Segmentación de redes OT y el modelo Purdue

Cada brecha en una red industrial tiene una historia. Y en casi todas las historias, surge la misma dolorosa verdad: el atacante no tuvo que esforzarse mucho. Encontró una red plana y mal segmentada, donde una estación de trabajo de ingeniería comprometida podía comunicarse directamente con un PLC, donde las credenciales de IT abrían puertas a entornos OT y donde no existía un límite lógico entre un servidor de historial clínico e histórico de datos (historian) y un sistema instrumentado de seguridad.

Esta es la realidad a la que se enfrentan hoy miles de organizaciones industriales. La convergencia entre IT y OT ha acelerado la eficiencia empresarial, pero también ha abierto la puerta a una nueva clase de amenazas que las arquitecturas heredadas nunca fueron diseñadas para manejar.

La segmentación de redes OT, cuando se hace bien, es una de las medidas defensivas más eficaces para las organizaciones industriales. Limita el radio de impacto de un ataque, protege la continuidad operativa y genera la visibilidad necesaria para detectar amenazas antes de que alcancen los sistemas críticos. Pero "hacerse bien" implica mucho trabajo.

Esta guía detalla cómo se ve en la práctica una segmentación eficaz de una red OT, desde el modelo Purdue fundamental hasta la arquitectura basada en zonas, los límites de IT/OT y el diseño de la DMZ industrial, para que su organización pueda crear defensas que realmente resistan bajo presión.

Antes de seguir adelante, no olvide consultar nuestra última publicación de blog sobre “Shadow warfare threatens India's energy sovereignty” aquí.

Por qué la seguridad de redes OT es un juego completamente diferente

Antes de profundizar en la arquitectura, es importante comprender qué hace que la seguridad de redes OT sea fundamentalmente diferente de la seguridad de IT convencional. En los entornos de IT tradicionales, las prioridades de seguridad siguen la tríada CIA: Confidencialidad, Integridad y Disponibilidad, en ese orden.

In los entornos de tecnología operativa, las prioridades se invierten. La disponibilidad es lo primero. Un PLC que gestiona un proceso de dosificación química no puede desconectarse para un ciclo de parches. Un sistema SCADA que monitorea un oleoducto no puede tolerar un reinicio de diez minutos. En el momento en que el tiempo de inactividad se vuelve aceptable, tanto la seguridad como la producción se ven afectadas, y en las infraestructuras críticas, las consecuencias pueden ir mucho más allá de las pérdidas financieras.

Esta dinámica crea un entorno desafiante para los equipos de seguridad. Muchos activos OT funcionan con protocolos heredados (Modbus, DNP3, PROFINET, EtherNet/IP) que se diseñaron para ofrecer confiabilidad en redes aisladas, no resiliencia frente a adversarios externos. A menudo carecen de autenticación, cifrado o cualquier control de acceso nativo. Los plazos para aplicar parches se extienden de meses a años. Y las limitaciones operativas significan que los controles de seguridad estándar de IT simplemente no se pueden acoplar sin romper las cosas.

Esta es precisamente la razón por la que la segmentación de redes es tan crítica en los entornos OT. Compensa las limitaciones inherentes de los activos heredados al controlar las vías de red a través de las cuales se comunican dichos activos y al evitar que las amenazas se muevan libremente entre los sistemas.

El Modelo Purdue para redes OT: Base, no fórmula

La Arquitectura de Referencia Empresarial de Purdue, desarrollada en la década de 1990 en la Universidad de Purdue, sigue siendo el marco más reconocido para estructurar las jerarquías de las redes industriales. Aunque a menudo se le critica por considerarlo obsoleto en la era de la conectividad en la nube y el IIoT, su lógica principal es más relevante que nunca cuando se trata de definir límites de red claros.

El modelo Purdue organiza una empresa industrial en cinco niveles distintos:

• Nivel 0 - Dispositivos de campo: Sensores, actuadores y componentes de procesos físicos. Estos son los activos más cercanos a las operaciones físicas: bombas, válvulas, motores e instrumentos.

• Nivel 1 - Control básico: Componentes de PLC, RTU y DCS que leen y controlan directamente los dispositivos de campo. Estos activos ejecutan la lógica de control en tiempo real.

• Nivel 2 - Control de supervisión: Sistemas SCADA, HMI y estaciones de trabajo de operadores. Aquí es donde se lleva a cabo el monitoreo de procesos y las decisiones de supervisión.

• Nivel 3 - Operaciones del sitio: Sistemas de ejecución de manufactura (MES), historiadores de datos y estaciones de trabajo de ingeniería que respaldan la gestión operativa a nivel del sitio.

• Niveles 4 y 5 - IT de la empresa y corporativa: Sistemas de negocio que incluyen ERP, infraestructura de correo electrónico y redes corporativas. Aquí es donde opera la seguridad de IT tradicional.

El valor principal del modelo Purdue no es su antigüedad, es el principio que impone: el tráfico debe fluir entre niveles adyacentes, no libremente a través de todos ellos. Un sistema de control en el Nivel 1 nunca debería comunicarse directamente con una aplicación empresarial en el Nivel 4. Cualquier comunicación que cruce múltiples niveles representa un vector de ataque potencial que debe controlarse explícitamente.

Adaptación del modelo Purdue para entornos industriales modernos

Los entornos industriales actuales no se parecen a las redes que los arquitectos de Purdue idearon en la década de 1990. Los sistemas SCADA conectados a la nube, el acceso remoto para soporte de proveedores de OEM, los sensores de IIoT que alimentan plataformas de análisis de datos y la infraestructura híbrida de IT/OT han desdibujado los límites entre los niveles.

Un enfoque práctico y modernizado del modelo Purdue no descarta su lógica, sino que la complementa. Esto significa contabilizar las rutas de acceso remoto, los flujos de datos en la nube y la conectividad de terceros, al tiempo que se mantiene el principio fundamental de que el movimiento lateral entre los niveles operativos debe controlarse de forma activa, monitorearse y restringirse únicamente a lo que sea operativamente necesario.

Zonas y conductos de red OT: La arquitectura del control

Mientras que el modelo Purdue define capas horizontales dentro de una red industrial, el concepto de zonas y conductos, formalizado en la norma IEC 62443 para la ciberseguridad industrial, define cómo se subdividen e interconectan esas capas en la práctica.

Definición de zonas de seguridad

Una zona de seguridad es una agrupación de activos que comparten los mismos requisitos de seguridad, perfil de riesgo y necesidades de protección. El límite de una zona es donde se aplican los controles de seguridad. Los activos dentro de una zona confían entre sí; los activos en diferentes zonas no.

El diseño eficaz de una zona considera:

• La criticidad de los activos dentro de la zona: los sistemas de seguridad requieren un aislamiento más estricto que los sistemas de monitoreo operativo

• Los requisitos de comunicación de cada activo: ¿de dónde necesita recibir datos y a dónde necesita enviarlos?

• Los requisitos de acceso: ¿qué usuarios, sistemas y proveedores necesitan interactuar con los activos de esta zona?

• Las consecuencias de un compromiso: ¿qué sucede desde el punto de vista operativo y de seguridad si se infringe una zona?

Asegurando los conductos entre zonas

Un conducto es la vía de comunicación entre dos o más zonas. Es donde ocurren el control de acceso, el filtrado de protocolos, la inspección de tráfico y el registro de eventos. Cada conducto debe diseñarse teniendo en cuenta el principio de privilegio mínimo: permitir únicamente los flujos de comunicación específicos que se requieran operativamente y denegar todo lo demás de forma predeterminada.

En la práctica, los conductos se implementan a través de firewalls de próxima generación con reconocimiento de protocolos OT, switches administrados con segmentación de VLAN y dispositivos de seguridad dedicados capaces de inspeccionar protocolos industriales como Modbus TCP, DNP3 y PROFINET. Los firewalls de IT genéricos que no pueden analizar protocolos industriales no detectarán comandos maliciosos ocultos dentro del tráfico de protocolos legítimos.

Segmentación de redes IT/OT: Donde la estrategia se encuentra con la reducción de riesgos

La unión entre las redes de IT y OT es, estadísticamente, donde la mayoría de los ciberataques industriales ganan terreno. Los actores de amenazas se mueven lateralmente desde cuentas de correo electrónico corporativas comprometidas hacia los controladores de dominio, y de ahí a los servidores de historial clínico e histórico de datos (historian) y estaciones de trabalho de ingeniería, siguiendo relaciones de confianza legítimas entre los sistemas de IT y OT.

Una segmentación eficaz de la red IT/OT requiere más que un firewall entre los dos dominios. Requiere una estrategia arquitectónica deliberada que aborde los flujos de datos, la autenticación, el acceso remoto y las realidades operativas de los entornos industriales.

Errores comunes de segmentación de IT/OT que crean riesgos ocultos

• Suponer que un firewall equivale a segmentación: un firewall mal configurado con reglas demasiado permisivas proporciona poca separación real entre entornos

• Permitir credenciales compartidas entre los dominios de IT y OT: una sola cuenta de Active Directory comprometida puede propagarse en cascada hacia los sistemas OT si se comparte la confianza del dominio

• Utilizar vías de acceso remoto no controladas: las conexiones VPN utilizadas por el personal de IT que se extienden directamente a las redes de OT eluden los puntos críticos de inspección

• Pasar por alto los servidores de historial clínico e histórico de datos (historian) y las plataformas de integración de datos: estos activos abarcan IT y OT, y deben tratarse como puntos de conducto de alto riesgo

• Descuidar la inspección del tráfico cifrado: los atacantes utilizan cada vez más canales cifrados para ocultar el movimiento lateral, incluso en entornos OT

Diseño de DMZ industrial: El puente crítico entre IT y OT

La zona desmilitarizada industrial, o DMZ industrial, es la pieza central arquitectónica de una red OT bien segmentada. Sirve como un búfer controlado entre la red corporativa de IT y el entorno de tecnología operativa, lo que permite el intercambio de datos necesario al tiempo que evita la conectividad directa entre los dos dominios.

Los componentes clave que normalmente se alojan dentro de una DMZ industrial incluyen:

• Historiadores de datos y servidores de replicación: Los datos del proceso se agregan aquí antes de pasar a las plataformas de análisis empresarial, lo que elimina las conexiones directas entre los sistemas de Nivel 2 y las redes corporativas

• Gateways de acceso remoto: Servidores de salto controlados o estaciones de trabajo de acceso privilegiado que permiten el acceso autorizado de proveedores y mantenimiento remoto sin crear rutas directas a la red OT

• Servidores de actualización y gestión de parches: Repositorios de parches validados que permiten actualizaciones controladas de software y firmware sin exponer los activos OT a la conectividad directa a Internet

• Infraestructura de monitoreo de seguridad: Sensores de monitoreo pasivo y puntos de agregación de SIEM con reconocimiento de OT que recopilan telemetría de seguridad de los entornos OT sin introducir escaneos activos que podrían interrumpir los dispositivos heredados

• Nodos de transferencia de archivos y escaneo de malware: Puntos de transferencia controlados que escanean y validan archivos antes de que crucen de IT a OT, una defensa crítica contra el malware transmitido por USB y el malware de la cadena de suministro

La DMZ industrial no es opcional en una arquitectura de seguridad OT madura: es el punto de control fundamental que permite que la empresa funcione de manera eficiente mientras mantiene los límites de seguridad que protegen los sistemas operativos.

Segmentación para redes SCADA: Protegiendo el centro neurálgico operativo

Las redes SCADA presentan desafíos de segmentación únicos. A diferencia de los entornos de producción discreta, los sistemas SCADA a menudo cubren activos distribuidos geográficamente (estaciones de bombeo remotas, subestaciones, puntos de monitoreo de oleoductos) conectados a través de una combinación de vías de comunicación cableadas, inalámbricas y celulares. Esta topología distribuida crea numerosos puntos de entrada potenciales que una política de firewall centralizada por sí sola no puede proteger adecuadamente.

Una segmentación eficaz para las redes SCADA debe abordar:

• La segmentación de red en sitios de campo remotos, no solo en el centro de control: cada unidad terminal remota (RTU) o estación remota debe tratarse como un punto de entrada potencial que requiere sus propios controles de acceso

• Inspección con reconocimiento de protocolos en todas los gateways de comunicación: DNP3, IEC 60870-5 y otros protocolos SCADA transportan comandos operativos que deben validarse, no solo transmitirse

• Cifrado y autenticación para todas las comunicaciones entre las estaciones maestras y remotas: donde las limitaciones de los protocolos heredados impiden el cifrado nativo, se deben aplicar controles compensatorios, como túneles VPN, en la capa de red

• Detección de anomalías de comportamiento que establezca bases de comunicación y alerte sobre desviaciones: dado que los patrones de tráfico SCADA son altamente predecibles, las anomalías suelen ser indicadores tempranos de compromiso o mala configuración

Recomendaciones prácticas: Construyendo una segmentación que resista

La segmentación eficaz de la red OT no es una compra de tecnología; es una disciplina arquitectónica que se construye a través de una metodología estructurada. Estos son los principios que diferencian la segmentación robusta del cumplimiento de requisitos reglamentarios de mera verificación por cumplir:

• Comience con el descubrimiento y el inventario de activos: No puede segmentar lo que no tiene mapeado. Un inventario completo de activos OT (que incluya el descubrimiento pasivo para evitar interrumpir los sistemas en producción) es el punto de partida innegociable de cualquier proyecto de segmentación.

• Realice un análisis de flujo de comunicación: Documente todos los flujos de tráfico existentes antes de diseñar zonas. Muchas organizaciones se sorprenden al descubrir conexiones no documentadas entre sistemas OT e IT que han existido durante años sin aprobación formal.

• Aplique la priorización de zonas basada en el riesgo: No todos los activos conllevan el mismo riesgo. Los sistemas instrumentados de seguridad y los activos de control crítico merecen la máxima prioridad de aislamiento. Segmente de adentro hacia afuera: proteja primero los activos más críticos.

• Diseñe para monitorear, no solo para controlar: La segmentación sin visibilidad está incompleta. Cada límite de zona debe generar telemetría de seguridad. Monitoree pasivamente el tráfico OT en busca de anomalías utilizando herramientas de detección nativas de OT que entiendan los protocolos industriales.

• Haga cumplir controles estrictos de acceso remoto: El acceso remoto es uno de los vectores de mayor riesgo en los entornos OT. Cada sesión remota debe medirse a través de un servidor de salto, requerir autenticación multifactor, tener un límite de tiempo y registrarse por completo con grabación de sesión cuando sea factible.

• Valide la segmentación bajo condiciones realistas: Los ejercicios de validación periódicos de la segmentación, que incluyen intentos controlados para probar las rutas de movimiento lateral, revelan brechas que las revisiones de configuración pasan por alto. Las defensas reales se prueban bajo estrés.

• Trate la segmentación como un proceso continuo: La topología de la red cambia con cada nueva instalación, conexión de proveedor y modificación operativa. La segmentación debe evolucionar en consecuencia; no es un proyecto de una sola vez.

Cómo Shieldworkz apoya a las organizaciones industriales

En Shieldworkz, entendemos que la segmentación de redes OT no es un producto que se instala, es una capacidad que se construye. Nuestro equipo de especialistas en seguridad OT trabaja directamente con organizaciones industriales para diseñar, implementar y mejorar continuamente arquitecturas de segmentación que reflejen las realidades operativas, no modelos teóricos.

Nuestras capacidades de segmentación de redes OT incluyen:

• Descubrimiento de activos OT y mapeo de redes: Realizamos un descubrimiento de activos pasivo y no intrusivo para construir un inventario completo y validado de su entorno OT/ICS, la base esencial para cualquier iniciativa de segmentación.

• Diseño de zonas y conductos basado en IEC 62443: Nuestros arquitectos diseñan zonas y conductos de seguridad alineados con los principios de IEC 62443, calibrados para su entorno operativo específico, la criticidad de sus activos y sus requisitos de cumplimiento.

• Arquitectura de límites de IT/OT: Diseñamos e implementamos la separación arquitectónica entre entornos IT y OT, lo que incluye el diseño de la DMZ industrial, el desarrollo de políticas de firewall y la arquitectura de control de acceso que equilibra la seguridad con la continuidad operativa.

• Controles de seguridad con reconocimiento de protocolos SCADA y ICS: Nuestros especialistas en implementación despliegan y configuran herramientas de seguridad nativas de OT capaces de inspeccionar protocolos industriales, lo que garantiza que los controles de segmentación realmente vean y entiendan su tráfico operativo.

• Seguridad de acceso remoto para entornos OT: Diseñamos arquitecturas de acceso remoto seguro para el acceso de proveedores y mantenimiento que imponen un acceso con privilegios mínimos, autenticación multifactor, monitoreo de sesiones y terminación automática de sesiones.

• Monitoreo de seguridad y detección de anomalías en OT: Integramos soluciones de monitoreo pasivo que establecen líneas base de comportamiento para su red OT y alertan sobre anomalías, lo que brinda a su equipo la visibilidad necesaria para detectar amenazas antes de que alcancen los activos críticos.

• Validación de segmentación y evaluación de brechas: A través de evaluaciones estructuradas y pruebas controladas, validamos que sus controles de segmentación funcionen según lo diseñado en condiciones realistas, identificando brechas antes de que lo hagan los adversarios.

• Asesoría de seguridad continua y soporte de cumplimiento: Nuestro equipo brinda soporte de asesoría continuo a medida que su entorno evoluciona, lo que garantiza que la segmentación siga siendo efectiva y alineada con marcos como NIST CSF, IEC 62443, NERC CIP y regulaciones específicas de la industria.

La segmentación no es un proyecto, es un compromiso

Las redes industriales de hoy en día se encuentran bajo una amenaza real, sofisticada y persistente. Los adversarios que se dirigen a las infraestructuras críticas son pacientes, cuentan con abundantes recursos y conocen muy bien las arquitecturas que intentan explotar. Lo que se interpone entre ellos y la interrupción operativa no es un solo producto o proveedor; es un enfoque estructurado y mantenido continuamente para asegurar el entorno en el que operan.

La segmentación de redes OT, construida sobre la base estructurada del modelo Purdue y el marco de zona y conducto de IEC 62443, es ese enfoque. No es una construcción teórica, sino una metodología práctica y probada para limitar la exposición de los activos críticos, controlar el movimiento de las amenazas y preservar la continuidad operativa de la que dependen las organizaciones industriales.

En Shieldworkz, nuestro compromiso es simple: creemos que las organizaciones industriales merecen arquitecturas de seguridad creadas para las realidades de su entorno, no adaptadas a partir de planos de IT que nunca se diseñaron pensando en la tecnología operativa. Cada proyecto que emprendemos refleja esa creencia. No protegemos redes. Protegemos operaciones, seguridad y la infraestructura de la que dependen las comunidades y las economías.

¿Está su segmentación de red OT diseñada para resistir amenazas reales?

Muchas organizaciones industriales creen que tienen una segmentación adecuada hasta que una evaluación estructurada revela las brechas. Ya sea que esté comenzando desde cero, validando una arquitectura existente o navegando por los requisitos de cumplimiento normativo, Shieldworkz puede ayudarlo a construir una red OT defendible, operativa y monitoreada continuamente.

Recursos adicionales       

Informe de análisis del panorama de amenazas de ciberseguridad OT 2026 aquí  
Un informe descargable sobre el ciberincidente de Stryker aquí       
Guías de remediación aquí     
Lista de verificación de cumplimiento de IEC 62443 y NIS2 aquí  
Mejores prácticas de seguridad OT y guía de evaluación de riesgos aquí