Volver al blog
Seguridad Industrial

Gestión de parches en entornos OT: por qué no puedes parchear como en IT

Aplicar parches en sistemas industriales no funciona como en IT. Los ciclos de vida de 15 años, la disponibilidad 24/7 y los protocolos legacy convierten el patching en uno de los problemas más difíciles de la ciberseguridad OT.

Roger
#OT#gestión de parches#ICS#IEC 62443#SCADA#vulnerabilidades

Gestión de parches en entornos OT

En IT, parchear es rutina. El equipo de seguridad publica un aviso, se prueba el parche en staging y se despliega en producción esa misma semana. En OT, esa lógica se rompe por completo. Un PLC que controla una línea de envasado lleva corriendo el mismo firmware desde 2012. El fabricante dejó de dar soporte hace tres años. Y la planta no puede parar para comprobar si un parche rompe algo.

Esto no es negligencia. Es la realidad de operar sistemas diseñados para durar 15 o 20 años en entornos donde una parada no planificada cuesta decenas de miles de euros por hora.

El problema de raíz

Los sistemas OT no se diseñaron pensando en actualizaciones frecuentes. Un DCS de una planta química puede ejecutar Windows XP Embedded porque esa fue la versión certificada por el fabricante cuando se instaló. Cambiar el sistema operativo implica recertificar toda la solución, un proceso que puede costar más que el propio equipo.

A esto se suma que muchos dispositivos industriales usan protocolos propietarios. Actualizar el firmware de un PLC Siemens S7-300 requiere herramientas específicas, acceso físico en muchos casos y una ventana de mantenimiento coordinada con operaciones. No es cuestión de lanzar un script de Ansible.

Según datos del ICS-CERT, el tiempo medio para parchear una vulnerabilidad en entornos OT supera los 120 días. En IT, ese mismo indicador ronda los 30.

NotPetya: la lección que nadie debería olvidar

En junio de 2017, el malware NotPetya se propagó explotando EternalBlue, una vulnerabilidad de SMBv1 en Windows para la que Microsoft había publicado parche dos meses antes. Las redes OT de Maersk, Merck, Mondelez y decenas de empresas industriales quedaron paralizadas. Maersk perdió unos 300 millones de dólares. Merck superó los 800 millones en pérdidas.

El parche existía. El problema fue que nadie lo aplicó en los sistemas industriales porque "esas máquinas no se tocan". NotPetya demostró que ignorar el patching en OT no reduce el riesgo, lo amplifica.

Qué dice la normativa

IEC 62443-2-3 dedica un documento completo a la gestión de parches en sistemas de automatización industrial. Su planteamiento es pragmático: reconoce que no siempre es posible parchear y define un proceso estructurado para decidir qué hacer en cada caso.

El flujo que propone:

  1. Monitorizar las vulnerabilidades publicadas por fabricantes y organismos como CISA/ICS-CERT
  2. Evaluar el impacto de cada vulnerabilidad sobre los activos específicos de la instalación
  3. Si existe parche del fabricante, probarlo en un entorno de réplica antes de aplicarlo en producción
  4. Si no existe parche o no puede aplicarse, implementar controles compensatorios: reglas de firewall, desactivación de servicios innecesarios, monitorización reforzada
  5. Documentar cada decisión y revisarla periódicamente

NERC CIP-007 obliga a las utilities eléctricas norteamericanas a evaluar parches de seguridad en un plazo máximo de 35 días desde su publicación. No obliga a instalarlos todos, pero sí a justificar documentalmente por qué no se aplica uno.

Controles compensatorios: cuando parchear no es opción

Muchas vulnerabilidades en entornos OT no se parchean nunca. El equipo tiene 15 años, el fabricante ya no existe, o el coste de la parada supera el riesgo residual. Los controles compensatorios son la alternativa:

  • Aislar el equipo vulnerable en su propio segmento de red con reglas de firewall restrictivas
  • Desactivar servicios y puertos que no sean necesarios para la operación
  • Implementar monitorización de anomalías en el tráfico de red hacia ese equipo
  • Restringir el acceso a personal autorizado con registro de sesión

Estos controles no eliminan la vulnerabilidad, pero reducen la superficie de ataque hasta un nivel gestionable.

Coordinación continua, no un proyecto puntual

La gestión de parches en OT requiere coordinación constante entre seguridad, operaciones y mantenimiento. Un inventario de activos actualizado, relación directa con los fabricantes y ventanas de mantenimiento acordadas con producción.

Las organizaciones que tratan el patching OT como algo que "ya haremos cuando toque" terminan aprendiendo la lección de la forma más cara.

¿Quieres evaluar tu proceso de gestión de parches en entornos industriales? Contacta con nosotros para una revisión sin compromiso.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos