Asesoría Agenda una llamada de descubrimiento técnico hoy mismo »

· Ciberseguridad  · 3 min de lectura

Lista de Verificación de Ciberseguridad OT: Implementando el Modelo Purdue

Proteger una planta no es instalar un antivirus. Es segmentación, visibilidad y disciplina. Checklist práctica para asegurar redes industriales (ISA/IEC 62443).

Proteger una planta no es instalar un antivirus. Es segmentación, visibilidad y disciplina. Checklist práctica para asegurar redes industriales (ISA/IEC 62443).

En el mundo de IT, si te entra un virus, formateas y restauras backup. En OT, si te entra un ransomware, la planta física se detiene, se rompen máquinas o (peor) se lastima gente.

La seguridad por oscuridad (“nadie sabe que este PLC está acá”) ya no existe. Shodan.io encuentra tu HMI expuesto en 5 segundos.

Esta es la lista de verificación que uso para auditar y endurecer redes industriales, basada en el Modelo Purdue y la norma IEC 62443.

1. Segmentación: Divide y Vencerás (Modelo Purdue)

Si conectas el PLC a la misma red que la cafetera de la oficina, buscate otro trabajo. La red plana es el pecado capital.

  • Nivel 4 (Enterprise): ERP, Correo, Acceso a Internet.
  • DMZ Industrial (Nivel 3.5): Aquí viven los servidores de salto (Jump Servers), Historian Replicado y WSUS. Nadie pasa de Nivel 4 a Nivel 3 sin pasar por la DMZ.
  • Nivel 3 (Operaciones): SCADA Central, HMI de Sala de Control. Sin acceso a Internet directo.
  • Nivel 2 (Control): HMIs locales, Estaciones de Ingeniería.
  • Nivel 1 (Dispositivos): PLCs, VFDs, I/O Remoto.
  • Nivel 0 (Físico): Motores, Sensores.

Acción Inmediata: Instala un Firewall Industrial (Fortinet, Palo Alto, Cisco ISA) entre Nivel 3 y Nivel 4. Bloquea TODO por defecto.

2. Visibilidad: No puedes proteger lo que no ves

La mayoría de los jefes de planta no saben qué IPs están conectadas.

  • Inventario de Activos Pasivo: Usa herramientas como Claroty, Nozomi o Microsoft Defender for IoT. Escuchan el tráfico (port mirror) y te dicen: “Tenés un PLC Siemens S7-300 firmware v2.6 en la IP 10.10.5.20”.
  • Análisis de Tráfico: Si tu PLC de repente empieza a hablar con una IP de Rusia a las 3 AM, tenés un problema.

3. Checklist de “Hardening” (Endurecimiento)

Para cada dispositivo, aplica la regla de “Mínimo Privilegio”.

  1. Cambia las contraseñas por defecto: admin/admin o 1001 son la puerta de entrada.
  2. Desactiva servicios inútiles: ¿Tu PLC necesita servidor web HTTP? ¿Necesita FTP? Si no lo usas, apagalo. Reduce la superficie de ataque.
  3. Gestión de USB: Bloquea físicamente o por software los puertos USB de las PCs de ingeniería. El pendrive del técnico es el vector de ataque #1 (Stuxnet, ¿te suena?).
  4. Firmware: Mantené los PLCs actualizados, pero testeá las actualizaciones en laboratorio primero.

4. Acceso Remoto Seguro

Los proveedores siempre piden VPN para dar soporte.

  • MAL: VPN directa a la red de planta (Nivel 2).
  • BIEN: VPN a la DMZ, con MFA (Autenticación de Dos Factores). Desde ahí, RDP a un Jump Server, y desde el Jump Server, acceso controlado al PLC. Se graba la sesión y se audita.

Conclusión

La ciberseguridad industrial no es un producto que compras, es un proceso. Empieza por segmentar tu red. Un firewall bien configurado vale más que cien antivirus.

Share:
Volver al blog

Related Posts

View All Posts »