¿Qué es el modelo Purdue y por qué es relevante para OT?

El modelo Purdue (ISA-95/IEC 62264) define una arquitectura jerárquica de 6 niveles para redes industriales: Nivel 0 (proceso físico), Nivel 1 (control básico, PLCs), Nivel 2 (supervisión, HMIs/SCADA), Nivel 3 (operaciones, MES), DMZ (zona desmilitarizada), Niveles 4-5 (IT corporativa). Cada nivel tiene reglas de comunicación con los adyacentes, y la DMZ actúa como barrera entre IT y OT.

¿Qué es un data diode y cuándo debo usarlo?

Un data diode (o unidirectional gateway) es un dispositivo hardware que permite el flujo de datos en una sola dirección, típicamente de OT hacia IT. Es físicamente imposible enviar datos en sentido contrario. Se usa cuando se necesita extraer datos de la red OT (historiadores, logs, métricas) sin permitir ningún acceso desde IT hacia OT. Es la forma más segura de segmentación, pero limita la operabilidad.

¿Se puede implementar Zero Trust en entornos OT?

Parcialmente. Los principios de Zero Trust (verificar siempre, mínimo privilegio, asumir compromiso) son aplicables, pero la implementación difiere de IT. Muchos protocolos OT no soportan autenticación. Los PLCs no pueden ejecutar agentes de identidad. La implementación práctica se centra en micro-segmentación de red, monitorización continua, y control estricto de acceso a estaciones de ingeniería y jump servers.

¿Cuáles son los errores más comunes en segmentación IT/OT?

Los más frecuentes: AD compartido entre IT y OT, acceso VPN directo a red OT sin jump server, flat network sin zonas internas en OT, firewall con reglas 'any-any' en la DMZ, puertos USB sin control en estaciones de ingeniería, y acceso de vendors sin monitorización ni caducidad.

IntermedioOTICSsegmentación de redinfraestructura críticaIEC 62443Zero Trust

Segmentación IT/OT: Arquitectura de Red para Infraestructura Crítica

Arquitectura de segmentación IT/OT basada en el modelo Purdue. Diseño de DMZ industrial, data diodes, firewalls para protocolos ICS, zonas y conductos IEC 62443, micro-segmentación, acceso remoto seguro y Zero Trust aplicado a entornos OT.

MalwareIntel Research·6 de junio de 2026·13 min lectura

Serie: Malware IoT/OT/ICS — Parte 10

Por qué la segmentación IT/OT es el control más importante

Si hay una lección que se repite en cada incidente de ciberseguridad OT (Colonial Pipeline, Norsk Hydro, Maersk, Honda), es que la segmentación deficiente entre redes IT y OT amplifica exponencialmente el impacto de cualquier ataque. Un ransomware que en un entorno bien segmentado solo afectaría a la red corporativa, en un entorno flat puede paralizar una planta industrial completa.

La segmentación no es solo un firewall entre IT y OT. Es una arquitectura completa que define zonas, reglas de comunicación, puntos de cruce y mecanismos de monitorización. Este artículo detalla cómo diseñar e implementar esa arquitectura, desde el modelo teórico hasta las decisiones prácticas de configuración.

El modelo Purdue: la base de todo

El modelo Purdue (derivado de ISA-95/IEC 62264) establece una jerarquía de niveles que separa las funciones de proceso, control, operaciones y negocio. Aunque tiene décadas de antigüedad, sigue siendo el marco de referencia para diseñar redes OT.

Nivel 0: Proceso físico

El proceso real: válvulas, motores, bombas, sensores, actuadores. No hay red en este nivel, solo señales eléctricas (4-20 mA, 0-10V, señales digitales) entre el proceso y los controladores.

Nivel 1: Control básico

PLCs (Programmable Logic Controllers), RTUs (Remote Terminal Units), y controladores de seguridad (SIS). Ejecutan la lógica de control en tiempo real. Protocolos típicos: Modbus RTU/TCP, EtherNet/IP, PROFINET, S7comm, OPC UA.

Nivel 2: Supervisión

Sistemas SCADA, HMIs (Human Machine Interfaces), estaciones de ingeniería. Proporcionan visualización del proceso, alarmas, y la interfaz para que los operadores interactúen con el sistema de control. Data historians locales.

Nivel 3: Operaciones de manufactura

MES (Manufacturing Execution Systems), historiadores de planta, gestión de lotes, gestión de calidad. Este nivel integra la información de producción con los sistemas de negocio.

DMZ (Nivel 3.5): Zona desmilitarizada industrial

La barrera entre OT y IT. En este nivel se ubican los servidores que necesitan ser accesibles desde ambos lados: servidores de replicación de datos, servidores de parches OT, jump servers para acceso remoto, y los puntos de transferencia de archivos.

Niveles 4-5: IT corporativa

ERP, email, CRM, Internet. La red corporativa estándar con sus propias capas de seguridad.

Principio fundamental

La comunicación entre niveles solo debe ocurrir entre niveles adyacentes. Un sistema de Nivel 5 (email corporativo) nunca debería comunicarse directamente con un PLC de Nivel 1. Toda comunicación IT-OT pasa obligatoriamente a través de la DMZ.

Desafíos de la convergencia IT/OT

La convergencia IT/OT es una realidad impulsada por la necesidad de las organizaciones de obtener datos de producción en tiempo real, optimizar operaciones con analytics, y permitir mantenimiento remoto. Esta convergencia genera tensiones entre la agilidad que busca IT y la estabilidad que necesita OT.

Prioridades diferentes. IT prioriza confidencialidad, luego integridad, luego disponibilidad (CIA). OT prioriza seguridad (safety), disponibilidad, integridad, y la confidencialidad es secundaria.

Ciclos de vida diferentes. Un servidor IT se reemplaza cada 3-5 años. Un PLC puede estar en servicio durante 15-25 años. Los parches que IT aplica mensualmente, OT los aplica anualmente (si llega a aplicarlos).

Protocolos sin seguridad. Modbus, diseñado en 1979, no tiene autenticación, cifrado ni integridad. DNP3, EtherNet/IP y muchos otros protocolos industriales tampoco. La seguridad debe proporcionarse a nivel de red, no de protocolo.

Cultura organizativa. Los equipos IT y OT históricamente operan de forma independiente, con lenguajes, prioridades y herramientas diferentes. La segmentación efectiva requiere colaboración entre ambos.

Diseño de la DMZ industrial

La DMZ industrial es el componente más crítico de la arquitectura de segmentación. Su diseño determina qué datos fluyen entre IT y OT, cómo fluyen, y qué controles se aplican.

Principios de diseño

Doble firewall. La DMZ debe estar delimitada por dos firewalls independientes: uno en el lado IT y otro en el lado OT. Esto crea una zona buffer donde los servidores intermedios residen. Un atacante que comprometa un firewall no obtiene acceso directo al otro lado.

Nunca tráfico directo IT-OT. No debe existir ninguna regla de firewall que permita tráfico directo desde la red IT a la red OT (ni viceversa). Todo flujo pasa a través de un servidor intermedio en la DMZ.

Servicios específicos. La DMZ solo aloja los servicios estrictamente necesarios para la integración IT/OT:

Servidor de replicación de datos del historian OT al data lake IT.
Servidor WSUS/patch management dedicado a OT (con aprobación manual de parches).
Jump server para acceso remoto controlado a OT.
Servidor antivirus con definiciones para equipos OT.
Servidor de transferencia de archivos (por ejemplo, para actualizaciones de recetas de producción).

Iniciación de conexión. Las conexiones siempre deben iniciarse desde el nivel inferior (OT) hacia el nivel superior (DMZ/IT), nunca al revés. El historian OT hace push de datos hacia el servidor de replicación en la DMZ. El sistema en DMZ nunca hace pull desde la red OT.

Ejemplo de reglas de firewall

# Firewall OT-lado (entre OT y DMZ)
ALLOW OT-Historian -> DMZ-Replication-Server : TCP 1433 (SQL replication)
ALLOW OT-WSUS-Client -> DMZ-Patch-Server : TCP 8530 (WSUS)
DENY DMZ -> OT : ANY (bloqueo total sentido inverso)

# Firewall IT-lado (entre DMZ e IT)
ALLOW DMZ-Replication-Server -> IT-DataLake : TCP 443 (HTTPS API)
ALLOW IT-Admin -> DMZ-JumpServer : TCP 3389 (RDP, con MFA)
DENY IT -> DMZ : ANY excepto las reglas explícitas

Unidirectional gateways (data diodes)

Para la segmentación más estricta, los data diodes proporcionan una garantía física de que los datos solo fluyen en una dirección.

Cómo funcionan

Un data diode es un dispositivo hardware que contiene un emisor óptico (LED/láser) en un lado y un receptor óptico (fotodiodo) en el otro. El enlace óptico es físicamente unidireccional: la luz viaja del emisor al receptor, y no existe camino físico para que una señal viaje en sentido contrario.

Esto significa que los datos pueden salir de la red OT (telemetría, logs, datos de producción) pero es físicamente imposible que un paquete de red entre a la red OT a través del data diode. Ni malware, ni comandos, ni exploits pueden cruzar el dispositivo en sentido inverso.

Cuándo usar data diodes

Ideal para:

Exportación de datos de historians OT hacia IT para analytics.
Envío de logs de seguridad OT hacia el SIEM corporativo.
Replicación de datos de producción para reporting.

No viable para:

Acceso remoto a OT (requiere comunicación bidireccional).
Gestión de parches (el servidor de parches necesita recibir solicitudes).
Cualquier caso que requiera comunicación interactiva.

Fabricantes

Waterfall Security, Owl Cyber Defense, Fox-IT (ahora parte de NCC Group), y Advenica son los principales fabricantes de data diodes para entornos industriales. Los precios son significativos (varios miles de euros por unidad), pero para infraestructura crítica de alto riesgo, el coste se justifica.

Firewalls para protocolos ICS

Los firewalls convencionales operan en capas 3-4 (IP, TCP/UDP). Para proteger protocolos industriales, se necesitan firewalls con DPI (Deep Packet Inspection) que entiendan los protocolos de Nivel 7.

Inspección profunda de protocolos industriales

Un firewall ICS debe ser capaz de:

Modbus TCP. Inspeccionar los function codes y permitir solo los autorizados. Por ejemplo: permitir lectura de registros (FC 0x03) pero bloquear escritura (FC 0x06, 0x10) excepto desde estaciones de ingeniería autorizadas.

S7comm. Distinguir entre operaciones de lectura de datos, escritura de configuración, carga de programa, y parada/arranque del PLC. Bloquear operaciones peligrosas excepto desde IPs específicas.

EtherNet/IP / CIP. Filtrar por servicio CIP. Permitir lectura de tags pero bloquear programación y cambios de configuración.

OPC UA. Inspeccionar las sesiones OPC UA y filtrar por nodo y operación.

Fabricantes especializados

Fortinet (FortiGate con licencia ICS), Palo Alto (con App-ID para protocolos industriales), Claroty, y Nozomi Networks ofrecen firewalls o funcionalidades de inspección profunda para protocolos ICS. Algunos fabricantes de PLCs (como Siemens con SCALANCE) ofrecen firewalls embebidos en sus propios switches industriales.

Network monitoring en OT

La monitorización de la red OT es el complemento esencial de la segmentación. No basta con segmentar: hay que verificar continuamente que la segmentación se mantiene y detectar anomalías.

Monitorización pasiva vs. activa

Pasiva (recomendada para OT). Captura de tráfico mediante port mirroring (SPAN) o network TAPs. Analiza el tráfico sin inyectar paquetes en la red. No interfiere con la operación de los sistemas de control. Herramientas: Zeek (Bro), Arkime (Moloch), Claroty, Nozomi Networks, Dragos.

Activa (con precaución). Escaneo activo de la red OT para descubrir dispositivos. Puede interferir con dispositivos legacy que no toleran tráfico inesperado. Solo usar herramientas diseñadas específicamente para OT, como el escaneo pasivo de Nozomi o las consultas read-only de Claroty. Nunca usar Nmap contra una red OT en producción.

Qué monitorizar

Nuevos dispositivos en la red (detección de accesos no autorizados).
Comunicaciones entre niveles Purdue que violan la política (por ejemplo, un equipo de Nivel 1 comunicándose directamente con Nivel 4).
Cambios en programas de PLCs (carga de nuevos programas, modificación de lógica).
Tráfico de protocolos industriales desde IPs no autorizadas.
Volumen y patrones de tráfico (anomalías que podrían indicar exfiltración o DoS).

IEC 62443: zonas y conductos

IEC 62443 formaliza el concepto de segmentación OT mediante zonas y conductos.

Zonas

Una zona es un grupo de activos con el mismo nivel de seguridad requerido (Security Level, SL). Cada zona tiene un nivel de seguridad objetivo (SL-T) y un nivel de seguridad actual (SL-A). Los activos dentro de una zona comparten requisitos de seguridad similares.

Ejemplos de zonas:

Zona de control: PLCs, RTUs, controladores de seguridad. SL-T alto (SL-3 o SL-4).
Zona de supervisión: HMIs, SCADA, estaciones de ingeniería. SL-T medio-alto (SL-2 o SL-3).
Zona DMZ: servidores de replicación, jump servers. SL-T medio (SL-2).
Zona IT: red corporativa. SL-T según política IT.

Conductos

Un conducto es el canal de comunicación entre dos zonas. Define qué comunicación está permitida, cómo se protege, y qué controles se aplican. Un conducto puede ser un firewall, un data diode, un proxy, o una combinación.

Cada conducto debe documentar:

Zonas que conecta.
Protocolos y puertos permitidos.
Dirección del flujo (unidireccional o bidireccional).
Controles de seguridad aplicados (cifrado, autenticación, filtrado).
Nivel de seguridad del conducto (SL-C).

Micro-segmentación en OT

Más allá de la macro-segmentación IT/OT, la micro-segmentación divide la red OT en segmentos más pequeños para limitar el movimiento lateral dentro de la propia red industrial.

Por qué es necesaria

Si un atacante logra entrar en la red OT, una red flat le permite alcanzar todos los dispositivos industriales. La micro-segmentación limita el alcance del compromiso: un atacante que compromete un HMI solo puede alcanzar los PLCs de su segmento, no los de toda la planta.

Implementación práctica

Por proceso o línea de producción. Cada línea de producción o unidad de proceso en su propia VLAN con firewall que controla la comunicación entre líneas.

Por nivel Purdue. VLANs separadas para Nivel 1 (PLCs), Nivel 2 (HMIs/SCADA) y Nivel 3 (MES/historian). Firewalls entre niveles con reglas específicas por protocolo.

Por criticidad. Los sistemas de seguridad (SIS) siempre en su propio segmento, con las reglas más restrictivas. Los sistemas de control de proceso en otro. Los sistemas auxiliares (HVAC, iluminación) en otro.

Switches gestionados. La micro-segmentación requiere switches gestionados con soporte de VLANs y ACLs. En entornos industriales, switches de fabricantes como Siemens (SCALANCE), Hirschmann, Cisco IE, o Moxa.

Acceso remoto seguro a OT

El acceso remoto es una de las mayores fuentes de riesgo en OT. Vendors que necesitan acceso para mantenimiento, ingenieros que trabajan desde casa, y equipos de soporte global requieren conectividad a los sistemas de control.

Jump servers (bastion hosts)

El acceso remoto nunca debe ser directo a la red OT. Siempre a través de un jump server ubicado en la DMZ:

El usuario se conecta al jump server en la DMZ mediante VPN con MFA.
Desde el jump server, inicia una sesión RDP o SSH al equipo OT objetivo.
Toda la actividad en el jump server queda registrada (grabación de sesión, logging de comandos).
Las credenciales de OT están almacenadas en un PAM (Privileged Access Management) y nunca se exponen al usuario.

Controles obligatorios

MFA. Autenticación multifactor para todo acceso remoto. Sin excepciones.
Grabación de sesión. Registro completo de la sesión remota (vídeo y comandos).
Ventanas de acceso. Acceso de vendors limitado a ventanas temporales aprobadas, no permanente.
Segmentación. El jump server solo puede comunicarse con los equipos OT específicos aprobados, no con toda la red OT.
Monitorización. Alertas en tiempo real ante accesos fuera de horario o desde ubicaciones inusuales.

Zero Trust para OT: posibilidades y límites

Zero Trust es el paradigma dominante en seguridad IT. Sus principios (verificar siempre, mínimo privilegio, asumir compromiso) son aplicables a OT, pero la implementación difiere significativamente.

Lo que se puede hacer

Micro-segmentación basada en identidad. Definir políticas de acceso basadas en la identidad del dispositivo y del usuario, no solo en la dirección IP. Las estaciones de ingeniería solo pueden programar los PLCs de su zona.

Monitorización continua. Verificar continuamente que el tráfico de la red OT coincide con el baseline esperado. Cualquier desviación (un nuevo flujo de comunicación, un protocolo inesperado, un volumen anómalo) genera una alerta.

Mínimo privilegio en acceso humano. Los operadores solo acceden a las pantallas y funciones que necesitan. Los ingenieros solo programan los PLCs de su área. Los vendors solo acceden durante ventanas aprobadas.

Lo que no se puede hacer (todavía)

Autenticación por dispositivo en protocolos legacy. Modbus, DNP3 y muchos protocolos industriales no soportan autenticación. Un PLC Modbus no puede verificar la identidad de quien le envía un comando. La seguridad debe proporcionarse a nivel de red (firewall, ACL).

Agentes en dispositivos OT. Los PLCs, RTUs y muchos HMIs no pueden ejecutar agentes de seguridad. No hay EDR para un PLC Siemens S7-300.

Actualizaciones frecuentes. Zero Trust asume que los sistemas pueden parchearse continuamente. En OT, los parches requieren ventanas de mantenimiento planificadas y pruebas exhaustivas.

Recursos

Estándares y guías

IEC 62443: serie completa de estándares de seguridad para sistemas de automatización industrial.
NIST SP 800-82 Rev. 3: Guide to OT Security.
CISA: Recommended Practices for ICS.
ISA/IEC 62443-3-3: requisitos de seguridad del sistema y niveles de seguridad.

Herramientas de monitorización OT

Claroty: visibilidad y detección de amenazas OT/IoT.
Nozomi Networks: monitorización de redes industriales.
Dragos Platform: detección de amenazas ICS.
Zeek: monitorización de red open source (con parsers para protocolos industriales).

Data diodes

Waterfall Security: waterfall-security.com.
Owl Cyber Defense: owlcyberdefense.com.
Advenica: advenica.com.

Lectura recomendada

Byres, E. & Lowe, J., "The Myths and Facts Behind Cyber Security Risks for Industrial Control Systems," ISA, 2004.
SANS, "An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity," ICS Security Reading Room.
Dragos, "Industrial Network Segmentation: Best Practices," 2023.