ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 10 min de lectura · Avanzado

Estrategia Clave para la Convergencia Segura TI/TO en Infraestructura Crítica

Análisis de la Zona Desmilitarizada Industrial (iDMZ) como control arquitectónico crítico para la convergencia segura de redes TI/TO.

1. Resumen Ejecutivo

La creciente convergencia entre las redes de Tecnología de la Información (TI) y de Tecnología Operacional (TO) ha generado beneficios significativos en eficiencia y visibilidad operativa, pero también ha ampliado drásticamente la superficie de ataque de los sistemas de control industrial (ICS). Incidentes como el ataque de ransomware a Colonial Pipeline en 2021 evidenciaron que una segmentación inadecuada entre redes corporativas e industriales puede acarrear consecuencias catastróficas para la seguridad nacional y la cadena de suministro (Cybersecurity and Infrastructure Security Agency [CISA], 2023).

La Zona Desmilitarizada Industrial (iDMZ) se ha consolidado como uno de los controles arquitectónicos más críticos para mitigar este riesgo. Recomendada por estándares internacionales, como IEC 62443 y NIST SP 800-82 Rev. 3 y las guías de arquitectura CPwE de Cisco y Rockwell Automation, la iDMZ constituye una zona de red intermedia que impide la comunicación directa entre los entornos empresariales y los sistemas de planta, actuando como un broker controlado de toda la interacción entre ambos mundos.

Este whitepaper examina los fundamentos técnicos, el marco normativo, los componentes esenciales, las estrategias de implementación y las mejores prácticas para desplegar una iDMZ robusta en entornos de infraestructura crítica, con especial énfasis en el contexto regulatorio chileno bajo la Ley 21.663 de Ciberseguridad.

2. Introducción: El Desafío de la Convergencia TI/TO

Los sistemas de control industrial fueron diseñados originalmente para operar en entornos aislados, donde la seguridad se basaba fundamentalmente en el aislamiento físico (air gap). Sin embargo, las demandas de la Industria 4.0, el Internet Industrial de las Cosas (IIoT) y la necesidad de integrar datos operativos con sistemas empresariales han erosionado progresivamente esta barrera (Stouffer et al., 2023).

2.1. Prioridades Invertidas: AIC vs. CIA

Una de las diferencias fundamentales entre los entornos TI y TO radica en la priorización de los objetivos de seguridad. Mientras que en TI se prioriza la Confidencialidad sobre la Integridad y la Disponibilidad (modelo CIA), en los entornos TO la Disponibilidad es el requisito primordial, seguida por la Integridad y, finalmente, la Confidencialidad, un modelo conocido como AIC (Stouffer et al., 2023). Esta inversión de prioridades tiene profundas implicaciones en el diseño de arquitecturas de seguridad.

2.2. El Problema de los Protocolos Legacy

Los protocolos industriales como Modbus (desarrollado en 1979) y DNP3 fueron diseñados para funcionalidad y fiabilidad, sin incorporar mecanismos nativos de cifrado ni autenticación. Estos protocolos siguen siendo la columna vertebral de miles de instalaciones industriales a nivel global, y su reemplazo resulta inviable en la mayoría de los casos debido a restricciones operativas, costos y dependencias de proveedores (Benestelli y Kambic, 2022).

3. El Modelo Purdue y la Ubicación de la iDMZ

El Modelo de Referencia Empresarial de Purdue (PERA), desarrollado por Theodore J. Williams en la década de 1990, establece una arquitectura jerárquica para sistemas de manufactura integrada por computador (CIM). Este modelo fue posteriormente formalizado a través del estándar ISA-95/IEC 62264 y se ha convertido en la referencia fundamental para la segmentación de redes en entornos de control industrial (International Society of Automation [ISA], 2023).

3.1. Los Niveles del Modelo Purdue

El modelo organiza los sistemas en cinco niveles jerárquicos que definen cómo interactúan los procesos físicos, los controles y los sistemas empresariales:

•       Nivel 0 – Proceso Físico: Sensores, actuadores y el proceso físico en sí.

•       Nivel 1 – Control Básico: PLCs, RTUs y controladores que ejecutan la lógica de control.

•       Nivel 2 – Control Supervisorio: Sistemas SCADA, HMI y estaciones de operación.

•       Nivel 3 – Operaciones de Sitio: MES, historians, gestión de batch y calidad.

•       Nivel 3.5 – iDMZ: Zona Desmilitarizada Industrial (el foco de este documento).

•       Nivel 4/5 – Zona Empresarial: ERP, correo, intranet y acceso a internet.

3.2. La iDMZ como Nivel 3.5

La iDMZ se ubica como una capa lógica entre el Nivel 3 (operaciones de sitio) y el Nivel 4 (zona empresarial), actuando como un buffer que impide la comunicación directa entre ambas zonas. Según Cisco y Rockwell Automation, el principio fundamental de la iDMZ es que ningún tráfico de red debe atravesar directamente esta zona; toda comunicación debe terminar en ella (Cisco Systems, 2021).

La arquitectura Converged Plantwide Ethernet (CPwE) define la iDMZ como la zona que alberga activos que actúan como intermediarios (brokers) entre las zonas Industrial y Empresarial, garantizando que ningún dispositivo de la red corporativa tenga conectividad directa con los sistemas de control (Cisco Systems, 2021).

4. Definición y Componentes de la iDMZ

4.1. Definición Formal

Una iDMZ es una capa adicional de seguridad de red ubicada entre las redes de TI empresarial y las redes de TO operacional. Proporciona una zona de amortiguación entre zonas de seguridad no confiables (por ejemplo, la red empresarial) y zonas de seguridad confiables (por ejemplo, la red industrial), intermediando las conexiones para que no se permitan comunicaciones directas de red entre ambas zonas (Logical Systems, 2023).

4.2. Principios de Diseño Fundamentales

Los principios de diseño de la iDMZ, tal como los establecen Cisco y Rockwell Automation en la arquitectura CPwE, son:

1.    Terminación del tráfico: Todo el tráfico IACS, de cualquier lado de la iDMZ, termina en la iDMZ; ningún tráfico la atraviesa directamente.

2.    Sin ruta directa: No existe un camino directo entre las zonas Industrial y Empresarial, y no se comparten protocolos comunes entre los firewalls lógicos.

3.    Aislamiento del tráfico industrial: El tráfico EtherNet/IP de IACS no entra en la iDMZ; permanece dentro de la Zona Industrial.

4.    Datos transitorios: Los servicios primarios no se almacenan permanentemente en la iDMZ; todos los datos son transitorios.

5.    Autonomía de la Zona Industrial: La iDMZ debe poder desconectarse en caso de compromiso sin afectar las operaciones de la Zona Industrial.

6.    Sub-zonas funcionales: Se configuran sub-zonas dentro de la iDMZ para segmentar el acceso a datos y servicios (TI, Operaciones, Socios de Confianza).

4.3. Componentes Típicos de la iDMZ

La infraestructura de la iDMZ se compone de múltiples dispositivos y servicios que actúan como intermediarios entre las zonas:

•       Firewalls de nueva generación (front y back)

•       Servidores de réplica de historians (ej. PI-to-PI interface)

•       Servidores de acceso remoto (Remote Desktop Gateway, VPN)

•       Servidores proxy reversos y de filtrado URL

•       Servidores de parches y actualizaciones (WSUS/SCCM mirror)

•       Servicios de sincronización de tiempo (NTP)

•       Switches, routers y servicios de infraestructura virtualizados

5. Marco Normativo y Estándares

5.1. IEC 62443: Zonas y Conductos

El estándar ISA/IEC 62443 es el marco de referencia global para la seguridad de sistemas de automatización y control industrial (IACS). Dos conceptos centrales de IEC 62443 son fundamentales para el diseño de la iDMZ: las Zonas y los Conductos. Una Zona es una agrupación de activos lógicos o físicos que comparten requisitos de seguridad comunes, mientras que un Conducto es la ruta de comunicación y los controles de seguridad entre dos zonas (InstruNexus, 2025).

IEC 62443 requiere una evaluación de riesgos para determinar el Nivel de Seguridad (SL) objetivo para cada zona. Los SL van desde SL-1 (protección contra violación casual) hasta SL-4 (protección contra amenazas de nivel estado-nación). La zona iDMZ debe tener un SL objetivo apropiado para el perfil de riesgo de los activos que protege en la zona TO (InstruNexus, 2025).

5.2. NIST SP 800-82 Revisión 3

Publicada en septiembre de 2023, la tercera revisión de la NIST SP 800-82, titulada “Guide to Operational Technology (OT) Security”, amplió significativamente su alcance desde sistemas de control industrial hacia la categoría más amplia de Tecnología Operacional. Esta revisión enfatiza la segmentación de redes OT en zonas y capas siguiendo el modelo Purdue, con clara separación entre redes de ingeniería, operaciones y TI (Stouffer et al., 2023).

La guía promueve la estrategia de defensa en profundidad y se alinea con IEC 62443, ISO/IEC 27001 y el NIST Cybersecurity Framework, proporcionando un overlay de controles de seguridad OT para NIST SP 800-53 Rev. 5 (Stouffer et al., 2023).

5.3. Arquitectura CPwE

La arquitectura Converged Plantwide Ethernet (CPwE), desarrollada conjuntamente por Cisco y Rockwell Automation, proporciona guías de diseño e implementación específicas para la iDMZ. CPwE detalla consideraciones para compartir de forma segura datos IACS entre los sistemas de negocio de la Zona Empresarial y las operaciones industriales de la Zona Industrial, ofreciendo soluciones validadas y probadas en laboratorio (Cisco Systems, 2021).

5.4. Contexto Regulatorio Chileno: Ley 21.663

En el contexto chileno, la Ley 21.663 Marco de Ciberseguridad establece obligaciones para operadores de infraestructura crítica que incluyen la implementación de medidas técnicas de seguridad proporcionales al riesgo. La iDMZ constituye una medida fundamental para cumplir con los requisitos de segmentación y protección de sistemas críticos exigidos por esta normativa y los controles básicos de la Agencia Nacional de Ciberseguridad (ANCI).

6. Lecciones Aprendidas: El Caso Colonial Pipeline

El 7 de mayo de 2021, el grupo de ransomware DarkSide comprometió la red de TI de Colonial Pipeline, el mayor ducto de productos refinados de petróleo en Estados Unidos, que transporta más de 100 millones de galones diarios de combustible. Los atacantes obtuvieron acceso a través de una cuenta VPN obsoleta sin autenticación multifactor (CISA, 2023).

Aunque el ransomware solo afectó directamente la red de TI, Colonial Pipeline tomó la decisión preventiva de desconectar sus sistemas TO, provocando la paralización del ducto durante varios días. El impacto fue devastador: escasez de combustible en toda la costa este de EE.UU., el Presidente Biden declaró estado de emergencia, y la empresa pagó un rescate de 4.4 millones de dólares (CISA y FBI, 2021).

Implicaciones para la iDMZ

Este incidente demostró que la falta de una segmentación robusta entre TI y TO puede tener consecuencias catastróficas. Una iDMZ adecuadamente implementada habría proporcionado una barrera que, en caso de comprometerse la red corporativa, habría permitido que las operaciones industriales continuaran de forma autónoma. CISA y el FBI recomendaron explícitamente implementar segmentación robusta de red entre TI y TO como medida primordial de mitigación (CISA y FBI, 2021).

7. Integración con Arquitectura Zero Trust

La evolución de las amenazas ha impulsado la adopción de los principios de Zero Trust (“nunca confiar, siempre verificar”) como complemento natural a la iDMZ. NIST SP 800-207 establece los fundamentos de la arquitectura Zero Trust, y tanto el Departamento de Defensa de EE.UU. como CISA han publicado guías específicas para su implementación en entornos OT (Benestelli y Kambic, 2022).

7.1. Desafíos de Zero Trust en Entornos OT

La implementación de Zero Trust en entornos OT presenta desafíos únicos. Muchos dispositivos industriales carecen de soporte para protocolos modernos de identidad, tienen requisitos estrictos de disponibilidad, y operan con cuentas compartidas por razones de seguridad operativa y confiabilidad. Además, la longevidad de los activos ICS (frecuentemente superiores a 20 años) dificulta la adopción de tecnologías de autenticación modernas (Benestelli y Kambic, 2022).

7.2. Enfoque Pragmático: iDMZ + Zero Trust

La estrategia más efectiva combina la iDMZ como control arquitectónico de macro-segmentación con principios de Zero Trust para la microsegmentación interna. Este enfoque incluye:

•       Gateways unidireccionales para datos que salen de la red industrial.

•       Controles de acceso físico como medidas compensatorias para dispositivos legacy.

•       Monitoreo continuo del tráfico y del comportamiento de la red para la detección de anomalías.

•       ZTNA (Zero Trust Network Access) como alternativa a las VPNs tradicionales para el acceso remoto.

•       Modelo de zonas y conductos de IEC 62443 como base para definir políticas de Zero Trust.

8. Guía de Implementación Práctica

8.1. Fase 1: Evaluación y Planificación

7.    Inventario completo de activos ICS y de flujos de comunicación entre las zonas TI y TO.

8.    Evaluación de riesgos conforme IEC 62443-3-2 para determinar niveles de seguridad objetivo.

9.    Identificación de todos los servicios que requieren comunicación entre zonas.

10.  Definición de políticas de acceso basadas en el principio de mínimo privilegio.

8.2. Fase 2: Diseño de Arquitectura

11.  Implementar firewalls duales (front y back) en la iDMZ.

12.  Desplegar servicios broker: historians replicados, jump servers, servidores de parches.

13.  Configurar sub-zonas funcionales dentro de la iDMZ (TI, Operaciones, Socios).

14.  Asegurar que la Zona Industrial pueda operar de forma autónoma si la iDMZ se desconecta.

8.3. Fase 3: Implementación y Validación

15.  Despliegue gradual comenzando por los servicios más críticos.

16.  Validación de que no existe tráfico directo entre TI y TO fuera de la iDMZ.

17.  Pruebas de autonomía: verificar la operación de la planta con la iDMZ desconectada.

18.  Desarrollo y prueba de planes de respuesta a incidentes específicos para la iDMZ.

8.4. Fase 4: Monitoreo Continuo y Mejora

19.  Implementar el monitoreo continuo del tráfico en la iDMZ, con detección de anomalías.

20.  Auditorías periódicas de las reglas de firewall y de los accesos autorizados.

21.  Revisión regular del inventario de activos y flujos de comunicación.

22.  Actualización de la evaluación de riesgos ante nuevas amenazas o cambios en la infraestructura.

9. Conclusiones

La Zona Desmilitarizada Industrial (iDMZ) no es simplemente una regla de firewall; es una filosofía arquitectónica integral, guiada por el robusto marco de la IEC 62443. Al crear una zona de amortiguación estrictamente controlada que termina e interrumpe toda comunicación TI/TO, la iDMZ sirve como la defensa primaria contra amenazas que pivotan desde el mundo corporativo hacia los sistemas de control críticos que sostienen nuestra infraestructura.

La implementación de una iDMZ bien diseñada reduce la superficie de ataque, protege sistemas legacy vulnerables y habilita la conectividad de negocio necesaria sin comprometer la seguridad operativa ni la confiabilidad. Complementada con principios de Zero Trust, la iDMZ constituye la piedra angular de cualquier estrategia seria de ciberseguridad industrial.

Para las organizaciones chilenas sujetas a la Ley 21.663 y a los controles de ANCI, la iDMZ representa una de las inversiones más efectivas en protección de infraestructura crítica. No se trata de si serán atacados, sino de si estarán preparados cuando ocurra.

 10. Referencias

Benestelli, B. y Kambic, D. (2022). IT, OT, and ZT: Implementing Zero Trust in Industrial Control Systems. Carnegie Mellon University, Software Engineering Institute. https://www.sei.cmu.edu/blog/it-ot-and-zt-implementing-zero-trust-in-industrial-control-systems/

Cisco Systems. (2021). Securely traversing IACS data across the IDMZ using Cisco Firepower Threat Defense: CPwE IDMZ design guide. https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/3-5-1/IDMZ/DIG/CPwE_IDMZ_2_CVD/

Cisco Systems. (2024). ISA/IEC-62443-3-3: What is it and how to comply? [White paper]. https://www.cisco.com/c/en/us/products/collateral/security/isaiec-62443-3-3-wp.html

Cybersecurity and Infrastructure Security Agency [CISA]. (2023, mayo 7). The attack on Colonial Pipeline: What we’ve learned & what we’ve done over the past two years. https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years

CISA y FBI. (2021, mayo 11). DarkSide ransomware: Best practices for preventing business disruption from ransomware attacks (Alert AA21-131A). https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a

Industrial Ethernet Media. (2021, enero 7). Defending the edge using an industrial demilitarized zone. IEB Magazine. https://iebmedia.com/technology/defending-the-edge-using-an-industrial-demilitarized-zone/

InproTech. (2025, febrero 17). The Industrial Demilitarized Zone. https://inprotech.es/en/the-industrial-demilitarized-zone/

InstruNexus. (2025). All you need to know about Level 3.5 DMZ for ICCS cybersecurity with IEC 62443. https://instrunexus.com/all-you-need-to-know-about-level-3-5-dmz-for-iccs-cybersecurity-with-iec-62443/

International Society of Automation [ISA]. (2023). ISA-95 Standard: Enterprise-Control System Integration. https://www.isa.org/standards-and-publications/isa-standards/isa-95-standard

Logical Systems. (2023, enero 6). What is an Industrial DMZ? https://www.logicalsysinc.com/connecting-point/what-is-an-industrial-dmz/

National Institute of Standards and Technology [NIST]. (2020). SP 800-207: Zero Trust Architecture. U.S. Department of Commerce. https://doi.org/10.6028/NIST.SP.800-207

Siemens. (2024). Industrial DMZ Infrastructure. Digital Enterprise Services. https://www.siemens.com/en-gb/products/industrial-digitalization-services/idmz/

Stouffer, K., Pease, M., Tang, C. Y., Zimmerman, T., Pillitteri, V., Lightman, S., Hahn, A., Saravia, S., Sherule, A. y Thompson, M. (2023). Guide to Operational Technology (OT) Security (NIST SP 800-82 Rev. 3). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-82r3

Williams, T. J. (1992). The Purdue enterprise reference architecture: A technical guide for CIM planning and implementation. Instrument Society of America.

 

Sobre el Autor: Sebastián Vargas, es CEO y fundador de TTPSEC SpA, firma chilena de consultoría especializada en ciberseguridad industrial IT/OT/ICS. Con más de 18 años de experiencia, se desempeña como vCISO para organizaciones de infraestructura crítica. Es fundador de PurpleTeam Academy, SOCHISI y líder de OT Security LATAM.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo