Desplegar Autenticación Multifactor (MFA) en un entorno OT u on-premise cuesta aproximadamente 30 a 60 $ por usuario en hardware, 0 a 6 $ por usuario al mes en licencias de software y alrededor de un tercio del presupuesto del proyecto en operaciones, lo que incluye formación, helpdesk y los casos límite que no aparecen en ninguna página de precios cloud.
Para contratistas de defensa, operadores de utilities y fabricantes sujetos a obligaciones CMMC, NIS2 y NERC CIP, MFA no es opcional. La verdadera pregunta es cómo presupuestarla sin gastar de más en factores de autenticación que no encajan en la planta de producción.
Trout plantea un enfoque distinto: trasladar la MFA al microsegmento de red, y permitir que los operadores se asocien a enclaves flexibles durante el tiempo que dure una tarea o un turno.
Este artículo desglosa los costes directos e indirectos, compara los seis enfoques entre los que realmente tendrá que elegir y plantea un método de presupuesto que sobrevive al contacto con los operadores.
Comparación de los seis enfoques de MFA en OT
La mayoría de las plantas terminan combinando dos o tres de las opciones siguientes. La pregunta rara vez es «cuál». Es «qué combinación, para qué rol».
| Enfoque | Hardware por usuario | Software / licencia | Operaciones y formación | Dónde encaja |
|---|---|---|---|---|
| Badge + PIN en HMI | Lector 15–40 $, badge 2–8 $ | IdP local o integrado (~0–4 $/usuario/mes) | Alta al inicio; baja una vez asentado | HMIs de planta, puestos compartidos, consolas tipo quiosco |
| Llave hardware FIDO2 | 25–55 $ tarifa, ~25–35 $ en volumen | IdP con soporte FIDO2 (a menudo incluido) | Procesos de reemisión y pérdida | Ingenieros, jump hosts, pasarelas ICCP, acceso remoto de proveedores |
| Tarjeta inteligente + PKI (PIV/CAC) | Tarjeta 4–10 $, lector 30–80 $ | Infraestructura PKI (1+ ETC en un parque medio) | Alta: ciclo de vida del certificado, CRLs, vencimientos | Contratistas de defensa, utilities reguladas con PKI existente |
| Autenticador móvil (TOTP / push) | 0 $ en BYOD, 150–250 $ para teléfono gestionado | 3–6 $/usuario/mes en IdP cloud | Baja si los móviles ya están permitidos | Oficina, ingenieros de control, usuarios de acceso remoto |
| OTP impresa / break-glass | ~0 $ | 0 $ | Alta: gestión de secretos, auditoría | Sitios air-gapped, respaldo offline |
| MFA por enclave Trout (microsegmento de red) | Reutiliza cualquier factor existente (badge, FIDO2, móvil) | Licencia Trout por sitio | Baja: una sola frontera de red, sin agente por dispositivo | Parques IT/OT mixtos, HMIs heredados, planta a escala |
Un contratista de defensa suele combinar tarjetas PIV en portátiles de ingeniería con badge+PIN en celdas HMI. Una utility ejecuta llaves FIDO2 en la ruta de acceso remoto de proveedores y lectores de badge en el resto. La combinación depende del rol y del sitio, no de un estándar de empresa único.
Por qué los despliegues OT y on-premise cuestan más
Un puñado de restricciones rompe el modelo de coste estilo IT antes incluso de hablar de precios.
- Puestos compartidos: un único HMI lo usan diez o doce personas en tres turnos. La licencia por puesto asume un humano por puesto, lo cual no refleja la realidad de planta. O paga por sesiones concurrentes, o aprovisiona a cada operador individualmente asumiendo el sobrecoste de inicio de sesión.
- Sitios air-gapped: las notificaciones push del IdP cloud asumen que el dispositivo llega a internet. Muchos sitios OT no pueden. Las alternativas son un IdP on-premise, una caché local de credenciales o tokens hardware que no necesiten red. Cada opción tiene su propia estructura de coste.
- Requisitos de latencia: un viaje de ida y vuelta cloud de dos segundos en cada login es aceptable para finanzas y RR. HH. No lo es para un operador que responde a una alarma. La autenticación en planta debe resolverse localmente, lo que suele suponer otro nivel de licencia o infraestructura autoalojada.
- Guantes y badges: los operadores llevan guantes. Las pantallas táctiles, los lectores de huella y la mayoría de los dispositivos biométricos de consumo no funcionan a través de ellos. Los badges RFID combinados con un PIN separado siguen siendo la opción práctica más habitual.
- HMIs heredados: una parte importante de los HMIs en producción funciona con Windows 7, XP-embebido o una pila del fabricante congelada en un nivel de parche concreto. No pueden alojar un agente de autenticación moderno. La solución es típicamente un proxy: un jump host, un proxy inverso o controles de acceso a nivel de red delante del HMI. Es una línea de presupuesto aparte.
Costes indirectos y realidades operativas
Más allá de las cifras visibles de hardware y licencias, los despliegues OT incorporan costes indirectos que con frecuencia determinan si un proyecto cumple el presupuesto.
- Atrición de tokens: los tokens en planta se caen, se lavan o se dañan. Prevea 8 a 12 % de reemisión anual en sitios con mezcla interior y exterior.
- Fricción en relevos de turno: si la MFA ralentiza el relevo, los operadores la sortearán: sesión compartida, puerta calzada, post-it. O la UX absorbe la fricción con una reautenticación rápida, o la postura de seguridad la absorbe con accesos no registrados.
- Ciclo de vida PKI: las tarjetas inteligentes requieren emisión, revocación y renovación continuas de certificados. Prevea al menos un ETC dedicado para un parque medio, con ciclos de re-tarjeta cada dos o tres años.
- Iteración del piloto: el primer piloto en cualquier sitio nuevo destapa casos no anticipados: impresoras con cuentas de servicio exentas, portátiles de proveedor que no se inscriben, edificios sin cobertura. Prevea 15 a 25 % del coste del proyecto para iteración no planificada.
- Pico en helpdesk: prevea un pico de tickets de 3 a 5× en las primeras seis semanas del despliegue. El soporte infradimensionado es donde aparecen los rodeos no autorizados al MFA.
Marcos regulatorios y motores de cumplimiento
La MFA en OT ya no es una decisión puramente de seguridad. Cuatro marcos la convierten en una obligación contractual:
- NIST 800-171 §3.5.3 (replicado en CMMC nivel 2): MFA para cuentas privilegiadas y no privilegiadas, para accesos locales y de red, en sistemas que manejan Controlled Unclassified Information. Sin excepciones para la red de planta.
- Directiva NIS2 (sectores del Anexo I): expectativas explícitas de MFA para entidades esenciales e importantes, incluidas energía, agua, alimentación, transporte y fabricación de productos críticos. La transposición varía por Estado miembro, pero el suelo es consistente.
- NERC CIP-007 R5.7: MFA para acceso remoto interactivo a BES Cyber Systems de impacto Medio y Alto. Las brechas documentadas se sancionan ya con penalizaciones de siete cifras.
- IEC 62443-3-3 SR 1.1: identificación y autenticación de usuarios humanos, cada vez más citada en los cuestionarios de seguridad de clientes y en contratos próximos al DoD.
Si un sitio entra en el ámbito de cualquiera de los anteriores, la pregunta deja de ser si desplegar la MFA, y pasa a ser cómo desplegarla sin comprar herramientas que no encajan en la realidad operativa.
Cómo aborda Trout la MFA entre IT y OT
El cuadro de costes cambia cuando la MFA se aplica en la capa de red en lugar de en cada endpoint. Trout despliega un enclave alrededor del conjunto de sistemas a los que un operador necesita acceder, con la autenticación en la frontera del enclave en lugar de dentro de cada HMI, PLC o jump host.
En la práctica, un operador se acerca a cualquier puesto, se autentica una vez con MFA y selecciona en dos o tres clics las máquinas que usará durante el turno. Sus permisos se aplican a esas máquinas en la capa de red, y cada comando emitido durante esa sesión queda registrado a su identidad. Cuando la sesión termina, el enclave se libera.
El mismo modelo escala de IT a OT sin modificación, porque la aplicación no depende de lo que el endpoint pueda ejecutar. Esto elimina el principal motor de coste de los despliegues OT, los equipos heredados que no pueden hospedar un agente de autenticación, y lo sustituye por un único punto de control en la capa de red.
Presupuestar un despliegue de MFA en OT
Tres prácticas mejoran sistemáticamente los resultados presupuestarios:
- Pilotar una sola zona antes del despliegue completo. Un piloto de 30 días en una celda o en un clúster de HMIs sacará a la luz la mayoría de las sorpresas de coste por una semana de ingeniería. Los despliegues por sitio sin piloto son donde la iteración no planificada se multiplica.
- Estandarizar un único formato de token por rol. Mantener llaves FIDO2, tarjetas inteligentes y autenticadores móviles en paralelo para la misma población de operadores triplica la carga del helpdesk y la logística de reemisión.
- Asignar un tercio del presupuesto a operaciones. Hardware y licencias son visibles desde el inicio; el coste operativo es invisible hasta que arranca el despliegue. Un reparto razonable para un primer despliegue es 35 % hardware, 30 % licencias y software, 35 % operaciones y formación, ajustado tras el primer año con datos reales del helpdesk.
Trout consolida control de acceso, segmentación, aplicación de MFA y registro de auditoría en un único despliegue on-premise cuya propiedad recae íntegramente en el cliente. Añadir un sitio o un grupo de operadores es un cambio de configuración en la capa de red, no un despliegue por dispositivo; el coste operativo de escalar no crece con el tamaño del parque.
Conclusión
La MFA en entornos OT y on-premise cuesta más de lo que sugiere la página de precios cloud, pero está muy por debajo de la media de 4,45 millones de dólares de una brecha de datos y muy por debajo de las penalizaciones regulatorias actualmente vigentes bajo CMMC, NIS2 y NERC CIP. Un presupuesto defendible empieza por un piloto en una sola zona, una estrategia de token estandarizada por rol y una asignación honesta para el trabajo operativo que no aparece en ninguna lista de precios de ningún proveedor.
