El PAM tradicional falla en entornos OT

La seguridad industrial en un mundo que ha cambiado

Durante décadas, las soluciones de gestión de accesos privilegiados (PAM) han sido el estándar en seguridad corporativa. Servidores, aplicaciones críticas y entornos IT complejos han encontrado en estas herramientas una defensa eficaz frente al abuso de privilegios, la fuga de credenciales y la falta de trazabilidad en accesos sensibles. Empresas de todo el mundo confían en soluciones PAM de grandes compañías para proteger su infraestructura digital.

Sin embargo, trasladar ese mismo modelo al entorno industrial (OT) ha demostrado ser problemático, cuando no directamente contraproducente. El motivo es simple: OT no es IT. Las reglas que funcionan en un datacenter no se aplican en una planta de producción, un sistema SCADA, un PLC o una máquina legacy que lleva décadas operando sin cambios.

En OT, un error humano o un cambio mal ejecutado puede tener consecuencias físicas y económicas inmediatas. Y aquí es donde el PAM tradicional muestra sus limitaciones.

La raíz del problema: supuestos IT que no existen en OT

El PAM tradicional se construye sobre varios supuestos que son válidos en IT, pero que se rompen en entornos industriales:

1. Instalación de agentes en los sistemas. Los PAM tradicionales dependen de software instalado en cada endpoint o servidor para gestionar accesos, controlar sesiones y auditar actividad. En OT, muchos dispositivos no permiten la instalación de agentes. PLCs antiguos, sistemas embebidos o máquinas con firmware propietario simplemente no pueden ser modificados sin riesgo de interrumpir su funcionamiento.
2. Capacidad de modificar configuraciones y aplicar parches. La mayoría de las soluciones PAM esperan que los sistemas puedan ser configurados y actualizados de manera constante. En OT, cualquier cambio puede detener procesos críticos, afectar certificaciones de seguridad o violar normativas de operación.
3. Disponibilidad de ventanas de mantenimiento amplias. Las máquinas industriales operan 24/7, y detener una línea de producción para instalar software o realizar integraciones es inviable. Las soluciones PAM tradicionales no contemplan la necesidad de operar en tiempo real sin interrupciones.
4. Redes estables y homogéneas. Las soluciones IT asumen que la red es confiable, rápida y controlable. OT presenta topologías heterogéneas, accesos remotos temporales de proveedores, integradores externos y sistemas legacy que no siempre responden de manera predecible.

Estos supuestos invalidan gran parte de la arquitectura tradicional del PAM cuando se aplica en OT. Intentar adaptarla suele derivar en complejidad innecesaria, riesgos operativos y una falsa sensación de control.

La ilusión de la seguridad basada en credenciales

Uno de los pilares del PAM tradicional es la gestión de credenciales. El enfoque es sólido en IT: proteger contraseñas, rotarlas periódicamente y auditar accesos reduce la superficie de ataque y asegura cumplimiento normativo.

Pero en OT, este enfoque resulta insuficiente. El mayor riesgo no es “quién entra”, sino “qué puede hacer una vez dentro”. Un técnico externo con credenciales válidas puede alterar parámetros críticos, detener líneas de producción o introducir errores que generan pérdidas inmediatas.

El PAM tradicional graba sesiones, alerta y permite revocar accesos, pero no elimina la exposición directa del sistema. Esto genera una paradoja: aunque exista control, el riesgo real permanece. Y en OT, la prevención activa es mucho más valiosa que la trazabilidad reactiva.

La trampa del control de sesiones

Algunas soluciones PAM avanzadas incluyen monitorización de sesiones, grabación de actividad y alertas en tiempo real. Esto aporta valor en entornos IT, donde los errores pueden ser corregidos sin consecuencias físicas.

En OT, sin embargo, la monitorización es insuficiente. Saber lo que ocurrió después de un incidente no previene el daño. Un cambio accidental en un PLC o una acción incorrecta en un sistema SCADA puede generar fallos irreversibles.

Aquí, el PAM tradicional falla porque el control sigue siendo reactivo y centrado en el usuario, en lugar de proactivo y centrado en el activo. Mientras exista acceso directo al sistema, el riesgo persiste.

Conexión directa y riesgo operacional

Un punto crítico que muchas veces se pasa por alto: el PAM tradicional mantiene una conexión directa entre usuario y activo. Aunque existan proxies, jump servers o controles adicionales, el usuario sigue interactuando con el sistema de manera directa.

Esto abre la puerta a riesgos operativos y de seguridad que no existen en IT de la misma manera:

• Movimiento lateral: un acceso comprometido puede permitir explorar la red OT.
• Exposición de sistemas críticos: protocolos industriales inseguros quedan expuestos.
• Dependencia del endpoint: si el equipo del usuario está comprometido, la seguridad del sistema queda comprometida.

En IT, estos riesgos se pueden gestionar con segmentación de red o políticas de endpoint. En OT, donde la operación es continua y los sistemas críticos no se pueden modificar, estos riesgos son estructurales.

Cambio de paradigma: de gestionar accesos a eliminar exposición

En OT, el error conceptual del PAM tradicional es que busca gestionar el acceso, cuando lo que se necesita es eliminar la exposición del activo.

Esto no es simplemente una mejora incremental. Es un cambio de paradigma que redefine cómo se concibe la ciberseguridad industrial. En lugar de dar acceso directo y confiar en que será seguro, se introduce un entorno intermedio controlado, donde el usuario opera sin tocar el sistema directamente.

Espacio de Trabajo Blindado: la solución industrial

El Espacio de Trabajo Blindado es la alternativa PAM industrial que resuelve los problemas fundamentales del PAM tradicional en OT.

En este modelo, el usuario interactúa con el sistema a través de un entorno remoto completamente controlado. Todo lo que se transmite son eventos: teclado, ratón, vídeo y audio. Nunca hay acceso directo a la red ni a los sistemas críticos.

El activo industrial queda protegido de manera intrínseca: no se requieren agentes, no se altera la configuración del sistema, y la sesión puede ser controlada, auditada o interrumpida en tiempo real.

Este enfoque ofrece ventajas críticas que un PAM tradicional no puede brindar:

1. Compatibilidad total con sistemas legacy, sin necesidad de instalar software adicional ni modificar firmware.
2. Prevención activa del riesgo, eliminando la exposición del activo y evitando incidentes antes de que ocurran.
3. Protección frente a movimiento lateral, ya que la sesión está encapsulada y no se permite conexión directa con la red OT.
4. Seguridad independiente del endpoint, eliminando la dependencia de la integridad del dispositivo del usuario.
5. Cumplimiento normativo avanzado, facilitando trazabilidad, auditoría y control sin comprometer la operación crítica.

Comparativa conceptual: PAM tradicional vs Espacio de trabajo blindado

El contraste es evidente. Mientras que un PAM tradicional centra su valor en la gestión de credenciales y la monitorización del acceso, la del espacio de trabajo blindado se centra en aislamiento, prevención activa y control de sesión. Esto transforma el riesgo operativo en un problema de diseño, no de usuario.

En entornos donde cada acción puede tener un impacto físico, la diferencia no es teórica: es operativa y económica.

Ejemplos de riesgo prevenido

Consideremos un escenario común: un proveedor externo necesita acceder a un PLC para realizar mantenimiento. Con un PAM tradicional, el proveedor se conecta con credenciales privilegiadas. Aunque la sesión sea monitorizada y auditada, cualquier error humano o mal uso puede afectar la línea de producción.

Con un Espacio de Trabajo Blindado, el proveedor accede a un entorno aislado. Interactúa con el PLC de manera indirecta. Todos los eventos son controlados y auditables. El activo permanece seguro y la operación continúa sin riesgo de interrupciones o daños.

Este ejemplo demuestra cómo el control del acceso directo no es suficiente; lo crítico es eliminar la posibilidad de que el usuario comprometa el activo.

La industria necesita menos exposición, no más PAM

La industria ha pasado décadas añadiendo capas de control: monitorización, auditoría, rotación de credenciales, proxies, jump servers. En IT, esto funciona porque el riesgo directo sobre los sistemas es limitado. En OT, cada capa adicional aplicada sobre un modelo equivocado genera complejidad, fricción y un falso sentido de seguridad.

La evolución real no es más PAM; es menos exposición. Es diseñar entornos seguros donde la sesión del usuario se convierte en el perímetro. Donde los activos críticos no pueden ser alcanzados directamente. Donde la prevención supera a la auditoría.

Conclusión

El PAM tradicional, incluso con las capacidades más avanzadas de fabricantes líderes, tiene limitaciones estructurales en entornos OT. Todas dependen de supuestos IT que no existen en OT: la posibilidad de instalar agentes, modificar sistemas, aplicar parches o asumir riesgos en el endpoint del usuario.

La alternativa al PAM tradicional no es un PAM más pesado, ni una versión mejorada del IT-centric. Es un cambio estratégico. Un Espacio de Trabajo Blindado elimina la exposición directa del activo, encapsula la sesión, protege sistemas críticos y permite operar en tiempo real sin riesgos.

Para las empresas industriales, adoptar este enfoque no es solo una cuestión de seguridad. Es una decisión operativa, económica y estratégica que garantiza continuidad, integridad y resiliencia frente a las amenazas modernas.

En un mundo donde los riesgos digitales impactan directamente en la producción física, el futuro de la ciberseguridad industrial no pasa por más PAM, sino por menos exposición.

Endurance, redefine el concepto

Cerrando este análisis, es importante destacar Endurance de Cosmikal, que define el concepto de Remote Shielded Workspace (RSW), no es una mera iteración del paradigma tradicional de gestión de accesos privilegiados, sino un nuevo concepto de arquitectura completa de la superficie de exposición entre usuario y activo. Endurance integra de forma nativa capacidades de PAM, VDI, IAM y DLP en una única solución, donde cada sesión de trabajo se crea y aísla en un entorno blindado que actúa como capa intermedia segura entre el endpoint y los activos críticos IT/OT, eliminando cualquier conexión directa al sistema objetivo y reduciendo drásticamente la superficie de ataque por diseño.

Técnicamente, esto significa que la arquitectura de Endurance combina un broker de conexión seguro con escritorios remotos personalizados por usuario, un vault cifrado para gestión de credenciales, mecanismos de control de identidad y políticas Zero Trust, junto con prevención de fuga de datos y supervisión exhaustiva de sesiones en tiempo real. Estas capacidades están encapsuladas en un entorno donde solo se transmiten eventos de teclado, ratón, vídeo y audio, sin transferencia de datos sensibles fuera del enclave, impidiendo movimiento lateral, exfiltración, o explotación de vulnerabilidades de endpoint incluso si este está comprometido.

Además, Endurance ha sido reconocido formalmente dentro del catálogo nacional de productos de seguridad con certificación LINCE del Centro Criptológico Nacional, validando su arquitectura en la categoría de control de accesos privilegiados y confirmando su idoneidad para proteger infraestructuras críticas bajo marcos regulatorios como NIS2 y el Esquema Nacional de Seguridad.

Este enfoque unificado, que va más allá de simplemente añadir capas de control sobre un PAM tradicional, representa una verdadera alternativa al PAM tradicional: una solución que redefine la frontera de seguridad en entornos IT/OT complejos, donde la eliminación de la exposición directa del activo es tan crítica como la gestión de identidades y la protección de datos en reposo, en tránsito y en uso.