Volver al blog
Resiliencia OT

Backups y recuperación en entornos OT: el problema no es copiar, es poder volver

En OT, una copia de seguridad solo vale si permite reconstruir estaciones de ingeniería, HMI, historiadores y configuraciones críticas sin improvisar en plena crisis.

Roger
#OT#backups#recuperación#SCADA#IEC 62443#ransomware

Backups y recuperación en entornos OT: el problema no es copiar, es poder volver

En ciberseguridad industrial se habla mucho de prevenir. Segmentación, acceso remoto, hardening, detección. Todo eso importa. Pero el día malo llega igual en algunas plantas, y ahí la pregunta de verdad no es si tienes copias. Es si puedes volver a operar sin inventarte el plan sobre la marcha.

En IT, recuperar suele significar restaurar servidores, volver a unir equipos al dominio y levantar servicios de negocio. En OT, recuperar implica algo bastante más delicado: reconstruir estaciones de ingeniería, HMIs, historiadores, servidores SCADA, recetas de proceso, configuraciones de red industrial, backups de PLC y, en algunos casos, activos antiguos que dependen de software ya descatalogado. Si falla una sola pieza, la planta puede quedarse parada aunque el resto del entorno "haya vuelto".

Por qué muchas copias no sirven cuando llega el incidente

Aquí se comete un error clásico. Se asume que porque existe un backup nightly ya está el problema resuelto. No. En muchas instalaciones el backup cubre ficheros y máquinas virtuales, pero deja fuera elementos que deciden la recuperación real: versiones exactas del software de ingeniería, drivers de comunicación, licencias, proyectos validados en PLC, configuraciones de switches industriales, reglas de firewall, dependencias con historiadores o credenciales de servicio que nadie documentó bien.

También es común encontrar copias mezcladas con el entorno corporativo, sin separación suficiente, accesibles con las mismas credenciales que un atacante podría robar. Si un ransomware alcanza el dominio y las cabinas, el backup deja de ser red de seguridad y se convierte en otra víctima. Norsk Hydro enseñó de forma brutal lo caro que sale eso, incluso en organizaciones con capacidad técnica seria.

Lo que hay que poder restaurar de verdad

Una estrategia útil en OT empieza por aceptar que no todos los activos pesan igual. Hay sistemas cuyo fallo es molesto y otros cuyo fallo bloquea producción, compromete calidad o deja ciego al equipo de operaciones.

Como mínimo, conviene tener cubierto esto:

  1. Imágenes completas de estaciones de ingeniería y servidores HMI, con versión de sistema, software del fabricante, drivers y licencias documentadas.
  2. Backups de lógica, proyectos y configuraciones de PLC, RTU, DCS y SIS, con control de versión y validación de que coinciden con lo desplegado en campo.
  3. Configuración de red industrial, incluidos firewalls, switches, jump servers, VPN y listas de acceso.
  4. Historiadores, alarmas, recetas, tendencias y datos operativos cuya pérdida afecta a calidad, trazabilidad o cumplimiento.
  5. Procedimientos claros para reconstrucción, no solo repositorios de archivos.

La quinta suele ser la gran olvidada. Guardar no es lo mismo que saber restaurar.

IEC 62443, NIS2 y la parte incómoda de la resiliencia

IEC 62443 lleva tiempo empujando hacia una visión más seria del ciclo de vida. No basta con proteger el activo mientras funciona. Hay que asegurar que puede mantenerse, recuperarse y volver a un estado confiable. NIS2 mete presión adicional porque ya no vale contestar "tenemos copias" en una auditoría. Hay que demostrar gestión de riesgos, continuidad y capacidad de respuesta.

Eso obliga a bajar a detalles nada glamourosos: tiempos reales de recuperación, dependencias entre activos, control de cambios, repositorios offline, pruebas de restauración y separación entre backup de IT y backup de OT cuando el riesgo lo pide. Es menos vistoso que un dashboard nuevo, pero bastante más útil cuando la planta está parada.

La prueba que casi nadie hace y debería hacer ya

La forma más rápida de descubrir si el plan vale algo es un ejercicio simple. Elige una estación de ingeniería crítica o un servidor HMI. Supón que mañana queda inutilizable por ransomware o corrupción de disco. ¿Cuánto tardas en reconstruirlo? ¿De dónde sacas la imagen? ¿Quién tiene la licencia? ¿Qué versión exacta del proyecto hay que cargar? ¿Cómo compruebas que coincide con la aprobada? ¿Y quién firma que puede volver a producción?

Si esas respuestas viven en la cabeza de dos personas, no tienes resiliencia. Tienes suerte.

Una estrategia decente de backup y recovery en OT no promete magia. Promete algo mucho más útil: que cuando todo se tuerza, el equipo no tenga que improvisar con una planta esperando.

¿Quieres revisar si tus copias OT servirían de verdad en una recuperación real? Contacta con nosotros y lo vemos con criterio técnico.

¿Hablamos sobre tu seguridad industrial?

Evaluación inicial gratuita, sin compromiso.

Contactar
Ver todos los artículos