Hacking ONESEC

¡Contáctanos!

IT vs OT: Dos mundos, una convergencia inevitable

Alejandro Cisneros

·

·

, , ,

Introducción

En años pasados, las tecnologías de la información (IT, por sus siglas en inglés de Information Technology) y las tecnologías operacionales (OT, por sus siglas en inglés de Operational Technology) han operado en mundos paralelos dentro de las organizaciones. IT se ocupaba de los datos, los correos electrónicos y las aplicaciones empresariales; OT controlaba las máquinas, los procesos industriales y la infraestructura física. Cada dominio tenía sus propios equipos, sus propios lenguajes y, sobre todo, sus propias prioridades de seguridad. Esta separación era funcional, lógica y, durante mucho tiempo, suficiente.

Convergencia IT/OT: Un profesional de traje (IT) trabaja en un rack de servidores a la izquierda, mientras un técnico con casco y chaleco (OT) opera un panel de control industrial a la derecha. Una esfera digital luminosa en el centro simboliza la unión de ambos mundos, separados por un haz de luz digital que conecta la tecnología de la información con la tecnología de operaciones. Las palabras 'IT' y 'OT' destacan en el centro.

Sin embargo, la cuarta revolución industrial, la digitalización y la promesa de eficiencia a través de la interconexión han derribado muros entre estos dos mundos. Las fábricas inteligentes, las ciudades conectadas y las redes eléctricas modernas ya no tienden a funcionar como sistemas aislados. La convergencia IT/OT parece inevitable, pero también presenta nuevos retos. Lo que antes era un sistema de control industrial (ICS, por sus siglas en inglés de Industrial Control System) herméticamente sellado, ahora está conectado a internet, expuesto a las mismas amenazas que un servidor corporativo, pero con una diferencia crítica: cuando un sistema OT falla, no solo se pierde información, se detienen procesos industriales, se comprometen vidas humanas y se pueden causar desastres ambientales.

La cuarta revolución industrial presenta un cambio en todas las instalaciones de producción y en sus operaciones, integrando tecnologías como el Internet de las cosas (IoT) o Industrial Internet of Things (IIoT), el cómputo en la nube, IA, blockchain y muchas veces interconectando estas mismas tecnologías en redes.

En este artículo, exploraremos las diferencias fundamentales entre IT y OT, analizaremos cómo cada uno se relaciona con la triada de la seguridad de la información (CIA: Confidencialidad, Integridad, Disponibilidad), y entenderemos por qué proteger un sistema que controla una turbina o una válvula química requiere un enfoque diferente al de proteger una base de datos corporativa.

¿Qué es IT?

Las Tecnologías de la Información (IT) comprenden todos los sistemas, infraestructuras y servicios relacionados con el manejo, procesamiento, almacenamiento y transmisión de datos e información digital. Esto incluye servidores, computadoras, redes de comunicaciones, aplicaciones empresariales, bases de datos, sistemas de correo electrónico, plataformas en la nube y todo aquello que permite a una organización gestionar su información.

Características principales de IT
  • Enfoque en datos: El activo crítico es la información. IT protege datos financieros, registros de clientes, propiedad intelectual y secretos comerciales.
  • Ciclos de actualización frecuentes: Los sistemas IT evolucionan rápidamente. Las aplicaciones se actualizan semanalmente, los parches de seguridad se implementan mensualmente y los sistemas operativos se renuevan cada pocos años.
  • Conectividad constante: IT está diseñado para estar conectado. Internet, correo electrónico, acceso remoto y colaboración en la nube son fundamentales hoy en día.
  • Prioridad en confidencialidad: La primera preocupación de IT es evitar que la información caiga en manos equivocadas.

¿Qué es OT?

Las Tecnologías Operacionales (OT) son el conjunto de hardware y software que detecta o provoca cambios mediante el monitoreo y/o control directo de dispositivos físicos, procesos y eventos en la empresa. OT está presente en fábricas, plantas de energía, sistemas de tratamiento de agua, refinerías de petróleo, sistemas de transporte, edificios inteligentes y prácticamente cualquier infraestructura crítica que mantiene funcionando nuestra sociedad.

Características principales de OT:
  • Enfoque en procesos físicos: El activo crítico es la continuidad operacional y la seguridad física. OT controla máquinas, líneas de producción y sistemas que, si fallan, pueden causar pérdidas económicas masivas, daños ambientales o víctimas humanas.
  • Ciclos de vida extremadamente largos: Un sistema OT puede operar durante 15, 20 o incluso 30 años sin reemplazo. Las actualizaciones son raras y extremadamente planificadas porque detener una planta para actualizar software puede costar millones de dólares por hora.
  • Diseño para aislamiento: Históricamente, OT fue diseñado para operar en redes aisladas (air-gapped), sin conexión a internet ni a redes corporativas, bajo el principio de “seguridad por oscuridad”.
  • Prioridad en disponibilidad: La primera preocupación de OT es que el sistema nunca se detenga. Un segundo de inactividad puede traducirse en toneladas de producto perdido, daños a equipos costosos o situaciones peligrosas.

IT vs OT: Diferencias Fundamentales

AspectoIT (Tecnologías de Información)OT (Tecnologías Operacionales)
Activo CríticoInformación y datosProcesos físicos y continuidad operacional
Impacto de fallaPérdida de datos, interrupción de servicios digitalesDaños físicos, pérdidas económicas masivas, víctimas humanas
Prioridad de seguridadConfidencialidad > Integridad > DisponibilidadDisponibilidad > Integridad > Confidencialidad
Ciclo de actualizaciónFrecuente (semanas/meses)Extremadamente largo (años/décadas)
Tolerancia al downtime (Fuera de servicio)Horas/díasSegundos/minutos
ConectividadDiseñado para estar conectadoHistóricamente aislado (air-gapped)
Personal responsableEquipo IT, desarrolladores, administradores de sistemasIngenieros de procesos, técnicos de instrumentación, operadores
Protocolos comunesTCP/IP, HTTPS, SMTP, FTPModbus, DNP3, OPC, Profinet, EtherNet/IP

La Triada CIA: Dos Enfoques Opuestos

Imagen comparativa dividida verticalmente mostrando IT vs OT: lado izquierdo con servidores de datos y texto 'Confidencialidad' con flecha verde hacia arriba; lado derecho con línea de manufactura industrial con robots y texto 'Disponibilidad' con flecha verde hacia arriba, ilustrando las diferentes prioridades de seguridad en ambos entornos

La seguridad de la información tradicionalmente se ha definido por la triada CIA:

  • Confidencialidad (Confidentiality): Garantizar que la información solo sea accesible para quienes están autorizados.
  • Integridad (Integrity): Asegurar que la información sea precisa, completa y no haya sido alterada de manera no autorizada.
  • Disponibilidad (Availability): Garantizar que la información y los sistemas estén accesibles cuando se necesiten.

En IT y OT, estos tres pilares existen, pero su orden de prioridad es radicalmente diferente.

En el mundo IT, la prioridad es:

  1. Confidencialidad: Si alguien roba la base de datos de clientes, el daño reputacional y legal puede ser catastrófico. Por eso, IT invierte fuertemente en cifrado, controles de acceso y prevención de fugas de datos.
  2. Integridad: La información debe ser confiable. Una transacción financiera adulterada o un registro médico alterado pueden tener consecuencias graves.
  3. Disponibilidad: Aunque importante, un sistema IT puede estar fuera de línea por mantenimiento planificado. Un sitio web caído por una hora es molesto, pero raramente catastrófico.

En el mundo OT, la prioridad se invierte completamente:

  1. Disponibilidad: Una planta de energía no puede detenerse. Una refinería que se apaga puede tardar días en reiniciarse y costar millones de dólares. Un sistema de control de tráfico que falla causa accidentes. La disponibilidad es vital en OT.
  2. Integridad: Los datos de sensores y las instrucciones de control deben ser precisos. Si un sensor reporta una presión incorrecta o una válvula recibe una instrucción adulterada, puede haber explosiones, derrames o colapsos estructurales.
  3. Confidencialidad: Aunque no irrelevante, la confidencialidad es la menor preocupación. Saber que una turbina está girando a 3,600 RPM no es, en sí mismo, un secreto crítico. El problema es si alguien puede manipular esa turbina.

Imagine que usted dirige un hospital. Su equipo IT protege la base de datos de historiales médicos (confidencialidad primero). Pero el equipo OT protege los ventiladores mecánicos (disponibilidad primero). Si el sistema IT cae por una hora para mantenimiento, los médicos usarán papel temporalmente. Si los ventiladores se detienen por un minuto, los pacientes mueren.

Casos que ilustran la criticidad de la disponibilidad en OT:

La razón por la cual OT prioriza la disponibilidad sobre todo lo demás es simple: los sistemas OT controlan procesos que tienen consecuencias inmediatas en el mundo físico. No se trata solo de dinero, aunque las pérdidas económicas pueden ser astronómicas. Se trata de vidas humanas, seguridad pública y estabilidad ambiental.

Apagón en Texas (2021): Durante la tormenta invernal de febrero de 2021, el colapso de la red eléctrica de Texas dejó a millones de personas sin electricidad durante días, en temperaturas bajo cero. Murieron más de 200 personas. La falla no fue un ciberataque, sino una combinación de factores operacionales y climáticos, pero ilustra lo que está en juego en OT: cuando los sistemas de energía fallan, la gente muere.

Explosión de Buncefield (2005): En el Reino Unido, una falla en el sistema de control de nivel de un tanque de combustible provocó un desbordamiento masivo y una de las mayores explosiones en tiempos de paz en Europa. El origen fue un sensor que no comunicó el nivel de llenado. La integridad de los datos del sensor falló, y el resultado fue una explosión que destruyó la terminal petrolera y causó cientos de millones de libras en daños.

En entornos OT, la disponibilidad no es solo una métrica de rendimiento: es una cuestión de seguridad física. Por eso, los ingenieros son muy cautelosos con cualquier cambio. En IT, aplicar el último parche de seguridad suele ser una buena práctica; en OT, hacerlo sin pruebas exhaustivas puede detener una planta o generar condiciones peligrosas para las personas y los equipos.

La Convergencia IT/OT: Oportunidad y Amenaza

Históricamente, IT y OT eran mundos separados. Las redes OT eran air-gapped (sin conexión física a redes externas), los protocolos OT eran propietarios y oscuros, y el personal de IT no tenía acceso a los sistemas industriales. Esta separación ofrecía seguridad a través del aislamiento.

Pero la promesa de la Industria 4.0, el Internet de las Cosas Industrial (IIoT, por sus siglas en inglés de Industrial Internet of Things), la analítica predictiva y la optimización basada en datos ha empujado a las organizaciones a conectar sus entornos OT a las redes corporativas IT e incluso a la nube. Hoy, es común que los datos de sensores industriales se transmitan a plataformas en la nube para análisis en tiempo real, que los operadores accedan a sistemas SCADA desde dispositivos móviles y que los procesos industriales se gestionen con aplicaciones web.

SCADA significa Supervisory Control and Data Acquisition (Control Supervisor y Adquisición de Datos). Es un sistema de software y hardware que permite monitorear y controlar procesos industriales de forma remota y centralizada.

Esta convergencia IT/OT trae beneficios enormes:

  • Visibilidad operacional: Los gerentes pueden ver el estado de la producción en tiempo real desde cualquier lugar.
  • Mantenimiento predictivo: El análisis de datos de sensores permite predecir fallas antes de que ocurran, reduciendo downtime no planificado.
  • Eficiencia energética: La optimización basada en IA puede reducir costos operacionales y huella de carbono.

Pero también introduce riesgos sin precedentes. Al conectar OT a IT, las vulnerabilidades de IT (malware, ransomware, accesos no autorizados) se convierten en amenazas para OT. Un atacante que compromete la red corporativa puede saltar a la red industrial y manipular sistemas críticos.

Ciberataques a OT: De la Teoría a la Realidad

Stuxnet es el ataque más famoso a sistemas OT. Fue un malware diseñado específicamente para sabotear el programa nuclear iraní. Explotaba vulnerabilidades de Windows para propagarse, pero su objetivo final eran los controladores lógicos programables (PLCs, por sus siglas en inglés de Programmable Logic Controllers) Siemens que controlaban las centrifugadoras de enriquecimiento de uranio.

Stuxnet no solo recopilaba información; alteraba físicamente el funcionamiento de las centrifugadoras, haciéndolas girar a velocidades destructivas mientras reportaba datos normales a los operadores (comprometiendo integridad y disponibilidad simultáneamente). El resultado fue la destrucción física de aproximadamente 1,000 centrifugadoras y un retraso significativo en el programa nuclear iraní.

Stuxnet demostró que el malware puede cruzar la brecha entre IT y OT, y que el objetivo final de un ataque cibernético puede ser daño físico, no solo robo de información.

Así como Stuxnet hay otros ataques conocidos con impacto directo e indirecto a tecnologías OT por ejemplo Colonial Pipeline (2021) o el Ataque a la red eléctrica de Ucrania (2015 y 2016) los cuales abordaremos en mayor detalle en este blog en un siguiente artículo.

Cabe mencionar que incluso si OT no es directamente atacado, la convergencia IT/OT implica que las organizaciones deban tomar en cuenta que un compromiso de IT en ciertos casos puede forzar la detención de procesos críticos por precaución.

¿Hacia Dónde Vamos?

La convergencia IT/OT parece irreversible. La presión por eficiencia, sostenibilidad y competitividad empujará a más organizaciones a digitalizar y conectar sus sistemas industriales. Pero esta transformación debe hacerse con una comprensión profunda de los riesgos únicos de OT.

El futuro de la seguridad OT requiere:

Estándares y regulaciones: Marcos como IEC 62443 (estándar internacional para seguridad de sistemas de automatización y control industrial).

Formación híbrida de profesionales: Expertos que entiendan tanto IT como OT, que hablen el idioma de los ingenieros de procesos y de los analistas de seguridad por igual.

Tecnologías específicas para OT: Las soluciones de seguridad IT tradicionales no funcionan en OT. Se requieren firewalls industriales, sistemas de detección de anomalías diseñados para protocolos OT y plataformas de gestión de vulnerabilidades que consideren el ciclo de vida operacional.

La convergencia entre las Tecnologías de Información (IT) y las Tecnologías Operacionales (OT) representa uno de los desafíos más significativos para la seguridad de infraestructuras en la actualidad. Como se ha analizado, ambos dominios operan bajo paradigmas fundamentalmente diferentes: mientras IT prioriza la confidencialidad de datos, OT privilegia la disponibilidad y continuidad de procesos físicos cuya interrupción puede tener consecuencias materiales graves.

La digitalización de entornos industriales mediante tecnologías como IIoT, analítica de datos y computación en la nube ofrece beneficios operacionales y económicos considerables. Sin embargo, esta integración también expone sistemas históricamente aislados a amenazas cibernéticas para las cuales no fueron diseñados. Los casos documentados de Stuxnet y otros casos documentados ilustran que las vulnerabilidades en sistemas OT no son teóricas, sino amenazas actuales con impacto demostrado.

La protección efectiva de entornos IT/OT convergentes requiere un enfoque diferenciado que reconozca las particularidades operacionales de cada dominio.

Referencias

International Society of Automation (ISA) – ISA/IEC 62443 Series of Standards. Recuperado el 18 de noviembre de 2025.

NIST – Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. Recuperado el 18 de noviembre de 2025.

IEEE – Stuxnet: Dissecting a Cyberwarfare Weapon, IEEE Security & Privacy. Recuperado el 18 de noviembre de 2025.

Texas Department of State Health Services – Winter Storm-Related Deaths – Texas. Recuperado el 18 de noviembre de 2025.

Buncefield Major Incident Investigation Board – Buncefield: Why did it happen?. Recuperado el 18 de noviembre de 2025.

Alejandro Cisneros

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied