La ciberseguridad SCADA dejó de ser un problema exclusivo de los equipos de automatización para convertirse en una responsabilidad compartida entre IT y OT. Esa fue la premisa de Eduardo Capetta, Regional Pre-Sales Manager de Kaspersky, y Federico D’Addona, Regional Business Developer & Partnership de LEVEX, en su charla «Cómo asegurar ecosistemas industriales basados en el estándar IEC 62443» durante el Industrial Cyber Summit Argentina 2026. Juntos, combinaron datos de inteligencia global con un caso real que ilustró mejor que cualquier estadística por qué la convergencia IT/OT no es solo una oportunidad de eficiencia: es también un vector de riesgo que puede costar millones en minutos.

 

El sistema nervioso de la industria: la convergencia que ya ocurrió

D’Addona empezó con una analogía que ordenó bien el debate. En el cuerpo humano, el cerebro genera acciones y los músculos las ejecutan. Esa comunicación no ocurre de forma directa: existe un sistema nervioso que transporta las señales de uno al otro, y por ese mismo canal viajan también las infecciones y las dolencias.

En la industria, el cerebro es IT: el correo corporativo, la red administrativa, los sistemas de gestión. Los músculos son OT: los PLCs, las redes industriales, los sistemas SCADA. Y el sistema nervioso es la convergencia que une ambos mundos. El problema es que ese sistema nervioso, cuando no está protegido, también transporta las amenazas. Un correo de phishing que llega a alguien del área administrativa puede, en una red convergida sin segmentación adecuada, terminar parando una máquina, una planta y todo el proceso productivo asociado.

Esa ya no es una posibilidad teórica. Es el escenario que describe con precisión la tendencia que todos los paneles del evento abordaron desde ángulos distintos: la convergencia IT/OT multiplicó la superficie de ataque de los entornos industriales al conectar dos mundos que durante décadas operaron en silos separados. La eficiencia que esa conexión produce es real. El riesgo que introduce también.

 

Un USB a las 3 de la mañana: el caso real

D’Addona narró un incidente que ocurrió en una acería. Un sábado a las 3 de la mañana, un operario del turno noche vio que su celular tenía 12% de batería. Hizo lo que haría cualquier persona: buscó un cable USB y lo enchufó. El puerto disponible más cercano era una estación de ingeniería de la red OT.

No lo hizo con malicia. No tenía ninguna intención de causar daño. Pero ese USB —junto con el teléfono que cargó— introdujo algo en la red industrial. La señalización del horno se perdió. El sistema SCADA dejó de ver los datos del proceso. El horno se detuvo fuera de ciclo, y el acero en proceso de fusión dentro se solidificó. El resultado fue la pérdida completa del lote de materia prima, daños en el equipamiento y pérdidas de miles de dólares, todo generado por un evento que duró segundos y que partió de una decisión completamente rutinaria.

La lección no es que el operario hizo algo incorrecto. La lección es que la red OT no tenía visibilidad de los dispositivos conectados, no había control sobre los puertos USB de las estaciones de ingeniería y no existía ningún mecanismo que alertara sobre la conexión de un dispositivo externo antes de que el daño ocurriera. El problema no fue el USB de cinco dólares. Fue la ceguera operativa que hizo que nadie lo viera venir.

 

Los vectores que más se explotan en la región

Capetta presentó datos de la unidad ICS CERT de Kaspersky, que monitorea incidentes en entornos de control industrial en tiempo real. En el último trimestre relevado, se registraron 161 incidentes de ciberseguridad industrial. El canal de entrada número uno sigue siendo Internet, seguido por el correo electrónico, los medios extraíbles (USB, tarjetas SD, memorias flash), Bluetooth y las carpetas compartidas de red.

Uno de los vectores menos discutidos pero con presencia confirmada en la región es el software espía industrial. Argentina figura entre los países donde Kaspersky detectó este tipo de malware, junto con Uruguay, Cuba y México. No es el vector más frecuente, pero su existencia confirma algo que los equipos de seguridad de infraestructura crítica deberían tener presente: hay actores que no buscan robar datos operativos de forma ruidosa sino observarlos silenciosamente durante el tiempo que sea necesario.

En cuanto a sectores, manufactura concentra la mayor cantidad de incidentes en términos absolutos, aunque en parte porque es la vertical con más compañías. Cuando se analiza proporcionalmente, petróleo y gas, empresas de biometría y construcción completan el podio regional. Todos estos sectores superan la media global de incidentes, una señal de que América del Sur tiene una exposición mayor al promedio mundial, impulsada por factores que van desde la inestabilidad geopolítica hasta la falta de controles y procesos documentados.

Capetta describió seis motivaciones recurrentes en los incidentes que analizan: factores geopolíticos y ciberterrorismo, competencia desleal entre grupos económicos, falta de controles y monitoreo continuo, impericia y ausencia de procesos documentados, desidia en el cumplimiento de normas por parte de empleados que ven las medidas de seguridad como obstáculos operativos, y el azar. Este último no es menor: los bots que escanean rangos de IP en busca de puertos abiertos no discriminan por tamaño de empresa ni por sector. Si la red está expuesta y el bot pasa por ahí esa semana, el incidente ocurre sin que nadie haya sido un objetivo específico.

 

IEC 62443: el estándar que pone orden

La segunda parte de la charla fue sobre el marco normativo que permite traducir el diagnóstico en acción: el estándar IEC 62443, evolución de la ISA 99, que define los requisitos de seguridad para sistemas de automatización y control industrial. No es un estándar nuevo, pero su adopción en la región sigue siendo incipiente comparada con la velocidad a la que crecen las amenazas.

El estándar organiza los requisitos en siete grupos funcionales (FR1 a FR7), que van desde el control de acceso y la integridad del sistema hasta la disponibilidad, la confidencialidad y la gestión de respuesta a incidentes. Cada requisito funcional tiene subcomponentes específicos que las organizaciones deben cumplir para alcanzar distintos niveles de madurez de seguridad.

Lo que Kaspersky y LEVEX presentaron es que la suite KICS (Kaspersky Industrial CyberSecurity) cubre el 88% de los requisitos funcionales del IEC 62443. El porcentaje es preciso —Capetta subrayó que optaron por no redondearlo al 90% porque cada punto de la norma está bien delimitado y la medición es exacta. Ese 88% no es un número de marketing: es el resultado de mapear cada capacidad de la plataforma contra cada subcomponente del estándar.

La propuesta de valor es concreta para las organizaciones que están en proceso de alinearse con IEC 62443: en lugar de construir la arquitectura de cumplimiento desde cero con herramientas genéricas que no entienden los protocolos industriales, es posible hacerlo con una solución diseñada específicamente para entornos OT, que habla el lenguaje de los sistemas de control, reconoce los protocolos propios de la automatización industrial y genera visibilidad sobre activos que muchas organizaciones ni siquiera saben que tienen conectados a su red.

Esa última dimensión —la visibilidad— fue el hilo conductor de toda la charla. En el caso de la acería, el incidente no hubiera podido prevenirse si alguien hubiera simplemente «instalado más seguridad». Se hubiera prevenido si alguien hubiera visto, antes de que ocurriera, que un dispositivo externo se conectó a una estación de ingeniería crítica. La ciberseguridad SCADA empieza por saber qué hay en la red. Sin inventario no hay política posible, y sin visibilidad no hay respuesta a tiempo. Es el mismo principio que aparece en todos los frameworks de ciberseguridad industrial que hoy sirven de referencia: identificar primero, proteger después.

El IEC 62443 no es la única respuesta, pero sí es el marco que más claridad aporta para estructurar ese proceso en entornos de automatización industrial. Y en un contexto donde la norma local avanza y los reguladores empiezan a exigir niveles mínimos de madurez a los operadores de infraestructura crítica, tener una hoja de ruta basada en estándares internacionales deja de ser una opción técnica para convertirse en una condición de cumplimiento.

 


Para entender cómo se complementa la estrategia de acceso remoto seguro con la protección de redes OT, leé también: Ciberseguridad ICS: por qué el acceso remoto seguro reemplaza a la VPN en entornos OT y Hybris, Aquiles y el caballo de Troya: cultura y seguridad OT en la industria