En muchas empresas industriales sigue existiendo una red plana en la que conviven PCs de oficina, servidores, PLC y equipos de planta en el mismo “saco”.
Índice de contenidos:
Eso dispara la superficie de ataque, facilita el movimiento lateral de un atacante y hace que un simple correo de phishing pueda acabar en parada de planta. La segmentación de red IT/OT (separar red de oficinas y red de planta con firewalls internos, VLAN, DMZ y políticas) es hoy una pieza básica de ciberseguridad industrial y de cualquier estrategia seria de digitalización y control de planta en tiempo real.
Una red plana (flat network) es aquella en la que prácticamente todos los dispositivos comparten el mismo segmento o rango IP, sin separación lógica ni física entre oficinas, servidores y equipos de planta.
En una red plana:
Todos se ven con todos por defecto.
Es muy difícil limitar quién puede hablar con un PLC o con un servidor crítico.
Cualquier equipo comprometido abre la puerta al resto de la red.
Esto multiplica la superficie de ataque y facilita el movimiento lateral (lateral movement): si un atacante entra por un equipo de oficina, puede moverse con facilidad hasta los sistemas OT.
En la práctica, las brechas suelen llegar por el lado de IT:
Un correo de phishing que instala malware en el PC de un usuario.
Un USB infectado conectado en una sala de reuniones o incluso en planta.
Vulnerabilidades explotadas en equipos sin parchear (navegador, VPN, servicios de escritorio remoto, etc.).
Si esa máquina comprometida está en la misma red que los controladores industriales, servidores de ficheros de oficina técnica o el servidor del MES, el salto hacia OT es cuestión de tiempo.
La segmentación de red consiste en dividir la red en zonas, segmentos o subredes independientes (IT, OT, invitados, IoT, DMZ, etc.) y controlar el tráfico entre ellas mediante firewalls internos, ACL y reglas de routing.
Una segmentación bien diseñada aporta:
Aislamiento y contención: si un segmento se ve comprometido, el ataque no se propaga fácilmente al resto.
Control de tráfico: solo se permite lo estrictamente necesario entre segmentos (puertos, protocolos, direcciones concretas).
Defensa en profundidad: la segmentación es una capa más que se suma a antivirus, EDR, copias de seguridad, etc.
En resumen, segmentar es pasar de una red donde todo está conectado a una arquitectura donde cada zona tiene su función y se comunica con las demás de forma controlada.
En entornos OT (Operational Technology) se controlan procesos físicos: líneas de producción, hornos, robots, bombas, etc. Aquí encontramos:
PLC y controladores industriales.
Sistemas SCADA y HMI.
Equipos de mantenimiento remoto de fabricantes.
PCs de ingeniería con herramientas de programación.
Además, abundan sistemas heredados, muchas veces con Windows XP o Windows 7, sin soporte, con puertos abiertos y sin posibilidad real de parchear sin parar la planta.
Si un ataque llega hasta OT, las consecuencias no son solo “datos cifrados”:
Daños físicos en máquinas o producto.
Parada de planta prolongada.
Riesgos para la seguridad de las personas.
Por eso, en IT/OT, la segmentación no es solo una buena práctica informática: es una medida directa de seguridad industrial.
A esto se suman cada vez más dispositivos IoT:
Sensores de condición, temperatura, vibración…
Actuadores conectados.
Cámaras IP en líneas de producción o almacenes.
Si todos estos dispositivos IoT conviven en la misma red que los PLC, los servidores del MES y los PCs de oficina, se convierten en vectores de entrada ideales. Colocarlos en segmentos propios, con reglas claras hacia OT e IT, reduce de forma drástica el riesgo.
Existen dos enfoques complementarios:
Segmentación física: separar mediante firewalls y routers dedicados, incluso switches distintos, las redes IT y OT. Muy recomendable entre oficina y planta.
Segmentación lógica: usar VLAN para separar lógicamente tráfico de oficinas, servidores, OT, invitados, IoT, etc., aunque compartan parte del hardware de red.
En muchos proyectos se combina una separación física básica (por ejemplo, un firewall que delimita IT y OT) con VLAN para aislar líneas de producción, celdas y servicios.
La segmentación no termina en las VLAN:
La Capa 3 / routing define qué redes pueden hablar entre sí.
Las ACL (Access Control Lists) en routers y switches de capa 3 controlan qué direcciones y puertos se permiten.
Los firewalls internos aplican inspección profunda y políticas avanzadas entre segmentos sensibles.
El objetivo es que, por defecto, los segmentos no se vean entre sí y el tráfico permitido sea el mínimo necesario para operar.
La DMZ (zona desmilitarizada) es una zona intermedia entre IT y OT donde se colocan servicios que necesitan hablar con ambos mundos, sin exponer directamente la red de planta. En esta DMZ industrial suelen ubicarse:
Servidores de históricos de planta.
Servidores de actualización (antivirus, parches, ficheros).
Saltos de conexión para mantenimiento remoto.
Brokers o pasarelas de datos hacia sistemas cloud o BI.
Todo el tráfico entre IT y OT debe atravesar la DMZ y los firewalls, nunca ser directo.
El estándar IEC 62443 propone un modelo de zonas y conductos (zones & conduits):
Zonas: grupos de activos con similares requisitos de seguridad (p.ej. red corporativa, zona de control, zona de seguridad, zona de supervisión).
Conductos: caminos controlados por los que circula el tráfico entre zonas (firewalls, VPN, túneles específicos).
Traducir este modelo a una arquitectura real ayuda a:
Ordenar la red OT.
Justificar decisiones ante auditorías.
Una vez que IT y OT están claramente separadas, se puede ir más allá con:
Microsegmentación: aislar por celda, línea, máquina o incluso por servicio, reduciendo aún más el impacto de un incidente.
Enfoque Zero Trust: no confiar por defecto en ningún dispositivo, aunque esté “dentro”, y basar el acceso en identidad, contexto y comportamiento.
Políticas dinámicas: que tengan en cuenta quién se conecta, desde dónde, a qué hora y con qué nivel de riesgo.
Esto permite, por ejemplo, que un PC de oficina técnica solo llegue a un panel HMI concreto a través de un salto controlado, y solo en horario laboral.
Normativas como NIS2, ISO/IEC 27001, el ENS (Esquema Nacional de Seguridad) o la propia IEC 62443 convergen en una idea: no es aceptable tener redes críticas sin segmentar ni control. Una buena segmentación facilita:
Demostrar en una auditoría que se han aplicado medidas de protección proporcionales al riesgo.
Mantener la trazabilidad de accesos y flujos entre IT y OT.
Reducir el riesgo de no conformidad y posibles sanciones, así como exigencias contractuales de grandes clientes o administraciones.
En muchos sectores, segmentar es un requisito de negocio.
Una vez segmentada la red, suele aparecer este escenario: “Necesito que un proveedor acceda puntualmente a una máquina de planta, así que abro un puerto en el firewall o doy acceso VPN ‘rápido’”.
Cada excepción de este tipo:
Rompe la arquitectura de segmentación.
Aumenta la superficie de ataque.
Soluciones como Endurance (Cosmikal) actúan como un broker de conexión especializado en acceso remoto industrial, que se coloca justo donde la segmentación IT/OT más se sufre:
Mantiene el aislamiento de conexiones: el proveedor nunca llega directamente a la red OT, sino a través del broker.
Aplica control de accesos por rol, horario y origen (solo a qué máquina, solo ciertas horas, solo desde ciertos orígenes).
Gestiona un vault de credenciales, sin necesidad de compartir usuarios y contraseñas de PLC o servidores.
Registra todas las sesiones (registro de sesiones / auditoría), permitiendo revisar qué se hizo.
Funciona como un mecanismo de acceso privilegiado (PAM-like) adaptado a entornos industriales.
Así se consigue mantenimiento remoto seguro sin agujerear la segmentación lograda con VLAN, DMZ y firewalls internos.
La segmentación no va en contra de la Industria 4.0; al contrario, es la base para capturar datos en planta, tener control de planta en tiempo real y desplegar soluciones 4.0 para empresas sin poner en riesgo la producción.
Cuando implantas un sistema para capturar datos en planta (MES, dataloggers, SCADA avanzados) y buscas control de planta en tiempo real, incrementas el número de conexiones entre OT e IT. La clave está en que:
La red OT siga aislada, con sus propias VLAN y firewalls.
El intercambio de datos se haga a través de una DMZ industrial y conductos controlados (APIs, gateways, brokers).
El tráfico necesario esté claramente definido y documentado.
La automatización de control de planta industrial y las soluciones de control de planta en tiempo real necesitan visibilidad y acceso a máquinas y sensores. Con una buena segmentación:
Automatizar el control de planta no implica abrir toda la OT a la red corporativa.
Puedes crecer en proyectos de Industria 4.0 manteniendo una arquitectura segura.
Las soluciones 4.0 para empresas se apoyan en una base robusta y auditable.
Implementar el sistema MES en planta dentro de la red OT.
Exponer solo los servicios necesarios (APIs, colas, ficheros) hacia IT a través de la DMZ.
Tratar las conexiones como “conductos” con ACL y firewalls específicos.
Así, tanto si usas un software de control de producción para pymes como un MES corporativo, consigues la integración sin sacrificar la separación IT/OT.
Segmentar la red y digitalizar la planta no es solo comprar hardware: requiere una visión global de ingeniería de procesos industriales y consultoría tecnológica para digitalizar. Los pasos típicos de transformación digital en la industria incluyen:
Analizar procesos y digitalizar partes de producción donde más valor aporta.
Definir arquitectura de red y seguridad (IT/OT, VLAN, DMZ, firewalls).
Seleccionar herramientas para digitalizar la planta de producción (MES, sistemas de control, BI).
Estimar el presupuesto para digitalizar el control de planta y priorizar fases.
Acompañar con consultoría de control de planta y puesta en marcha.
Cerrar esta fase con una demo sistema MES sobre datos reales de planta ayuda a visualizar el impacto de la segmentación y la digitalización trabajando juntas.
Segregar la red IT/OT con firewalls internos, VLAN, DMZ y políticas claras actualmente es un requisito básico para reducir la superficie de ataque, frenar el movimiento lateral y proteger tanto la oficina como la planta frente a ransomware y fallos humanos. Una buena segmentación de red te permite seguir capturando datos en planta y tener control de planta en tiempo real, sin poner en riesgo PLCs, sistemas heredados ni la producción.
Contáctanos y te ayudamos a definir un plan de acción adaptado a tu fábrica.