Zona Gris
Arquitectura de Defensa: El Modelo Purdue y la frontera entre IT/OT

Arquitectura de Defensa: El Modelo Purdue y la frontera entre IT/OT

Imagina este escenario: Un empleado de recursos humanos abre un correo electrónico infectado con ransomware. Su computadora se bloquea. Hasta aquí, es un problema grave de IT. Pero, ¿qué pasa si, 15 minutos después, las turbinas de generación de la planta se detienen abruptamente por culpa de ese mismo virus?

Si un problema en la red de la oficina puede apagar tus máquinas físicas, tienes una “red plana”. Y en la ciberseguridad industrial de hoy, una red plana es una bomba de tiempo.

Para evitar que los incidentes del mundo corporativo crucen al mundo operativo, los ingenieros de ciberseguridad utilizamos una arquitectura de defensa basada en el Modelo Purdue, complementada con el concepto de Zonas y Conductos. Aquí te explico cómo construir esta fortaleza.

1. El Modelo Purdue: Separando los mundos

Desarrollado en los años 90, el Modelo Purdue (o PERA) es el marco de referencia estándar para segmentar lógicamente una red industrial. Divide la infraestructura en niveles basados en su criticidad y función:

  • Nivel 4 y 5 (Red Corporativa/IT): Donde viven los correos electrónicos, los ERPs y la navegación web. Es el nivel de mayor exposición a internet.
  • Nivel 3 (Operaciones del sitio): Sistemas que gestionan la planta a nivel global, como los servidores del historiador de datos o el Active Directory de OT.
  • Nivel 2 (Control de supervisión): Los sistemas SCADA y las interfaces HMI desde donde los operadores monitorean el proceso.
  • Nivel 1 (Control Básico): Los PLCs (Controladores Lógicos Programables) y RTUs. Aquí es donde los comandos lógicos se envían al hardware.
  • Nivel 0 (El Proceso Físico): Los sensores, válvulas, motores y bombas reales. Los “átomos”.

2. La IDMZ: La tierra de nadie

La regla de oro del Modelo Purdue es simple: El tráfico de la red corporativa (Nivel 4) NUNCA debe hablar directamente con la red de control (Niveles 2, 1 o 0).

Para lograr esto, construimos una Zona Desmilitarizada Industrial (IDMZ) entre el Nivel 3 y el Nivel 4. Es una subred fuertemente controlada por firewalls industriales. Si alguien en IT necesita leer datos de la planta, no se conecta al PLC; se conecta a un servidor intermediario ubicado en la IDMZ. Esta zona rompe el puente directo que los atacantes necesitan para saltar hacia la maquinaria.

3. Zonas y Conductos: El enfoque moderno (IEC 62443)

El Modelo Purdue nos da las capas, pero el estándar IEC 62443 nos da la granularidad con “Zonas y Conductos”:

  • Zona: Es un grupo de activos (como todos los PLCs de la caldera número 1) que comparten los mismos requisitos de seguridad.
  • Conducto: Es la única ruta de comunicación permitida entre dos zonas diferentes. Todo el tráfico que entra o sale debe pasar por este conducto para ser inspeccionado.

Si un PLC en la “Zona de Calderas” se infecta, la segmentación garantiza que el malware se quede atrapado allí y no pueda saltar a la “Zona de Turbinas”.

Conclusión

Implementar el Modelo Purdue y segmentar una red no se hace de la noche a la mañana. Requiere rediseñar arquitecturas heredadas y, sobre todo, entender profundamente cómo se comunican las máquinas. Sin embargo, es la única manera de garantizar que un simple clic en un correo electrónico no termine costando millones en tiempo de inactividad operativo.

¿En tu organización ya tienen implementada una IDMZ clara o IT y OT siguen compartiendo la misma red?