Intro

Hay una confusión bastante común en ciberseguridad: meter OT e IoT en la misma bolsa como si fueran casi lo mismo.

Se parecen en varias cosas, sí. Comparten conectividad, dispositivos distribuidos, dependencia de terceros, problemas de inventario y una exposición que muchas veces creció más rápido que la disciplina de seguridad que los rodea.

Pero no son lo mismo. Y confundirlos suele llevar a errores de diseño, de priorización y de respuesta.

Qué es OT

OT, u operational technology, es la tecnología que monitorea o controla procesos físicos. Ahí entran entornos industriales, automatización, sistemas de control, infraestructura crítica, utilities, manufactura, energía, logística y muchas plataformas donde un incidente no se queda solo en la pantalla: afecta la operación real.

En OT, la prioridad histórica suele ser la continuidad operativa, la disponibilidad y la seguridad del proceso. Eso hace que el ritmo de cambio sea más lento, que haya bastante legacy y que parchear no siempre sea tan simple como en TI.

Qué es IoT

IoT, o Internet of Things, es un universo más amplio de dispositivos conectados: sensores, cámaras, gateways, medidores, equipos embebidos, dispositivos de oficina o edificios inteligentes y mucho hardware que se conecta a redes, cloud, APIs o apps.

En IoT el problema no suele ser una sola planta o línea de producción. El problema es la escala, la heterogeneidad y la cantidad de puntos de exposición que aparecen casi sin que nadie los mire demasiado.

En qué se diferencian de verdad

La diferencia más importante no es semántica. Es operativa.

En OT, el impacto de un incidente puede llegar a la interrupción física, a la parada de una planta o a un problema de seguridad industrial. En IoT, el impacto muchas veces empieza como robo de datos, espionaje, pivote hacia redes internas, abuso como botnet o exposición innecesaria de servicios.

También cambia la tolerancia al cambio. En OT, actualizar o reiniciar un sistema puede tener un costo enorme. En IoT, el problema suele ser otro: demasiados dispositivos, demasiado variados, con firmware desigual y una administración que llega tarde o nunca.

Otra diferencia clave es el tipo de proceso que protegen. OT está más cerca del mundo físico y de la continuidad crítica. IoT está más cerca de la conectividad distribuida y del ecosistema de dispositivos que se multiplican por todos lados.

En qué se parecen bastante

Aunque no sean lo mismo, OT e IoT comparten varios problemas bastante aburridos y, por eso mismo, peligrosos.

  • inventario incompleto;
  • segmentación deficiente;
  • credenciales débiles o reutilizadas;
  • acceso remoto mal gobernado;
  • dependencia de terceros;
  • poca visibilidad sobre lo que realmente está conectado;
  • y una deuda técnica que casi siempre llega antes que el plan de seguridad.

También comparten algo más importante: pueden convertirse en punto de apoyo para un incidente mayor. Un dispositivo pequeño, una cámara, un gateway o un acceso remoto flojo pueden terminar abriendo una puerta a algo más sensible de lo que parecía al principio.

Problemas de ciberseguridad en OT

OT arrastra una combinación bastante incómoda de legado, criticidad y ventanas de mantenimiento reducidas.

1. Equipos difíciles de actualizar

Muchos activos OT no se pueden parchear con la facilidad que uno esperaría en TI. A veces no hay soporte. A veces la ventana operativa es mínima. A veces cambiar una versión implica riesgos que no se pueden asumir con ligereza.

2. Protocolos y autenticación débiles

En varios entornos industriales todavía conviven protocolos viejos o diseños que no nacieron pensando en amenazas modernas. Eso no significa que todo OT sea inseguro por definición, pero sí que la defensa tiene que compensar mucho mejor.

3. Segmentación pobre entre IT y OT

Cuando la red corporativa y la operativa se mezclan demasiado, el riesgo crece. Lo que en TI es un incidente molesto, en OT puede terminar afectando una operación crítica.

4. Acceso remoto mal resuelto

Soporte externo, integradores, proveedores y mantenimiento a distancia son parte de la realidad. El problema aparece cuando esos accesos quedan demasiado amplios, demasiado permanentes o demasiado expuestos.

5. Visibilidad limitada

Si no sabés qué activos existen, cómo hablan entre sí y qué tráfico es normal, reaccionar bien a un incidente se vuelve mucho más difícil.

Problemas de ciberseguridad en IoT

En IoT el patrón suele ser distinto, pero no más sano.

1. Credenciales por defecto o débiles

Sigue siendo un clásico. Muchos dispositivos salen con claves flojas o con la expectativa implícita de que alguien las cambiará más tarde. Muchas veces ese “más tarde” nunca llega.

2. Firmware vulnerable o desactualizado

Actualizar IoT suele ser más difícil de lo que debería. Y cuando el ciclo de actualización es malo, las vulnerabilidades se acumulan.

3. APIs y backends inseguros

IoT no es solo el dispositivo. También es la nube, la app, la API, el panel y toda la capa que lo conecta con el resto.

4. Exposición directa a Internet

Por diseño, por error o por comodidad, muchos dispositivos quedan demasiado visibles. Y eso convierte el descubrimiento y el abuso en un trabajo bastante fácil para atacantes.

5. Supply chain y variedad de vendors

IoT vive de ecosistemas muy distintos. Eso hace más difícil imponer un estándar único de seguridad y más fácil que aparezcan huecos en la cadena de suministro.

Qué nos enseñan algunos ataques conocidos

Acá es donde la diferencia entre teoría y realidad se vuelve evidente.

Mirai

Mirai dejó una lección brutalmente simple: cuando un montón de dispositivos IoT salen a Internet con credenciales por defecto o débiles, terminan siendo reclutados en botnets a escala enorme.

El caso mostró que el problema no era un dispositivo aislado, sino un patrón industrial de despliegue inseguro.

Industroyer

Industroyer, también conocido como CrashOverride, se vinculó con ataques a la red eléctrica de Ucrania en 2016. Lo importante no es solo el incidente, sino el mensaje: ya existían herramientas diseñadas para interactuar con sistemas de control industrial y afectar procesos eléctricos reales.

TRITON

TRITON, o TRISIS, fue todavía más inquietante porque apuntó a sistemas instrumentados de seguridad en una planta petroquímica. Ese paso acerca la amenaza al mundo de la seguridad física y muestra hasta dónde puede escalar un ataque OT bien orientado.

Colonial Pipeline

Colonial Pipeline es un recordatorio de que el impacto operacional no siempre empieza con un malware que “entiende” OT desde el minuto uno. A veces un ransomware entra por el lado IT y obliga a detener operación por contención y por riesgo sistémico. El resultado igual es visible en el mundo físico.

El error más común: tratarlos igual

El peor atajo es asumir que OT e IoT se solucionan con la misma receta genérica.

No se trata de inventar dos programas de seguridad totalmente separados. Se trata de entender que la criticidad, el ciclo de vida, la exposición y los objetivos de defensa cambian bastante.

Si tratás un entorno OT como si fuera solo otra red corporativa, podés romper continuidad operativa.

Si tratás IoT como algo menor, podés terminar con una superficie enorme sin control real.

Qué deberían hacer las empresas

Hay cinco cosas básicas que suelen rendir más que cualquier discurso elegante.

1. Tener inventario real

Si no sabés qué hay conectado, no sabés qué estás defendiendo.

2. Segmentar mejor

No alcanza con confiar en la historia de que “siempre estuvo así”. Hay que limitar quién habla con quién y bajo qué condiciones.

3. Revisar acceso remoto

Todo acceso remoto a OT o a dispositivos conectados debería justificarse, endurecerse y monitorearse.

4. Subir visibilidad antes que complejidad

Primero entender activos, flujos y dependencias. Después sumar herramientas.

5. Preparar continuidad y recuperación

La pregunta no es solo cómo evitar el incidente, sino cómo seguir operando si algo sale mal.

Conclusión

OT e IoT no son lo mismo, pero tampoco viven en mundos separados.

Se cruzan en conectividad, en deuda técnica, en errores de inventario y en una superficie de ataque que creció más rápido que la capacidad de controlarla bien.

La diferencia importante es qué protegen y qué pasa cuando fallan. En OT, el impacto tiende a ser operativo y físico. En IoT, la amenaza suele ser la escala, la exposición y el uso como pivote.

Mirai, Industroyer, TRITON y Colonial Pipeline dejan una lección bastante clara: cuando dispositivos y sistemas conectados se despliegan sin una disciplina de seguridad seria, el problema deja de ser teórico muy rápido.

Por eso la respuesta no es tratarlos igual, ni tampoco separarlos por completo. La respuesta es entender sus diferencias, asumir sus similitudes reales y defenderlos con inventario, segmentación, control de acceso remoto, visibilidad y continuidad operativa.