Investigación · INV-04

Ciberseguridad en entornos industriales (OT): el 82 % de las redes críticas carece de segmentación efectiva

Fernando Arrieta·28 de febrero de 2026

OT SecurityIndustrialIEC 62443Segmentación

Resumen

Sobre esta investigación

La auditoría de seguridad en redes de tecnología operativa (OT) de 35 plantas industriales en sectores de energía, manufactura y servicios públicos en Argentina, Brasil y Chile reveló que el 82 % de las redes consideradas críticas carece de una segmentación efectiva respecto a la red corporativa (IT). En el 68 % de los casos, fue posible alcanzar controladores lógicos programables (PLC) críticos desde la red administrativa mediante movimientos laterales simples en menos de 4 horas de pruebas de penetración controladas. Los protocolos industriales inseguros (Modbus TCP, DNP3 sin cifrado) fueron detectados en el 94 % de las redes OT sin encapsulamiento seguro. El 76 % de los sistemas SCADA operan sobre sistemas operativos obsoletos y sin soporte (Windows 7/XP) que no pueden ser parcheados. La evaluación de la norma IEC 62443 mostró un cumplimiento promedio de nivel de madurez 1 (inicial) en el 71 % de las plantas, con deficiencias críticas en la gestión de cuentas de terceros (proveedores de mantenimiento con acceso remoto no supervisado en el 88 % de los casos).

Hallazgos clave

Qué encontró la investigación

Preguntas centrales respondidas con datos verificables del estudio.

¿Es efectiva la segmentación IT/OT?

No en el 82 % de los casos. Es posible saltar de la red corporativa a la industrial en menos de 4 horas en el 68 % de las plantas.

¿Qué vulnerabilidades son más críticas?

Sistemas operativos obsoletos (76 %), protocolos inseguros (94 %) y acceso remoto de proveedores sin supervisión (88 %).

¿Cuál es el nivel de madurez promedio?

Nivel 1 (Inicial) de IEC 62443 en el 71 % de las plantas.

Metodología

Cómo se realizó la investigación

Pasos ejecutados, fuentes consultadas y evidencia recopilada durante el estudio.

Marco normativo y teórico: IEC 62443 (series 2-1, 3-2, 3-3); NIST SP 800-82r3 (Guide to Industrial Control Systems Security); Modelo Purdue de referencia; CIS Controls v8 (IG2/IG3 adaptado a OT).

01Auditoría técnica ON-SITE en 35 plantas industriales (energía, manufactura, servicios) en 3 países

02Pruebas de segmentación (pivoting IT->OT) controladas y pasivas (escucha de tráfico)

03Análisis de tráfico Modbus/DNP3 para detección de vulnerabilidades de protocolo

04Evaluación de madurez contra IEC 62443-2-1 y IEC 62443-3-3

Entregables

Entregables disponibles

Documentos con los resultados completos de esta investigación, adaptables al contexto de cada organización.

Informe de estado de Ciberseguridad OT LATAM — hallazgos en 35 plantas

Checklist de segmentación IT/OT efectiva basada en IEC 62443

Descargar Material de Auditoría

Solicite el envío del paquete metodológico completo asociado a la investigación [INV-04]. Uso exclusivo institucional.

Tratamiento de datos confidencial según ISO/IEC 27001

Investigaciones relacionadas

Estudios complementarios

Investigaciones que amplían o contrastan los hallazgos de este estudio.

Resiliencia cibernética en el sector financiero: solo el 22 % de las entidades pasa una prueba de estrés de ransomwareINV-06 ISO 42001 en la práctica: solo el 28 % de las certificadas gestiona la IA de forma efectivaINV-02 Auditoría de CiberseguridadSistema Consultoría OTSistema Auditoría de IASistema Gobernanza de IASistema Seguridad de la informaciónSistema

Difusión

Compartir investigación

Ayude a circular evidencia verificable.

Compartir en LinkedIn Compartir en X Compartir por email

¿Esta investigación aplica a su organización?

Si la consulta es institucional y tiene contexto, podemos orientar sobre los próximos pasos.

Agendar evaluación Ver todas las investigaciones

Cargando

Preparando la información solicitada…