La Industria 4.0 o el Internet Industrial de las Cosas (IIoT) ya no son frases “de moda”. Muchas industrias diferentes, incluidas las de manufactura, consumo y venta minorista, energía y Utilities, y telecomunicaciones, están siguiendo la tendencia IIoT. En particular, los fabricantes están adoptándola más rápido que muchos otros sectores, lo que muestra el tremendo impacto que el IIoT y la Industria 4.0 pueden tener en la manufactura.

No obstante, la ciberseguridad sigue siendo una preocupación importante para los gerentes antes de poder implementar sistemas IIoT o Industry 4.0.

Una de las razones principales es que la ciberseguridad no siempre es la máxima prioridad para los sistemas tradicionales de Tecnología Operativa (OT, del inglés “Operational Technology”). Como resultado, cuando los sistemas OT se conectan a Internet o se conectan a otros sistemas de TI, el sistema OT se convierte en un punto débil para ataques maliciosos o pérdida accidental de datos. Entonces, ¿por qué los ingenieros de OT pasan por alto con frecuencia la ciberseguridad? La respuesta se remonta a cuatro mitos comunes.

Mito 1: Mi red industrial está aislada físicamente y no está conectada a Internet, por lo que mi red es segura.
Esta declaración puede haber sido correcta hace diez años; sin embargo, hoy en día, muchos dispositivos IIoT ya están conectados directamente a Internet, evitando las capas de seguridad de TI tradicionales. Una pregunta que nos hacen a menudo es: “¿Por qué tantos dispositivos IIoT necesitan conectarse a Internet en primer lugar?”. La razón principal es porque los sistemas IIoT o Industria 4.0 necesitan recopilar grandes cantidades de datos para su posterior análisis. Dado que las fuentes de datos pueden no estar en las mismas ubicaciones, es necesario enviar los datos a un servidor remoto, haciendo necesario conectar sus sistemas a Internet.

Incluso si sus sistemas de control industrial (o ICS, del inglés “Industrial Control System”) o sus redes industriales no están conectados a Internet, aún pueden ser vulnerables a conexiones no autorizadas. Por ejemplo, un proveedor externo o un ingeniero de automatización puede actualizar los sistemas conectando computadoras portátiles o unidades USB no autorizadas para realizar tareas de mantenimiento o resolución de problemas, lo que abre el sistema ICS a un acceso inseguro y, en última instancia, hace que los dispositivos ICS sean más vulnerables.

Mito 2: Los hackers informáticos no entienden los sistemas ICS, PLC y SCADA, por lo que mi red es segura.
Como se observa en la Figura 1, desde 2010, en realidad ha habido varios ataques cibernéticos sofisticados que se dirigieron a redes ICS, como Stuxnet (destinado a PLCs) e Industroyer (destinado a interruptores de circuito). También ha habido malware diseñado para apuntar a dispositivos de control industrial. Esta tendencia indica que los hackers informáticos están cambiando su enfoque para apuntar a sectores industriales, como el petróleo y el gas, la energía y la manufactura, lo que sugiere que es probable que los ataques a los sectores industriales aumenten en el futuro.


Mito 3: Mi red es demasiado pequeña para ser objetivo, por lo que mi red es segura.
Las infracciones internas habitualmente provienen de usuarios de confianza, empleados y contratistas externos que tienen acceso autorizado a una red. Muchas veces, la violación no intencional se debe a un error humano o un dispositivo que funciona mal, lo que no es relevante para el tamaño de su empresa. Aunque estos ataques no son intencionales, aún pueden causar daños sustanciales y pérdidas financieras a su negocio.


Mito 4: Ya tengo un firewall para proteger mi red industrial, por lo que mi red es segura.
Los firewalls pueden proporcionar el primer nivel de protección, pero no son 100% efectivos. Además, la mayoría de los firewalls no están diseñados para protocolos industriales (por ejemplo, Modbus TCP, EtherNet/IP y PROFINET), por lo que, sin una configuración adecuada, el firewall puede bloquear los protocolos industriales necesarios e interferir con los sistemas de control industrial. En pocas palabras, la implementación de firewalls no puede garantizar una protección completa para las redes ICS.

En cambio, como se ve en la Figura 2, los firewalls industriales deben utilizarse con defensas en capas (el enfoque de “defensa en profundidad”) para proteger dispositivos de control críticos, líneas de producción y toda la fábrica. Además, los dispositivos industriales deben actualizarse con frecuencia con parches de seguridad para protegerse contra ataques cibernéticos.

Las diferencias entre redes industriales y redes de TI

Las redes industriales y las de TI tienen diferentes prioridades comerciales, áreas de enfoque, objetivos de protección, e incluso condiciones ambientales. Sus diferentes prioridades también son decididas por diferentes gerentes dentro de la misma organización. Del lado de TI, los analistas de negocios, los CIO y los arquitectos de TI son los principales responsables de la toma de decisiones que planifican y administran la red de TI y la ciberseguridad; desde su punto de vista, la confidencialidad es la máxima prioridad. En cambio, desde el lado OT, los gerentes de planta, los COO y los ingenieros de control son los principales tomadores de decisiones; y desde su punto de vista, la producción o la disponibilidad del sistema es la preocupación clave. Por lo tanto, para que la integración TI-OT tenga éxito, es importante comprender las diferentes prioridades y necesidades comerciales de los sistemas de control industrial y de TI. La figura 3 describe estas diferencias con mayor detalle.

Si no se abordan adecuadamente, las diferentes prioridades de las redes de TI y OT pueden incluso interferir entre sí. Por ejemplo, los sistemas de control industrial (es decir, las redes OT) se ocupan principalmente de minimizar el tiempo de inactividad del sistema, porque cualquier tiempo de inactividad puede causar pérdidas significativas en la producción. Sin embargo, las mejores prácticas comunes para las redes de TI incluyen parches de seguridad constantes y actualizaciones del sistema para mitigar el riesgo de violaciones de seguridad y pérdida de datos. No obstante, estas constantes actualizaciones pueden ser indeseables para las plataformas ICS, porque interrumpen las operaciones del sistema en tiempo real y requieren un tiempo de inactividad.

En el pasado, las redes ICS estaban físicamente aisladas y casi inmunes a los ataques cibernéticos, por lo que la mayoría de los dispositivos industriales heredados no tenían amplias características de seguridad. Por ejemplo, pudiese que no se hayan cambiado las contraseñas predeterminadas en un PLC o HMI, lo que significa que son vulnerables a los ataques cibernéticos. Las redes de TI, por otro lado, ya tienen características de seguridad muy maduras, como la gestión de cuentas y los mecanismos de autorización. En ese sentido, es difícil aplicar las características de seguridad de TI a los dispositivos OT heredados, porque estos últimos no fueron diseñados originalmente para manejar dichas características.

Finalmente, los dispositivos industriales rara vez operan en entornos con clima controlado. Es más frecuente que los dispositivos incluso funcionen en entornos hostiles con temperaturas extremas, fuertes golpes, vibraciones y alta interferencia de ruido eléctrico. El equipo de TI empresarial no está diseñado para operar en estas condiciones ambientales durante un largo período de tiempo (24/7 durante varios años), lo que puede afectar la confiabilidad del sistema y aumentar el costo total de propiedad.