Las subestaciones eléctricas dejaron de ser entornos aislados. La modernización de redes, la operación remota, la implementación de sensores IoT con sus respectivos gateways, y la necesidad de visibilidad en tiempo real han incrementado la conectividad y, con ella, la probabilidad de ataques. En OT (Operation Technology), un incidente no solo compromete datos: puede afectar la disponibilidad, la seguridad física, la continuidad del servicio, la calidad de energía y, en escenarios extremos, provocar daños a equipos o riesgos para las personas.
A diferencia del mundo IT, donde el objetivo principal suele ser la confidencialidad, en una subestación la prioridad es clara: operar de forma segura y continua. Por eso, la estrategia de ciberseguridad OT debe diseñarse con lógica industrial: controlada, verificable, con cambios mínimos y planes de contingencia.

Arquitectura OT, ¿dónde se abren las brechas?

En una subestación moderna conviven:

• IEDs (relés de protección, controladores de bahía, RTU/BCU).
• Red de estación (HMI/SCADA local, RTU, switch principal, reloj de sincronización).
• Red de proceso (process bus, Merging Units, tráfico GOOSE/SV en IEC 61850).
• Accesos remotos (centro de control, mantenimiento de OEM, contratistas).
• Integraciones (historians, gestión de activos, analítica, monitoreo de condición).

Por lo que los incidentes más frecuentes no son “hackers” entrando por fuerza bruta, sino combinaciones de malas políticas de gestión como:

1. Acceso remoto mal gobernado (VPN compartida, credenciales estáticas, salto directo a IED).
2. Segmentación insuficiente (IT y OT con rutas planas, o VLAN sin control real).
3. Equipos obsoletos (o legacy) sin hardening, con servicios inseguros y firmware desactualizado.
4. Proveedores con laptops/USB sin control, o herramientas de ingeniería sin monitoreo.
5. Errores de configuración (reglas de firewall permisivas, puertos abiertos “temporalmente”).

Estos errores son usuales porque es común tratar una subestación OT con las mismas reglas IT sin ningún tipo de adaptación. Sin embargo, las redes OT se diferencian en:

• Necesidad de una mayor disponibilidad en tiempo real: latencias, jitter o bloqueos por inspección profunda mal implementada pueden afectar la velocidad de transferencia de eventos críticos como las protecciones.
• Se tienen ventanas de mantenimiento limitadas: lo que no brinda mucho espacio para “parchear”.
• Se necesita contemplar una seguridad funcional: un cambio “menor” en red o firmware puede alterar comportamiento de protecciones, lógicas IEC 61850 o sincronización de tiempo.

Es por ello que la estrategia OT se centra en reducir la exposición, controlar accesos, detectar de forma temprana y responder sin improvisación.

¿Qué realmente funciona?

A. Segmentación por zonas o procesos

Se tiene que separar IT de OT, para evitar que cualquier incidente no “salte” libremente a sistemas críticos. El objetivo es evitar que desde una laptop corporativa se pueda “ver” un relé o un switch de estación sin pasar por controles específicos, es decir, una brecha de diseño.

• Separar por zonas: corporativa, estación, proceso, ingeniería.
• Definir conductos con reglas mínimas: permitir lo necesario, bloquear lo demás.
• Evitar redes planas donde HMI, servidores, RTU y relés estén en el mismo broadcast domain.

B. Acceso remoto con control industrial (no “VPN y listo”)

Los accesos remotos deben ser con trazabilidad y sesión controlada:

• MFA + cuentas individuales (cero credenciales compartidas).
• Acceso por tiempo limitado (Just-in-Time).
• Grabación de sesión y comando (ideal para ingeniería).
• Bloqueo de conexiones directas a IED salvo casos muy justificados.

C. Inventario y visibilidad: “no se protege lo que no se conoce”

En subestaciones es común no tener inventario completo: firmware, servicios, rutas, puertos, cuentas, topología real. El primer salto de madurez es:

• Inventario de activos OT (incluye switches, reloj, gateways, laptops
  de ingeniería)
• Mapa de comunicaciones: lista de IPs, protocolos y puertos utilizados.

De la teoría a la práctica

Un punto importante que se pasa muchas veces por alto es la implementación
de planes, políticas y lineamientos para la gestión de ciberseguridad.
Estas políticas buscan responder las consultas de:

• ¿Qué hacer cuando ocurre un incidente?
• ¿Cómo restaurar mi sistema luego de un incidente?
• ¿Cómo analizar la información para la retroalimentación y mejoramiento
  de mi sistema?

Un plan realista incluye:

• Playbooks por escenarios (ransomware en ingeniería, acceso remoto
  comprometido, cambio no autorizado en red, etc.).
• Copias seguras de configuración (switches, gateways, servidores,
  HMI, parámetros críticos).
• Procedimientos para operar en degradación.
• Roles claros: operaciones, OT/SCADA, IT, comunicaciones, mantenimiento,
  gestión.

La ciberseguridad en subestaciones no es un “proyecto IT” agregado: es una disciplina de ingeniería de riesgo operativo cuyo objetivo principal es la continuidad del servicio. El enfoque moderno pasa de confiar en el perímetro a diseñar zonas, accesos trazables, monitoreo pragmático y capacidad real de respuesta.
Una subestación segura no es la que “nunca tendrá incidentes”, sino la que puede prevenir lo más probable, detectar lo antes posible y recuperarse sin perder el control.
Si deseas tener más información contáctanos a latam@novatechautomation.com