
Ciberseguridad en el sector sanitario: cuando una brecha pone vidas en riesgo
25 de junio de 2026La ciberseguridad en el sector de hidrocarburos no protege datos: protege infraestructuras críticas
La transformación digital ha cambiado radicalmente la forma en que opera el sector del petróleo y el gas. La automatización industrial, la monitorización remota, los sensores IoT, las comunicaciones satelitales, los sistemas de supervisión en tiempo real y la integración entre entornos IT y OT han permitido aumentar la eficiencia, optimizar la producción y reducir costes operativos.
Sin embargo, esta evolución también ha multiplicado la superficie de ataque de unas infraestructuras cuya interrupción puede afectar no solo a la actividad empresarial, sino también al suministro energético de países enteros.
En este contexto, la protección de sistemas SCADA en el sector de hidrocarburos se ha convertido en una prioridad estratégica para operadores, compañías energéticas y organismos reguladores. Ya no basta con proteger la red corporativa: es necesario proteger los sistemas que gobiernan válvulas, estaciones de bombeo, oleoductos, gasoductos, refinerías y plataformas de extracción.
Cuando un atacante compromete un sistema SCADA, el riesgo deja de ser digital. Se convierte en un riesgo operativo, económico, medioambiental e incluso humano.
¿Qué es un sistema SCADA y por qué es tan crítico en el sector de hidrocarburos?
Los sistemas SCADA (Supervisory Control and Data Acquisition) constituyen el núcleo de la operación industrial en el sector Oil & Gas. Son los responsables de supervisar y controlar, en tiempo real, miles de variables distribuidas a lo largo de instalaciones que pueden extenderse cientos o miles de kilómetros: presiones, temperaturas, caudales, niveles de almacenamiento, velocidad de bombeo o apertura de válvulas.
Tradicionalmente estos sistemas permanecían aislados de Internet. La Industria 4.0 ha roto ese aislamiento y hoy resulta habitual encontrar acceso remoto para mantenimiento, integración con plataformas cloud, monitorización desde centros de control corporativos, intercambio continuo con sistemas ERP y mantenimiento realizado por fabricantes y proveedores externos.
Esta conectividad aporta enormes ventajas operativas, pero también multiplica los riesgos.
La convergencia IT/OT ha cambiado las reglas de la ciberseguridad industrial
Durante décadas existieron dos mundos separados: los departamentos IT protegían servidores, estaciones de trabajo y aplicaciones corporativas, mientras los ingenieros OT administraban PLC, RTU, HMI y sistemas SCADA bajo un modelo basado principalmente en disponibilidad y continuidad operacional.
La transformación digital ha unido ambos entornos. Hoy una incidencia informática puede terminar afectando directamente al funcionamiento de una planta industrial, y esta convergencia ha eliminado el antiguo aislamiento que protegía muchos sistemas, obligando a replantear las estrategias de defensa.
La ciberseguridad industrial ya no consiste únicamente en impedir accesos externos, sino en garantizar que ningún usuario, interno o externo, pueda alterar procesos físicos sin autorización, independientemente de dónde se encuentre.
Casos reales: cuando un ataque a SCADA afecta al mundo físico
La amenaza ya no pertenece al ámbito de la teoría. Durante la última década, varios incidentes han demostrado el enorme impacto que puede tener un ataque sobre infraestructuras energéticas.
Colonial Pipeline: una credencial comprometida paraliza el suministro de combustible. En mayo de 2021, Colonial Pipeline sufrió uno de los incidentes más relevantes registrados en infraestructuras energéticas. Aunque el ransomware afectó inicialmente a sistemas IT, la compañía decidió detener preventivamente la operación del oleoducto más importante de la costa este estadounidense. El resultado fue una interrupción temporal del suministro, compras masivas por parte de la población y un fuerte impacto económico. La investigación del Departamento de Seguridad Nacional de EE. UU. confirmó que el acceso inicial se produjo mediante una cuenta VPN comprometida que no utilizaba autenticación multifactor. Fuente: US Energy Agency
Nueva regulación para oleoductos en Estados Unidos. Tras Colonial Pipeline, la Transportation Security Administration (TSA) publicó directrices obligatorias para operadores de oleoductos y gasoductos críticos. El foco estaba en reforzar requisitos de monitorización, segmentación y gestión de accesos. Fuente: MITRE ATT&CK
TRITON: cuando el objetivo es alterar sistemas de seguridad industrial. Uno de los ataques más sofisticados jamás documentados fue TRITON (también conocido como TRISIS). Los atacantes comprometieron un sistema de seguridad instrumentada (SIS) de una planta petroquímica con el objetivo de desactivar mecanismos de protección física. El incidente fue analizado conjuntamente por CISA, FBI, NSA y el Departamento de Energía estadounidense. Fuente: CISA
TRITON cambió para siempre la percepción de la ciberseguridad OT. El objetivo no era detener la producción, sino manipular sistemas diseñados para proteger vidas humanas.
El mayor riesgo ya no son las vulnerabilidades: son las identidades y las credenciales
Durante años, la protección de sistemas SCADA se apoyó principalmente en segmentación de red, firewalls industriales y aislamiento físico. Estas medidas siguen siendo necesarias, pero no son suficientes.
La mayoría de intervenciones sobre infraestructuras críticas requieren accesos legítimos realizados por ingenieros de mantenimiento, fabricantes de equipos, empresas subcontratadas, operadores remotos y administradores de sistemas. Cada una de estas identidades representa un posible punto de entrada.
El problema se agrava con una realidad poco visible pero muy extendida en entornos OT: numerosos sistemas SCADA, PLC y estaciones de ingeniería siguen operando con contraseñas débiles, credenciales por defecto, accesos compartidos o directamente sin autenticación y conviven con equipos legacy que nunca fueron diseñados para integrarse en arquitecturas modernas de identidad. Estos sistemas, muchas veces insustituibles por motivos operativos o de coste, no pueden actualizarse a corto plazo, pero sí pueden protegerse en el punto de acceso.
Si un atacante compromete unas credenciales privilegiadas, o simplemente prueba una contraseña por defecto en un equipo legacy, puede acceder utilizando mecanismos completamente legítimos. Por ello, el verdadero perímetro ya no es la red, sino la identidad.
Acceso remoto seguro: el gran reto del sector Oil & Gas
La operación de infraestructuras energéticas distribuidas exige realizar mantenimiento remoto prácticamente a diario. Sin embargo, los modelos tradicionales siguen apoyándose en VPN permanentes o conexiones directas a la red industrial, con limitaciones importantes: difícil trazabilidad, exceso de privilegios, movimientos laterales, reutilización de credenciales y escasa visibilidad sobre la actividad del proveedor.
Las arquitecturas modernas sustituyen este modelo por entornos donde el acceso se concede únicamente durante el tiempo necesario y siempre bajo supervisión. El principio es sencillo: el proveedor nunca accede directamente al sistema industrial, sino que accede a una sesión controlada.
IEC 62443 y NIS2: la regulación impulsa una nueva arquitectura de seguridad
La protección de infraestructuras críticas ya no responde únicamente a buenas prácticas. Normativas y estándares internacionales exigen controles cada vez más estrictos:
- IEC 62443, referencia internacional para la seguridad de sistemas industriales.
- Directiva NIS2, que obliga a operadores esenciales a implantar medidas avanzadas de gestión de riesgos y control de accesos.
- NIST Cybersecurity Framework, ampliamente utilizado en infraestructuras críticas.
- ISA/IEC 62443 Zones & Conduits, orientado a la segmentación segura de entornos OT.
Estas normas coinciden en un mismo principio: proteger el acceso resulta tan importante como proteger la infraestructura.
La identidad como eje de la seguridad industrial
La evolución natural de la ciberseguridad industrial pasa por integrar soluciones especializadas de identidad. El IAM permite gestionar quién accede, el IGA garantiza que los permisos sean correctos, el PAM protege las cuentas privilegiadas y el ITDR detecta comportamientos anómalos incluso cuando las credenciales son legítimas.
La combinación de estas disciplinas permite construir una arquitectura donde cada acceso es verificable, cada sesión queda registrada y cada privilegio está limitado al mínimo imprescindible.
Cosmikal: control seguro del acceso a sistemas SCADA, incluidos los más vulnerables
En entornos como el petróleo y el gas, donde la continuidad operativa es crítica, controlar el acceso resulta tan importante como proteger la infraestructura. Cosmikal aborda este reto con dos soluciones complementarias: Endurance y Ranger.
Endurance, certificado por el CCN-CERT (CPSTIC, taxonomía PAM y VDI) y validado por la OTAN (catálogo NIAPC), crea un Espacio de Trabajo Remoto Blindado (RSW) que integra PAM, VDI, IAM y DLP en un único entorno.
En lugar de acceder directamente al servidor SCADA, al PLC o a la estación de ingeniería, el usuario trabaja desde un entorno seguro, aislado y completamente auditado. En el únicamente viajan eventos de teclado, ratón, vídeo y audio: ni el endpoint ni la red desde la que se conecta el técnico llegan a tocar el sistema industrial. Esto resulta especialmente relevante cuando el sistema no puede protegerse por sí mismo, equipos con contraseñas débiles o inexistentes, credenciales compartidas entre varios técnicos, o plataformas legacy que no admiten actualizaciones ni mecanismos modernos de autenticación. Endurance traslada la barrera de seguridad al punto de acceso, con independencia de lo robusta (o no) que sea la configuración interna del activo.
Ranger, por su parte, resuelve el otro extremo de la conexión: el puesto de trabajo físico desde el que ingenieros y operadores acceden a diario en salas de control, centros de operaciones o instalaciones de campo. Sustituye los PC tradicionales por thin clients sin disco duro ni partes móviles. Estos arrancan y ejecutan cada sesión en un entorno no persistente, gestionado de forma centralizada desde Ranger Manager y restaurado a una imagen limpia en cada inicio. El resultado es un endpoint prácticamente inviolable: no hay sistema operativo expuesto, ni discos que puedan comprometerse, ni dependencias locales que un atacante pueda aprovechar para moverse lateralmente hacia el SCADA. Usado junto a Endurance, Ranger blinda también el extremo local de la sesión, de forma que un dispositivo comprometido, vector habitual de phishing, malware o configuraciones incorrectas, queda completamente aislado, sin capacidad de alcanzar los activos industriales.
Esta combinación aporta ventajas clave para entornos Oil & Gas:
- Elimina la exposición directa de los sistemas críticos, incluidos los equipos legacy sin capacidad de autenticación propia.
- Registra todas las sesiones para facilitar auditorías e investigaciones forenses.
- Limita el movimiento lateral dentro de la red industrial, tanto desde el extremo remoto como desde el puesto local.
- Protege el acceso de proveedores externos e ingenieros de mantenimiento mediante sesiones temporales, supervisadas y sin almacenamiento de datos.
- Reduce drásticamente la superficie de ataque física en salas de control y centros de operaciones gracias a los thin clients de Ranger.
- Facilita el cumplimiento de estándares como IEC 62443, NIS2 o el Esquema Nacional de Seguridad.
La seguridad deja de depender exclusivamente de la robustez de cada sistema. Pasa a basarse en la identidad, el contexto y el control continuo de las sesiones, tanto en el acceso remoto como en el puesto de trabajo físico.
Conclusión: proteger un SCADA es proteger la continuidad energética
La digitalización ha convertido las infraestructuras del sector de hidrocarburos en organizaciones más eficientes, pero también más expuestas. Los casos de Colonial Pipeline o TRITON demuestran que un incidente de ciberseguridad puede tener consecuencias que trascienden el ámbito tecnológico y afectar directamente al suministro energético, la seguridad de las personas y el medio ambiente.
La protección de sistemas SCADA en el sector de hidrocarburos exige un enfoque integral que combine segmentación, monitorización, control de identidades y acceso privilegiado, supervisión continua y arquitecturas diseñadas específicamente para entornos OT, capaces de blindar tanto el extremo remoto como el puesto de trabajo físico, e incluso los sistemas más antiguos o peor protegidos.
En un escenario donde los sistemas industriales gobiernan procesos físicos de misión crítica, la ciberseguridad ya no consiste únicamente en impedir ataques. Consiste en garantizar que cada acceso esté justificado, cada acción sea trazable y cada intervención pueda realizarse sin comprometer la continuidad operativa.
Porque cuando una infraestructura energética se detiene, el impacto no se mide en datos perdidos, sino en la capacidad de mantener en funcionamiento servicios esenciales para toda la sociedad.
Preguntas frecuentes
¿Qué es un sistema SCADA y por qué es un objetivo tan atractivo para los atacantes?
Un sistema SCADA supervisa y controla en tiempo real procesos físicos críticos , presiones, caudales, válvulas, estaciones de bombeo, en instalaciones del sector de hidrocarburos. Es atractivo porque un compromiso no solo afecta a datos, sino que puede alterar procesos industriales reales, con impacto operativo, económico y de seguridad física.
¿Por qué ya no es suficiente con segmentar la red y usar firewalls industriales?
Porque la mayoría de accesos a sistemas SCADA son legítimos: los realizan ingenieros, fabricantes y proveedores externos con credenciales válidas. Si esas credenciales se ven comprometidas ,o si el equipo tiene contraseñas débiles, por defecto o inexistentes, la segmentación de red no evita el acceso. El perímetro real es la identidad, no solo la red.
¿Cómo protege Endurance un sistema SCADA con contraseñas débiles o sin autenticación?
Endurance traslada la barrera de seguridad al punto de acceso. El usuario nunca se conecta directamente al PLC, al servidor SCADA o a la estación de ingeniería. Trabaja desde un Espacio de Trabajo Remoto Blindado por el que solo viajan eventos de teclado, ratón, vídeo y audio. Esto protege el activo incluso cuando su configuración interna es débil o no admite mecanismos modernos de autenticación, como ocurre con muchos equipos legacy.
¿Qué diferencia hay entre Endurance y Ranger?
Endurance protege el acceso remoto a los activos críticos (RSW), mientras que Ranger protege el puesto de trabajo físico mediante thin clients sin disco duro y entornos no persistentes (LSW), pensado para salas de control, centros de operaciones e instalaciones donde el teletrabajo no es viable. Ambas soluciones pueden combinarse para blindar tanto el extremo remoto como el local.
¿Estas soluciones ayudan a cumplir con IEC 62443 y NIS2?
Sí. Al aislar las sesiones, registrar cada acceso y limitar los privilegios al mínimo necesario, Endurance y Ranger facilitan el cumplimiento de estándares como IEC 62443, la Directiva NIS2 y el Esquema Nacional de Seguridad, especialmente en lo relativo a control de accesos, trazabilidad y gestión de identidades.
¿Es necesario sustituir los sistemas SCADA legacy para protegerlos?
No. La sustitución de equipos legacy suele ser costosa o inviable a corto plazo por motivos operativos. El enfoque de Cosmikal no depende de modificar el sistema industrial, sino de controlar el acceso a él. Esto permite proteger equipos antiguos sin alterar su funcionamiento ni comprometer la continuidad operativa.
¿Te ha resultado útil este artículo? Compártelo con tu equipo de seguridad o con el responsable de cumplimiento de tu organización.




