Volver al blog
Seguridad Industrial

Acceso remoto seguro en entornos OT: riesgos reales y controles que funcionan

El acceso remoto a redes industriales se ha multiplicado, pero la mayoría de implementaciones ignoran los riesgos específicos de OT. Analizamos los vectores de ataque y los controles que realmente protegen.

Roger
#OT#acceso remoto#VPN#IEC 62443#jump server#SCADA

Acceso remoto seguro en entornos OT

La pandemia aceleró algo que ya venía creciendo: técnicos conectándose a PLCs desde casa, proveedores accediendo a SCADA desde otro país, ingenieros modificando lógica de control sin pisar la planta. El acceso remoto a redes OT pasó de ser una excepción controlada a una práctica habitual. El problema es que la mayoría de implementaciones se diseñaron con prisas y con mentalidad IT, ignorando las particularidades de los entornos industriales.

El riesgo no es teórico

En 2021, un atacante accedió al sistema SCADA de la planta de tratamiento de agua de Oldsmar, Florida, a través de TeamViewer. Intentó multiplicar por cien la concentración de hidróxido de sodio en el agua potable. El acceso remoto estaba configurado sin autenticación multifactor, con una contraseña compartida entre todos los operadores y sin segmentación entre la red corporativa y la red de control.

No fue un ataque sofisticado. Fue una puerta abierta.

Casos similares se repiten en el sector energético, farmacéutico y manufacturero. Los informes de CISA y del ICS-CERT documentan cientos de incidentes anuales donde el vector de entrada es una conexión remota mal configurada: credenciales por defecto, VPNs sin restricción de destino, sesiones que permanecen activas durante semanas.

Por qué las VPN genéricas no bastan

La respuesta típica de IT ante la necesidad de acceso remoto es desplegar una VPN. En entornos corporativos esto funciona razonablemente bien. En OT, una VPN sin controles adicionales crea un túnel directo desde internet hasta la red de control, que es lo que cualquier atacante querría.

Una VPN no limita qué dispositivos puede alcanzar el usuario una vez dentro. No restringe qué protocolos puede utilizar. No registra las acciones realizadas sobre los equipos industriales. Y si las credenciales se comprometen, el atacante hereda los mismos privilegios que el técnico legítimo.

IEC 62443-3-3 es explícito en este punto: el acceso remoto debe pasar por un punto de control intermedio que aplique autenticación, autorización granular y registro de sesión. La VPN es solo el transporte, no la solución completa.

Arquitectura de acceso remoto: jump servers y zonas DMZ

El patrón más sólido para acceso remoto OT combina varios elementos:

  1. Jump server (bastion host) en la DMZ industrial: toda conexión remota termina aquí, nunca directamente en la red de control. El usuario se autentica, abre su sesión de trabajo y accede solo a los equipos autorizados.

  2. Autenticación multifactor obligatoria: algo que el usuario sabe (contraseña) más algo que tiene (token o app de autenticación). Sin excepciones, incluidos proveedores externos.

  3. Grabación de sesión completa: cada comando enviado a un PLC, cada pantalla de HMI visualizada, cada cambio de configuración queda registrado. Cuando llega un incidente, esto permite reconstruir qué pasó exactamente.

  4. Ventanas temporales de acceso: las conexiones se autorizan por tiempo limitado. Un proveedor que necesita mantener un variador de frecuencia obtiene acceso durante la ventana acordada, no un usuario permanente.

  5. Segmentación por activo: el acceso remoto no da carta blanca sobre toda la red OT. Cada sesión se limita al equipo o segmento específico que requiere intervención.

El factor humano: proveedores y terceros

Los fabricantes de maquinaria industrial suelen exigir acceso remoto para soporte y mantenimiento. Esto genera puntos ciegos si no se gestiona correctamente. Cada proveedor debería tener credenciales únicas, acceso limitado a sus equipos y sesiones auditadas. La práctica de compartir una cuenta genérica de VPN con el logo del fabricante sigue siendo habitual y es inaceptable desde cualquier perspectiva de seguridad.

NERC CIP-005-7, aplicable al sector eléctrico en Norteamérica, exige controles específicos para el acceso remoto interactivo: cifrado, MFA y capacidad de detectar y desactivar sesiones no autorizadas. Aunque tu organización no esté sujeta a NERC CIP, estos requisitos son una referencia útil para cualquier sector industrial.

Verificar antes de confiar

Antes de asumir que tu acceso remoto es seguro, hazte tres preguntas: ¿puedes identificar ahora mismo todas las conexiones remotas activas en tu red OT? ¿Sabes qué puede hacer cada usuario remoto una vez conectado? ¿Tienes grabaciones de las últimas sesiones de mantenimiento remoto?

Si la respuesta a alguna es no, tienes trabajo pendiente.

¿Necesitas revisar la seguridad de tu acceso remoto industrial? Contacta con nosotros para una evaluación sin compromiso.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos