Durante años he tenido la oportunidad de trabajar codo a codo con equipos de OT, IT y ciberseguridad en entornos industriales de todos los tamaños; desde plantas de producción hasta sistemas de agua o transporte crítico. Y hay algo que se repite más de lo que nos gustaría admitir: cuando ocurre una brecha de seguridad, lo primero que se mira es el firewall. El perímetro. El antivirus.
Pero muchas veces, la entrada no está ahí. Está en una conexión de mantenimiento que nadie cerró. En una VPN de un proveedor que ya no colabora. En una cuenta compartida con más privilegios de los que necesita. En definitiva: en una confianza mal gestionada hacia un tercero.
Y por eso escribo esto. No para señalar con el dedo, sino para compartir lo que estamos viendo desde dentro. Para que empecemos a hablar más claro sobre un riesgo que no siempre aparece en los informes de gestión: el riesgo de delegar acceso sin gobernarlo bien.
El modelo de confianza heredado ha caducado
No hace falta un ataque sofisticado. Basta con que alguien obtenga acceso a un proveedor con conexión legítima a tu entorno. Ese acceso se convierte en una puerta de entrada, muchas veces sin detección, sin restricciones y sin trazabilidad.
¿El motivo? En OT, históricamente se ha confiado en los proveedores como parte de la operación. Y está bien, porque son esenciales. Pero el problema aparece cuando esa confianza no va acompañada de controles claros: ¿Quién puede entrar, cuándo y para qué? ¿Qué privilegios tiene? ¿Se revoca ese acceso cuando ya no hace falta?
Lo que vemos es que muchos accesos se quedan activos «por si acaso». Cuentas que se usan puntualmente y que luego se olvidan. Equipos que siguen autenticándose sin que nadie lo note. Y todo eso ocurre mientras creemos que estamos protegidos porque «el firewall está bien configurado».
El perímetro ya no está donde creíamos
Durante mucho tiempo, la estrategia se centró en reforzar el perímetro. Separar redes IT de OT, segmentar, monitorizar tráfico. Todo eso sigue siendo importante, pero ya no es suficiente.
Porque el perímetro ahora es más difuso. Ya no es solo lo que está dentro de la planta. También incluye a cada actor externo que tiene alguna puerta de entrada: técnicos de mantenimiento remoto, proveedores de sistemas SCADA, subcontratas para tareas puntuales o partners que acceden a tus activos industriales desde fuera.
Cada uno de ellos extiende tu perímetro. Y si ellos no aplican las mismas medidas de seguridad que tú, el riesgo entra por ahí. De hecho, según datos de IBM X-Force, casi el 20 por ciento de las brechas en entornos industriales involucran accesos de terceros.
La ciberseguridad en entornos OT necesita hábitos, políticas y cultura
Qué puede hacerse desde una perspectiva técnica y operativa
Las siguientes prácticas, alineadas con normativas como la IEC 62443 o la Directiva NIS2, pueden reducir significativamente la exposición sin entorpecer la operación:
- Accesos con tiempo definido. Todo acceso de terceros debería tener una duración limitada y definida. No basta con crear cuentas para proveedores y luego olvidarlas. Cada intervención debe tener un principio y un fin. Al terminar, el acceso debe cerrarse automáticamente.
- Principio de mínimo privilegio. Dar acceso solo a lo que realmente se necesita. Si un técnico necesita conectarse a un PLC, no debería tener acceso completo a la red de control o a otros sistemas. Cuanto más limitado sea el alcance, menor es el riesgo.
- Trazabilidad individual. Cada usuario −incluso los externos− debe tener una identidad única. Nada de cuentas genéricas como «tecnico123» o «soporteOT». Esto permite saber exactamente quién hizo qué, en qué momento y con qué permisos. En caso de incidente, la trazabilidad es clave para entender lo ocurrido.
- Supervisión activa de accesos remotos. No basta con permitir accesos remotos seguros. Es importante que cada conexión se realice a través de mecanismos que permitan verificar, registrar y, si es necesario, revisar posteriormente la actividad realizada. Enfoques como el Universal Tunneling pueden ayudar a garantizar que las rutas de acceso no solo estén protegidas, sino que también sean invisibles para usuarios no autorizados, reduciendo la superficie de ataque y manteniendo la eficiencia operativa.
- Segmentación de redes OT. Aun si un tercero logra comprometer un punto de acceso, una red OT correctamente segmentada impide que se desplace lateralmente hacia otros sistemas críticos. Es una forma de contener posibles incidentes.
Si no sabes quién accede a qué, quizá el ‘firewall’ no sea lo único que necesite atención
Una responsabilidad compartida
En la mayoría de incidentes relacionados con terceros, no hay un único responsable. Ni el proveedor es culpable por tener acceso, ni la organización por confiar en él. El problema suele estar en la falta de mecanismos claros de gobierno.
Establecer controles de acceso, identificar puntos ciegos y definir políticas operativas no es una tarea exclusiva del área de ciberseguridad. Requiere coordinación entre operaciones, mantenimiento, IT y cada actor externo que participa en la cadena de valor industrial.
Reflexión final
Las plantas industriales actuales son entornos altamente interconectados. Cada proveedor que se conecta para ayudar a operar o mantener esos entornos es, también, un punto de posible entrada para un atacante. Esto no es un argumento contra la colaboración externa. Es una invitación a gestionarla mejor.
No basta con tener tecnología instalada. La ciberseguridad en entornos OT necesita hábitos, políticas y cultura. Normativas como la IEC 62443 ya definen requisitos claros para la gestión segura de proveedores y accesos remotos. Y directivas como la NIS2 imponen a las organizaciones industriales responsabilidades legales en esta materia.
La próxima vez que revises tu infraestructura, pregúntate: ¿sabes exactamente quién puede acceder a qué en tu entorno OT? ¿Y por cuánto tiempo? Si no sabes quién accede a qué, quizá el firewall no sea lo único que necesite atención.





