68%
de plantas industriales sufrió un incidente de seguridad en 2024
$4.5M
costo promedio de un paro por ransomware en manufactura
IEC 62443
estándar internacional de referencia para seguridad OT
1
Inventario y Gestión de Activos OT
Conocer qué tienes es el primer paso para protegerlo
Inventario completo de activosPLCs, HMIs, variadores, cámaras, sensores con IP, switches industriales — todo documentado con versión de firmware
CRÍTICODiagrama de red OT actualizadoTopología visible: qué equipos están en qué segmento y cómo se comunican entre sí y con la red IT
CRÍTICOClasificación por criticidadCada activo marcado como crítico / importante / soporte según su impacto en producción si falla o es comprometido
ALTORegistro de versiones de firmware/softwareVersiones documentadas para saber cuándo hay parches disponibles del fabricante (Siemens PSIRT, Rockwell, etc.)
ALTO2
Segmentación de Red y Zonas de Seguridad
IEC 62443-3-3 — Separar OT de IT es la defensa más efectiva
Red OT separada físicamente o por VLAN de la red ITProducción en un segmento propio; oficinas en otro. Sin comunicación directa sin control
CRÍTICOZona DMZ entre OT e ITSi hay intercambio de datos entre sistemas, existe una DMZ con servidor intermediario (no conexión directa PLC↔ERP)
CRÍTICOFirewall industrial en el perímetro OTFirewall configurado con reglas estrictas — solo puertos y protocolos necesarios (OPC-UA, Modbus, Profinet) permitidos
CRÍTICOAcceso remoto solo por VPN con MFAEl acceso remoto de mantenimiento usa VPN dedicada con autenticación de dos factores — nunca RDP expuesto a internet
CRÍTICOPuertos USB bloqueados en HMIs y PCs de plantaLos dispositivos USB son vector de infección #1 en OT. Puertos físicamente bloqueados o deshabilitados por política
ALTO3
Gestión de Accesos y Contraseñas
El 80% de incidentes OT usa credenciales por defecto o robadas
Credenciales por defecto cambiadas en TODOS los equipos"admin/admin", "1234", "password" — verificar PLCs, HMIs, switches, cámaras IP y routers industriales
CRÍTICOCuentas individuales por usuario (no cuentas compartidas)Cada técnico, operador e integrador con su propia cuenta. Cuentas genéricas compartidas son imposibles de auditar
ALTOPrincipio de mínimo privilegioLos operadores solo pueden operar. Los ingenieros solo programan lo que necesitan. Nadie tiene acceso de administrador sin justificación
ALTOProceso para revocar accesos de ex-empleados/proveedoresChecklist documentado: cuando alguien sale, sus credenciales se eliminan el mismo día en todos los sistemas OT
ALTO4
Parches y Actualizaciones
Las vulnerabilidades sin parchear son la puerta de entrada
Proceso formal de gestión de parches OTNo se parchea automáticamente en producción. Hay un proceso: prueba en ambiente aislado → ventana de mantenimiento → aplicación controlada
ALTOSuscripción a boletines de seguridad del fabricanteAlertas de Siemens PSIRT, Rockwell Security, Schneider CPCERT — sabes cuándo hay vulnerabilidades críticas en tus equipos
ALTOEquipos legacy documentados y compensadosLos equipos que no pueden parchearse (Windows XP en HMIs, PLCs viejos) tienen controles compensatorios: aislamiento de red, monitoreo adicional
MEDIO5
Monitoreo y Detección de Intrusiones
Detectar un ataque a tiempo puede salvar la producción
Logs de eventos de red y sistemas OT habilitadosLos PLCs, switches y firewalls registran eventos de acceso, cambios de configuración y anomalías de tráfico
ALTOMonitoreo de tráfico en la red OTHerramienta pasiva (Claroty, Dragos, o similar) que detecta dispositivos nuevos y comunicaciones inusuales en la red industrial
ALTOAlertas ante cambios no autorizados en PLCsSi alguien modifica el programa de un PLC fuera de una ventana de mantenimiento autorizada, se genera una alerta inmediata
CRÍTICORevisión periódica de logsAlguien revisa los registros de eventos al menos semanalmente — o existe un SIEM que correlaciona eventos automáticamente
MEDIO6
Backup y Recuperación
Un ransomware sin backup puede parar la planta semanas
Respaldo de programas de todos los PLCs y HMIsCopia del programa ladder/structured text de cada controlador en un repositorio seguro y actualizado — no solo en el laptop del integrador
CRÍTICOBackup de configuraciones de red (switches, firewalls)Si un switch industrial falla o es comprometido, puedes restaurar su configuración en minutos, no en días
ALTOPlan de recuperación ante incidentes documentadoProcedimiento escrito: quién llama a quién, qué sistemas aislar primero, cómo restaurar producción mínima viable
ALTOPrueba de restauración realizada al menos 1 vez/añoLos backups que nunca se prueban no son backups — hacer drill anual de recuperación ante incidente
MEDIO7
Gestión de Proveedores y Terceros
Los integradores externos son el vector de riesgo más subestimado
Proceso de acceso controlado para integradores/proveedoresLos técnicos externos se registran, se les da acceso temporal y supervisado — nunca acceso permanente sin control
CRÍTICOLaptops de proveedores escaneadas antes de conectarO bien se provee una laptop de planta para el trabajo de mantenimiento — no conectar equipos desconocidos a la red OT
ALTOCláusulas de seguridad en contratos con integradoresLos contratos especifican que el proveedor debe seguir las políticas de seguridad OT de la planta
MEDIO8
Capacitación y Cultura de Seguridad
El eslabón más débil es siempre el humano
Personal de planta capacitado en phishing y USB dropsOperadores y técnicos saben qué hacer si reciben un email sospechoso o encuentran una USB en el piso de planta
ALTOPolítica de "no conectar dispositivos personales"Política documentada y firmada: no cargar el celular en puertos USB de HMIs, no conectar equipos personales a la red OT
ALTOSimulacro de incidente de seguridad anualEl equipo practica la respuesta a un escenario de ataque — sin este ejercicio, el plan de respuesta es solo papel
MEDIO📊 ¿Cómo interpretar tu resultado?
0–11 ✓
Exposición crítica
Tu planta es vulnerable a ataques básicos. Se requiere auditoría inmediata y plan de remediación urgente.
12–22 ✓
Nivel base
Controles básicos implementados, pero existen brechas significativas que un atacante puede explotar.
23–32 ✓
Nivel maduro
Buenas prácticas implementadas. El siguiente paso es auditoría formal IEC 62443 y monitoreo continuo.
¿Tu resultado fue menor a 22 puntos?
El equipo de KALB-TECH puede realizar una auditoría de ciberseguridad OT en tu planta y entregarte un plan de remediación priorizado basado en IEC 62443. Sin jerga — solo acciones concretas para proteger tu producción.