Volver al blog
Arquitectura de Seguridad

Zero Trust en OT: menos discurso, más control real sobre identidades, sesiones y rutas

Zero Trust en industrial no es copiar recetas de IT. Es verificar cada acceso con contexto operativo, cerrar confianza implícita y evitar que una credencial robada termine en un incidente de proceso.

Roger
#zero trust#OT security#ICS#arquitectura de seguridad#verificación continua

Si en 2026 sigues defendiendo una planta con el modelo “perímetro fuerte + confianza interna”, estás operando con una hipótesis falsa.

El perímetro ya no existe como frontera estable. Tenemos proveedores conectándose en remoto, integraciones IT/OT permanentes, analítica en cloud, mantenimiento asistido y activos legacy que no fueron diseñados para el nivel de exposición actual.

En ese contexto, Zero Trust no es moda. Es una corrección arquitectónica.

Pero en OT hay que decirlo claro: Zero Trust no es comprar un producto con etiqueta nueva. Es rediseñar cómo se concede, verifica y revoca el acceso en entornos donde un error puede costar producción, seguridad física y reputación.

Por qué OT necesita Zero Trust con urgencia

Las evidencias sobran:

  • Oldsmar (2021) dejó en evidencia lo que pasa cuando acceso remoto y control de sesión son débiles.
  • TRITON/TRISIS mostró un camino de ataque hacia sistemas de seguridad instrumentada (SIS), con implicaciones directas sobre seguridad de personas.
  • Stuxnet confirmó que comprometer ingeniería/control puede alterar proceso físico de forma deliberada.
  • Colonial Pipeline recordó que una intrusión inicialmente “IT” puede forzar decisiones operativas de alto impacto.

El punto común no es la técnica exacta del atacante. Es la confianza implícita y el exceso de movilidad una vez que alguien entra.

En OT, esa movilidad interna no es una incomodidad. Es un riesgo sistémico.

Zero Trust aplicado a industrial: definición operativa

Zero Trust en OT significa que ningún acceso se aprueba por estar “dentro de la red”. Se aprueba por evidencia actual.

Cada sesión crítica debe responder cinco preguntas:

  1. ¿Quién solicita acceso? (identidad fuerte, no cuenta compartida)
  2. ¿Desde qué activo? (postura mínima aceptable)
  3. ¿A qué recurso exacto? (mínimo privilegio)
  4. ¿En qué contexto operativo? (turno, estado de planta, ventana autorizada)
  5. ¿El comportamiento es esperado? (telemetría y detección de desvíos)

Si no puedes contestar estas cinco con datos verificables, no tienes Zero Trust. Tienes fe.

NIST SP 800-207 en OT: qué adaptar y qué mantener

NIST SP 800-207 define principios de Zero Trust que aplican en industrial, pero con adaptación:

  • El “policy decision point” no siempre vive en un stack moderno; a veces se reparte entre bastiones, firewalls industriales, PAM y control de acceso remoto.
  • Muchos activos OT no soportan agentes, así que la evaluación de postura depende más de red, salto controlado y segmentación.
  • Las decisiones de bloqueo deben considerar impacto de proceso; no puedes automatizar con lógica de oficina.

Lo que no cambia: verificar explícitamente, aplicar mínimo privilegio y asumir brecha.

Sin segmentación, Zero Trust en OT es marketing

Quiero ser directo: hablar de Zero Trust sin segmentación robusta es vender humo.

Base obligatoria:

  • Modelo de zonas y conduits (alineado con IEC 62443).
  • Frontera IT/OT con Industrial DMZ endurecida.
  • Separación entre ingeniería, operación y celdas de proceso.
  • Rutas mínimas, explícitas y auditables.

Si la red permite que una estación comprometida alcance media planta, ningún motor de políticas va a salvarte.

Pilar 1: Identidad fuerte y privilegio efímero

En muchas plantas todavía vemos:

  • cuentas genéricas de proveedor,
  • usuarios compartidos de ingeniería,
  • credenciales privilegiadas estáticas.

Eso invalida cualquier narrativa Zero Trust.

Controles mínimos:

  • MFA para todo acceso remoto y privilegiado.
  • Cuentas nominativas obligatorias para acciones críticas.
  • Elevación just-in-time con expiración automática.
  • Flujo de aprobación dual para accesos de terceros en ventanas sensibles.
  • Rotación y vaulting de secretos privilegiados.

Objetivo: que cada acción de alto impacto tenga identidad inequívoca y ventana acotada.

Pilar 2: Control de sesión, no solo autenticación

Autenticarse bien y luego dejar sesión abierta sin supervisión no sirve.

En OT, sesión privilegiada debe incluir:

  • salto por bastión controlado,
  • grabación de sesión,
  • comando/actividad auditada,
  • timeouts agresivos,
  • revocación inmediata ante anomalía.

Ejemplo práctico: proveedor que entra a modificar lógica de PLC fuera de ventana. El control no es “usuario y contraseña correctos”. El control es cortar sesión, registrar evento y escalar al runbook OT.

Pilar 3: Protocolos OT con política contextual

Aquí es donde muchos programas Zero Trust fracasan por diseño IT-céntrico.

Abrir un puerto no equivale a conceder un uso seguro del protocolo.

  • Modbus/TCP permite escrituras sin autenticación nativa.
  • Entornos S7comm legacy asumen red confiable.
  • Integraciones OT heterogéneas hacen difícil inferir intención sin contexto de proceso.

Qué funciona:

  • allowlists por par concreto,
  • control de dirección y rutas,
  • separación estricta de tráfico de ingeniería,
  • inspección/contención en conduits críticos,
  • migración progresiva a OPC UA bien configurado (certificados, cifrado, políticas).

Zero Trust real en OT significa acotar capacidad efectiva, no solo presencia en red.

Pilar 4: Telemetría y detección orientadas a proceso

Muchos activos OT no admiten agente. Por eso la observabilidad debe ser pasiva y de red.

Casos de uso que sí aportan valor:

  • Descarga de lógica PLC fuera de ventana aprobada.
  • Escritura a parámetros críticos desde estación no autorizada.
  • Nuevo flujo entre zonas que no existe en matriz aprobada.
  • Reutilización de credenciales privilegiadas desde origen inusual.

La señal útil en OT no es “anomalía genérica”. Es desvío con impacto potencial en proceso.

Pilar 5: Respuesta escalonada compatible con disponibilidad

El miedo a romper producción es legítimo. Por eso la respuesta Zero Trust en OT debe ser progresiva:

  1. step-up de autenticación o suspensión de sesión.
  2. Aislamiento del activo en segmento de cuarentena.
  3. Bloqueo de conduit específico si hay riesgo inminente.
  4. Decisión humana para acciones de alto impacto operacional.

Automatiza lo reversible y de bajo riesgo. Escala a humano donde puede haber consecuencias de proceso o seguridad.

Ruta de implementación de 12 meses

Meses 0-3: Fundaciones

  • Inventario vivo de activos y flujos.
  • Identificación de crown jewels.
  • Política de acceso remoto única con MFA obligatorio.
  • Eliminación progresiva de cuentas compartidas.

Meses 3-6: Frontera y privilegio

  • DMZ industrial con reglas mínimas.
  • Bastiones con trazabilidad de sesión.
  • Acceso privilegiado JIT para OT.
  • Segmentación inicial de ingeniería/operación/control.

Meses 6-9: Verificación continua

  • Telemetría OT pasiva integrada en SOC.
  • Casos de detección ligados a proceso.
  • Excepciones con expiración automática.
  • Ejercicios tabletop de pivot IT→OT.

Meses 9-12: Madurez

  • Microsegmentación adicional en celdas críticas.
  • Integración de playbooks OT/ciber para contención.
  • Cuadro de mando de efectividad para dirección.
  • Plan plurianual de modernización de legado.

No necesitas perfección en el primer año. Necesitas reducción medible de confianza implícita.

Métricas que prueban ejecución (no narrativa)

  • % de sesiones privilegiadas con MFA y grabación.
  • Número de cuentas compartidas activas en zonas críticas.
  • % de activos críticos bajo segmentos dedicados.
  • Tiempo medio de cierre de excepciones de acceso.
  • Intentos de movimiento lateral bloqueados en OT.
  • Tiempo de detección ante actividad anómala en ingeniería/control.

Sin estas métricas, no estás implementando Zero Trust: estás presentándolo.

Lo que hay que dejar de hacer ya

  1. Comprar “plataforma Zero Trust” sin modelo de acceso definido.
  2. Copiar controles IT sin adaptar a restricciones de proceso.
  3. Diseñar sin operaciones y mantenimiento en la mesa.
  4. Permitir excepciones indefinidas “porque producción”.
  5. Confundir actividad (tickets cerrados) con reducción real de riesgo.

Recomendaciones accionables para las próximas 4 semanas

  • Inventaria todos los accesos remotos de terceros y elimina los no justificados.
  • Obliga MFA y cuentas nominativas en cualquier salto privilegiado.
  • Define una lista corta de sistemas crown jewel y revisa quién puede llegar a ellos hoy.
  • Bloquea por defecto al menos un conduit IT/OT no esencial y mide impacto.
  • Establece política de expiración automática para excepciones nuevas.

Cinco acciones, alto impacto, baja discusión.

Cierre

En OT, Zero Trust no consiste en añadir fricción por principio. Consiste en quitar confianza no merecida antes de que la explote un atacante.

La pregunta no es si adoptar Zero Trust. La pregunta es cuánto tiempo quieres seguir confiando en accesos heredados que nadie puede defender técnicamente.

Empieza por segmentación, identidad fuerte, control de sesión y verificación continua con contexto de proceso. Ejecuta por fases, con operaciones dentro del diseño y métricas reales en la mesa.

Menos promesa. Más control efectivo. Eso es Zero Trust útil en industrial.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos