La reciente guía de CISA, "Adaptando los principios de Zero Trust a la Tecnología Operacional", publicada ayer, marca un cambio decisivo en la forma en que defendemos los Sistemas de Control Industrial (ICS) frente a ataques emergentes. Con el aumento de los riesgos para los sistemas clave, la falta de visibilidad profunda del comportamiento de los activos, la presencia de vulnerabilidades sin parchar, las amenazas internas y los retos de cumplimiento, la lista de pendientes de los CISOs crece cada día.      

La guía más reciente de CISA apoya a los propietarios y operadores de OT para abordar los desafíos únicos de transitar hacia una verdadera arquitectura Zero Trust, tomando en cuenta las brechas tecnológicas asociadas con infraestructura heredada, las restricciones funcionales y operativas, y los requisitos de seguridad. Se enfoca en establecer visibilidad integral de los activos, abordar de forma proactiva los riesgos de la cadena de suministro e implementar una gestión sólida de identidades y accesos. La guía enfatiza la importancia de establecer medidas de seguridad en capas, incluyendo segmentación de red, protocolos de comunicación seguros y gestión proactiva de vulnerabilidades.

En el blog de hoy, he hecho un intento por sintetizar esta guía esencial en un recurso definitivo para los equipos de liderazgo e ingeniería.

Antes de seguir, no olvides revisar nuestra última entrada del blog sobre Gestión de Accesos Privilegiados en entornos OT aquí.

Un cambio esencial: de perímetros a políticas

La guía de CISA 2026 aclara que Zero Trust (ZT) no es un producto único, sino un modelo de seguridad centrado en los datos. En OT, esto significa alejarse de la "confianza implícita" basada en estar dentro de la red física de la planta y avanzar hacia la "verificación explícita" para cada interacción a nivel de proceso.

Aspectos destacados de la guía

 Zero Trust en OT ≠ copiar y pegar desde TI

o   La guía enfatiza que los entornos OT requieren adaptación, no replicación del Zero Trust de TI.

o   La seguridad, la disponibilidad y las operaciones deterministas tienen prioridad sobre los modelos de TI enfocados primero en la confidencialidad.

o   El resultado es un Zero Trust seguro para la operación y basado en el riesgo, y no una aplicación agresiva.

«Nunca confíes, siempre verifica» sigue siendo aplicable, pero...

o   El principio fundamental permanece intacto: no hay confianza implícita para usuarios, dispositivos o sistemas. Sin embargo, la aplicación debe considerar:

• PLCs y HMIs heredados

• Activos que no pueden parcharse

• Conectividad intermitente 

o   Da lugar a controles compensatorios en lugar de aplicación directa

La visibilidad de activos es la base (brecha crítica en OT)

o   No se puede implementar Zero Trust sin un inventario completo de activos:

o   Dispositivos, firmware, protocolos, flujos de datos

o   Los entornos OT normalmente carecen de esta línea base → la mayor barrera para su adopción

o   Se alinea con la guía más amplia de Zero Trust: la visibilidad precede a la aplicación (AppGate)

Énfasis fuerte en la segmentación de red (microsegmentación para OT)

o   Las redes OT planas representan un riesgo importante

o   Recomendación clave:

o   Segmentación basada en zonas (alineada con ISA/IEC 62443)

o   Movimiento gradual hacia microsegmentación / rutas de comunicación con mínimos privilegios

o   Objetivo: contener el movimiento lateral y reducir el radio de explosión

La identidad es difícil en OT y debe expandirse más allá de los usuarios

·       OT requiere identidad para:

o   Máquinas (PLCs, RTUs)

o   Aplicaciones

o   Cuentas de servicio

·       No solo IAM humano, sino IAM de dispositivos

·       La autenticación continua es ideal, pero a menudo se sustituye por:

o   Controles a nivel de red

o   Perfilado de dispositivos

Priorizar el principio de mínimo privilegio

·       Principio: permitir solo la comunicación y el acceso necesarios

·       Realidad:

o   Muchos sistemas OT requieren amplias relaciones de confianza

·       Enfoque:

o   Comenzar con activos críticos (las "joyas de la corona")

o   Aplicar el mínimo privilegio de forma incremental

Zero Trust en OT es un recorrido por fases (no un programa de gran impacto inicial)

·       La guía enfatiza la adopción incremental:

·       Se alinea con el enfoque de madurez de CISA:

La supervisión continua y la detección de anomalías son controles esenciales

·       Dado que la aplicación en OT es limitada:

o   La detección se vuelve tan importante como la prevención

·       Áreas de enfoque:

o   Monitoreo del tráfico este-oeste

o   Detección de anomalías con conocimiento de protocolos

·       Aquí es donde las plataformas OT NDR se vuelven críticas

Los sistemas heredados requieren "controles compensatorios Zero Trust"

·       Muchos activos OT:

o   No pueden soportar MFA, agentes ni cifrado

·       Por lo tanto:

o   Usar capas externas de aplicación

• Hosts bastión / jump hosts

• Firewalls industriales

• Pasarelas seguras de acceso remoto

·       Piense en: Zero Trust aplicado alrededor de los activos, no dentro de ellos

La gobernanza, la seguridad y la alineación con ingeniería no son negociables

·       Zero Trust en OT no es solo ciberseguridad:

o   Requiere de equipos de ingeniería, operaciones y seguridad

·       Cualquier control debe:

o   Evitar tiempos de inactividad

o   Preservar el comportamiento determinista

·       Fuerte impulso hacia modelos de gobernanza interfuncionales

La conclusión estratégica

Esta guía, esencialmente, replantea Zero Trust en un contexto OT para implicar una estrategia de contención y visibilidad gestionada por riesgo, y no un modelo estricto de aplicación de identidades.

Para alguien que construye OT SOC / servicios, las implicaciones son muy claras:

·  Liderar con visibilidad de activos + ingeniería de detección

·   Posicionar la segmentación como reducción de riesgo, no cumplimiento

·  Vender Zero Trust como resiliencia operativa, no solo seguridad

Los cinco pilares adaptados para OT

El modelo de madurez Zero Trust (ZTMM) 2.0 de CISA sirve como estructura, pero la guía específica para OT de 2026 agrega capas críticas de "seguridad operativa":

• Identidad: Ir más allá de los nombres de usuario hacia Entidades No Personales (NPEs). Cada PLC, sensor y gateway debe tener una identidad verificable criptográficamente.

• Dispositivos: Evaluación continua del estado. Si una estación de trabajo de ingeniería (EWS) muestra una discrepancia de parches o software inesperado, se revoca de inmediato su acceso al controlador de seguridad.

• Redes: Transición de VLAN simples a microsegmentación. Ahora estamos aislando "conductos" específicos entre zonas funcionales (por ejemplo, separando la HMI del SIS).

• Aplicaciones/Cargas de trabajo: Asegurar el tráfico "este-oeste". Esto implica proteger los protocolos industriales propietarios (como Modbus/TCP o CIP) contra la inyección no autorizada de comandos.

• Datos: El pilar más crítico. Proteger la "integridad" de los datos de sensores ahora tiene prioridad sobre la "confidencialidad" para evitar la manipulación del proceso físico.

Los puntos finos: obstáculos específicos de OT

Implementar ZT en una refinería o planta de energía no es como hacerlo en una oficina sucursal. La guía destaca tres "asesinos silenciosos" de los proyectos OT ZT:

1. Fragilidad de protocolos: Muchos protocolos OT heredados no admiten cifrado ni autenticación moderna. CISA recomienda proxies de Zero Trust o puertas de enlace unidireccionales para "envolver" el tráfico heredado en un túnel seguro con conocimiento de identidad.

2. Conflicto entre seguridad y protección: El Zero Trust tradicional podría "bloquear por defecto" si falla un aviso de MFA. En OT, bloquear un comando crítico para la seguridad puede provocar una explosión. La guía introduce políticas de "fail-to-open" para funciones específicas de seguridad de emergencia.

3. El requisito de "solo envío" (push-only): La guía 2026 pone mucho énfasis en una arquitectura de solo envío. Los datos deben moverse desde Alto Confianza (OT) hacia Baja Confianza (TI/Nube) mediante enlaces unidireccionales aplicados por hardware para eliminar las rutas de entrada no solicitadas.

El plan de acción del CISO (hoja de ruta de 90 días)

Métricas de éxito: KPI de Zero Trust en OT

Para reportar avances al Consejo, deje de enfocarse en el "número de ataques bloqueados" y pase a métricas de resiliencia:

• Reducción de la superficie de ataque: Porcentaje de activos OT que ya no tienen una ruta directa de "entrada no solicitada" desde la red de TI. (Objetivo: >85%).

• Tiempo medio para contener (MTTC): Si un activo se ve comprometido, ¿cuánto tarda la política ZT en aislar ese microsegmento específico? (Objetivo: <5 minutos).

• Cobertura de identidad: Porcentaje de comunicaciones OT a OT que están autenticadas mediante identidades NPE en lugar de confianza implícita basada en IP.

• Tiempo de actividad del proceso durante actualizaciones de seguridad: Medir si los cambios de política ZT causaron algún tiempo de inactividad no intencional. (Objetivo: 0 interrupciones no planificadas).

Reflexión final para el consejo

Zero Trust en OT ya no es un estado "avanzado"; en 2026, es la línea base para la asegurabilidad. Al eliminar la confianza implícita, no solo detenemos a los atacantes; también garantizamos que una sola laptop comprometida en la oficina corporativa no pueda causar una falla física catastrófica en la planta.

Para más información, consulte los nuevos manuales regulatorios en shieldworkz.com/regulatory-playbooks para plantillas de cumplimiento previamente mapeadas que alinean esta guía de CISA con NERC CIP e IEC 62443.

Recursos adicionales      

Informe de análisis del panorama de amenazas de ciberseguridad OT 2026 aquí 
Un informe descargable sobre el incidente cibernético de Stryker aquí      
Guías de remediación aquí    
Lista de verificación de cumplimiento IEC 62443 y NIS2 aquí 
Mejores prácticas de seguridad OT y guía de evaluación de riesgos aquí