Qué tendencias están impulsando la seguridad de OT en todas partes en 2026.

In today’s blog post, I talk about how the first four months of 2026 have changed OT security forever.

Till a few months back, there was a specific kind of conversation that used to happen in industrial facilities everywhere. One would walk into a site assessment with a laptop and a clipboard, ask the engineering team about their control system inventory, and watch the room politely disengage. The engineers have had conversations with IT security people before. They had endured firewall discussions, vulnerability scanner demonstrations, and network diagram reviews that bore absolutely no resemblance to the actual production environment they were managing. They were willing to cooperate largely because corporate compliance required it  and once done, they would return to the work that kept the lights on, the product flowing, and the process running safely. These conversations were forgotten in its entirety by OT engineers.

That conversation has now fundamentally changed.

Before we move forward, don’t. forget to download the latest edition of our OT security threat landscape report from here.

A few months ago, I was at a midstream natural gas facility as part of a fairly routine architecture assessment. Before I could initiate the process, the plant manager some who had spent twenty-three years on the job and someone who knew every valve and compressor on that site by sound, pulled up a news article on his phone about an industrial cyberattack in a different sector. He set the phone down on the table and calmly asked: "How long does it take to recover a PLC if someone wipes the firmware?"

Not "are we compliant with the our compliance mandates." Not "does our SCADA system have antivirus." Or even “till when are you here.” He wanted to know recovery time, because he understood that this was a production problem first and a cybersecurity problem second.

Such questions indicate how much the landscape has changed.   

The compliance era left blind spots we are still paying for

To understand where we are, you have to understand how we reached here. For the better part of two decades, OT security was largely driven by regulatory compliance. NERC CIP in the electric sector. CFATS in the chemical sector. Various API and ISO standards in oil and gas. These frameworks did important work. They forced organizations to build device inventories, define access controls, and think about electronic security perimeters. Without them, the baseline would have been even lower than where it is today.

Para entender dónde estamos, es necesario comprender cómo llegamos aquí. Durante la mayor parte de dos décadas, la seguridad de la tecnología operativa (OT) estuvo impulsada en gran medida por el cumplimiento normativo. NERC CIP en el sector eléctrico, CFATS en el químico, y diversos estándares API e ISO en el sector de petróleo y gas. Estos marcos de trabajo desempeñaron un papel crucial: obligaron a las organizaciones a elaborar inventarios de dispositivos, definir controles de acceso y conceptualizar perímetros de seguridad electrónica. Sin ellos, el punto de partida habría sido incluso más bajo de lo que es hoy.

Pero los marcos de cumplimiento conllevan una limitación estructural inherente y fundamental: definen un suelo y no un techo. En la seguridad de OT, el suelo y el techo se confundieron con demasiada frecuencia.

Una organización que cumplía con cada uno de los requisitos de su auditoría NERC CIP se consideraba segura según la propia definición del marco de trabajo. Sin embargo, NERC CIP-007 evalúa si usted conoce qué puertos y servicios están habilitados en los componentes de su Sistema Cibernético BES. No determina si un adversario con credenciales de acceso remoto válidas y conocimiento de la topología de su red (posiblemente extraído de un GPT) puede transitar desde su red empresarial hasta su sistema de control de turbinas sin tocar ninguna parte del límite monitoreado. Esa brecha, entre el cumplimiento normativo y el riesgo real, es precisamente donde los actores de amenazas prosperaron sin ser detectados durante años. 

El ataque a Colonial Pipeline en mayo de 2021 se convirtió en el punto de inflexión que la industria había estado temiendo. El ransomware no comprometió de forma directa la tecnología operativa de Colonial, sino que el ataque se contuvo principalmente en la red de TI. Sin embargo, los operadores de Colonial no podían confirmar con certeza qué se había visto afectado o no en el lado de OT y, ante esa incertidumbre, tomaron la única decisión defendible que tenían a la mano: apagaron 5,500 millas de oleoducto. Casi la mitad del suministro de combustible de la Costa Este se detuvo, no porque la tecnología operativa estuviera definitivamente comprometida, sino porque nadie podía estar seguro de que no lo estuviera y nadie sabía qué sistemas habían sido impactados.

Esa incertidumbre —o más específicamente, esa falta fundamental de visibilidad verificada— fue la verdadera vulnerabilidad. Y costó órdenes de magnitud más de lo que habría costado cualquier pago de rescate.

Un incidente de OT es algo completamente diferente

Esto es algo que a los profesionales de seguridad de TI a veces les cuesta asimilar de manera interna hasta que han presenciado un incidente real de OT. Un evento de seguridad de OT no es simplemente una brecha de datos con un piso de producción asociado.

Cuando un hospital sufre un ataque de ransomware, las consecuencias inmediatas son la interrupción operativa, el riesgo potencial para la seguridad de los pacientes y la pérdida de datos. Todo ello de gravedad y con requerimiento de una respuesta urgente. No obstante, el hospital a menudo puede sortear el problema mediante la implementación de procesos en papel, el desvío de pacientes a otros centros y la restauración de sistemas críticos a partir de respaldos limpios. Aun así, estos no son pasos fáciles de tomar, en especial en medio de una crisis cuando la mitad de los equipos ya están saturados.

Por otro lado, cuando un sistema de cloración en una planta de tratamiento de agua recibe una instrucción no autorizada para alterar las tasas de alimentación química, no hay forma de sortear el problema. No existe una degradación controlada. La química es el producto. La física es el proceso. 

Cuando se desplegó el malware Triton contra los sistemas instrumentados de seguridad en una planta petroquímica de Oriente Medio en 2017, los adversarios no buscaban datos. No buscaban dinero. Intentaban deshabilitar la última línea de protección automatizada de seguridad (el sistema diseñado específicamente para llevar un proceso peligroso a un estado seguro cuando todos los demás controles fallan), con la intención aparente de permitir que un proceso escalara hacia un desenlace físico catastrófico. Ese modelo de amenaza no tiene equivalente en el manual de estrategias de seguridad de TI.

Y luego está NotPetya. El ataque de junio de 2017, atribuido ampliamente a la inteligencia militar rusa, se dirigió nominalmente a la infraestructura financiera ucraniana. Sin embargo, se propagó indiscriminadamente por las redes corporativas globales. Maersk, la compañía de transporte marítimo y logística, perdió prácticamente toda su red global, incluyendo los sistemas que operaban las terminales portuarias en todo el mundo. Los daños estimados únicamente para Maersk rondaron los 300 millones de dólares. Merck, Mondelez y docenas de fabricantes descubrieron que sus entornos operativos y empresariales estaban mucho menos aislados de lo que sugieren sus diagramas de arquitectura. Nadie había modelado el radio de afectación de la explosión.

La evolución silenciosa: de la visibilidad de activos al pensamiento de rutas de ataque

Aquí es donde el campo ha madurado genuinamente de una forma que merece ser reconocida, y donde se está llevando a cabo el trabajo de mayor trascendencia en este momento.

Durante años, el objetivo declarado de la seguridad de red en OT fue la visibilidad de activos. Saber qué dispositivos existen en su red. Entender qué protocolos hablan. Detectar anomalías en comparación con una línea base de comportamiento. Esta fue la propuesta de valor central de todo despliegue de monitoreo pasivo de OT, de cada plataforma de NDR industrial y de cada iniciativa de descubrimiento de activos. Y sigue siendo una labor fundacional y no negociable. No se puede proteger lo que no se puede ver.

Pero la visibilidad de activos por sí sola es solo conocimiento pasivo. Le dice qué existe, mas no le dice qué haría un adversario con lo que existe o cómo lo atacaría.

El pensamiento basado en rutas de ataque plantea una pregunta estructuralmente diferente: considerando cada activo descubierto, cada conexión de red mapeada y cada vulnerabilidad identificada, ¿cuál es la ruta más viable desde un punto de acceso inicial hasta el objetivo de mayores consecuencias? No es "¿tengo un PLC en mi red?", sino "si un adversario obtiene acceso inicial a mi servidor de Historian, ¿cuál es la secuencia de movimientos laterales, a través de qué protocolo, utilizando qué relación de confianza y explotando qué debilidad de autenticación que conduce desde ese Historian hasta el controlador de mi sistema instrumentado de seguridad?".

Esto no es modelado de amenazas académico. Es diseño de seguridad operativa, y los adversarios que se dirigen a entornos industriales lo han estado practicando de manera disciplinada durante años.

Los grupos de adversarios que se especializan en entornos de sistemas de control industrial —rastreados y caracterizados por organizaciones como Shieldworkz y agencias gubernamentales incluida la CISA— demuestran en sus tácticas un conocimiento previo y detallado de las arquitecturas de sus objetivos. El malware Industroyer2, desplegado contra subestaciones de alta tensión ucranianas en abril de 2022, contenía una focalización codificada para comunicaciones IEC 104, un protocolo de automatización industrial específico utilizado en sistemas de energía. Esa capacidad no surge de un kit de herramientas de intrusión genérico. Refleja a adversarios que estudiaron el entorno objetivo, entendieron sus protocolos operativos y estructuraron su ataque en torno a la ruta de ataque que ya habían mapeado.

Las alertas de la CISA y las publicaciones gubernamentales conjuntas sobre Volt Typhoon durante 2023 y hasta 2024 describieron algo igual de preocupante pero de diferente carácter: un actor patrocinado por el estado chino que realizaba un preposicionamiento deliberado a largo plazo dentro de las redes de infraestructura crítica de EE. UU., eligiendo específicamente técnicas de "living-off-the-land" para evitar generar el tipo de actividad anómala que el monitoreo convencional marcaría. El objetivo no era la disrupción inmediata, sino el establecimiento silencioso de un acceso persistente; rutas de ataque reservadas para ser activadas en un momento de decisión estratégica.

Si su programa de seguridad se orienta principalmente en torno a firmas de malware y violaciones de políticas, no detectará a esta categoría de adversario. Si su programa incluye una visibilidad integral de activos de OT, un análisis de comportamiento a nivel de protocolo y, de manera crítica, una comprensión mapeada de qué activos representan escalones viables hacia su tecnología operativa más crítica, poseerá una capacidad real para detectarlo y responder ante él.

Lo que las juntas directivas deben entender

La conversación en la sala del consejo de administración ha cambiado, pero no siempre en la dirección correcta. Ha surgido un nuevo patrón: los ejecutivos asisten a una sesión informativa sobre ciberseguridad, asimilan el mensaje de que los ataques a OT son reales y tienen consecuencias graves, y se marchan con el mandato vago de "hacer algo". Se asignan presupuestos. Se compran plataformas de monitoreo. Se contratan consultores. Y dieciocho meses después, la organización cuenta con un inventario de activos bien configurado, un tablero de control con datos y ningún entendimiento operativo de qué hacer a las 2 AM de un sábado cuando ese tablero emite una alerta crítica.

La pregunta correcta para la junta directiva no es "¿tenemos un programa de seguridad de OT?". La pregunta adecuada es: "Si nuestro sistema de control del compresor principal en nuestra instalación más grande dejara de estar disponible mañana por la mañana, ¿cuál es nuestro tiempo para alcanzar un estado seguro, cuál es el impacto de producción por hora de inactividad de la planta y cuánto tiempo pasará antes de que podamos volver a operar por completo con confianza verificada en la integridad del sistema?".

Si el liderazgo de seguridad no puede responder a esa pregunta con especificidad, la junta directiva debería sentirse incómoda. Si su equipo de ingeniería de operaciones nunca ha ensayado ese escenario en un simulacro estructurado, la capacidad de respuesta ante incidentes presentará una brecha que ninguna compra de tecnología podrá cerrar.

El sector de seguros entendió este cálculo antes que gran parte de la comunidad de seguridad. Los aseguradores de riesgo cibernético que evalúan entornos de OT comenzaron a preguntar, con creciente especificidad técnica: ¿Cuál es la arquitectura de segmentación entre su red empresarial y su red de control de Nivel 2? ¿Puede un operador iniciar una sesión remota de HMI desde un dispositivo personal? ¿Cuál es el proceso de restauración para la configuración de un PLC después de un evento de corrupción de firmware y cuánto tiempo toma? Estas no son preguntas de ciberseguridad genéricas. Son preguntas sobre los objetivos de tiempo de recuperación para el control del proceso físico, y las respuestas determinan directamente el modelo de riesgo actuarial y, en consecuencia, la prima.

Las organizaciones que responden a esas preguntas con confianza y precisión son aquellas que han realizado el trabajo difícil y menos llamativo: no solo el despliegue de tecnología, sino el modelado de consecuencias y el diseño de la recuperación.

La dimensión geopolítica que los profesionales ya no pueden ignorar

Quiero abordar algo por lo que la comunidad técnica a veces se resiste a reconocer directamente: la seguridad de OT es ahora un asunto explícito de seguridad nacional, y operar como si ese contexto no perteneciera a su modelo de amenazas es un error profesional.

Los ataques a la infraestructura de distribución de energía ucraniana en diciembre de 2015 y diciembre de 2016, ejecutados utilizando BlackEnergy y luego la plataforma sustancialmente más sofisticada Industroyer, no fueron campañas criminales. Fueron operaciones militares contra infraestructura crítica civil, diseñadas para causar consecuencias físicas en la población civil durante un conflicto armado activo. Los ataques de 2023 a empresas de servicios de agua de EE. UU. atribuidos a actores afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, enfocados en instalaciones que operaban modelos específicos de PLC Unitronics —dejando mensajes visibles en las pantallas de los operadores—, fueron demostraciones calibradas. El mensaje era inequívoco: esta infraestructura es alcanzable, conocemos sus equipos y estamos eligiendo mostrárselo en lugar de dañarlos. No se garantiza que esa contención persista bajo diferentes condiciones geopolíticas.

Los gobiernos han respondido con una urgencia inusual. Las Directivas de Seguridad para Oleoductos de la TSA, emitidas tras el ataque a Colonial Pipeline, exigieron capacidades de segmentación de red, monitoreo y respuesta a incidentes para los operadores de oleoductos de una manera que habría sido políticamente inconcebible una década antes. La Directiva NIS2 de la Unión Europea amplió las obligaciones obligatorias de ciberseguridad a los operadores de servicios esenciales en los sectores de energía, agua, manufactura y transporte de formas que implican directamente a los programas de seguridad de OT. La guía de seguridad de OT intersectorial de la CISA se ha vuelto significativamente más específica en el ámbito técnico con cada nueva actualización.

Esto no es carga burocrática. Es el reconocimiento formal por parte de los gobiernos de que la capacidad de manufactura, la infraestructura de suministro de energía y el abastecimiento de agua son activos estratégicos nacionales, cuya resiliencia es tanto una cuestión de defensa como de continuidad de negocio.

Para el profesional en el campo de trabajo, la implicación práctica es la siguiente: su modelo de amenazas ya no puede definirse puramente por grupos criminales de ransomware que buscan un beneficio financiero. Se encuentra potencialmente dentro del cálculo de focalización de actores patrocinados por estados con largos horizontes temporales de operación, objetivos de acceso persistente y un interés en mantener opciones de disrupción física a una escala y en un momento de su elección estratégica. Su arquitectura, su monitoreo y su modelado de rutas de ataque deben construirse para esa realidad, incluso si pasa toda su carrera esperando no necesitarlo nunca.

Dónde se está llevando a cabo el verdadero trabajo

La tecnología ha mejorado sustancialmente. Las plataformas líderes de detección y respuesta de red (NDR) en OT pueden hacer ahora cosas que habrían sido sorprendentes hace una década: decodificación pasiva nativa de protocolos de comunicaciones industriales a través de Modbus, DNP3, EtherNet/IP, PROFINET, IEC 61850, Siemens S7, entre otros; detección de anomalías de comportamiento calibrada a los ciclos de procesos industriales en lugar de a los patrones de tráfico de TI; correlación de vulnerabilidades con versiones de firmware específicas utilizando las alertas de ICS-CERT y los boletines de seguridad de los proveedores; e integración con plataformas de centros de operaciones de seguridad (SOC) que incluyen el contexto de criticidad de los activos para que el analista que recibe una alerta entienda qué tipo de dispositivo está involucrado y cuál podría ser la consecuencia de un evento en dicho dispositivo.

Las plataformas no son el problema.

La brecha radica en la operacionalización. Un sensor de monitoreo de OT que genera una alerta por tráfico DNP3 anómalo en una unidad de terminal remota (RTU) a las 2 AM de un fin de semana festivo no ayuda si su analista de SOC no sabe qué es DNP3, su procedimiento de respuesta a incidentes dicta "derivar a seguridad de TI" y nadie ha mapeado esa RTU con el proceso físico que controla ni ha documentado cómo se vería la consecuencia de un comando no autorizado en términos operativos.

Las organizaciones que logran un progreso genuino y duradero son las que realizan el trabajo menos visible. Inspecciones físicas constantes para validar que los diagramas de topología de red reflejen lo que está cableado en el campo, porque casi nunca coinciden, especialmente después de años de modificaciones progresivas. Ejercicios conjuntos de simulacros en los que los ingenieros de sistemas de control y los analistas de seguridad trabajen en un mismo escenario de ataque desde sus diferentes bases de conocimiento y descubran, en un entorno de bajo riesgo, cuánto desconoce cada parte del mundo de la otra. Mapeo de criticidad que se traslade desde los diagramas de ingeniería y tuberías (P&ID) y la documentación de diseño técnico de ingeniería hasta la información disponible para un analista de SOC al momento de recibir una alerta. Procedimientos de recuperación documentados y probados, y no solo documentados, sino probados físicamente, porque no hay sustituto para descubrir que su procedimiento de restauración de respaldo de PLC toma cuatro horas en lugar de cuarenta y cinco minutos antes de encontrarse en medio de un incidente activo.

Ahí es donde reside realmente la seguridad. No en la plataforma. En las personas que comprenden tanto el proceso industrial como al adversario lo suficientemente bien como para actuar sobre la información que la plataforma saca al descubierto.

El cambio psicológico

Regreso al gerente de planta con el teléfono. Veintitrés años en el puesto, responsable de una instalación que procesa millones de pies cúbicos de gas natural al día, que conoce sus equipos de la forma en que un cirujano conoce la anatomía, preguntando sobre los tiempos de recuperación de los PLC.

Esa conversación no ocurrió porque se instalara un sensor de NDR el trimestre pasado. Ocurrió porque una cadena de eventos —incluyendo paralizaciones de oleoductos visibles en las noticias nacionales, incidentes de suministro de agua en portadas, plantas de manufactura quedando a oscuras por infecciones que comenzaron en contabilidad, directivas gubernamentales con dientes para su aplicación y renovaciones de seguros que requerían respuestas a preguntas incómodas— acumuló el peso suficiente para que la abstracción psicológica del "ciberriesgo" finalmente descendiera a la realidad operativa concreta de "mi proceso, mis equipos, mi gente, mi responsabilidad".

Ese cambio es más valioso estratégicamente que cualquier despliegue tecnológico. Se puede instalar la plataforma de monitoreo de OT más capaz disponible en una instalación donde el personal de operaciones no entienda por qué es importante, y generará alertas en las que nadie actuará, tableros que nadie leerá e informes que se quedarán en una carpeta de SharePoint hasta la auditoría anual de cumplimiento. También se puede contar con una instalación donde el equipo de ingeniería haya interiorizado verdaderamente el modelo de amenazas, y ellos compensarán las limitaciones tecnológicas, identificarán anomalías a través de la intuición del proceso y tomarán mejores decisiones bajo presión que las que cualquier herramienta pueda sugerir.

El rol del profesional de seguridad en este entorno no es puramente técnico. Es, en gran medida, un trabajo de traducción entre la comunidad de inteligencia de amenazas y la comunidad de ingeniería de operaciones, entre el requisito de cumplimiento normativo y el riesgo subyacente real, entre la alerta que genera la plataforma y el criterio humano que esta debe respaldar.

El gerente de planta que pregunta por los tiempos de recuperación de los PLC no representa un desafío de gestión que deba ser manejado. Es una capacidad de seguridad que debe ser desarrollada.

En 2026 y más allá, cultive más de ellos.

¿Listo para evaluaciones de seguridad de OT basadas en herramientas? Hable con nosotros ahora.