Cargando · Loading
Technical framework for industrial control system (OT) cybersecurity in Peruvian critical infrastructure. IT/OT convergence, IEC 62443 standard, real ransomware cases in SCADA, and recommended controls for SEIN, mining, and defense.
Durante décadas, los sistemas de control industrial (OT — Operational Technology) operaron en redes aisladas: el SCADA de una subestación eléctrica no tenía conexión directa con la red corporativa. Esta separación física (air gap) era el principal mecanismo de seguridad.
La convergencia IT/OT de los últimos 10 años eliminó este air gap: las subestaciones del SEIN reportan a sistemas COES-SINAC conectados a Internet, las minas envían telemetría a ERPs en la nube, y los sistemas de control de plataformas offshore se gestionan de forma remota desde Lima. El beneficio operacional es real, pero el riesgo de ciberseguridad es igualmente real.
El incidente más relevante para Perú: En diciembre de 2015, atacantes comprometieron tres distribuidoras eléctricas en Ucrania usando el malware BlackEnergy, dejando sin suministro a 225,000 clientes durante 6 horas. El vector de entrada fue spear-phishing a empleados del área IT. Desde IT cruzaron al OT a través de conexiones VPN no segmentadas.
Este patrón — entrada por IT, pivote hacia OT — se ha repetido en 15+ incidentes documentados en sectores de energía, agua, petróleo y manufactura entre 2017 y 2024.
Los principios de ciberseguridad IT (parchado frecuente, autenticación multifactor, EDR en endpoints) no se trasladan directamente al entorno OT:
Ciclos de parchado: Un PLC en una subestación puede llevar 8-12 años en servicio sin reinicio. Aplicar un parche de seguridad requiere ventanas de mantenimiento planificadas con el COES-SINAC, no una actualización automática overnight.
Disponibilidad > Confidencialidad: En IT, la tríada CIA prioriza Confidencialidad. En OT, la Disponibilidad es absoluta: cortar el SCADA de una línea de transmisión de 500 kV para instalar un parche tiene consecuencias económicas y de seguridad pública.
Protocolos sin autenticación nativa: Modbus TCP, DNP3 y IEC 60870-5-104 fueron diseñados para redes cerradas y no incluyen autenticación ni cifrado. Un atacante en la red de estación puede inyectar comandos Modbus a cualquier IED sin credenciales.
Sistemas legacy no parcheables: Los RTUs de los años 90 corren sistemas operativos fuera de soporte (Windows XP embebido, VxWorks 5.x) sin actualizaciones disponibles del fabricante.
La norma IEC 62443 (Industrial Automation and Control Systems Security) es el estándar internacional de referencia para ciberseguridad OT. Establece cuatro niveles de seguridad (SL 1-4) y define controles organizacionales, de procesos y técnicos.
En el contexto peruano:
La certificación IEC 62443 no es aún obligatoria en Perú, pero es un diferenciador en licitaciones del sector público y privado, y una protección ante responsabilidades en caso de incidente.
IEC 62443 estructura la red OT en zonas de seguridad separadas por conductos con controles explícitos. Para una subestación eléctrica típica:
Zona 0 — Proceso (máxima criticidad):
IEDs de protección, RTUs, PLCs. Acceso físico restringido, sin conectividad directa a redes externas. Protocolos: Modbus RTU, GOOSE (IEC 61850), SV.
Zona 1 — Control (alta criticidad):
HMI local, ingeniería workstations, servidor de tiempo. Conectividad solo hacia la DMZ. Registro de todos los accesos.
Zona 2 — Supervisión (criticidad media):
Servidor SCADA de empresa, historian (OSIsoft PI). Conectividad con la red corporativa restringida a puertos específicos (OPC-DA/UA, Port 102 IEC 61850 MMS).
Zona 3 — Corporativa (baja criticidad):
Red IT estándar. Acceso a Internet, email, sistemas ERP.
DMZ OT-IT (conducto):
Punto de control entre zonas 2 y 3. Contiene: firewall industrial (Fortinet, Claroty, o equivalente), jump host con autenticación multifactor para acceso remoto, y el data diode (unidireccional) si la arquitectura de riesgo lo requiere.
Dado el estado actual de la mayoría de instalaciones industriales peruanas (sin segmentación OT/IT, con acceso remoto por VPN sin MFA, con equipos legacy sin parchar), los controles de mayor impacto por menor costo son:
1. Segmentación con firewall industrial:
Instalar un firewall en el límite OT/IT es el control de mayor retorno. Impide que un ransomware en la red corporativa alcance los PLCs y HMIs del sistema de control. Costo: USD 3,000-15,000 por sitio dependiendo del throughput y número de zonas.
2. Jump host con MFA para acceso remoto:
El acceso VPN directo a la red OT es el vector de ataque más frecuente en incidentes documentados. Un jump host (bastión) con autenticación multifactor obliga a los operadores remotos a autenticarse en dos factores antes de acceder a cualquier HMI o equipo OT. Costo: servidor virtual + solución MFA, USD 2,000-5,000.
3. Visibilidad de red con monitoreo pasivo:
Plataformas como Claroty, Dragos, o Nozomi Networks hacen monitoreo pasivo del tráfico OT sin interferir con los sistemas de control. Detectan anomalías (escaneos, comandos inusuales, nuevos dispositivos) y generan alertas al SOC. Costo: USD 15,000-50,000/año por site.
4. Gestión de contraseñas de IEDs:
La mayoría de IEDs en campo tienen contraseñas de fábrica (admin/admin, o publicadas en el manual del equipo). Un inventario de dispositivos OT con cambio de credenciales es el control más básico y frecuentemente ignorado.
Los routers industriales Robustel con VPN IPsec/WireGuard y los switches industriales Bitstream con MACsec eliminan el riesgo de interceptación y manipulación de tráfico OT en tránsito. En redes de campo donde la segmentación física es imposible (oleoductos, líneas de transmisión), el cifrado de transporte es el control equivalente al air gap.
Para redes de defensa y seguridad pública, TrellisWare TSM-X y Harris XG-100P implementan AES-256 FIPS 140-2 de extremo a extremo, garantizando confidencialidad e integridad incluso sobre enlaces de radio inalámbricos.
Año 1 — Visibilidad y segmentación básica:
Inventario de activos OT. Segmentación firewall en límite IT/OT. Eliminación de accesos directos (RDP, VNC) sin jump host. Cambio de contraseñas de fábrica.
Año 2 — Monitoreo y respuesta:
Implementación de monitoreo pasivo OT. Definición de playbooks de respuesta a incidentes para los escenarios más probables (ransomware, acceso no autorizado). Ejercicio de simulación (tabletop exercise).
Año 3 — Certificación y madurez:
Evaluación contra IEC 62443 SL 2. Plan de remediación de gaps identificados. Revisión de contratos con proveedores de acceso remoto (mantenimiento de equipos) para incluir requisitos de seguridad.
Emar Systems provee consultoría de arquitectura OT/IT, integración de firewalls industriales y switches seguros Bitstream, y diseño de soluciones de acceso remoto seguro para infraestructura crítica en Perú.
Technical architecture of dynamic dispatch systems for open-pit mine fleets. Real-time GPS integration, truck-shovel assignment optimization, production SCADA, and mining OEE KPIs. Application case at a large-scale copper operation in Peru.
Live IEC 61850 migration of a 220 kV transmission substation in Ica, Peru. Kalkitech Arc One gateways for legacy IEDs, Bitstream TS-3000 PTP synchronization, unified SCADA for 14 bays. Protection MTTR reduced from 6.2h to 22 minutes.
Design guide for PTZ EO+IR surveillance camera systems for electrical substations, hydrocarbon facilities, ports, and military bases. Sensor selection, detection range, video analytics, and recording architecture by threat level.
Need more information?