Segmentación IT/OT: la barrera que separa tu oficina de tu planta

¿Qué es la segmentación IT/OT?

Una red IT (Information Technology) es la red corporativa: ordenadores de oficina, servidores de correo, ERP, contabilidad. Una red OT (Operational Technology) es la red industrial: PLCs, SCADA, sensores, actuadores, HMIs.

Segmentación significa establecer una frontera controlada entre ambas redes, de forma que un incidente en una no se propague a la otra.

Sin segmentación, un empleado que hace clic en un enlace de phishing está a un salto de red de los PLCs que controlan tu línea de producción.

¿Por qué es tan urgente?

La convergencia IT/OT — conectar redes industriales a la red corporativa para monitorización remota, mantenimiento predictivo o acceso a proveedores — ha sido una tendencia positiva para la eficiencia operativa. Pero sin las barreras adecuadas, ha creado un problema de seguridad grave:

• El 70% de los incidentes de seguridad industrial empiezan en la red IT y se propagan a la OT (según datos de la Agencia Europea de Ciberseguridad, ENISA).
• Los sistemas OT no están diseñados con seguridad en mente. Los protocolos industriales (Modbus, OPC DA, Profinet) carecen de autenticación y cifrado por diseño.
• Una red plana es un riesgo inasumible. Si un atacante compromete un equipo de la red corporativa, todos los dispositivos OT quedan expuestos.

El modelo Purdue y las zonas de seguridad

La arquitectura de referencia para segmentación industrial es el modelo Purdue, que organiza las redes en niveles:

Nivel	Función	Ejemplo
5	Red corporativa (IT)	ERP, correo, navegación
4	Red de gestión de planta	Historian, servidor de datos
3	Red de operaciones	Servidores SCADA, HMIs
2	Red de control	PLCs, RTUs, controladores
1	Sensores y actuadores	Campo, dispositivos de proceso
0	Proceso físico	Bombas, válvulas, motores

La segmentación efectiva se sitúa entre los niveles 3 y 4 (DMZ industrial) y entre los niveles 4 y 5 (firewall IT/OT).

Cómo implementarla paso a paso

1. Diagnóstico pasivo

Antes de tocar nada, necesitas saber qué tienes. Una captura pasiva de tráfico de red durante 2-3 semanas te da un mapa completo de qué dispositivos se comunican, con quién y por qué protocolos. Sin detener la producción.

2. Diseño de zonas

Define las zonas de seguridad según el modelo Purdue:

• Zona IT: La red corporativa tradicional.
• DMZ industrial: Una zona desmilitarizada donde se ubican los servicios que necesitan comunicarse con ambas redes (historian, servidor de actualizaciones, acceso remoto).
• Zona OT: La red de control estrictamente aislada.

3. Despliegue de firewalls industriales

Instala firewalls entre cada zona. Los firewalls industriales (no firewalls de oficina) entienden protocolos OT como Modbus, S7 o DNP3, y pueden filtrar tráfico por comando, no solo por puerto.

4. Control de accesos remotos

Todo acceso de terceros (proveedores, técnicos de mantenimiento) debe pasar por:

• VPN con autenticación multifactor
• Bastion host en la DMZ
• Sesiones grabadas y auditables
• Acceso de mínimo privilegio (solo a los dispositivos específicos que necesitan)

5. Monitorización continua

La segmentación no es un proyecto puntual. Necesitas monitorización pasiva continua que detecte:

• Intentos de conexión no autorizados entre zonas
• Nuevos dispositivos en la red OT
• Tráfico anómalo en protocolos industriales

La NIS2 lo exige

El Artículo 21.2 de la Directiva NIS2 requiere específicamente políticas de seguridad de la red para las entidades cubiertas. La segmentación IT/OT es la medida de seguridad de red más fundamental que una empresa industrial puede implementar.

Si tu red IT y tu red OT están en la misma LAN, estás incumpliendo la NIS2 y expuesto a un ataque que puede paralizar tu planta. En Cvstos Cyber podemos ayudarte a implementar esta segmentación sin detener la producción.