968 88 69 02

Ciberseguridad industrial: IEC 62443 y protección OT

por | May 25, 2026 | Uncategorized | 0 Comentarios

ciberseguridad industrial

Ciberseguridad industrial en redes OT y sistemas SCADA

Ciberseguridad industrial — Ficha

Norma ref.IEC 62443 (ISA/IEC 62443)
Desarrollada porISA + IEC
Niveles SLSL 1 a SL 4
7 requisitos FRIAC, UC, SI, DC, RDF, TRE, RA
Ataques OT 2024+105 % interanual (CISA)
Coste medio brecha5,56 M$ por incidente (+18 % i.a.)
Empresas afectadas73 % tuvieron impacto en OT en 2024
Relación con ISO 27001Complementaria (IT + OT)

La ciberseguridad industrial es el conjunto de medidas técnicas, organizativas y normativas diseñadas para proteger los sistemas de automatización y control industrial (IACS) —PLCs, sistemas SCADA, redes OT, HMIs, historiadoras de datos— frente a ciberataques, accesos no autorizados y fallos que puedan comprometer la continuidad operativa, la seguridad física de la instalación o la integridad de los datos de proceso.

En 2024, el 73 % de las organizaciones industriales sufrieron al menos un ciberataque con impacto directo en sus sistemas OT, con un coste medio de 5,56 millones de dólares por incidente. [1] La norma de referencia internacional para la ciberseguridad industrial es la serie IEC 62443, que establece el marco técnico y organizativo para proteger entornos de automatización industrial a lo largo de todo su ciclo de vida.

Índice

  1. Por qué los sistemas OT son especialmente vulnerables
  2. La norma IEC 62443: estructura y niveles de seguridad
  3. Los siete requisitos fundamentales de IEC 62443
  4. Medidas técnicas de protección en redes OT
  5. Lo más importante antes de empezar
  6. Errores más frecuentes en ciberseguridad OT
  7. Preguntas frecuentes
  8. Fuentes

Por qué los sistemas OT industriales son especialmente vulnerables

Los sistemas de control industrial (PLCs, SCADA, DCS) fueron diseñados para la disponibilidad y el determinismo, no para la seguridad ante amenazas externas. Muchos llevan décadas en servicio con sistemas operativos sin soporte, contraseñas de fábrica no cambiadas y sin actualizaciones de firmware. La convergencia IT/OT —impulsada por la Industria 4.0— ha conectado estas redes aisladas a internet y a sistemas corporativos, exponiendo a la industria a amenazas antes desconocidas en el entorno OT.

Concretamente, durante décadas la seguridad de las redes OT se basó en el aislamiento físico: si el PLC no está conectado a internet, no puede ser atacado desde fuera. Este modelo —conocido como air-gap— se ha erosionado progresivamente con la conectividad de la Industria 4.0, los accesos remotos de mantenimiento y los dispositivos USB utilizados por técnicos en planta.

Concretamente, según datos de la CISA (Cybersecurity and Infrastructure Security Agency de EE. UU.), los ciberataques dirigidos a sistemas de control industrial crecieron un 105 % en 2024. [1] En particular, los ataques de ransomware contra sistemas SCADA y los incidentes wiper (que borran datos de forma irrecuperable) son las amenazas de mayor impacto, ya que pueden paralizar una planta durante días o semanas. El coste global por fugas de datos en los sectores de salud, energía, farmacia y manufactura superó los 25 millones de dólares en conjunto en 2024. [2]

⚠️ Dato clave: En 2024, el 26,8 % de los ordenadores que forman parte de sistemas de control industrial sufrieron al menos un intento de ciberataque, y el 73 % de las organizaciones industriales tuvieron incidentes con impacto en sus sistemas OT. El coste medio de una brecha en el sector industrial fue de 5,56 M$ por incidente, un 18 % más que el año anterior. [1] [2]

La norma IEC 62443: estructura y niveles de seguridad

La serie IEC 62443 es el estándar internacional de ciberseguridad industrial, desarrollada conjuntamente por la ISA y la IEC. Define un marco estructurado en cuatro grupos: normas generales (IEC 62443-1), políticas y procedimientos para operadores (IEC 62443-2), requisitos de sistema y arquitecturas de red seguras (IEC 62443-3), y requisitos de componentes para fabricantes de hardware y software (IEC 62443-4). Cuatro niveles de seguridad (SL 1–4) clasifican el grado de protección requerido según el riesgo.

Los cuatro niveles de seguridad (Security Levels)

La ciberseguridad industrial según IEC 62443 no es binaria (seguro/inseguro): es un espectro de cuatro niveles que permite adaptar las medidas al riesgo real de cada zona de la instalación:

  • SL 1: protección frente a accesos accidentales o errores humanos no intencionados.
  • SL 2: protección frente a atacantes con motivación baja y herramientas básicas (scripts conocidos, credenciales por defecto).
  • SL 3: protección frente a atacantes con recursos moderados y conocimientos avanzados (ataques dirigidos a una industria específica).
  • SL 4: protección frente a amenazas persistentes avanzadas (APT) con recursos y motivación muy elevados, típicamente grupos patrocinados por estados. [3]

La segmentación en zonas y conductos

Además, un concepto central de la ciberseguridad industrial según IEC 62443 es dividir la instalación en zonas de seguridad según la criticidad de los activos, conectadas entre sí mediante conductos controlados. Por ejemplo, la zona SCADA tiene un nivel de seguridad diferente al de la zona de PLCs de campo, y el tráfico entre ellas fluye por un conducto con firewall y reglas de filtrado específicas. Esta arquitectura de «defensa en profundidad» limita el daño en caso de que un atacante comprometa una zona concreta.

Los siete requisitos fundamentales de ciberseguridad industrial según IEC 62443

IEC 62443 define siete requisitos fundamentales (FR) que deben satisfacerse en cualquier sistema de control industrial protegido: control de identificación y autenticación (IAC), control de uso (UC), integridad del sistema (SI), confidencialidad de los datos (DC), flujo de datos restringido (RDF), respuesta oportuna a eventos (TRE) y disponibilidad de recursos (RA). Cada requisito se evalúa en función del nivel de seguridad (SL) aplicable a la zona.

FRNombreObjetivoEjemplo práctico en OT
FR 1Control de identificación y autenticación (IAC)Verificar la identidad de usuarios y dispositivosAutenticación de dos factores para acceso remoto a SCADA
FR 2Control de uso (UC)Limitar acciones según el rol del usuarioOperador puede ver alarmas pero no modificar parámetros de control
FR 3Integridad del sistema (SI)Evitar modificaciones no autorizadas de hardware y softwareFirma digital de programas PLC; control de versiones de firmware
FR 4Confidencialidad de datos (DC)Proteger los datos de proceso frente a acceso no autorizadoCifrado del tráfico OPC UA entre PLC y SCADA
FR 5Flujo de datos restringido (RDF)Controlar qué datos fluyen entre zonasFirewall industrial entre zona OT y red corporativa IT
FR 6Respuesta oportuna a eventos (TRE)Detectar y responder a incidentes en tiempo útilSistema de detección de intrusos (IDS) en red OT con alertas
FR 7Disponibilidad de recursos (RA)Garantizar la disponibilidad de los sistemas críticosRedundancia de PLCs; backups automáticos de programas y configuración

Medidas técnicas de protección en redes OT industriales

Las medidas técnicas más efectivas de ciberseguridad industrial son: segmentación de red con VLANs y firewalls industriales entre zonas OT e IT, autenticación robusta para accesos remotos (VPN + MFA), gestión de parches y actualizaciones de firmware, monitorización de tráfico OT con sistemas IDS industriales, control de acceso físico a equipos, y eliminación de credenciales por defecto en todos los dispositivos.

Segmentación de redes OT e IT

En primer lugar, la primera medida de ciberseguridad industrial es separar físicamente o lógicamente (mediante VLANs y firewalls) las redes de control OT de las redes corporativas IT. El tráfico entre ambas debe pasar por una zona desmilitarizada (DMZ) con reglas de filtrado estrictas que permitan solo los flujos de datos necesarios —por ejemplo, la lectura de datos de proceso desde el historiadory—, bloqueando todo el tráfico genérico. Los firewalls industriales como Fortinet FortiGate, Cisco IE y Siemens SCALANCE SC están optimizados para este uso.

Gestión de identidades y accesos remotos

Por otro lado, el acceso remoto al sistema SCADA o a los PLCs por parte de técnicos de mantenimiento externos es uno de los vectores de ataque más frecuentes. Concretamente, la ciberseguridad industrial exige que estos accesos se realicen siempre mediante VPN corporativa con autenticación multifactor (MFA), que las sesiones remotas queden registradas y que los privilegios de cada usuario estén definidos según su rol real, nunca con cuentas genéricas de administrador.

Inventario de activos y gestión de parches

De hecho, el 99 % de los incidentes OT documentados en 2024 explotaron vulnerabilidades en sistemas sin parches o con dispositivos IoT mal configurados expuestos a internet. [1] Asimismo, la ciberseguridad industrial requiere un inventario actualizado de todos los activos de la red OT —PLCs, switches industriales, HMIs, historiadoras— con sus versiones de firmware y su estado de parches, y un proceso definido de actualización que minimice el impacto en la disponibilidad del proceso.

Lo más importante antes de empezar con ciberseguridad OT

  • Inventario de activos: no se puede proteger lo que no se conoce. Concretamente, el primer paso de cualquier programa de ciberseguridad industrial es disponer de un inventario completo y actualizado de todos los dispositivos conectados a la red OT.
  • Análisis de riesgos: IEC 62443 parte de la evaluación de amenazas y vulnerabilidades de cada zona. Sin este análisis, en consecuencia, las medidas técnicas pueden ser desproporcionadas o estar mal orientadas.
  • Distinción IT/OT: las herramientas y metodologías de ciberseguridad IT (antivirus, análisis de tráfico TCP/IP intensivo) no son siempre aplicables en OT sin impactar la disponibilidad de los sistemas de control. Es necesario usar herramientas y procedimientos específicos para entornos industriales.
  • Implicación del equipo de operación: la ciberseguridad industrial afecta directamente al trabajo diario de operadores y técnicos. Además, su participación en la definición de procedimientos es imprescindible para que las medidas sean viables y se cumplan.

Errores más comunes en ciberseguridad industrial

  • Mantener credenciales por defecto en PLCs y switches: es el error más básico y, de hecho, el más frecuente. Un atacante con acceso a la red OT puede comprometer un PLC Siemens S7 con credenciales de fábrica en minutos.
  • Conectar la red OT a internet sin segmentación: el protocolo Modbus no tiene autenticación; cualquier dispositivo en la red puede leer o escribir en cualquier esclavo. Sin firewall entre la red OT e internet, la instalación está completamente expuesta.
  • Aplicar políticas IT de ciberseguridad directamente en OT: por ejemplo, reiniciar un PLC para aplicar un parche puede interrumpir la producción durante horas. Por tanto, las actualizaciones en OT deben planificarse en ventanas de mantenimiento específicas.
  • No registrar ni monitorizar el tráfico OT: además, sin visibilidad del tráfico en la red industrial, en consecuencia, un ataque puede estar activo durante semanas sin ser detectado. En 2024, el tiempo medio de detección de un incidente OT fue de 204 días. [2]
  • Tratar la ciberseguridad industrial como un proyecto puntual: de hecho, las amenazas evolucionan constantemente. Asimismo, un programa de ciberseguridad OT requiere revisiones periódicas, auditorías y actualización continua de procedimientos y tecnología.

¿Necesitas reforzar la ciberseguridad de tu red industrial?

Electrohine realiza auditorías de ciberseguridad industrial, diseña arquitecturas de segmentación OT/IT y despliega medidas de protección conforme a IEC 62443 en instalaciones de automatización de los sectores de energía, tratamiento de aguas y fabricación.Consulta con nuestros ingenieros →

Preguntas frecuentes sobre ciberseguridad industrial

Conceptos y normativa

¿Qué es la ciberseguridad industrial y en qué se diferencia de la ciberseguridad IT?

Concretamente, la ciberseguridad industrial protege los sistemas de automatización y control (PLCs, SCADA, DCS, HMIs) frente a ciberataques. De hecho, se diferencia de la ciberseguridad IT en que la prioridad en OT es la disponibilidad (el proceso no puede pararse) y la seguridad física (un ataque puede causar daños físicos en la instalación o en personas), mientras que en IT la prioridad suele ser la confidencialidad de los datos.

¿Qué es la norma IEC 62443 y quién debe cumplirla?

La norma IEC 62443 es la serie internacional de estándares de ciberseguridad para sistemas de automatización y control industrial (IACS), desarrollada por ISA e IEC. En particular, deben cumplirla los fabricantes de componentes industriales (IEC 62443-4), los integradores de sistemas (IEC 62443-2 y 62443-3) y los operadores de instalaciones industriales (IEC 62443-2-1). En sectores críticos como energía, agua o industria química, su cumplimiento puede ser un requisito legal o contractual.

¿Cuáles son las principales amenazas de ciberseguridad para sistemas SCADA y PLCs?

En la práctica, las amenazas más frecuentes son: ransomware (cifra los datos de proceso y exige rescate para liberarlos), ataques de denegación de servicio (DoS) que saturan la red OT y provocan pérdida de comunicación con los dispositivos de campo, accesos remotos no autorizados aprovechando credenciales robadas o por defecto, y ataques a la cadena de suministro de software que introducen código malicioso en actualizaciones de firmware o de SCADA.

Implementación práctica

¿Cómo se segmenta correctamente una red industrial OT de la red corporativa IT?

Concretamente, la segmentación correcta requiere: separar físicamente o mediante VLANs la red OT de la red IT, instalar un firewall industrial con reglas de filtrado estrictas entre ambas, crear una DMZ (zona desmilitarizada) para los sistemas que necesitan comunicación bidireccional (historiadora de datos, servidor OPC UA), y monitorizar todo el tráfico que atraviesa la frontera IT/OT. Además, los flujos de datos permitidos deben estar explícitamente justificados y documentados.

¿Se puede aplicar un antivirus estándar en los sistemas SCADA y PLCs?

No directamente, sin evaluación previa. Los antivirus convencionales pueden generar interferencias en los ciclos de tiempo real de los sistemas de control o bloquearse en sistemas operativos industriales no soportados (Windows XP, Windows 7). En entornos OT se utilizan soluciones de ciberseguridad industrial específicas —como Claroty, Nozomi Networks o Dragos— que monitorizan el tráfico de red de forma pasiva sin instalar agentes en los equipos de control.

¿Cuál es la diferencia entre IEC 62443 e ISO 27001 en materia de ciberseguridad?

Por un lado, ISO 27001 es el estándar de seguridad de la información para sistemas IT corporativos, centrado en la confidencialidad de los datos. IEC 62443 está diseñada específicamente para entornos OT industriales, con prioridad en la disponibilidad operativa y la seguridad física. En definitiva, son complementarias: muchas organizaciones implementan ISO 27001 para su infraestructura IT e IEC 62443 para los sistemas de control industrial, creando una estrategia de ciberseguridad holística IT/OT.

¿Con qué frecuencia hay que hacer auditorías de ciberseguridad industrial?

Sin embargo, IEC 62443 no establece una frecuencia fija, pero la práctica recomendada es realizar una auditoría completa al menos una vez al año y una revisión parcial tras cualquier cambio significativo en la arquitectura de red o en el software de control. En sectores críticos (energía, agua, gas), la regulación sectorial puede establecer frecuencias obligatorias adicionales.

Fuentes consultadas

  1. Shieldworkz / CISA — ISA/IEC 62443-3-2: Evaluación de riesgos para IACS. Los ciberataques a IACS crecieron un 105 % en 2024. shieldworkz.com
  2. Red Seguridad — La ciberseguridad en sistemas OT y la norma IEC 62443 (marzo 2026). Costes de brecha en industria. redseguridad.com
  3. Fortinet — Norma IEC 62443: mejora de la ciberseguridad para sistemas de automatización y control industrial. fortinet.com
  4. Phoenix Contact — IEC 62443 – Ciberseguridad industrial. phoenixcontact.com
  5. Brieflas — IEC 62443 explicada: un marco práctico para la seguridad de redes industriales. brieflas.com
  6. Bureau Veritas — Certificación IEC 62443: ciberseguridad industrial. bureauveritas.es

Sobre el autor

Artículo elaborado por el equipo técnico de Electrohine, con experiencia en diseño de arquitecturas de redes OT seguras, integración de sistemas de control y gestión de proyectos de automatización en entornos con requisitos de ciberseguridad en los sectores de energía, tratamiento de aguas y petroquímica.

Cómo se ha elaborado

Contenido basado en la experiencia directa de Electrohine en proyectos de seguridad OT, contrastado con la norma IEC 62443, informes de CISA (2024), Red Seguridad, Fortinet, Phoenix Contact y Bureau Veritas. Última revisión: abril de 2026.

Comparte en redes o resume con la IA
ChatGPTClaudeGoogle AIGeminiPerplexityDeepSeek

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Powered by Impactiq  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.