Zona Gris
Respuesta ante incidentes en planta: ¿Qué haces cuando suena la "otra" alarma?

Respuesta ante incidentes en planta: ¿Qué haces cuando suena la "otra" alarma?

Cuando una alarma suena en la sala de control, los operadores saben exactamente qué válvula revisar o qué motor detener. Pero, ¿qué sucede cuando la alarma es digital? ¿Qué haces cuando un HMI se bloquea, un PLC se comporta de forma errática o detectas tráfico extraño hacia la red de control?

En IT, la respuesta a un incidente suele ser “aislar y formatear”. En OT (Operaciones), esa respuesta podría causar un apagón o un daño catastrófico a la maquinaria. Por eso, responder a un incidente industrial requiere un protocolo diseñado para la resiliencia operativa.

Aquí te comparto los protocolos básicos para cuando la ciberseguridad golpea la puerta de la planta:

1. La prioridad es la Seguridad Física (Safety)

A diferencia de un servidor de oficina, en la planta la prioridad número uno siempre es la integridad de las personas y el medio ambiente. Antes de tocar un solo cable de red:

  • Asegúrate de que el proceso físico esté en un estado seguro.
  • Si la ciberseguridad compromete el control, la prioridad es llevar la planta a una parada segura, no salvar los datos.

2. Identificar y Triaje: ¿Es un fallo técnico o un ataque?

No todo comportamiento extraño es un ciberataque. El primer paso del equipo de respuesta (CSIRT) es descartar fallas mecánicas o de instrumentación. Si se confirma una intrusión:

  • No apagues los equipos: Podrías borrar evidencia volátil en la memoria RAM que es crucial para el análisis forense.
  • Desconecta de la red, no de la energía: Si necesitas aislar un equipo, retira el cable de red o deshabilita el puerto en el switch industrial.

3. Contención: El concepto de “Isla Operativa”

Si el ataque está en curso, el objetivo es evitar que se propague de una zona a otra (aquí es donde brilla el Modelo Purdue que vimos anteriormente).

  • Activa los protocolos de aislamiento de zonas.
  • Si tienes una IDMZ, corta toda comunicación con la red corporativa (IT) de inmediato. Es preferible que la oficina no tenga datos de planta a que el atacante tenga control de los activos.

4. Erradicación y Recuperación: El regreso a la normalidad

Una vez contenido, el proceso de limpieza debe ser quirúrgico:

  • Backups verificados: Solo restaura desde copias de seguridad que sepas que están limpias y desconectadas de la red (Offline backups).
  • Validación de lógica: Antes de poner el PLC en “RUN”, verifica que la lógica de control no haya sido alterada.

Conclusión

Tener un firewall no es suficiente si no tienes un Playbook (manual de jugadas) que tu equipo sepa ejecutar bajo presión. La respuesta ante incidentes en planta es un deporte de equipo entre el personal de IT, Ciberseguridad y, sobre todo, los Operadores de Planta.

¿Tu equipo tiene un protocolo de respuesta escrito y probado para un ciberataque, o confían en que “sabrán qué hacer” en el momento?