Diagnóstico pasivo de redes OT: conoce tu red sin detener la producción

¿Qué es un diagnóstico pasivo?

Un diagnóstico pasivo de red OT consiste en capturar y analizar el tráfico que circula por tu red industrial sin introducir ningún paquete nuevo ni interactuar con los dispositivos. No se envían paquetes de descubrimiento, no se hacen escaneos de puertos, no se envían sondas de ningún tipo.

Se coloca un sensor de captura en un punto de la red (normalmente un puerto SPAN o mirror de un switch industrial) y se recoge todo el tráfico durante un período de 2 a 4 semanas. Después, se analiza fuera de línea.

El resultado es una radiografía completa de tu red: qué dispositivos hay, cómo se comunican, qué protocolos usan y qué riesgos presents.

¿Por qué no se puede hacer con herramientas IT estándar?

Las herramientas clásicas de descubrimiento de red (Nmap, Nessus, scanners de vulnerabilidades) envían paquetes activos a los dispositivos para detectarlos y evaluarlos. En una red industrial esto es peligroso por varias razones:

• Los PLCs y RTUs pueden bloquearse al recibir tráfico inesperado. Un simple escaneo de puertos puede causar un reinicio no deseado.
• Los protocolos industriales carecen de autenticación. Un paquete de discovery puede ser interpretado como un comando legítimo.
• Los sistemas operativos industriales son frágiles. Windows XP, VxWorks y otros SOs empotrados no están diseñados para soportar tráfico de red anómalo.
• El tiempo de inactividad es inasumible. Si el escaneo causa un fallo en un PLC que controla un horno, las consecuencias pueden ser catastróficas.

Un diagnóstico pasivo evita todos estos riesgos porque solo escucha, nunca habla.

¿Qué descubre un diagnóstico pasivo?

Inventario de dispositivos

Sabrás exactamente qué dispositivos hay en tu red industrial: dirección IP, dirección MAC, fabricante, modelo estimado. Muchas PYMEs descubren que tienen dispositivos que ni sabían que estaban conectados.

Mapa de comunicaciones

Verás qué dispositivos se comunican entre sí, con qué frecuencia y por qué protocolos. Esto revela:

• Conexiones inesperadas entre la red IT y la OT
• Dispositivos que se comunican con el exterior sin justificación
• Protocolos industriales sin cifrado (Modbus TCP, S7comm, OPC DA)

Vulnerabilidades visibles desde el tráfico

Sin enviar un solo paquete activo, se pueden detectar:

• Credenciales en claro: Protocolos como Telnet, FTP o HTTP transmitiendo contraseñas sin cifrar.
• Comunicaciones no autorizadas: Un PLC enviando datos a una IP externa.
• Protocolos obsoletos: SMBv1, RDP sin NLA, SNMPv1 con community strings por defecto.
• Dispositivos sin parchear: Patrones de tráfico que revelan versiones vulnerables de firmware.

Cumplimiento normativo

El informe resultante te permite documentar el estado de tu red frente a los requisitos de la NIS2 (Art. 21.2: gestión de riesgos, políticas de seguridad de la red, gestión de incidentes).

El proceso paso a paso

Semana 1: Arranque y blindaje legal

Firmamos un NDA y un protocolo de actuación. Definimos el alcance del diagnóstico y los puntos de captura. No se interrumpe la producción en ningún momento.

Semana 2-3: Captura de tráfico

Colocamos un sensor pasivo en el punto de captura definido. El sensor no envía ningún tráfico a la red. Solo escucha y almacena.

Semana 3: Análisis técnico y legal

Analizamos el tráfico capturado, identificamos dispositivos, comunicaciones y vulnerabilidades. Cruzamos los hallazgos con los requisitos de la NIS2 y el ENS.

Semana 4: Entrega de resultados

Entregamos un informe ejecutivo con los hallazgos clave, un informe técnico detallado y un plan de acción priorizado con recomendaciones concretas.

¿Cuánto cuesta?

El diagnóstico básico OT tiene un coste de entre 1.500 y 3.500 euros, dependiendo de la complejidad de la red. Incluye la captura, el análisis y la entrega de informes.

Comparado con el coste de un incidente de ransomware (que en PYMEs industriales se estima en 50.000-200.000 euros entre parada de producción, rescate y recuperación), el diagnóstico es la inversión con mayor retorno que puedes hacer en ciberseguridad.

El primer paso

No puedes proteger lo que no conoces. Un diagnóstico pasivo es el primer paso antes de implementar cualquier medida de seguridad en una red industrial. Sin él, estás adivinando.

Solicita tu diagnóstico básico OT y conoce tu red.