Cada CISO y CIO de manufactura que conocemos quiere segmentación OT/IT. Cada director de operaciones que vivió un proyecto mal ejecutado se vuelve un veto permanente. Ambos tienen razón. La forma de reconciliarlos es una secuencia — no un proyecto — que respeta a ambos.

Por qué la segmentación se volvió urgente

El ransomware dirigido a operaciones de planta creció significativamente en los últimos 24 meses. La economía funciona para los atacantes: una línea detenida cuesta millones por día; los rescates se calibran contra eso. Los protocolos de control industrial como Modbus, OPC-UA y PROFINET nunca fueron diseñados pensando en autenticación. Una vez que un usuario corporativo clickea un link de phishing y un atacante pivota de TI a OT, el movimiento lateral a un PLC suele ser trivial.

Las aseguradoras ahora requieren evidencia de segmentación OT/IT. Los clientes — especialmente en verticales regulados como alimentos, farma y aeroespacial — la incluyen cada vez más en auditorías de proveedor. El costo de no tenerla sube más rápido que el costo de hacerla bien.

La secuencia que usamos

Paso 1: descubrimiento de activos OT antes que nada. La mayoría de plantas tiene 30-50% más dispositivos conectados que los que muestra el registro. Corre descubrimiento pasivo (sin escaneo activo — eso por sí solo puede crashear PLCs viejos) por 4-6 semanas para catalogar todo lo que conversa en la red.

Paso 2: mapea flujos reales de tráfico. ¿Qué workstation de ingeniería habla con qué PLC? ¿Qué MES necesita alcanzar qué historian? Documenta los flujos legítimos antes de diseñar la política de segmentación. Vimos proyectos que rompieron el reporting de producción porque nadie notó que el historian tiraba datos del ERP corporativo cada 15 minutos.

Paso 3: diseña la arquitectura de zonas según el modelo Purdue (o tu variante), con DMZs explícitas entre TI corporativa y OT. Los dispositivos de borde — típicamente next-gen firewalls o gateways unidireccionales para los segmentos más críticos — se vuelven los puntos de enforcement.

Paso 4: deploy en modo monitor primero. Por 4-8 semanas, la política de segmentación está aplicada pero permite todo mientras logea las violaciones. Esto saca a flote los flujos que el descubrimiento se perdió sin frenar producción.

Los errores que seguimos viendo

Error 1: empezar por la compra del firewall. A los vendors les encanta el approach hardware-first porque venden hardware. La secuencia correcta es descubrimiento → mapeo de flujos → arquitectura → enforcement, en ese orden. El firewall es la última decisión, no la primera.

Error 2: saltarse el modo monitor. Ir de “sin enforcement” a “bloquea por default” es lo que mata la producción. El modo monitor es poco sexy pero irreemplazable.

Error 3: hacerlo sin ingenieros OT en la sala. Ingenieros de red y analistas SOC no pueden solos. Los ingenieros de automatización de la planta saben cosas sobre cómo se comporta realmente su equipo que ningún diagrama captura.

Cómo se ve cuando está bien

Una planta bien segmentada tiene zonas documentadas, bordes con enforcement, tráfico east-west monitoreado y un playbook SOC para anomalías OT-específicas (ej. una workstation de ingeniería emitiendo escrituras a PLC fuera de su baseline). El MTTD de una intrusión OT baja de nunca-detectado a menos de 24 horas, a menudo menos.

El equipo de producción gana troubleshooting más rápido porque la red ahora es legible. El CISO obtiene la evidencia que la aseguradora exige. Ningún equipo tiene que pelear con el otro. Esa es la meta.