el Departamento de Estado, publicó Adapting Zero Trust Principles to Operational Technology. Para despliegues OT en instalaciones locales, tres conclusiones son las más relevantes. Se respalda la aplicación de controles a nivel de red sin agentes para activos heredados que no pueden ejecutar clientes de software. La microsegmentación es el control Zero Trust recomendado para separar los sistemas de control de los sistemas de seguridad. Y el documento advierte explícitamente contra asumir que la seguridad se garantiza únicamente mediante air-gapping o arquitecturas segmentadas, señalando la falsa sensación de aislamiento que generan estos modelos.
Este artículo explica qué significa en la práctica cada una de esas conclusiones para un despliegue en instalaciones locales, dónde la arquitectura de Access Gate se alinea con la guía y qué verificar en su propio entorno durante los próximos 30 días.
La cuestión de los agentes: qué dice realmente CISA
CISA respalda el despliegue sin agentes para OT heredado y recomienda combinarlo con controles de aplicación a nivel de red. La guía es directa sobre el equilibrio: los agentes requieren pruebas de compatibilidad extensas y pueden afectar las garantías del sistema, mientras que la monitorización pasiva por sí sola no detecta abusos en sesiones de acceso remoto hasta que los comandos maliciosos ya han sido enviados. La postura recomendada es sin agentes donde estos no son prácticos, combinada con aplicación activa en el perímetro de red.
Esto es relevante para OT porque la mayoría de los activos instalados no pueden alojar un agente en absoluto. PLCs, RTUs, HMIs que ejecutan Windows XP o QNX, estaciones de trabajo de ingeniería con diez años de antigüedad y muchos servidores SCADA no pueden instalar software de endpoint, o lo hacen a costa del soporte del fabricante. Las estrategias Zero Trust basadas en agentes que funcionan para portátiles IT no se trasladan al entorno industrial.
Access Gate está diseñado sobre esta premisa. Es un appliance o VM en instalaciones locales que opera junto a la red OT, no en línea. Aplica acceso basado en identidad en el perímetro de red mediante una capa de red definida por software, de modo que el activo nunca necesita instalar software, admitir autenticación moderna ni siquiera conocer la existencia del control de acceso. Cada conexión a un activo protegido termina en el appliance, donde la autenticación, la autorización y la grabación completa de la sesión ocurren antes de que el tráfico llegue al dispositivo.
La guía de CISA es explícita en que la monitorización sin agentes por sí sola es insuficiente para el acceso remoto. Access Gate cubre esa brecha actuando como punto de aplicación de la sesión, no solo como punto de observación. Una sesión marcada se bloquea en el appliance, no solo se registra en un sistema posterior.
Microsegmentación sin rediseño de red
CISA recomienda la microsegmentación como control Zero Trust específicamente para separar los sistemas de control de los sistemas de seguridad y para habilitar políticas de acceso granulares. La guía subraya que la segmentación debe aplicarse sin interrumpir las operaciones.
La microsegmentación convencional en OT requiere rediseño de VLANs, reconfiguración de switches y reasignación de direcciones IP a los activos. La mayoría de las plantas no pueden asumir ese tiempo de inactividad. El enfoque de Access Gate es diferente. Construye una capa lógica superpuesta sobre la red física existente. Cada activo protegido obtiene una dirección lógica separada que el appliance actúa como proxy. Las políticas se aplican por activo, por usuario, por protocolo y por sesión en el límite del proxy. Las VLANs subyacentes y las configuraciones de los switches no cambian. El tráfico de producción continúa fluyendo por la red existente sin modificaciones.
Esta es la propiedad arquitectónica que hace que la microsegmentación sea operativamente viable para OT heredado. La recomendación de CISA se corresponde directamente con ella. Access Gate aplica políticas en un límite de Capa 3/4 que antes no existía, sin requerir que el operador reconstruya la topología de Capa 2 subyacente.
Para el caso específico que señala la guía —separar los sistemas de control de los sistemas de seguridad— esto significa que un PLC de seguridad y un PLC de control pueden estar en el mismo switch físico y la misma VLAN, mientras Access Gate garantiza que la estación de trabajo de ingeniería pueda alcanzar el PLC de control pero no el PLC de seguridad. Cada intento queda registrado y cada sesión es atribuible a un usuario identificado.
OT heredado y la brecha de ICAM
CISA respalda explícitamente controles compensatorios por encima del nivel de dispositivo para sistemas OT anteriores a la gestión moderna de identidades, credenciales y accesos (ICAM). La guía plantea la segmentación en sí misma como un control compensatorio válido cuando la identidad a nivel de dispositivo no es posible.
Esta es la realidad operativa central del OT. La mayoría de los PLCs instalados no admiten Active Directory, SAML, OIDC ni ningún protocolo de identidad moderno. Muchos no admiten autenticación por usuario en absoluto. La autenticación documentada por el fabricante suele ser una única contraseña compartida configurada durante la puesta en marcha hace una década. Los parches del fabricante que añadirían autenticación moderna generalmente no están disponibles, anularían la cobertura de garantía o requerirían una parada del proceso para instalarse.
Access Gate aplica ICAM en el perímetro de red en nombre del activo. El usuario se autentica contra su proveedor de identidad con MFA. El appliance termina la sesión, aplica la política y luego abre una nueva conexión al activo usando el protocolo y las credenciales que este admite. El activo recibe una conexión desde una dirección de red conocida. El usuario experimenta un acceso vinculado a su identidad con registro de auditoría. El control compensatorio se sitúa entre ambos.
La guía de CISA también aborda el matiz del cifrado. En OT, la integridad y la autenticación importan más que la confidencialidad. Cuando el protocolo subyacente no puede admitir TLS de forma nativa, se recomienda encapsularlo en una pasarela habilitada para TLS. Access Gate hace esto para Modbus, DNP3, OPC UA, EtherNet/IP y otros protocolos industriales, terminando TLS validado por FIPS en el límite del proxy y reenviando el protocolo de forma nativa al activo.
Volt Typhoon y el movimiento lateral
La guía nombra a Volt Typhoon específicamente como un actor de amenazas que utiliza técnicas de living-off-the-land en entornos IT para luego moverse lateralmente hacia OT. Este es el modelo de amenaza para el que está diseñada la microsegmentación Zero Trust.
El patrón de ataque está bien documentado. El adversario compromete un endpoint IT, se mueve por la red usando herramientas administrativas legítimas, localiza el límite IT/OT y pivota hacia OT a través de cualquier ruta de acceso disponible. Con frecuencia, esa ruta es una red plana o con segmentación mínima donde cualquier host IT comprometido puede alcanzar activos OT directamente. En otros casos es una herramienta de acceso remoto de un proveedor con credenciales compartidas. A veces es una estación de trabajo de ingeniería olvidada con interfaces de red de doble conexión. O una ruta de replicación de historian que nadie documentó.
Una arquitectura de red sin acceso vinculado a identidad en el límite IT/OT deja esta ruta de ataque abierta. La recomendación de CISA es asumir que el lado IT será comprometido y diseñar el límite OT como si el ataque ya estuviera presente. Esto requiere acceso autenticado, autorizado y registrado para cada sesión que cruce el límite, no solo un inventario de qué rutas existen.
Access Gate está diseñado para este modelo de amenaza. Cada sesión IT-a-OT termina en el appliance. El usuario que se conecta debe autenticarse con MFA. La sesión está vinculada a una identidad de usuario específica, no a una cuenta de servicio ni a una credencial compartida. La sesión se graba con payload completo cuando está configurado y puede reproducirse para revisión forense. La ruta está denegada por defecto a menos que una política explícita la permita.
Para adversarios de la clase Volt Typhoon que dependen del movimiento lateral no detectado, este patrón de atribución y grabación de cada sesión es lo que cierra la ruta. Para el seguimiento continuo de Volt Typhoon y otros grupos de amenazas OT identificados, Trout mantiene un portal público de inteligencia de amenazas con perfiles e indicadores por actor.
Qué significa esto para su despliegue
Si opera un entorno OT en instalaciones locales, las acciones prácticas a tomar en los próximos 30 días son concretas.
- Audite qué activos OT tienen actualmente monitorización basada en agentes. Para cada uno, documente si el agente cuenta con soporte del fabricante OT y si se revisa su compatibilidad en cada ciclo de parches. Según CISA, los agentes sin soporte en activos heredados generan un riesgo mayor que el que mitigan.
- Mapee el límite IT/OT. Identifique cada ruta de red que lo cruce: acceso remoto de proveedores, jump hosts, estaciones de trabajo con doble conexión, servidores de transferencia de archivos, replicación de historian. Según CISA, cada una de estas es un punto de entrada para Volt Typhoon si no está autenticada.
- Para cada ruta en el límite IT/OT, documente la postura actual de autenticación, autorización y registro de sesiones. Cualquier ruta que no aplique identidad por usuario, autorización por sesión y registro completo de sesiones es una brecha.
- Evalúe dónde la aplicación de controles a nivel de red sin agentes podría reemplazar los controles basados en agentes. La guía de CISA es explícita en que para OT heredado, la aplicación de controles de red sin agentes es la postura respaldada.
- Ponga a prueba el supuesto del air-gap. Según CISA, un air-gap no es un control de seguridad por sí solo. Si existe un air-gap, identifique qué ocurriría si un dispositivo USB, un portátil de proveedor o un jump host de mantenimiento lo puenteara.
La arquitectura de Access Gate se corresponde con cada una de estas acciones. Se despliega sin agentes en los activos protegidos, aplica controles en el perímetro de red, segmenta sin cambios de VLAN y genera evidencia de sesión por defecto. El despliegue suele llevar horas por sitio, no semanas.
¿Listo para alinear su entorno con la nueva guía de CISA? Comience con la guía práctica de Zero Trust para OT para un enfoque paso a paso sobre cómo aplicar estos principios a redes industriales heredadas sin desmantelar lo que ya funciona.
