Las redes IT y OT están convergiendo. Los sistemas ERP extraen datos de historiadores. Los paneles en la nube muestran métricas de producción en tiempo real. Los proveedores se conectan de forma remota para diagnosticar PLCs. Cada conexión crea un camino desde IT hacia OT.
La pregunta no es si conectar IT y OT, sino cómo controlar el límite entre ambas.
Este artículo describe tres patrones de arquitectura, cada uno orientado a un aspecto diferente de la seguridad en el límite IT/OT.
Convergencia IT/OT: el problema
IT y OT tienen prioridades distintas. IT optimiza la confidencialidad y disponibilidad de los datos. OT optimiza la seguridad y disponibilidad de los procesos físicos. Al conectarlas, se hereda el perfil de riesgo de ambas.
Qué sale mal:
- Un sistema IT comprometido (phishing, ransomware) accede a OT a través de una ruta de red compartida
- Un túnel VPN de proveedor destinado al diagnóstico de PLCs se convierte en una puerta trasera persistente hacia la planta
- La replicación en la nube de datos del historiador expone los patrones operativos de OT a cualquier persona con credenciales de acceso a la nube
Qué habilita la convergencia cuando se hace correctamente:
- Visibilidad de producción en tiempo real sin exportación manual de datos
- Respuesta centralizada a incidentes en IT y OT
- Postura de cumplimiento unificada para CMMC, NIS2 y NIST 800-171
Patrón 1: DMZ industrial
La DMZ industrial sitúa una zona de amortiguamiento entre IT y OT. Ningún tráfico cruza directamente de una a otra. En su lugar, los servicios proxy en la DMZ retransmiten las solicitudes autorizadas.
Arquitectura:
- El firewall exterior da a IT; el firewall interior da a OT
- La DMZ aloja bastiones proxy, réplicas del historiador, servidores de parches y recolectores de registros
- Ambos firewalls deniegan todo el tráfico por defecto; solo se permiten los flujos definidos explícitamente
Cuándo utilizarlo:
- Se necesita compartir datos entre IT y OT (datos del historiador, métricas de producción)
- Se necesita una zona de preparación para parches y actualizaciones antes de que lleguen a OT
- El cumplimiento normativo exige protección de límites demostrable (NIST 800-171 SC-7)
Detalle técnico: Los firewalls exterior e interior deben usar fabricantes o motores de reglas distintos. Si ambos comparten una vulnerabilidad, un atacante puede atravesar los dos en un único exploit. La diversidad en el límite añade resiliencia.
Limitación: Una sola DMZ protege el límite entre IT y OT, pero no proporciona segmentación dentro de OT. El movimiento lateral dentro de OT sigue siendo posible.
Patrón 2: Acceso remoto seguro
El acceso remoto es el vector de ataque más frecuente en OT. Las VPN de proveedores, las sesiones de escritorio remoto y las herramientas de acceso remoto basadas en la nube crean rutas persistentes hacia OT que eluden otros controles.
Arquitectura:
- La VPN termina en la DMZ, no dentro de OT
- Se requiere autenticación multifactor (MFA) en cada sesión
- Las sesiones tienen límite de tiempo y alcance restringido a activos específicos
- Sin túneles persistentes ni acceso permanente
Cuándo utilizarlo:
- Los proveedores necesitan conectarse para diagnósticos o mantenimiento
- Los operadores remotos necesitan supervisar o controlar sistemas
- Se requiere un registro de auditoría de cada sesión remota para el cumplimiento normativo
Detalle técnico: Un error habitual es terminar los túneles VPN directamente en dispositivos OT o en un host de salto dentro de la red OT. Esto otorga al usuario de la VPN el mismo acceso de red que a un operador local. En su lugar, termine la VPN en una pasarela ubicada en la DMZ. La pasarela autentica al usuario, restringe el acceso al activo específico que necesita y desconecta cuando expira la ventana de mantenimiento.
Limitación: Solo aborda el acceso remoto. No segmenta el tráfico OT local ni impide el movimiento lateral desde un dispositivo local comprometido.
Patrón 3: Segmentación Zero Trust
La segmentación Zero Trust extiende la seguridad dentro de OT mediante puntos de aplicación entre activos individuales o grupos de activos. Cada conexión se autentica, autoriza, registra e inspecciona, independientemente de si se origina en IT o dentro de OT.
Arquitectura:
- VPN + MFA en el perímetro para usuarios remotos
- Un Access Gate situado entre segmentos de red registra e inspecciona cada sesión
- Cada segmento contiene un grupo reducido de activos relacionados (un lazo de control, una célula de producción)
- Las conexiones entre segmentos requieren verificación de identidad (usuario + dispositivo)
Cuándo utilizarlo:
- Se necesita impedir el movimiento lateral dentro de OT
- El cumplimiento normativo exige control de acceso por sistema (CMMC AC.L2-3.1.1)
- Existen entornos de confianza mixta donde proveedores, operadores y sistemas automatizados comparten la misma red
- Se requiere grabación e inspección completa de sesiones para auditoría
Detalle técnico: Zero Trust en OT opera en la Capa 3. Cada microsegmento recibe su propia subred. El punto de aplicación (Access Gate) inspecciona cada solicitud de conexión: identidad del origen, destino, protocolo y acción. Cada sesión se registra con metadatos completos. Al ser la aplicación de red, funciona con dispositivos heredados que no pueden ejecutar agentes ni participar en intercambios de autenticación. El Access Gate autentica en nombre del dispositivo.
Limitación: Requiere más puntos de aplicación que una sola DMZ. La operación se simplifica con appliances que combinan segmentación, autenticación, grabación y registro en un único dispositivo.
Combinación de patrones
Estos patrones no son mutuamente excluyentes. Un entorno de producción normalmente necesita los tres:
| Capa | Patrón | Propósito |
|---|---|---|
| Límite IT/OT | DMZ industrial | Evitar el tráfico directo de IT a OT |
| Conexiones remotas | Acceso remoto seguro | Controlar las sesiones de proveedores y operadores |
| Interior de OT | Segmentación Zero Trust | Impedir el movimiento lateral, registrar e inspeccionar todas las sesiones |
Correspondencia con requisitos de cumplimiento
| Requisito | Patrón 1 (DMZ) | Patrón 2 (Acceso remoto) | Patrón 3 (Zero Trust) |
|---|---|---|---|
| CMMC AC.L2-3.1.3 (Control de flujo) | Aplicado en el límite de la DMZ | Aplicado por sesión | Aplicado por segmento |
| NIST 800-171 SC-7 (Protección de límites) | DMZ con doble firewall | Pasarela de sesión | Aplicación por activo |
| NIS2 Art. 21 (Medidas basadas en riesgo) | Registro en la DMZ | Grabación de sesiones | Monitorización a nivel de activo |
| CMMC AU.L2-3.3.1 (Registro de auditoría) | Registros del servicio DMZ | Registros por sesión | Registros por segmento |
Conclusión
Proteger el límite IT/OT no es una decisión de arquitectura única. Es un enfoque por capas: una DMZ en el límite, segmentación Zero Trust dentro de OT y acceso remoto controlado para las conexiones externas. Cada patrón aborda un vector de amenaza diferente. Juntos proporcionan protección de límites, prevención del movimiento lateral y visibilidad a nivel de sesión.
Comience con la DMZ si no dispone de ninguna. Añada segmentación Zero Trust para los activos OT de mayor riesgo. Refuerce el acceso remoto con MFA, grabación de sesiones y alcance limitado en el tiempo. Un appliance de pasarela integrado puede implementar los tres patrones desde un único punto de aplicación.
