Volver al blog
Operaciones

Respuesta a incidentes en entornos OT: por qué tu plan de IT no sirve aquí

Los planes de respuesta a incidentes diseñados para IT fallan en entornos industriales. La disponibilidad manda, los protocolos son otros y desconectar un PLC no es como apagar un portátil.

Roger
#OT#ICS#respuesta a incidentes#SCADA#IEC 62443#NIST

Respuesta a incidentes en entornos OT: por qué tu plan de IT no sirve aquí

Tu equipo de seguridad IT tiene un plan de respuesta a incidentes. Probablemente incluye aislar la máquina comprometida, tomar una imagen forense y restaurar desde backup. En un entorno corporativo, eso funciona. En una planta que procesa gas natural a 60 bar de presión, aislar el equipo equivocado puede provocar una parada de emergencia. O algo peor.

La diferencia no es técnica, es física

En IT, el peor escenario de un incidente suele ser la pérdida de datos o una interrupción del servicio. En OT, hablamos de daño a equipos que cuestan millones, vertidos ambientales o lesiones a personas. El ataque TRITON de 2017 contra una planta petroquímica en Arabia Saudí lo dejó claro: el malware iba dirigido contra los sistemas instrumentados de seguridad (SIS), los que evitan explosiones y fugas catastróficas. No contra los datos. Contra la física.

Cuando el activo comprometido controla un proceso físico, cada decisión de contención tiene consecuencias en el mundo real. No puedes "apagar y encender" un horno industrial que tarda 72 horas en alcanzar temperatura operativa.

Por qué los playbooks de IT no funcionan en OT

Los tiempos son incompatibles. Un SOC de IT puede tardar horas en triagear una alerta sin que pase nada grave. En OT, si un atacante modifica los setpoints de un controlador de presión, tienes minutos antes de que el proceso se desestabilice.

Las herramientas tampoco sirven. No puedes instalar un agente EDR en un PLC Siemens S7-1200 ni lanzar un escaneo de vulnerabilidades agresivo contra dispositivos que hablan Modbus TCP. Esos controladores no fueron diseñados para soportar tráfico inesperado. Un escaneo mal planificado puede tumbar un dispositivo en producción.

Y la cadena de mando es diferente. En IT, el CISO decide. En OT, el jefe de planta tiene la última palabra sobre cualquier acción que afecte a la producción. Si tu plan de respuesta no incluye a Operaciones en la mesa de decisiones, va a fracasar en el momento que más importa.

Qué necesita un plan de respuesta a incidentes OT

El marco NIST SP 800-82 y la serie IEC 62443 ofrecen guías específicas para entornos industriales. Pero un plan útil va más allá de cumplir con un estándar. Estos son los elementos que no pueden faltar:

  1. Inventario actualizado de activos OT. La mayoría de plantas no saben cuántos PLCs tienen ni qué firmware ejecutan. Sin este inventario, no puedes priorizar la contención.
  2. Clasificación de zonas y conductos según IEC 62443. Saber qué segmentos de red puedes aislar sin afectar la seguridad del proceso es información que necesitas antes del incidente, no durante.
  3. Procedimientos de contención por tipo de activo. Desconectar un switch en la zona de supervisión no es lo mismo que desconectar uno en la zona de control. Tu plan debe reflejar esa diferencia.
  4. Ejercicios conjuntos IT-OT. El equipo de IT necesita entender los procesos industriales. El equipo de OT necesita entender las amenazas ciber. Sin simulacros regulares que junten a ambos, la coordinación durante un incidente real será caótica.

El caso Colonial Pipeline

En mayo de 2021, el ransomware DarkSide comprometió los sistemas IT de Colonial Pipeline. La empresa decidió parar las operaciones OT de forma preventiva, aunque el malware no había llegado a los sistemas de control. El resultado: desabastecimiento de combustible en la costa este de Estados Unidos durante casi una semana. Sin visibilidad sobre la separación real entre IT y OT, una empresa puede verse obligada a parar todo por precaución. Y los costes son enormes.

La preparación es lo que cuenta

La diferencia entre un incidente que se contiene en horas y uno que paraliza la producción durante semanas se decide antes de que ocurra nada. Mapea tus activos. Segmenta tus redes. Define roles claros entre IT y OT. Practica con simulacros realistas. No es glamuroso, pero es lo que separa a las organizaciones que gestionan incidentes de las que salen en las noticias.

¿Necesitas evaluar tu capacidad de respuesta a incidentes industriales? Contacta con nuestro equipo para una revisión de tu postura de seguridad OT.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos