


Equipo Shieldworkz
Todos los días, en plantas de energía, instalaciones de tratamiento de agua, refinerías de petróleo y pisos de manufactura, los ingenieros conectan unidades USB para actualizar firmware, transferir archivos de configuración o compartir datos de diagnóstico. Es una tarea rutinaria, práctica, rápida y profundamente familiar.
También es una de las acciones individuales más peligrosas que una organización puede permitir sin controles estrictos.
Los medios extraíbles (unidades USB, tarjetas SD, discos duros externos, dispositivos flash suministrados por proveedores) representan un vector de ataque persistente y frecuentemente explotado en entornos de tecnología operacional (OT) y sistemas de control industrial (ICS). A diferencia de las redes de TI tradicionales donde las herramientas de detección de endpoints están ampliamente desplegadas y se actualizan continuamente, los entornos de OT a menudo operan con sistemas heredados, capacidades de monitoreo limitadas y un principio fundacional que prioriza el tiempo de actividad sobre la seguridad.
Esa combinación crea las condiciones perfectas para que las amenazas de medios extraíbles pasen desapercibidas, a veces durante años.
Este blog explora por qué se siguen explotando los medios extraíbles en entornos SCADA e ICS, cómo son las consecuencias en el mundo real y qué debe incluir un marco sólido de políticas de seguridad para medios extraíbles en OT para proteger a su organización.
Por qué los medios extraíbles son particularmente peligrosos en entornos de OT y SCADA
El desafío fundamental en la seguridad de OT es que los sistemas de control industrial no fueron diseñados originalmente pensando en la ciberseguridad. Fueron diseñados para brindar confiabilidad, rendimiento determinista y longevidad operativa. Muchos de los sistemas que funcionan hoy en día se pusieron en marcha antes de que existieran los marcos de ciberseguridad modernos.
Esto crea un perfil de riesgo único que hace que los medios extraíbles sean mucho más peligrosos en un contexto de OT que en un entorno de TI equivalente:
Los sistemas con brecha de aire (Air-Gap) no están realmente aislados
Uno de los conceptos erróneos más persistentes en la ciberseguridad industrial es que los sistemas con brecha de aire (aquellos aislados físicamente de las redes externas) son intrínsecamente seguros. En la práctica, la brecha de aire se supera regularmente por el mismo elemento destinado a preservarla: los medios extraíbles.
Los ingenieros transfieren parches a través de USB. Los proveedores entregan actualizaciones de firmware en unidades precargadas. Los contratistas conectan computadoras portátiles para realizar diagnósticos. Cada una de estas acciones introduce la posibilidad de transferir malware desde un entorno externo a un sistema supuestamente aislado.
El ataque Stuxnet, posiblemente el ciberataque más trascendental jamás documentado contra la infraestructura industrial, explotó exactamente este vector. Ingresó a la instalación de enriquecimiento nuclear iraní en Natanz a través de unidades USB infectadas, evadiendo todas las defensas a nivel de red. La instalación estaba aislada de la red. Los atacantes lo sabían y se dirigieron al comportamiento humano que hizo que la brecha de aire fuera irrelevante.
Los sistemas heredados no pueden ejecutar software de seguridad moderno
Una parte importante de los entornos SCADA e ICS todavía opera en plataformas que ejecutan Windows XP, Windows 7 o sistemas operativos integrados patentados que no han recibido un parche de seguridad en años (a veces décadas). Estos sistemas no pueden admitir herramientas modernas de antivirus o de detección de endpoints, incluso si la organización quisiera implementarlas.
Cuando se conecta una unidad USB a uno de estos sistemas, a menudo no existe un mecanismo automatizado para escanear en busca de amenazas. El malware puede ejecutarse, persistir y propagarse antes de que cualquier operador humano note un comportamiento inusual.
Las ventanas de detección lentas amplifican el impacto
In los entornos de TI, el tiempo promedio de permanencia del malware (el período entre el compromiso inicial y la detección) ha ido disminuyendo constantemente gracias a la mejora de la inteligencia de amenazas y las herramientas de detección. En los entornos de OT, los tiempos de permanencia suelen ser drásticamente más largos. Algunos incidentes documentados han involucrado a atacantes que residieron en redes industriales durante 18 meses o más antes de ser descubiertos.
Durante ese tiempo, una pieza de malware introducida a través de una unidad USB puede mapear la red, establecer persistencia, exfiltrar datos del proceso o modificar silenciosamente la lógica de control, esperando su activación.
Incidentes del mundo real: El costo de controles de medios extraíbles inadecuados
El panorama de amenazas en torno a los medios extraíbles en entornos industriales no es hipotético. Varios incidentes de alto perfil demuestran precisamente lo que sucede cuando las organizaciones tratan este riesgo como una prioridad baja.
El precedente de Stuxnet (2010)
Stuxnet sigue siendo la referencia estándar de oro para los ataques de medios extraíbles en sistemas industriales. Desarrollado como un ciberarma altamente sofisticada, se dirigió específicamente al software Siemens Step 7 utilizado para programar PLC industriales. El malware se introdujo a través de unidades USB infectadas en las estaciones de trabajo de ingeniería de la instalación de Natanz. Una vez dentro, reprogramó sutilmente los controles de las centrifugadoras mientras reportaba un funcionamiento normal a los sistemas de monitoreo, una clase magistral de sabotaje industrial.
El incidente de Stuxnet demostró que incluso las organizaciones con una conciencia de seguridad significativa y medidas de aislamiento físico son vulnerables cuando los controles de medios extraíbles están ausentes o se aplican de manera inconsistente.
Los ataques a la red eléctrica de Ucrania (2015-2016)
Los ataques coordinados a la infraestructura de distribución de energía ucraniana, que causaron apagones reales que afectaron a cientos de miles de personas, involucraron una intrusión de múltiples etapas que incluyó spear-phishing para el acceso inicial, pero el movimiento lateral posterior y la entrega de carga útil dependieron de herramientas y técnicas consistentes con vectores de infección basados en medios facilitados por personas con acceso interno. Las familias de malware BlackEnergy e Industroyer utilizadas en estos ataques se diseñaron específicamente para interactuar con sistemas de control industrial y protocolos SCADA.
Estos incidentes subrayaron que el riesgo de los medios extraíbles no existe de forma aislada; es parte de una cadena de ataque más amplia que los adversarios sofisticados planifican y ejecutan de manera metódica.
Ataque al sistema de seguridad Triton/TRISIS (2017)
El malware Triton, descubierto apuntando a una instalación petroquímica en el Medio Oriente, fue diseñado específicamente para comprometer los Sistemas Instrumentados de Seguridad (SIS), la última línea de defensa contra catástrofes físicas en plantas industriales. Si bien el vector de infección principal involucró el acceso remoto, el malware fue diseñado para ser desplegado a través de estaciones de trabajo de ingeniería a las que comúnmente se accede mediante medios extraíbles y dispositivos de contratistas externos. La intención era deshabilitar los sistemas de seguridad durante una interrupción simultánea del sistema de control, un escenario que podría haber resultado en una explosión o víctimas masivas.
Estos no son casos atípicos ni escenarios teóricos. Son incidentes documentados, investigados y publicados que los profesionales de la seguridad industrial estudian precisamente porque las consecuencias de una falla en los entornos de OT se extienden más allá de la pérdida de datos hacia el daño físico, el daño ambiental y el riesgo para la seguridad pública.
Vectores de ataque de medios extraíbles en OT: Resumen de riesgos y detección
La siguiente tabla resume los principales vectores de ataque de medios extraíbles en entornos de OT y SCADA, su relevancia para las operaciones industriales, y el perfil de riesgo y detección asociado:
Vector de Ataque | Relevancia en OT/ICS | Nivel de Riesgo | Dificultad de Detección |
Unidad USB Infectada | Acceso directo a PLC/HMI | Crítico | Muy alta, los sistemas con brecha de aire carecen de Antivirus |
Laptop de Mantenimiento | Puente a la estación de trabajo de ingeniería | Alto | Alta, rara vez se monitorea en la zona de OT |
Tarjetas SD y Medios Flash | Actualizaciones de Historian/SCADA | Alto | Moderada, si se exige el escaneo |
Disco Duro Externo | Respaldo y transferencia de datos | Medio-Alto | Moderada |
Medios Suministrados por Proveedores | Entrega de firmware/parches | Crítico | Muy alta, confiables por defecto |
Comprender qué vectores tienen más probabilidades de ser explotados en su entorno específico es la base de una política de seguridad de medios extraíbles de OT eficaz.
La brecha en la política de seguridad de medios extraíbles de OT: Dónde se quedan cortas las organizaciones
Muchas organizaciones industriales reconocen que los medios extraíbles representan un riesgo. Muchas menos lo han abordado con un marco de políticas que sea adecuado para su propósito en un contexto de OT.
Las políticas de TI no se traducen directamente a OT
Las organizaciones que han invertido en seguridad de TI a menudo asumen que sus políticas de medios extraíbles existentes se extienden a sus entornos de tecnología operacional. Esta es una suposición peligrosa. Las políticas de medios extraíbles de TI generalmente se construyen en torno a la prevención de pérdida de datos, evitando la extracción no autorizada de archivos confidenciales. Las políticas de medios extraíbles de OT deben construirse en torno a un modelo de amenaza fundamentalmente diferente de prevenir la introducción de código malicioso en sistemas que controlan procesos físicos.
Los controles, los flujos de trabajo y los mecanismos de aplicación son diferentes. Los sistemas que se protegen son diferentes. Las consecuencias de una falla son diferentes. Una política de medios extraíbles centrada en TI aplicada a un entorno de OT dejará brechas críticas.
El acceso de proveedores y contratistas está sistemáticamente subcontrolado
Uno de los riesgos que se subestiman de manera más constante en la seguridad de los medios extraíbles industriales es el modelo de acceso de proveedores y contratistas. Los técnicos de terceros llegan rutinariamente a las instalaciones industriales con sus propias computadoras portátiles, unidades USB y herramientas de diagnóstico. Es posible que hayan visitado varios sitios de clientes con el mismo equipo. Es posible que sus dispositivos no hayan sido escaneados recientemente, si es que alguna vez lo fueron.
Sin un proceso formal para verificar, escanear y controlar los medios que los proveedores introducen en el entorno de OT, las organizaciones están subcontratando efectivamente su riesgo de seguridad a partes sobre las cuales tienen una visibilidad limitada.
Ausencia de infraestructura dedicada al escaneo de medios en OT
Incluso las organizaciones que cuentan con políticas declaradas sobre medios extraíbles a menudo carecen de la infraestructura física para hacerlas cumplir en el punto de entrada. Una política que requiere escanear todos los medios antes de usarlos en el entorno de OT es inaplicable si no hay una estación de escaneo dedicada y compatible con OT disponible en la instalación. Es posible que las herramientas de escaneo de TI genéricas no reconozcan las firmas de amenazas relevantes para los sistemas industriales y que no se desplieguen en ubicaciones que las hagan accesibles al personal de OT durante su flujo de trabajo real.
Política de seguridad para medios extraíbles en OT: Controles y alineación de cumplimiento
Las políticas de seguridad eficaces para los medios extraíbles en OT integran controles técnicos, requisitos de procedimiento y alineación de cumplimiento. La siguiente tabla describe las áreas de políticas clave y sus marcos correspondientes:
Área de Política | Control Recomendado | Alineación de Cumplimiento |
Autorización de Dispositivos | Política de USB solo mediante lista blanca con registro de activos | IEC 62443, NIST SP 800-82 |
Escaneo de Malware | Kiosco de escaneo de medios dedicado y compatible con OT | NERC CIP-010, IEC 62443-3-3 |
Acceso de Proveedores | Acceso acompañado, solo medios previamente escaneados | IEC 62443-2-1, ISO/IEC 27001 |
Auditoría y Registro | Registros con marca de tiempo de todas las conexiones de medios | NERC CIP-007, NIST CSF |
Cifrado | Unidades cifradas por hardware para usuarios autorizados | IEC 62443-4-2, ISO/IEC 27001 |
Capacitación de Personal | Concientización sobre seguridad de medios en OT específica por rol | IEC 62443-2-1, NIST CSF PR.AT |
Cumplimiento y gobernanza en OT: Expectativas regulatorias en torno a los medios extraíbles
La seguridad de los medios extraíbles no es solo una buena práctica: para muchas organizaciones industriales, es un requisito regulatorio. Varios de los principales marcos de cumplimiento abordan directamente los requisitos de control de medios en entornos de OT e infraestructura crítica.
Estándares NERC CIP
Para las organizaciones del sector de servicios eléctricos de América del Norte, las normas de Protección de Infraestructura Crítica (CIP) de NERC incluyen requisitos específicos bajo CIP-010 y CIP-007 que abordan la gestión de la configuración y la gestión de la seguridad del sistema, respectivamente. Estas normas requieren procesos documentados para controlar los medios físicos, incluidos los medios extraíbles, en entornos que contienen Sistemas Ciberfísicos del Sistema Eléctrico Principal (BES).
IEC 62443
La serie IEC 62443, la norma internacional para la ciberseguridad industrial, aborda los controles de medios extraíbles como parte de su marco de nivel de seguridad. La norma IEC 62443-2-1 especifica los requisitos para establecer y mantener un sistema de gestión de ciberseguridad para sistemas de control y automatización industrial, incluidas las políticas que rigen los medios portátiles y extraíbles. La norma IEC 62443-3-3 incluye requisitos de seguridad del sistema que abordan el control de medios extraíbles a nivel del sistema.
NIST SP 800-82
La Guía para la seguridad de los sistemas de control industrial (SP 800-82) del Instituto Nacional de Estándares y Tecnología identifica específicamente los medios extraíbles como un vector de amenaza significativo y proporciona orientación sobre la implementación de controles adecuados para entornos ICS, incluidos los requisitos de escaneo, los procesos de autorización y las medidas de seguridad física para la gestión de medios.
Las organizaciones que no abordan la seguridad de los medios extraíbles en sus entornos de OT se enfrentan no solo a riesgos operativos, sino también a posibles hallazgos de cumplimiento, fallas de auditoría y, en sectores regulados, a sanciones financieras significativas.
Recomendaciones prácticas: Construcción de un programa de seguridad eficaz para medios extraíbles en OT
Traducir la intención de la política en una realidad operativa en un entorno de OT requiere un enfoque estructurado y por fases que tenga en cuenta las restricciones únicas de los sistemas industriales. Las siguientes recomendaciones reflejan las realidades prácticas de implementar controles eficaces de medios extraíbles sin interrumpir las operaciones industriales.
1. Establecer un registro de activos de medios extraíbles
Cada unidad de medio extraíble autorizada que se utilice en el entorno de OT debe registrarse, etiquetarse y rastrearse. Esto incluye los medios proporcionados a los proveedores para su uso durante las actividades de mantenimiento. El registro debe contener los identificadores de los dispositivos, los usuarios autorizados, los casos de uso aprobados y los sistemas en los que se permite operar a cada dispositivo.
2. Desplegar kioscos dedicados al escaneo de medios de OT
Se deben desplegar estaciones de escaneo físico (kioscos independientes con inteligencia de amenazas compatible con OT) en todos los puntos de entrada de las instalaciones y en las proximidades de las áreas de trabajo de OT. Todos los medios extraíbles que ingresen al entorno deben escanearse y aprobarse antes de conectarse a cualquier sistema industrial. Este es el control individual de mayor impacto que una organización puede implementar para la prevención de amenazas de medios extraíbles en un contexto de OT.
3. Implementar el bloqueo de puertos USB en sistemas de OT
Cuando sea operativamente viable, los puertos USB en los sistemas de OT que no requieran acceso a medios extraíbles deben deshabilitarse físicamente o bloquearse mediante dispositivos de bloqueo de puertos. Para los sistemas que sí requieren acceso a medios, los controles basados en software deben aplicar políticas de lista blanca que permitan únicamente identificadores de dispositivos específicamente autorizados.
4. Formalizar los protocolos de medios para proveedores y contratistas
No se debe permitir ningún medio de terceros en el entorno de OT sin una autorización previa y un escaneo documentado. Los medios provistos por proveedores, incluidas las actualizaciones de firmware entregadas en USB o tarjeta SD, deben tratarse con el mismo nivel de escrutinio que cualquier otro dispositivo externo. Considere proporcionar medios previamente escaneados y controlados por la organización para el uso de los contratistas, en lugar de permitir el uso de dispositivos propiedad de estos.
5. Implementar un registro de auditoría integral
Todos los eventos de conexión de medios en el entorno de OT deben registrarse con marcas de tiempo, identificadores de dispositivo e información del usuario. Estos registros deben revisarse periódicamente y conservarse de acuerdo con los requisitos de cumplimiento aplicables. Las anomalías, las conexiones de medios inesperadas, las conexiones fuera de las horas de trabajo normales o las conexiones a sistemas que no están dentro del alcance autorizado de una persona deben desencadenar una investigación inmediata.
6. Realizar capacitaciones de concientización sobre seguridad específicas por rol
La concientización sobre seguridad en el entorno de OT debe ser relevante desde el punto de vista operativo. La capacitación genérica sobre ciberseguridad desarrollada para audiencias de TI a menudo no resuena con los operadores de plantas, técnicos de mantenimiento e ingenieros de campo. Los programas de capacitación deben utilizar escenarios extraídos de entornos reales de OT, abordar los riesgos específicos asociados con los medios extraíbles en entornos industriales y proporcionar una orientación clara y aplicable sobre las políticas de la organización y los procedimientos de cumplimiento.
Cómo apoya Shieldworkz a las organizaciones para fortalecer la seguridad de sus medios extraíbles
En Shieldworkz, trabajamos exclusivamente en el dominio de seguridad de OT, ICS e infraestructuras críticas. Entendemos que proteger los entornos industriales requiere algo más que aplicar marcos de seguridad de TI a contextos de OT: requiere experiencia especializada, conciencia operativa y una profunda familiaridad con los sistemas y procesos industriales en juego.
Cuando las organizaciones nos contratan para abordar la seguridad de los medios extraíbles y los requisitos de cumplimiento de OT más amplios, nuestro enfoque se basa en la realidad operativa del entorno único de cada cliente. Nuestro apoyo incluye:
• Realizar evaluaciones de riesgo detalladas de medios extraíbles en OT que mapean los patrones de uso reales de los medios, identifican dispositivos no autorizados y evalúan la efectividad de los controles existentes frente a la inteligencia de amenazas actual.
• Desarrollar políticas de seguridad de medios extraíbles en OT integrales y adaptadas a los requisitos operativos específicos, la arquitectura del sistema y las obligaciones de cumplimiento de cada instalación, incluidas las políticas para el acceso de medios de proveedores y contratistas.
• Diseñar e implementar infraestructura dedicada de escaneo de medios, incluyendo soluciones de kiosco compatibles con OT posicionadas dentro de los flujos de trabajo operativos para maximizar la adopción y minimizar la interrupción.
• Realizar el endurecimiento técnico de los endpoints de OT para aplicar controles de dispositivos autorizados, bloqueo de puertos y registro de auditoría en entornos que van desde plataformas SCADA modernas hasta sistemas ICS heredados.
• Llevar a cabo evaluaciones de brechas de cumplimiento alineadas con IEC 62443, NERC CIP, NIST SP 800-82 y marcos regulatorios específicos del sector, ofreciendo a las organizaciones una hoja de ruta clara para lograr y mantener el cumplimiento.
• Proporcionar programas de capacitación en concientización de seguridad específicos para OT que equipen a los operadores de planta, equipos de mantenimiento y personal de operaciones de seguridad con el conocimiento práctico para identificar y responder a las amenazas de medios extraíbles.
• Brindar soporte en el monitoreo continuo de la seguridad y en la planificación de respuesta a incidentes para entornos de OT, garantizando que cuando ocurra un incidente relacionado con medios, las organizaciones puedan detectarlo, contenerlo y recuperarse rápidamente.
Nuestros compromisos están diseñados para ser prácticos, no disruptivos y orientados a resultados, enfocados en la mejora medible de la postura de seguridad de su organización en lugar de ejercicios de cumplimiento teóricos.
Conclusión: El riesgo es real y es manejable
Los medios extraíbles no son una amenaza nueva. Son un vector de ataque persistente, bien documentado y constantemente explotado en entornos SCADA e ICS, uno que ha contribuido a algunos de los incidentes de ciberseguridad industrial más trascendentales de la historia.
Las organizaciones que han sufrido las consecuencias más significativas no son aquellas que carecían de recursos para abordar el riesgo. Son organizaciones que lo subestimaron, lo delegaron a equipos de TI sin experiencia en OT o permitieron que la conveniencia operativa anulara la gobernanza de la seguridad.
La seguridad eficaz de los medios extraíbles en OT es alcanzable. Requiere las políticas correctas, los controles correctos, la infraestructura correcta y la cultura organizacional correcta, construida específicamente para el entorno industrial. Requiere tratar cada unidad USB, cada computadora portátil de contratista y cada dispositivo suministrado por un proveedor como un punto de entrada potencial hasta que haya sido verificado debidamente.
Las consecuencias de equivocarse en esto van más allá de las pérdidas financieras y las sanciones regulatorias. En entornos industriales, pueden extenderse a paradas operativas, daños ambientales y lesiones físicas. El estándar de cuidado nunca ha sido tan alto y las herramientas para cumplirlo nunca han estado tan accesibles.
Reserve una consulta gratuita con nuestros expertos
Su entorno industrial merece algo más que un enfoque genérico de ciberseguridad. Las amenazas de medios extraíbles en entornos de OT y SCADA requieren experiencia especializada, marcos de políticas diseñados a la medida y una vigilancia constante, no solo software comercial estándar.
Nuestro equipo en Shieldworkz trabaja directamente con líderes de seguridad de OT, gerentes de planta, CISO e ingenieros de ICS para evaluar su exposición actual a medios extraíbles, diseñar un marco de políticas alineado con sus requisitos regulatorios e implementar controles prácticos y escalables, sin interrumpir sus operaciones.
Recursos adicionales
Informe de Shieldworkz sobre el panorama de amenazas de seguridad en OT de 2026 aquí
IEC 62443 - Guía práctica para la seguridad en OT/ICS e IIoT aquí
Guías de remediación aquí
Recibe semanalmente
Recursos y Noticias
Vea cómo nuestras soluciones de seguridad de OT líderes en la industria abordan los desafíos de seguridad críticos
También te puede interesar

Why IEC 62443 Is the Leading OT Cybersecurity Standard

Team Shieldworkz

Preliminary Investigation Report: Data Extortion targeting Kudankulam Nuclear Plant engineering documents

Prayukth K V

Key Components of a Cyber Physical System Explained

Team Shieldworkz

Preparing European critical infrastructure for the next phase of Russian cyber operations

Prayukth K V

Nihon Kotsu cyber incident: Analysis and investigative report

Prayukth K V

Understanding the operational and cybersecurity risks of AI integration in Industrial Control Systems

Prayukth K V

