Las amenazas cibernéticas que se dirigen a los sistemas de control industrial están evolucionando rápidamente. Los atacantes ya no se centran únicamente en violar el Perímetro de Seguridad Electrónica (ESP) de los entornos de infraestructura crítica. En cambio, explotan cada vez más sistemas adyacentes, como servicios de autenticación, plataformas de acceso remoto, lectores de credenciales e infraestructura de virtualización, para pivotar hacia redes de tecnología operativa (OT).

Antes de seguir adelante, no olvides revisar nuestra publicación anterior sobre Decodificación de la Estrategia Silenciosa de Grupos Cibernéticos Iraníes, aquí.

Reconociendo este cambio, la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) ha introducido NERC CIP-015-2, un estándar de ciberseguridad propuesto que amplía significativamente los requisitos de Monitoreo de Seguridad de Redes Internas (INSM). El objetivo es sencillo pero poderoso: aumentar la visibilidad de los sistemas críticos que se encuentran fuera del ESP tradicional pero que aún influyen en los Activos Cibernéticos del Sistema Eléctrico a Granel (BES).

Para los gerentes de plantas, ingenieros OT y CISOs, este cambio es importante. Muchos sistemas de soporte, como los Sistemas de Control o Monitoreo de Acceso Electrónico (EACMS) y los Sistemas de Control de Acceso Físico (PACS), históricamente han operado fuera del alcance principal del monitoreo. Sin embargo, estos sistemas a menudo contienen las "llaves del reino", permitiendo a los atacantes hacerse pasar por usuarios legítimos o eludir las protecciones físicas.

En este artículo, desglosamos NERC CIP-015-2 en lenguaje sencillo. Explicaremos qué cambió, por qué importa, cómo son los nuevos requisitos de monitoreo y cómo las organizaciones pueden prepararse ahora para proteger las infraestructuras críticas.

Por qué NERC CIP-015-2 importa para la ciberseguridad industrial

Durante años, la mayoría de los programas de cumplimiento se centraron intensamente en defensa perimetral. Si el Perímetro de Seguridad Electrónica estaba protegido, se suponía que los sistemas internos eran relativamente seguros.

Los ataques modernos prueban lo contrario.

Los actores de amenazas ahora explotan sistemas de confianza dentro o adyacentes a entornos OT. Una vez dentro, se mueven lateralmente, a menudo sin ser detectados.

Las campañas de alto perfil han demostrado este cambio:

• Grupos patrocinados por estados que atacan infraestructuras energéticas

• Compromisos de la cadena de suministro que afectan el software de gestión

• Robo de credenciales a través de servicios de acceso remoto

• Intentos de intrusión física aprovechando vulnerabilidades de sistemas de credenciales

Estas tácticas explotan las brechas en la visibilidad del monitoreo interno.

Esa brecha es precisamente lo que CIP-015-2 busca cerrar.

En lugar de centrarse únicamente en las amenazas externas, el nuevo estándar amplía el monitoreo para incluir sistemas que gestionan el acceso a la infraestructura crítica.

Entendiendo la base: Monitoreo de Seguridad de Redes Internas (INSM)

Antes de explorar los cambios en CIP-015-2, es importante entender el Monitoreo de Seguridad de Redes Internas (INSM).

INSM se refiere al monitoreo continuo del tráfico de red dentro de un entorno protegido para detectar comportamientos anormales, actividad maliciosa o comunicaciones no autorizadas entre sistemas.

A diferencia del monitoreo tradicional de perímetro, INSM se centra en el tráfico este-oeste, el movimiento de datos entre sistemas internos.

Por qué el tráfico este-oeste importa

Los atacantes que violan una red rara vez atacan sistemas críticos de inmediato. En cambio, se mueven lateralmente para recopilar inteligencia y escalar privilegios.

Sin monitoreo interno, estos movimientos a menudo pasan desapercibidos.

Objetivos clave de INSM

El monitoreo interno efectivo permite a las organizaciones:

• Detectar movimiento lateral dentro de redes OT

• Identificar credenciales comprometidas o cuentas privilegiadas

• Monitorear comunicaciones entre sistemas críticos

• Identificar patrones de tráfico anormales

• Investigar incidentes rápidamente

CIP-015-1 introdujo INSM dentro del Perímetro de Seguridad Electrónica.

CIP-015-2 amplía ese alcance significativamente.

Qué cambió en NERC CIP-015-2

El cambio más grande en CIP-015-2 es la expansión de los requisitos de monitoreo más allá del ESP para incluir infraestructura crítica de soporte.

Anteriormente, muchas organizaciones solo monitoreaban el tráfico dentro del perímetro.

Sin embargo, los atacantes a menudo apuntan a sistemas fuera del ESP que controlan el acceso a él.

CIP-015-2 aborda este riesgo ampliando los requisitos de monitoreo a tres áreas clave:

1. Sistemas de Control o Monitoreo de Acceso Electrónico (EACMS)

2. Sistemas de Control de Acceso Físico (PACS)

3. Infraestructura cibernética compartida (SCI)

Estos sistemas a menudo se encuentran fuera del perímetro tradicional pero aún interactúan con Sistemas Cibernéticos BES.

Expansión principal: del ESP a EACMS y PACS

Sistemas de Control o Monitoreo de Acceso Electrónico (EACMS)

Los sistemas EACMS gestionan el acceso lógico a las redes de infraestructura crítica.

Ejemplos incluyen:

• Servidores de autenticación

• Hosts de salto y puertas de enlace de acceso remoto

• Herramientas de monitoreo de información y eventos de seguridad

• Sistemas de gestión de acceso remoto

• Servicios de directorio

Estas plataformas a menudo se sitúan fuera del ESP pero controlan quién puede acceder al entorno OT.

Si se comprometen, permiten a los atacantes:

• Autenticar como usuarios legítimos

• Establecer sesiones de confianza

• Eludir los controles perimetrales

Esto los convierte en un objetivo importante.

Por qué el monitoreo de EACMS importa

Sin monitorear estos sistemas, los atacantes pueden manipular mecanismos de autenticación o rutas de acceso remoto con poca visibilidad.

CIP-015-2 garantiza que estos entornos reciban el mismo nivel de monitoreo de red que los sistemas OT centrales.

Sistemas de Control de Acceso Físico (PACS)

Si bien la ciberseguridad a menudo se centra en amenazas digitales, el acceso físico es igualmente crítico.

Los sistemas PACS gestionan la entrada a las instalaciones donde se encuentran los sistemas críticos.

Tecnologías comunes de PACS incluyen:

• Lectores de acceso con credencial

• Controladores de puertas

• Cámaras de seguridad y registros de acceso

• Sistemas de gestión de entrada de edificios

Si los atacantes obtienen control de sistemas PACS, podría:

• Desactivar restricciones de acceso físico

• Manipular registros de acceso

• Facilitar acceso no autorizado a instalaciones

El compromiso físico de centros de control o subestaciones puede tener consecuencias operativas severas.

CIP-015-2 reconoce que los sistemas de acceso físico son parte de la ciberseguridad.

Infraestructura cibernética compartida (SCI)

El entorno OT moderno depende cada vez más de la infraestructura digital compartida.

Ejemplos incluyen:

• Plataformas de virtualización

• Entornos de almacenamiento compartido

• Hipervisores

• Infraestructura de red virtual

Estos sistemas soportan múltiples tecnologías operativas simultáneamente.

Un compromiso aquí puede afectar múltiples Sistemas Cibernéticos BES a la vez.

Por lo tanto, CIP-015-2 incluye requisitos de monitoreo para el tráfico asociado con esta infraestructura.

La brecha de seguridad que CIP-015-2 aborda

La expansión en CIP-015-2 está impulsada por una brecha crítica de visibilidad.

Muchas compañías de servicios públicos actualmente carecen de visión sobre comunicaciones entre sistemas de soporte e infraestructura crítica.

Estos puntos ciegos crean condiciones ideales para los atacantes.

Brechas clave que el estándar aborda

1. Puntos de pivote de adversarios

Los atacantes frecuentemente comprometen primero la infraestructura de identidad.

Una vez robadas las credenciales, pueden acceder a las redes OT legítimamente.

2. Falta de visibilidad este-oeste

Sin monitoreo de rutas de red internas, el movimiento lateral permanece invisible.

3. Compromiso de sistemas de soporte

Los servidores de autenticación, hosts de virtualización o puertas de enlace de acceso remoto a menudo están menos protegidos que los sistemas de control.

Estas debilidades los convierten en puntos de entrada ideales.

Impulsores regulatorios detrás del cambio

La expansión de CIP-015-2 fue fuertemente influenciada por reguladores federales y la inteligencia de amenazas en evolución.

La Comisión Federal Reguladora de Energía (FERC) indicó a NERC que mejorara las capacidades de monitoreo interno tras pruebas de que actores avanzados de amenazas estaban apuntando a la infraestructura de soporte.

Un impulsor citado en discusiones regulatorias fue el surgimiento de campañas de estado-nación altamente sofisticadas que apuntaban a sistemas de energía.

Estas campañas demostraron que los atacantes estaban:

• Apuntando a sistemas de gestión remota

• Comprometiendo infraestructura de identidad

• Explotando sistemas de control de acceso

En respuesta, los reguladores concluyeron que monitorear solo dentro del ESP era insuficiente.

Requisitos técnicos clave de monitoreo en CIP-015-2

El estándar propuesto introduce requisitos de monitoreo ampliados que cubren nuevos segmentos de red y vías de comunicación.

Las organizaciones deben monitorear:

1. Segmentos de red conectados a EACMS fuera del ESP

El tráfico que ingresa o sale de sistemas de autenticación debe ser monitoreado.

2. Vías de tráfico entre EACMS y PACS ubicados fuera del ESP

Las comunicaciones entre sistemas de acceso lógico y físico deben ser visibles.

3. Segmentos internos dentro de estos sistemas de soporte externos

Incluso el tráfico entre sistemas de soporte internos debe ser analizado.

Desafíos prácticos que enfrentan las empresas de servicios públicos

Si bien la meta de CIP-015-2 es clara, la implementación no será sencilla.

Muchas empresas de servicios públicos enfrentan varios desafíos.

1. Visibilidad a través de infraestructura distribuida

Las redes industriales suelen abarcar múltiples instalaciones:

• Subestaciones

• Centros de control

• Plantas de generación

• Sitios de monitoreo remoto

El monitoreo de todas estas ubicaciones requiere nuevas arquitecturas.

2. Entornos OT heredados

Muchos entornos industriales operan sistemas que no fueron diseñados teniendo en cuenta el monitoreo de ciberseguridad.

Los protocolos heredados pueden carecer de capacidades de registro o encriptación.

Por lo tanto, las organizaciones deben desplegar herramientas de monitoreo especializadas.

3. Redes híbridas complejas de IT-OT

EACMS y PACS a menudo se encuentran en entornos híbridos donde las redes de IT y OT se cruzan.

Las herramientas de seguridad IT tradicionales pueden generar excesivos falsos positivos cuando se aplican al tráfico OT.

4. Documentación de cumplimiento

Cumplir con los requisitos de monitoreo es solo parte del desafío.

Las organizaciones también deben:

• Documentar la cobertura de monitoreo

• Mantener evidencia de auditoría

• Demostrar capacidades de respuesta a incidentes

Enfoque paso a paso para la preparación de CIP-015-2

Las empresas de servicios públicos deben comenzar a prepararse ahora, incluso antes de que el estándar se vuelva obligatorio.

Paso 1: Mapea tu infraestructura de control de acceso

Identifica todos los sistemas que gestionan el acceso lógico o físico.

Esto incluye:

• Servicios de directorio activo

• Puertas de acceso remoto

• Sistemas de credenciales

• Controladores de puertas

• Plataformas de gestión de identidad

Comprender dónde viven estos sistemas en la red es esencial.

Paso 2: Identifica las vías de comunicación de la red

A continuación, mapea los flujos de comunicación entre:

• EACMS y sistemas BES

• PACS y redes de instalaciones

• Componentes de infraestructura compartida

Estas vías de comunicación estarán bajo el alcance ampliado del monitoreo.

Paso 3: Implementa capacidades de monitoreo interno

Las organizaciones deben implementar herramientas que puedan monitorear el tráfico de redes OT sin interrumpir las operaciones.

Estas herramientas típicamente proporcionan:

• Monitoreo pasivo de la red

• Análisis de protocolos

• Descubrimiento de activos

• Detección de anomalías

Paso 4: Establece procesos de detección y respuesta

El monitoreo es solo útil si las alertas se investigan rápidamente.

Las empresas de servicios públicos deberían definir:

• Flujos de detección de incidentes

• Procedimientos de escalamiento

• Guiones de respuesta

Paso 5: Documenta la preparación para el cumplimiento

Finalmente, las organizaciones deben documentar:

• Arquitectura de monitoreo

• Inventarios de activos

• Controles de seguridad

Esta documentación se vuelve crítica durante las auditorías de cumplimiento.

Cronograma y estado de la industria

El equipo de redacción de NERC publicó las revisiones de CIP-015-2 a finales de 2025 como parte del Proyecto 2025-02.

Los actores de la industria ya han mostrado un fuerte apoyo.

Los hitos clave incluyen:

• Enero 2026: Votación de la industria aprobada con 84.33% de aprobación

• 2026–2027: Refinamiento estándar y revisión regulatoria

• 2028–2029: Implementación gradual esperada

Los centros de control de alto impacto y las grandes empresas de servicios públicos probablemente enfrentarán plazos de cumplimiento más tempranos.

Las organizaciones que comiencen a prepararse ahora evitarán desafíos de implementación de último momento.

Protegiendo activos cibernéticos BES en el paisaje de amenazas moderno

En última instancia, el propósito de CIP-015-2 no es solo el cumplimiento.

Se trata de proteger la fiabilidad del Sistema Eléctrico a Granel.

Las redes eléctricas dependen de miles de sistemas interconectados.

Un compromiso en la infraestructura de control de acceso puede repercutir en toda la red.

Los atacantes modernos entienden esto.

Apuntan al eslabón más débil, no siempre a los sistemas de control centrales.

Al expandir la visibilidad del monitoreo, las empresas de servicios públicos ganan la capacidad de:

• Detectar atacantes más temprano

• prevenir el movimiento lateral

• proteger la continuidad operativa

Cómo Shieldworkz ayuda a las compañías de servicios públicos a prepararse para CIP-015-2

Prepararse para CIP-015-2 requiere una profunda experiencia en OT, ICS y ciberseguridad industrial.

Aquí es donde Shieldworkz juega un papel crítico.

Shieldworkz se especializa en proteger la infraestructura industrial en sectores como:

• Energía y servicios públicos

• Petróleo y gas

• manufactura

• minería

Experiencia en monitoreo específico de OT

Shieldworkz ayuda a las organizaciones a implementar monitoreo de red interno diseñado para entornos OT, garantizando el cumplimiento sin interrumpir las operaciones.

Visibilidad de activos a través de redes complejas

Las soluciones de Shieldworkz ayudan a las empresas de servicios públicos a identificar y monitorear:

• Activos Cibernéticos BES

• Sistemas EACMS

• Infraestructura PACS

• Plataformas compartidas de OT/IT

Esta visibilidad es esencial para comprender el alcance completo del monitoreo.

Detección de incidentes y inteligencia de amenazas

Shieldworkz proporciona:                                                                      

• Detección de amenazas en OT

• Análisis de redes industriales

• Soporte de respuesta a incidentes

Estas capacidades permiten a las compañías de servicios públicos detectar y responder a las amenazas más rápido.

Arquitectura alineada con el cumplimiento

Shieldworkz ayuda a las organizaciones a construir arquitecturas de monitoreo alineadas con estándares en evolución como:

• NERC CIP-015

• NERC CIP-013

• NERC CIP-010

Esto garantiza que las organizaciones sigan cumpliendo mientras fortalecen la seguridad operativa.

El futuro de la seguridad de redes internas en OT

CIP-015-2 refleja un cambio más amplio en la ciberseguridad industrial.

La industria se está moviendo de una seguridad centrada en el perímetro hacia un monitoreo interno continuo.

Los estándares regulatorios futuros probablemente seguirán expandiendo los requisitos de visibilidad.

Las organizaciones que invierten temprano en capacidades de monitoreo ganarán ventajas significativas:

• mejor detección de amenazas

• mayor resiliencia

• preparación para el cumplimiento más rápida

Conclusión

El estándar propuesto NERC CIP-015-2 marca una evolución significativa en cómo la infraestructura crítica protege sus redes operativas.

Al expandir el Monitoreo de Seguridad de Redes Internas (INSM) más allá del Perímetro de Seguridad Electrónica para incluir EACMS, PACS e infraestructura cibernética compartida, los reguladores están abordando una brecha de visibilidad importante que los atacantes explotan cada vez más.

Para las empresas de servicios públicos y los operadores industriales, el mensaje es claro:

La seguridad debe extenderse más allá del perímetro.

Las organizaciones que comienzan a mapear sus sistemas de control de acceso, implementando herramientas de monitoreo interno y construyendo capacidades de respuesta a incidentes hoy estarán mucho mejor preparadas para las amenazas de mañana y los requisitos de cumplimiento.

Shieldworkz ayuda a las empresas de servicios públicos y operadores industriales a asegurar sus entornos OT mientras se preparan para estándares en evolución como NERC CIP-015-2.

Si tu organización necesita ayuda con:

• Monitoreo de seguridad de redes internas

• Detección de amenazas en OT

• preparación para el cumplimiento de estándares NERC

• protección de Activos Cibernéticos BES

Visita shieldworkz.com o contacta al equipo de ciberseguridad de Shieldworkz para saber cómo podemos ayudarte a construir una arquitectura de seguridad industrial resiliente.

Reserva una consulta gratuita sobre postura de seguridad, gestión de inteligencia de amenazas, monitoreo de infraestructura, seguridad OT y cumplimiento de IEC 62443, aquí.

Recursos adicionales
Lista de Verificación y Rastreador de KPI de Cumplimiento NERC CIP-015-1

Paquete de Evidencia NERC CIP: Cómo Documentar la Gestión de Parches y Cambios de SCADA para Auditorías

Hoja de Ruta NERC CIP para 2026: Pasos Prácticos para Generación de Energía para Proteger PLCs y RTUs