¿Cuál es la diferencia entre IT, OT e IoT?

IT (Information Technology) gestiona datos y comunicaciones. OT (Operational Technology) controla procesos físicos industriales (PLCs, RTUs, SCADA). IoT (Internet of Things) son dispositivos conectados con funcionalidad limitada (cámaras, sensores, routers). La convergencia IT/OT ha expuesto sistemas OT históricamente aislados a amenazas de red.

¿Por qué los sistemas ICS son tan vulnerables?

Los sistemas ICS fueron diseñados para funcionar décadas sin interrupciones, priorizando disponibilidad sobre seguridad. Usan protocolos sin autenticación ni cifrado (Modbus, DNP3), sistemas operativos legacy sin parches, y durante años dependieron del mito del air-gap como protección principal.

¿Qué es el modelo Purdue y por qué es relevante para la seguridad?

El modelo Purdue (ISA-95) define 6 niveles de una arquitectura industrial, desde el proceso físico (Nivel 0) hasta la red corporativa (Nivel 5). Es la referencia para segmentar redes IT/OT y diseñar zonas de seguridad, con una DMZ industrial entre los niveles IT y OT.

¿Qué actores de amenazas atacan infraestructura crítica?

Principalmente actores estatales: Sandworm/Voodoo Bear (Rusia, ataques a redes eléctricas ucranianas), Equation Group (EE.UU./Israel, Stuxnet), XENOTIME (Rusia, TRITON contra sistemas de seguridad), CHERNOVITE (Pipedream). También grupos criminales como ransomware que afectan OT colateralmente.

¿Cuántos ataques a ICS se reportan anualmente?

CISA reportó más de 1.200 advisories relacionados con ICS solo en 2023. Dragos identificó 21 grupos de amenazas que activamente atacan infraestructura industrial. El número real es probablemente mayor, ya que muchos incidentes OT no se reportan públicamente.

PrincipianteIoTOTICSinfraestructura críticamodelo Purdueconvergencia IT/OT

Panorama de Amenazas IoT/OT/ICS: Por Qué la Infraestructura Crítica Está en Riesgo

Análisis del panorama de amenazas en entornos IoT, OT e ICS. Diferencias IT vs OT, modelo Purdue, convergencia IT/OT, superficie de ataque, incidentes históricos y actores que atacan infraestructura crítica.

MalwareIntel Research·6 de junio de 2026·12 min lectura

Serie: Malware IoT/OT/ICS — Parte 1

Tres mundos convergentes: IT, OT e IoT

La seguridad de infraestructura crítica opera en la intersección de tres dominios tecnológicos que históricamente han evolucionado de forma independiente. Entender sus diferencias es fundamental para comprender por qué las amenazas actuales son tan efectivas.

IT (Information Technology) gestiona datos: redes corporativas, servidores, aplicaciones de negocio, correo electrónico. Su prioridad es la confidencialidad (CIA: Confidentiality first). Los ciclos de vida del hardware son de 3 a 5 años, los parches se aplican regularmente y los equipos de seguridad tienen décadas de experiencia con amenazas.

OT (Operational Technology) controla procesos físicos: PLCs (Programmable Logic Controllers), RTUs (Remote Terminal Units), sistemas SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems). Su prioridad es la disponibilidad (AIC: Availability first). Los equipos pueden estar operativos durante 20 o 30 años sin actualizaciones. Los parches requieren paradas de producción que cuestan millones.

IoT (Internet of Things) abarca dispositivos conectados con capacidad de cómputo limitada: cámaras IP, sensores ambientales, termostatos inteligentes, routers domésticos, dispositivos médicos. Tienen ciclos de vida variables, firmware raramente actualizado y, con frecuencia, credenciales por defecto.

Característica	IT	OT	IoT
Prioridad	Confidencialidad	Disponibilidad	Funcionalidad
Ciclo de vida	3 a 5 años	15 a 30 años	2 a 10 años
Parches	Regular (mensual)	Raramente (requiere parada)	Casi nunca
Protocolos	TCP/IP, HTTP, TLS	Modbus, DNP3, OPC, S7comm	MQTT, CoAP, Zigbee
Conectividad	Siempre online	Históricamente aislado	Siempre online
Impacto de fallo	Pérdida de datos	Daño físico, peligro humano	Privacidad, botnet
Equipo de seguridad	SOC/CSIRT maduro	Ingenieros de control	Inexistente

El modelo Purdue: arquitectura de referencia industrial

El modelo Purdue (también conocido como ISA-95/IEC 62264) define una arquitectura jerárquica de 6 niveles para sistemas industriales. Es la base sobre la que se diseña la segmentación de redes IT/OT.

Nivel 5: Red empresarial (Enterprise Network) Sistemas corporativos: ERP, correo, internet. Dominio puro IT.

Nivel 4: Red de negocio (Business Planning) Sistemas de planificación de producción, bases de datos de operaciones. Interfaz IT/OT.

Nivel 3.5: DMZ Industrial Zona desmilitarizada entre IT y OT. Aquí residen los servidores de datos intermedios, historiadores de proceso y jump hosts. Es la frontera crítica de seguridad.

Nivel 3: Operaciones de manufactura (Site Operations) Servidores SCADA, HMIs (Human Machine Interfaces), historiadores de datos de proceso. Gestión de la planta.

Nivel 2: Control de área (Area Supervisory Control) HMIs locales, estaciones de ingeniería, servidores de control de área.

Nivel 1: Control básico (Basic Control) PLCs, RTUs, controladores de seguridad (SIS). Los dispositivos que envían comandos directos al proceso.

Nivel 0: Proceso físico (Physical Process) Sensores, actuadores, válvulas, motores, bombas. El mundo real.

Por qué el modelo Purdue importa para la seguridad

El modelo Purdue establece que la comunicación debería fluir verticalmente entre niveles adyacentes, nunca saltarse niveles. En la práctica, la convergencia IT/OT ha creado conexiones directas entre Nivel 5 y Nivel 2 (acceso remoto a HMIs), o entre Nivel 4 e Nivel 1 (PLCs accesibles vía VPN corporativa). Cada conexión que salta niveles del modelo Purdue es un vector de ataque potencial.

Por qué OT/ICS es vulnerable

Legacy extremo

Los sistemas ICS fueron diseñados en los años 80 y 90, cuando la seguridad informática no era una consideración de diseño. Un PLC Siemens S7-300 instalado en 2005 puede seguir controlando una planta de tratamiento de agua en 2026, ejecutando firmware que nunca ha sido actualizado. Estos dispositivos no soportan autenticación, cifrado ni logging de seguridad. No fueron diseñados para un mundo conectado.

La actualización de firmware en un PLC requiere una parada de producción planificada. En una planta de generación eléctrica, una parada puede costar entre 50.000 y 500.000 euros por hora. En una refinería, los ciclos de mantenimiento se planifican con años de antelación. El resultado: equipos con vulnerabilidades conocidas que permanecen sin parchear durante años.

El mito del air-gap

Durante décadas, la seguridad OT se basó en la premisa de que las redes industriales estaban físicamente aisladas (air-gapped) de las redes IT y de internet. Stuxnet demostró en 2010 que un air-gap no detiene a un atacante motivado: el malware se propagó a las centrifugadoras de Natanz vía memorias USB.

En la práctica, los air-gaps reales son raros. Las auditorías de Dragos y Claroty revelan que más del 80% de las redes OT que sus clientes creían aisladas tenían algún tipo de conexión a redes IT o internet. Conexiones típicas que rompen el air-gap:

Acceso remoto de vendors para mantenimiento (VPN, TeamViewer)
Laptops de ingenieros que se conectan a la red IT y OT alternamente
Historiadores de datos que replican datos de OT a redes corporativas
Conexiones celulares 4G/5G de respaldo en RTUs remotas
Dispositivos USB compartidos entre redes

Convergencia IT/OT

La Industria 4.0 ha acelerado la integración IT/OT. Los beneficios operativos son reales: monitorización remota, mantenimiento predictivo, optimización de producción con datos en tiempo real. Pero cada conexión IT/OT amplia la superficie de ataque.

La convergencia significa que un ataque de phishing contra un empleado corporativo (Nivel 5) puede escalar hasta un PLC (Nivel 1) si no hay segmentación adecuada. Los atacantes no necesitan conocimiento especializado de OT para el acceso inicial: comprometen la red IT con técnicas convencionales y luego pivotan hacia la red OT.

Superficie de ataque: vectores principales

Acceso remoto

El acceso remoto a redes OT es el vector de entrada más explotado. VPNs mal configuradas, credenciales por defecto en interfaces de gestión, servicios RDP expuestos en estaciones de ingeniería. El 60% de los incidentes OT documentados por Dragos en 2023 involucraron acceso remoto como vector inicial.

Dispositivos IoT expuestos

Shodan indexa millones de dispositivos industriales accesibles desde internet: PLCs con interfaces web, HMIs sin autenticación, cámaras IP en plantas industriales, protocolos industriales (Modbus TCP en puerto 502, EtherNet/IP en puerto 44818) respondiendo a consultas externas.

Supply chain

Actualizaciones de firmware comprometidas, librerías de terceros con backdoors, software de ingeniería troyanizado. El ataque a SolarWinds en 2020 demostró el potencial de los ataques de cadena de suministro. En OT, el riesgo es mayor: los vendors tienen acceso privilegiado a redes de control y sus actualizaciones se aplican con confianza implícita.

Los ingenieros de control son objetivos de spear-phishing. Sus credenciales dan acceso directo a estaciones de ingeniería (Nivel 2) que pueden reprogramar PLCs. Las campañas de APTs dirigidas a infraestructura crítica suelen comenzar con correos de phishing personalizados que imitan comunicaciones de proveedores industriales.

Estadísticas: la dimensión del problema

Las cifras de los últimos años dibujan una tendencia preocupante:

CISA publicó más de 1.200 advisories ICS en 2023, un incremento del 25% respecto a 2022.
Dragos identificó 21 grupos de amenazas que activamente atacan infraestructura industrial (2023 Year in Review).
El 68% de las vulnerabilidades ICS descubiertas en 2023 afectan a dispositivos en Niveles 1 y 2 del modelo Purdue (Claroty Team82).
El 34% de las vulnerabilidades ICS publicadas no tenían parche disponible en el momento de la publicación (Claroty).
Los ataques de ransomware afectaron a más de 70 entidades de infraestructura crítica en EE.UU. en 2023 (FBI IC3).
El tiempo medio de permanencia de un atacante en redes OT antes de ser detectado supera los 200 días (Mandiant).
Menos del 5% de los activos OT están monitorizados por soluciones de seguridad (Gartner).

Timeline de incidentes notables

La historia del malware ICS/OT es relativamente corta pero intensa. Cada incidente ha marcado un antes y un después en la percepción de las amenazas a infraestructura crítica.

Año	Incidente	Objetivo	Impacto
2010	Stuxnet	Centrifugadoras de uranio (Irán, Natanz)	Destrucción física de 1.000 centrifugadoras. Primer arma ciberfísica documentada
2013	Havex/Dragonfly	Sector energético (Europa, EE.UU.)	Reconocimiento OT via OPC DA. Troyano en instaladores de vendors ICS
2015	BlackEnergy	Red eléctrica (Ucrania)	Primer apagón eléctrico causado por ciberataque. 230.000 afectados durante 6 horas
2016	Industroyer/CrashOverride	Red eléctrica (Ucrania, subestación Pivnichna)	Segundo apagón eléctrico. Primer malware que habla protocolos eléctricos nativos
2017	TRITON/TRISIS	Sistemas de seguridad SIS (Arabia Saudí)	Ataque a controladores Triconex de Schneider. Potencial para causar daño físico
2017	NotPetya	Transporte, logística, farmacéutica (global)	Wiper disfrazado de ransomware. Maersk perdió 300 millones de dólares. Impacto colateral en OT
2019	Ransomware Norsk Hydro	Producción de aluminio (Noruega)	LockerGoga forzó operaciones manuales durante semanas. 70 millones de dólares en pérdidas
2021	Oldsmar Water	Planta de tratamiento de agua (Florida, EE.UU.)	Intento de envenenamiento del agua: nivel de NaOH aumentado 100x via acceso remoto
2022	Industroyer2	Red eléctrica (Ucrania)	Versión simplificada de Industroyer. Neutralizado antes del impacto por CERT-UA y ESET
2022	Pipedream/INCONTROLLER	Diseñado para Schneider y Omron PLCs	Framework modular para atacar cualquier ICS. Descubierto antes de su despliegue
2023	COSMICENERGY	Simulación de ataque a red eléctrica	Malware ruso que interactúa con IEC 104. Posible herramienta de entrenamiento
2023	FrostyGoop	Sistemas de calefacción (Ucrania, Lviv)	Primer malware que usa Modbus TCP para causar interrupción real de servicio
2024	Ataques a infraestructura hídrica	Plantas de agua (EE.UU., múltiples estados)	PLCs Unitronics accesibles desde internet, comprometidos por actores pro-Irán

Actores de amenazas que atacan ICS

Los grupos que atacan infraestructura crítica son predominantemente actores estatales. El nivel de sofisticación, paciencia y recursos necesarios para desarrollar malware ICS específico supera las capacidades de la mayoría de los grupos criminales.

Sandworm (Rusia, GRU Unidad 74455)

El grupo más prolífico en ataques a infraestructura crítica. Responsable de BlackEnergy (2015), Industroyer (2016), NotPetya (2017), Industroyer2 (2022) y múltiples ataques destructivos contra Ucrania. Capacidad demostrada para causar apagones eléctricos. MITRE: G0034.

XENOTIME (atribución Rusia, posiblemente TsNIIKhM)

Responsable de TRITON/TRISIS (2017), el único malware diseñado específicamente para atacar sistemas de seguridad industrial (SIS). Representan la amenaza más peligrosa: un ataque exitoso a un SIS podría eliminar las protecciones que previenen explosiones, fugas tóxicas o fallos catastróficos. Dragos los califica como el grupo de amenazas ICS más peligroso del mundo.

CHERNOVITE

Grupo detrás de Pipedream/INCONTROLLER (2022), un framework modular de ataque ICS que no fue desplegado gracias a la detección temprana de Dragos, Mandiant y CISA. Pipedream es preocupante porque fue diseñado para atacar múltiples vendors y protocolos ICS de forma agnóstica.

Equation Group (EE.UU./Israel)

Responsable de Stuxnet (2010). Demostró que los estados occidentales también desarrollan ciberarmas contra infraestructura industrial. El impacto de Stuxnet va más allá de Natanz: estableció el precedente de que un ciberataque puede causar destrucción física.

ELECTRUM (atribución Rusia)

Vinculado a ataques contra infraestructura energética ucraniana. Dragos los asocia con las campañas post-2022 de ataques a la red eléctrica durante la invasión de Ucrania.

Grupos criminales: impacto colateral en OT

Los grupos de ransomware (LockBit, BlackCat, Cl0p) no suelen atacar redes OT directamente, pero el impacto en redes IT puede forzar paradas de producción OT. Colonial Pipeline (2021) es el ejemplo paradigmático: el ransomware DarkSide afectó los sistemas de facturación IT, pero la compañía cerró preventivamente su pipeline de combustible, causando escasez en la costa este de EE.UU. durante días.

Impacto más allá de lo digital: consecuencias físicas

Lo que diferencia a las amenazas OT/ICS del resto del panorama de ciberseguridad es la posibilidad de consecuencias cinéticas. Un ataque a un PLC puede:

Causar un apagón eléctrico que afecte a hospitales, transporte y comunicaciones
Alterar la composición química del agua potable (caso Oldsmar)
Provocar sobrepresión en calderas industriales, con riesgo de explosión
Desactivar sistemas de seguridad que protegen vidas humanas (TRITON)
Interrumpir cadenas de suministro de alimentos, combustible o medicamentos
Dañar equipos industriales valorados en millones (Stuxnet destruyó centrifugadoras)

Esta dimensión física hace que la seguridad OT/ICS sea un asunto de seguridad nacional, no solo de ciberseguridad empresarial.

El panorama actual y hacia dónde va

Las tendencias actuales agravan el riesgo:

Más dispositivos conectados. Se estiman más de 15.000 millones de dispositivos IoT en 2025, muchos en infraestructura crítica. Cada sensor, cámara o actuador conectado es un punto de entrada potencial.
Cloud y edge computing en OT. La adopción de plataformas cloud para analytics de datos industriales crea nuevas dependencias y vectores de ataque.
Escasez de talento OT security. Hay muy pocos profesionales que combinen conocimiento de ciberseguridad y de sistemas de control industrial. El gap es mayor que en IT security.
Aumento de la regulación. NIS2 en Europa, directivas de CISA en EE.UU., el Real Decreto 43/2021 en España. La presión regulatoria crece, pero la implementación va lenta.
Armas ICS reutilizables. Pipedream/INCONTROLLER demostró que se pueden construir frameworks de ataque ICS agnósticos que funcionan contra múltiples vendors. La barrera de entrada para ataques ICS se reduce.
Geopolítica como acelerador. El conflicto Rusia/Ucrania ha demostrado que los ataques a infraestructura crítica son un componente activo de la guerra moderna. Otros estados toman nota.

Recursos

Dragos ICS/OT Cybersecurity Year in Review (informe anual, referencia fundamental)
CISA ICS-CERT Advisories (advisories oficiales de vulnerabilidades ICS)
NIST SP 800-82 Rev 3: Guide to OT Security (guía de referencia para seguridad OT)
IEC 62443: Industrial Automation Security (estándar internacional de seguridad industrial)
MITRE ATT&CK for ICS (matriz de TTPs específica para ICS)
Claroty Team82 Research (investigación de vulnerabilidades ICS)
SANS ICS Resources (formación y recursos ICS security)

Preguntas frecuentes

Libros recomendados

Industrial Network Security (Eric D. Knapp & Joel Thomas Langill)

Amazon (enlace afiliado)

Hacking Exposed Industrial Control Systems (Clint Bodungen)