Equipo Shieldworkz
Introducción: El problema de acceso del que nadie habla, hasta que es demasiado tarde
En 2021, una planta de tratamiento de agua en Oldsmar, Florida, acaparó titulares internacionales. Un atacante desconocido accedió de forma remota a los sistemas de la planta e intentó aumentar los niveles de hidróxido de sodio a una concentración peligrosamente tóxica, 111 veces el nivel normal. ¿El vector de intrusión? Acceso de escritorio remoto mal asegurado, probablemente con credenciales compartidas y sin autenticación multifactor.
Esto no fue un exploit de día cero. No fue un estado nación desplegando malware personalizado. Fue una falla de acceso privilegiado.
En los entornos de Tecnología Operacional (OT), donde convergen los mundos físico y digital, quién tiene acceso a qué, y bajo qué condiciones, no es solo una preocupación de ciberseguridad. Es una cuestión de seguridad pública, continuidad operativa y seguridad nacional.
Antes de seguir, no olvides revisar nuestra publicación anterior sobre “La niebla digital de la guerra: Cuando el hacktivismo se vuelve profesional” aquí.
La Gestión de Acceso Privilegiado en OT es uno de los controles de seguridad más críticos y, a la vez, menos implementados, en la ciberseguridad industrial actual. Esta guía desglosa qué es PAM, por qué no es negociable en entornos ICS y cómo implementarla estratégicamente.
¿Qué es la Gestión de Acceso Privilegiado en OT?
Definición de acceso privilegiado
El acceso privilegiado se refiere a cualquier cuenta, credencial o sesión que otorga permisos elevados más allá de los de un usuario estándar. En un entorno de TI, eso podría significar un administrador de dominio o una cuenta raíz de base de datos. En un entorno OT, la situación es fundamentalmente diferente.
En OT, las cuentas privilegiadas suelen controlar:
Estaciones de trabajo de ingeniería (EWS) - Se usan para configurar PLC, RTU y sistemas SCADA
Terminales HMI (Interfaz Humano-Máquina) - Donde los operadores interactúan directamente con procesos físicos
Sesiones de acceso remoto - Usadas por proveedores, integradores e ingenieros remotos para realizar mantenimiento
Cuentas de infraestructura de red - Para administrar switches, firewalls e historizadores de datos
Estas cuentas, cuando se usan indebidamente, ya sea de forma intencional o por negligencia, pueden interrumpir las operaciones, comprometer sistemas de seguridad o dar a los atacantes control directo sobre procesos físicos.
La Gestión de Acceso Privilegiado (PAM) es la disciplina de administrar, monitorear y controlar estos derechos de acceso elevados. Abarca las políticas, procesos y tecnologías que garantizan que las cuentas privilegiadas sean usadas solo por las personas correctas, en el momento correcto, por las razones correctas, y que todo quede registrado.
PAM vs. IAM: Entender la diferencia
Estos dos términos suelen usarse indistintamente, pero no son lo mismo, especialmente en OT.
Dimensión | IAM (Gestión de Identidad y Acceso) | PAM (Gestión de Acceso Privilegiado) |
Alcance | Todos los usuarios e identidades | Cuentas de alto riesgo y privilegio elevado |
Enfoque | Autenticación y autorización | Control de privilegios, supervisión de sesiones |
Perfil de riesgo | Riesgo de usuario estándar | Riesgo elevado, de alto impacto |
Relevancia en OT | Alta de usuarios, asignación de roles | Acceso de proveedores, control de ingeniería |
Controles | SSO, servicios de directorio, RBAC | Almacenamiento seguro de credenciales, grabación de sesiones, acceso JIT |
Piensa en IAM como el guardián de entrada para todos los que ingresan a la instalación. PAM es el sistema de escolta segura para quienes necesitan acceso a la sala de control.
PAM vs. soluciones PAM
Aquí hay una aclaración importante: PAM es la práctica y el marco de seguridad. Las soluciones PAM son las plataformas tecnológicas que operacionalizan esta práctica, herramientas como CyberArk, BeyondTrust, Delinea o plataformas OT nativas diseñadas específicamente para ello.
Una solución PAM sin una estrategia PAM madura fracasará. Una estrategia PAM madura sin las herramientas adecuadas tendrá dificultades para escalar. Ambas deben diseñarse en conjunto, especialmente en OT, donde la complejidad de implementación es significativamente mayor que en los entornos de TI tradicionales.
Por qué PAM es crítica para los entornos OT
El panorama de amenazas OT ha cambiado fundamentalmente
Durante décadas, los sistemas OT operaron aislados, separados por aire de las redes empresariales e Internet. La seguridad por oscuridad era el modelo de facto. Ese modelo está muerto.
Hoy en día, los entornos industriales están profundamente interconectados. El auge del Internet Industrial de las Cosas (IIoT), las operaciones remotas, el SCADA conectado a la nube y la tecnología de gemelo digital ha abierto las redes OT a los mismos actores de amenazas que atacan la TI empresarial, pero sin ninguno de los controles de seguridad maduros.
El Informe de Ciberseguridad OT 2024 de Dragos señaló que los grupos de amenazas que atacan específicamente a los sistemas de control industrial han crecido año tras año, con un aumento marcado en los grupos que han desarrollado la capacidad de interrumpir o destruir procesos industriales. Y en el centro de muchos de estos ataques hay un denominador común: acceso privilegiado comprometido o mal utilizado.
La amenaza interna es más común de lo que crees
En los entornos OT, las amenazas internas no son solo empleados maliciosos, con frecuencia son:
Contratistas e integradores de sistemas que conservan acceso persistente mucho después de concluir el proyecto
Proveedores que usan credenciales compartidas en múltiples sitios de clientes
Operadores que elevan sus propios privilegios para "sacar el trabajo" más rápido
Administradores de TI a quienes se les otorgan derechos excesivos en redes OT durante proyectos de convergencia TI/OT
Sin PAM, no hay visibilidad, control ni responsabilidad sobre lo que cualquiera de estos usuarios hace una vez que está dentro.
La presión regulatoria y de cumplimiento está aumentando
Marcos como IEC 62443, NERC CIP, NIST SP 800-82 y la Directiva NIS2 en Europa enfatizan el control de acceso y la gestión de privilegios como controles de seguridad fundamentales.
Las organizaciones de energía, agua, manufactura y transporte que no implementen una gobernanza de acceso robusta enfrentan tanto sanciones regulatorias como un riesgo de brecha significativamente mayor.
PAM no es solo una buena práctica; en sectores regulados de infraestructura crítica, se está convirtiendo rápidamente en un requisito de cumplimiento.
Beneficios clave de PAM en entornos ICS/OT
1. Reducción drástica de la superficie de ataque
Cada cuenta privilegiada que existe sin control adecuado es un posible vector de ataque. PAM reduce la superficie de ataque al:
Eliminar contraseñas compartidas y estáticas en dispositivos OT
Aplicar credenciales específicas de sesión y con tiempo limitado
Eliminar el acceso persistente en favor de aprovisionamiento justo a tiempo
Cuando un atacante compromete una credencial, PAM asegura que esa credencial tenga un alcance mínimo y una duración mínima, limitando drásticamente el movimiento lateral.
2. Mitigación de amenazas internas
La supervisión y grabación de sesiones significa que cada acción realizada por un usuario privilegiado, ya sea ingeniero, proveedor o administrador, queda capturada y puede revisarse. Esto crea tanto un efecto disuasivo como un registro forense invaluable durante la respuesta a incidentes.
3. Cumplimiento y preparación para auditorías
Las soluciones PAM generan automáticamente registros de auditoría detallados. Cuando ocurre una auditoría NERC CIP o IEC 62443, la evidencia ya está compilada, incluyendo quién accedió a qué sistema, cuándo, desde dónde y qué acciones realizó. Esto reduce el tiempo de preparación para auditorías y fortalece la postura de cumplimiento.
4. Acceso remoto y de proveedores seguro
El acceso remoto es uno de los vectores de mayor riesgo en la seguridad OT. PAM permite a las organizaciones:
Otorgar a los proveedores acceso limitado por tiempo y específico del sistema, no acceso amplio a toda la red.
Requerir MFA antes de establecer cualquier sesión.
Grabar por completo cada sesión remota.
Terminar las sesiones de inmediato si se detecta actividad sospechosa.
Esto transforma el acceso de proveedores de una responsabilidad sin control en un proceso gobernado y auditable.
Cómo PAM previene ciberataques: contexto del mundo real
La brecha de Colonial Pipeline
En mayo de 2021, Colonial Pipeline, operador del mayor oleoducto de combustible de Estados Unidos, sufrió un ataque de ransomware que obligó a detener las operaciones en toda la Costa Este. ¿El punto de entrada? Una cuenta VPN comprometida sin MFA, conectada a un sistema heredado de acceso remoto. Según se informó, la credencial fue encontrada en un lote de contraseñas filtradas en la dark web.
Una solución PAM correctamente implementada habría:
Almacenado en bóveda y rotado esa credencial automáticamente.
Requerido MFA para cualquier sesión privilegiada.
Marcado la hora y el origen inusuales del inicio de sesión como anomalías.
Proporcionado una grabación de la sesión para análisis forense inmediato.
Malware Triton/TRISIS: la amenaza contra sistemas de seguridad
En 2017, los atacantes desplegaron el malware Triton/TRISIS contra una instalación petroquímica en Arabia Saudita, dirigiéndose específicamente a los Sistemas Instrumentados de Seguridad (SIS). El ataque requirió que los adversarios obtuvieran acceso a estaciones de trabajo de ingeniería con conectividad directa a los controladores de seguridad Triconex.
Este nivel de acceso, profundamente dentro de la red OT y sobre sistemas de ingeniería, es exactamente lo que PAM está diseñado para gobernar. El movimiento lateral fue posible porque los privilegios no estaban segmentados ni monitoreados adecuadamente.
Características esenciales de las soluciones PAM para OT
Almacenamiento seguro de credenciales
El almacenamiento seguro de credenciales guarda las contraseñas de cuentas privilegiadas en una bóveda centralizada y cifrada. En entornos OT, esto significa:
Las contraseñas de PLC y RTU ya no se almacenan en hojas de cálculo ni en notas adhesivas sobre los paneles de control.
Las credenciales se revisan para sesiones específicas y luego se rotan automáticamente.
Las contraseñas predeterminadas del fabricante, una plaga persistente en OT, se eliminan.
Aplicación del principio de mínimo privilegio
El principio de mínimo privilegio establece que cada usuario, proceso y sistema debe tener solo el acceso mínimo necesario para cumplir su función, nada más.
En OT, esto es operativamente complejo porque muchos sistemas heredados ejecutan servicios bajo cuentas administrativas de forma predeterminada. Las soluciones PAM ayudan a mapear y ajustar correctamente estos privilegios, reduciendo el radio de explosión de cualquier compromiso.
Monitoreo de sesiones
El monitoreo de sesiones en tiempo real permite a los equipos de seguridad observar sesiones privilegiadas activas conforme ocurren. En entornos OT, esto es crítico porque:
Los comandos anómalos (por ejemplo, un proveedor que modifica la lógica de un PLC fuera de una ventana de mantenimiento) pueden detectarse y detenerse de inmediato.
Se pueden establecer líneas base de comportamiento para cada usuario y rol.
La integración con plataformas SIEM o SOC con capacidad OT permite alertas automatizadas.
Grabación de sesiones
La grabación de sesiones captura un rastro de auditoría completo: pulsaciones de teclas, comandos, movimientos del mouse y actividad en pantalla, para cada sesión privilegiada. Esto no es solo una función de cumplimiento; es un activo forense.
Cuando ocurre un incidente en un entorno OT, la capacidad de reproducir exactamente lo que pasó en una estación de trabajo de ingeniería o en una sesión remota de proveedor es invaluable. Reduce los tiempos de investigación de semanas a horas.
¿Qué es la grabación de sesiones y por qué importa en OT?
La grabación de sesiones en PAM para OT funciona interceptando sesiones privilegiadas a nivel de protocolo, ya sea mediante RDP, SSH, interfaces HMI basadas en web o protocolos específicos de proveedores, y capturando un registro con marca de tiempo y búsqueda de toda la actividad.
En OT, esto importa por varias razones únicas de los entornos industriales:
Responsabilidad sobre la seguridad del proceso: Si un cambio de configuración en un DCS o PLC provoca un apagado no planeado o una falla del equipo, las grabaciones de sesión proporcionan un registro definitivo de qué se cambió, por quién y cuándo. Esto es esencial para el análisis de causa raíz (RCA) y para prevenir recurrencias.
Responsabilidad del proveedor: Cuando un ingeniero OEM de terceros accede de forma remota a tus activos, estás confiando en su postura de seguridad tanto como en la tuya. La grabación de sesiones garantiza que esa confianza esté respaldada por evidencia, no por suposiciones.
Evidencia regulatoria: Los reguladores exigen cada vez más evidencia documentada del control de acceso. Una grabación de sesión es la forma más sólida de esa evidencia.
Implementación de PAM en entornos OT: desafíos y estrategia
¿Se puede implementar PAM fácilmente en OT?
Sinceramente, no. La implementación de PAM en OT es significativamente más difícil que en TI, y las organizaciones que subestiman esta complejidad enfrentan implementaciones fallidas y equipos operativos frustrados.
Las razones son estructurales:
Sistemas heredados: Muchos dispositivos OT ejecutan sistemas operativos o firmware propietarios que anteceden a los estándares modernos de autenticación. Algunos no pueden soportar agentes ni integraciones por API.
Sensibilidad al tiempo de inactividad: En una planta en operación, no puedes simplemente aplicar una actualización o reiniciar un controlador para instalar agentes PAM. Las ventanas de mantenimiento son estrechas y, a menudo, están separadas por meses.
Aislamiento de red y segmentación: Las soluciones PAM requieren conectividad para funcionar. Las redes OT fuertemente segmentadas pueden requerir un diseño arquitectónico cuidadoso para evitar crear nuevas brechas de seguridad mientras se habilita la funcionalidad PAM.
Organización y cultura operativa: Los ingenieros que han trabajado con contraseñas estáticas y compartidas durante años a menudo resisten PAM como una carga operativa. La gestión del cambio es tan importante como la tecnología.
Factores clave para evaluar antes de seleccionar una solución PAM para OT
Conocimiento de protocolos OT: ¿La solución entiende protocolos OT como Modbus, DNP3, EtherNet/IP u OPC-UA? ¿Puede proporcionar contexto significativo para sesiones que usan estos protocolos, no solo tráfico de red genérico?
Opciones de arquitectura sin agentes: Los PLC y RTU heredados no pueden soportar agentes de software. Una solución PAM para OT debe ofrecer opciones de despliegue sin agentes para activos heredados.
Integración con el ecosistema de seguridad OT: ¿Puede integrarse con tu SIEM OT, firewall industrial o plataforma de inventario de activos? PAM debe amplificar tu pila de seguridad existente, no operar de forma aislada.
Resiliencia operativa: ¿Qué sucede con el acceso si la propia solución PAM se desconecta? Una implementación PAM OT bien diseñada debe incluir procedimientos de acceso de emergencia que mantengan la continuidad operativa sin omitir por completo la seguridad.
Pasos para implementar PAM en entornos OT
Paso 1 - Descubrimiento de activos y mapeo de privilegios
No puedes proteger lo que no puedes ver. Comienza con un inventario integral de activos OT: cada PLC, RTU, HMI, estación de trabajo de ingeniería, historizador y dispositivo de red. Para cada activo, asigna:
Todas las cuentas que existen (locales, de dominio, de servicio)
Niveles de privilegio actuales
Quién las usa y con qué propósito
Cómo se administran actualmente las credenciales
Esta fase a menudo revela brechas impactantes: cuentas compartidas utilizadas por docenas de proveedores, credenciales predeterminadas del fabricante aún activas años después del despliegue y cuentas de administrador usadas para operaciones rutinarias.
Paso 2 - Clasificación jerárquica de privilegios
Clasifica todas las cuentas privilegiadas por nivel de riesgo. Un proveedor que se conecta a un historizador no crítico pertenece a un nivel de riesgo distinto al de un ingeniero con acceso de escritura a un PLC de seguridad. La clasificación por niveles informa el diseño de políticas y ayuda a priorizar el despliegue de almacenamiento seguro y monitoreo.
Paso 3 - Diseño y aplicación de políticas
Define políticas de acceso que reflejen la realidad operativa de OT:
Ventanas de mantenimiento estándar vs. protocolos de acceso de emergencia
Restricciones de acceso específicas del proveedor (tiempo, alcance del sistema, aprobaciones requeridas)
Procedimientos de escalamiento para solicitudes de acceso justo a tiempo
Las políticas deben desarrollarse en colaboración con los equipos de operaciones e ingeniería, no imponerse de forma aislada por TI o seguridad.
Paso 4 - Despliegue por fases
Empieza con los activos de mayor riesgo y los vectores de acceso remoto. No intentes un despliegue en toda la instalación al mismo tiempo. Un enfoque por fases permite que el equipo de seguridad conozca el entorno operativo, refine las políticas y genere confianza con el personal de planta antes de ampliar el alcance
Paso 5 - Monitoreo y auditoría continuos
PAM no es una implementación de configurar y olvidar. El monitoreo continuo de sesiones privilegiadas, la revisión regular de derechos de acceso y los ejercicios periódicos de red team contra la arquitectura PAM son esenciales para mantener la efectividad a lo largo del tiempo.
Mejores prácticas de Gestión de Acceso Privilegiado para OT
Aplicar rigurosamente el principio de mínimo privilegio
En OT, el mínimo privilegio no se limita a las cuentas de usuario. Se aplica a cuentas de servicio, cuentas de aplicación y comunicación entre sistemas. Cada conexión entre un historizador y un ERP empresarial, cada script programado que lee de una base de datos SCADA, todo debe operar con el mínimo privilegio necesario.
Implementar acceso Just-in-Time (JIT)
El acceso JIT elimina por completo los privilegios permanentes. En lugar de que un ingeniero tenga derechos administrativos persistentes en una estación de trabajo de ingeniería, solicita acceso elevado para una tarea específica, durante un periodo específico y con una justificación específica. Cuando la tarea termina, el acceso se revoca automáticamente.
En entornos OT donde las actividades de mantenimiento son discretas y predecibles, el acceso JIT reduce drásticamente la ventana de oportunidad para los atacantes.
Exigir autenticación multifactor para cada sesión privilegiada
Ninguna sesión privilegiada, remota o presencial, debería ser posible con un solo factor de credencial. MFA es el control más efectivo contra ataques basados en credenciales. Incluso si una credencial se ve comprometida, MFA impide su uso.
Monitorear de forma continua, no periódica
Los equipos de seguridad OT suelen revisar los registros de acceso de manera reactiva, después de un incidente. La verdadera seguridad requiere monitoreo conductual continuo con alertas en tiempo real. Establece líneas base de comportamiento para cada cuenta privilegiada y marca automáticamente las desviaciones.
Realizar revisiones regulares de acceso privilegiado
Los derechos de acceso se acumulan con el tiempo. Los proveedores terminan proyectos y su acceso permanece. Los empleados cambian de puesto. Los sistemas se desmantelan, pero sus cuentas siguen activas. Las revisiones trimestrales de acceso, donde cada cuenta privilegiada se valida contra una necesidad de negocio actual, son una higiene esencial en los entornos OT.
Casos de uso avanzados: PAM más allá de lo básico
Descubrimiento y endurecimiento efectivos
Las soluciones PAM con capacidades de descubrimiento integradas pueden escanear de forma continua las redes OT para detectar cuentas privilegiadas nuevas o no administradas, identificando cuentas sombra creadas durante actualizaciones del sistema o por herramientas de terceros. Este descubrimiento continuo alimenta un ciclo de endurecimiento que elimina progresivamente la superficie de ataque.
Acceso elevado seguro para ingenieros y OEM
Cuando un proveedor OEM necesita realizar una actualización de firmware en un activo crítico, PAM habilita un proceso estructurado:
El proveedor envía una solicitud de acceso con justificación, alcance del sistema y ventana de tiempo
Un oficial de seguridad de planta aprueba la solicitud
Se generan credenciales JIT y se entregan a través de la bóveda PAM
La sesión se monitorea en tiempo real y se graba por completo
El acceso expira automáticamente al finalizar la sesión
Esto representa una mejora drástica frente a la norma de la industria de enviar por correo credenciales VPN estáticas a un proveedor y esperar lo mejor.
PAM en la arquitectura de acceso remoto
El acceso remoto es hoy el vector de mayor riesgo en la seguridad OT. Una implementación PAM robusta debe ubicarse en el centro de tu arquitectura de acceso remoto, no como una ocurrencia tardía, sino como el plano de control principal. Cada conexión remota al entorno OT debe pasar por la solución PAM, sin importar si el usuario es un ingeniero interno trabajando desde casa o un proveedor en otro país.
Esto requiere integración con tu pasarela segura de acceso remoto, ya sea una plataforma OT de acceso remoto diseñada para ese fin o una arquitectura endurecida de servidor de salto.
Recomendaciones estratégicas para CISOs y líderes de seguridad OT
1. Trata PAM como una iniciativa específica de OT, no como una transferencia a TI
Las implementaciones de PAM centradas en TI suelen fracasar en OT porque no contemplan las restricciones operativas. Construye tu programa PAM OT con ingenieros OT en la mesa desde el primer día.
2. Prioriza primero el acceso de proveedores
El acceso remoto de terceros es tu vector de mayor riesgo y menor control. Comenzar la implementación PAM con la gobernanza del acceso de proveedores ofrece el mayor retorno de seguridad en el menor tiempo.
3. Alinea PAM con tu programa IEC 62443 o NERC CIP
Mapea los controles PAM a los requisitos específicos de gestión de acceso de tu marco aplicable. Esto garantiza que tu inversión en PAM contribuya directamente a tu postura de cumplimiento y satisfaga los requisitos de los auditores.
4. Invierte en PAM consciente de OT, no en una herramienta de TI reutilizada
La solución PAM que elijas debe entender las realidades operativas OT: protocolos propietarios, sistemas heredados, requisitos de disponibilidad operativa e implicaciones de seguridad en las decisiones de acceso. Una solución PAM empresarial genérica adaptada para OT generará fricción y brechas.
Conclusión: Proteger el futuro de las operaciones industriales
La convergencia de TI y OT ha traído enormes beneficios operativos, pero ha cambiado de forma irreversible el panorama de amenazas. Confiar en contraseñas compartidas y VPNs sin monitoreo ya no es solo un riesgo de ciberseguridad; es un riesgo empresarial existencial.
Implementar la Gestión de Acceso Privilegiado en OT es la forma más efectiva de recuperar el control sobre tu infraestructura crítica. Al proteger las credenciales, aplicar el mínimo privilegio y registrar cada sesión administrativa, conviertes tu red industrial de un objetivo fácil en un entorno endurecido y resiliente.
¿Listo para asegurar tu infraestructura crítica? En Shieldworkz, nos especializamos en cerrar la brecha entre la realidad operativa y la ciberseguridad avanzada. Contacta hoy a nuestros expertos para evaluar tus riesgos de acceso OT y diseñar una estrategia PAM que proteja tus sistemas, a tu personal y tus resultados.
Recursos adicionales
Informe de análisis del panorama de amenazas de ciberseguridad OT 2026 aquí
Un informe descargable sobre el incidente cibernético de Stryker aquí
Guías de remediación aquí
Lista de verificación de cumplimiento IEC 62443 y NIS2 aquí
Mejores prácticas de seguridad OT y guía de evaluación de riesgos aquí
Recibe semanalmente
Recursos y Noticias
También te puede interesar
How Ransomware Attacks Disrupt Industrial Systems
Team Shieldworkz
NERC CIP Requirements Explained for Power Utilities
Team Shieldworkz
What Is a Programmable Logic Controller and Why Industries Use It
Team Shieldworkz
SCADA System Security Guide: Strengthening Industrial Defenses with NIST and IEC 62443
Team Shieldworkz
The Gentlemen RaaS breach: What the leak reveals about modern cybercriminal operations
Shieldworkz Threat Research Team
OT Network Segmentation That Actually Works in Industrial Environments
Team Shieldworkz
