La ciberseguridad ICS enfrenta un problema estructural que la mayoría de las organizaciones industriales todavía resuelve con la herramienta equivocada: la VPN. Esa fue la tesis central de Daniel Rodrigues, LATAM Team Lead de Solutions Engineering en BeyondTrust, en su charla «Zero Trust for OT» durante el Industrial Cyber Summit Argentina 2026. En su charla, Rodrigues trazó un mapa claro de por qué los entornos de tecnología operativa tienen necesidades de acceso radicalmente distintas a los entornos IT, y qué diferencia hay entre una solución diseñada para uno y una solución diseñada para el otro.

 

IT y OT no priorizan lo mismo: eso cambia todo

El punto de partida fue una distinción que parece técnica pero tiene consecuencias enormes. En IT, la prioridad de seguridad sigue la triada clásica: confidencialidad primero, luego integridad, luego disponibilidad. En OT, ese orden se invierte: disponibilidad antes que todo, luego integridad, y la confidencialidad al final.

La razón es operativa. En IT, una brecha puede costar datos y dinero. En OT, puede costar vidas o generar daño ambiental. No es posible apagar un reactor o detener una línea de producción para aplicar un parche de la misma manera en que se reinicia un servidor corporativo. Los sistemas industriales fueron diseñados originalmente para operar de forma aislada y con foco en la eficiencia operativa, no en la seguridad informática. Eso significa que muchas de las soluciones que funcionan perfectamente bien en entornos IT —incluida la VPN— traen consecuencias indeseadas cuando se aplican a entornos OT sin adaptación.

Esta diferencia de prioridades es también la razón por la que un ataque en OT tiene una dimensión distinta. En IT, una intrusión paraliza la gestión administrativa y comercial de una empresa. En OT, la misma intrusión puede impactar directamente en el mundo físico: detener la producción industrial, comprometer infraestructura crítica, poner en riesgo el medioambiente o la vida humana. El caso más citado sigue siendo Colonial Pipeline en 2021: una VPN comprometida fue suficiente para paralizar el oleoducto durante cinco días, con pérdidas de miles de millones de dólares e intervención directa del gobierno de los Estados Unidos.

 

La convergencia IT/OT multiplicó los vectores de ataque

Durante décadas, los entornos OT vivieron relativamente aislados. Esa separación física era en sí misma una forma de protección. Desde 2008, con la irrupción de la conectividad y la integración progresiva de IT con OT, esa barrera dejó de existir. Stuxnet fue la primera señal de lo que vendría: un ataque diseñado específicamente para cruzar del mundo digital al mundo físico y dañar infraestructura industrial real. Lo que siguió fue una escalada sostenida que hoy se ve reflejada en los números.

Según un reporte reciente de Microsoft, el 80% de las intrusiones en entornos IT y OT ocurren utilizando credenciales válidas robadas o con privilegios excesivos. No hace falta explotar una vulnerabilidad de día cero si alguien dejó una cuenta activa con permisos de administrador que nadie rotó en dos años. Esta estadística conecta directamente con el análisis de amenazas OT más críticas para la industria: las puertas de entrada más frecuentes no son las más sofisticadas sino las más descuidadas.

La convergencia con la inteligencia artificial está acelerando esa tendencia. Cada proyecto de digitalización expande la superficie de ataque. Cada dispositivo conectado que no estaba conectado antes es un vector potencial. Y mientras la superficie crece, los presupuestos de seguridad no crecen al mismo ritmo.

 

La VPN no fue diseñada para OT

Rodrigues fue preciso en este punto: el problema no es que la VPN sea una mala tecnología. Es que es la tecnología equivocada para lo que necesitan los entornos OT.

Una VPN otorga acceso total a la red. Una vez dentro, el usuario —sea un operador interno, un proveedor externo o un técnico de mantenimiento— puede en principio acceder a cualquier dispositivo de la red. No hay granularidad, no hay restricción por dispositivo, no hay ventana de tiempo. Y en un entorno OT, donde conviven PLCs, RTUs, sistemas SCADA, historiadores y equipos de seguridad funcional, esa apertura total es exactamente lo que no se puede permitir.

El dato que ilustra la magnitud del problema: el 73% de los ataques a entornos industriales utilizan la VPN como vector de entrada principal, según reportes convergentes de CrowdStrike, Microsoft, CISA, NIST, Sophos, IBM y Verizon. No es un vector marginal: es el principal. Y sin embargo, sigue siendo la herramienta más usada para gestionar el acceso remoto a infraestructura crítica. El ritmo de intrusiones tampoco ayuda a la tranquilidad: si en 2024 se registraron intrusiones en el 36% de los sistemas relevados por hora, la proyección para 2026 casi duplica ese número, con un 61%.

 

Acceso remoto seguro (PRA): el modelo que reemplaza a la VPN

La solución que propone BeyondTrust parte de un principio distinto: en lugar de darle acceso a la red, se le da acceso al dispositivo específico, solo cuando es necesario, por el tiempo necesario y con aprobación previa.

Eso se traduce en tres capacidades concretas. La primera es la segmentación: los dispositivos OT permanecen segmentados entre sí y del resto de la red, y el acceso externo no atraviesa esa segmentación. Esto protege contra el movimiento lateral, uno de los patrones más comunes en los ataques de ransomware una vez que lograron el acceso inicial. La segunda es el acceso Just-in-Time (JIT): los usuarios reciben permisos de acceso a dispositivos específicos únicamente cuando existe una necesidad justificada, por un período limitado y con un flujo de aprobación. Cuando la ventana de tiempo cierra, el acceso se revoca automáticamente. No hay cuentas permanentemente activas esperando ser comprometidas.

La tercera capacidad, y quizás la más relevante dado el dato sobre credenciales robadas, es la inyección de credenciales desde una bóveda segura. El usuario nunca ve ni conoce la contraseña real del dispositivo al que accede. La solución la inyecta directamente en la sesión, y al finalizar cada acceso, la credencial se rota automáticamente. Eso elimina de raíz el vector más frecuente: credenciales válidas reutilizadas, compartidas o filtradas.

La tecnología funciona a través de conexiones multi-hop que permiten alcanzar dispositivos OT incluso en redes profundamente segmentadas, y es compatible con todos los protocolos habituales tanto en IT como en OT: RDP, SSH, VNC y los protocolos propios de entornos industriales. No requiere VPN ni modificaciones en la arquitectura de red existente.

 

El cambio de escenario: cuando el ransomware descubrió OT

Uno de los datos que Rodrigues marcó con énfasis fue el cambio de perfil de los atacantes. Antes de 2020, los ataques a entornos OT eran prácticamente exclusivos de actores estatales, con apenas siete casos documentados en años. A partir de 2020, los grupos de ransomware entendieron algo: los entornos industriales pagan rescates más altos y más rápido, porque su tolerancia al tiempo de inactividad es casi nula. Detener una hora de producción en una planta industrial tiene un costo inmediato y medible que convierte el ransomware en un negocio especialmente redituable.

El resultado fue una explosión de casos: de siete ataques documentados a cientos en pocos años. Y la tendencia no se revierte. Los grupos criminales siguen refinando su comprensión de los entornos industriales, identificando los sistemas más críticos y calculando el punto de rescate que maximiza la probabilidad de pago antes de causar daño permanente.

Esto tiene una implicación directa para la gestión del riesgo: la visibilidad de activos OT ya no es suficiente si no va acompañada de controles de acceso que limiten activamente qué puede hacer cada usuario o proveedor dentro de la red. Saber qué hay conectado es el primer paso. Controlar quién puede tocarlo y cuándo es el segundo paso que muchas organizaciones todavía no dieron.

Para los equipos de seguridad que están evaluando cómo evolucionar su postura en entornos OT, el punto de partida es claro: auditar quién tiene acceso remoto hoy, con qué nivel de privilegios, a través de qué tecnología y si esos accesos tienen ventanas de tiempo o son permanentes. En la mayoría de los casos, las respuestas a esas preguntas revelan una superficie de riesgo mayor de la que se asumía. Como señaló el propio Rodrigues, en IT apagar y prender suele resolver el problema. En OT, apagar puede salir en los diarios.

Para entender el panorama completo de amenazas que enfrentan los entornos OT, leé también: Amenazas OT: los riesgos más críticos para la industria 2025-2026 y El reloj invisible: ciberseguridad en infraestructuras críticas frente a la amenaza cuántica.