Redes OT vs. IT: Convergencia en la Era de la Digitalización Industrial

Estoy seguro de que si te dedicas a las redes, en algún momento habrás oído hablar de las famosas redes OT y las redes IT. Pero, ¿qué son en realidad estas redes y por qué se deben diferenciar las unas de las otras?

Las redes OT, cuyas siglas significan Operational Technology, es un sistema de hardware y software interconectados diseñados para monitorizar, controlar y gestionar dispositivos físicos, procesos y eventos en entornos industriales y de infraestructura crítica.

En este ámbito podemos encontrar sistemas de control como PLC, Scadas y diversos sensores y periferia.

Aquí podríamos decir casi con total firmeza que el que se lleva la palma es Siemens, ya que lidera casi todo el mercado industrial con sus soluciones, tanto de PLC, como de switches, routers y firewalls. Además, se integra perfectamente con Profinet.

+Profinet, ya está diciendo palabras raras...

-No, deja. Te cuento.

Profinet es un estándar de comunicación basado en Ethernet capaz de logar tiempos de ciclo de hasta 31.25 microsegundos, con un jitter inferior a 1 microsegundo. Esto garantiza que las actuaciones en esta red sean extremadamente rápidas, ya que los PLC deben actuar de igual forma.

Características de Profinet:

1. Basado en Ethernet: Utiliza tecnología Ethernet estándar, lo que facilita la integración con redes de oficina y sistemas IT.

2. Comunicación en tiempo real: Ofrece diferentes clases de comunicación, incluyendo tiempo real (RT) y tiempo real isócrono (IRT) para aplicaciones que requieren sincronización precisa.

3. Flexibilidad: Soporta topologías de red flexibles, incluyendo línea, estrella, árbol y anillo.

Por contrapartida, las redes IT (Information Technology) son aquellas redes diseñadas para el procesamiento, almacenamiento y transmisión de datos digitales.

Entre tu y yo, es lo que conocemos como la red de usuarios.

En un esquema típico en el que conviven red IT y red OT, deberemos tenerlas completamente diferenciadas y separadas.

Aquí dejo un pequeño ejemplo:

Separación de redes: ¿por qué?

Imagina que tienes una fábrica de productos químicos. Toda la planta está automatizada mediante PLC, con sus Scadas y demás.

Hasta ahí todo correcto.

Pero en una fábrica también tenemos usuarios que deben poder trabajar, acceder a recursos compartidos, acceder a internet y demás acciones típicas de usuarios. Como mínimo, acceder al correo, ¿verdad?

Pues justo con ese último ejemplo es con el que lo voy a explicar.

Un usuario accede a su correo, recibe un email que, aunque sospechoso, decide abrirlo ignorando cualquier advertencia de su departamento informático. Y ya está, ya tenemos la infección de turno.

Esta infección se despliega por toda la red, pasa de un ordenador a otro, y a otro. Servidores de ficheros, servidores de bases de datos... Pongamos que es un backdoor para un atacante. Le habremos dado acceso a toda la planta de producción (PLC, Scadas y demás) y, más allá de robo de información, como pueda ser una receta secreta que se está desarrollando, puede ocasionar daños físicos reales.

¿Y si el atacante cambia una tarea de automatización para que, en lugar de vertir 10.000 litros en una llenadora, lo pone a 50.000 litros? Pues aquí llegaría el problema que podría ir a mayores.

Por eso, al igual que en una red de oficinas separas en VLAN, aquí, además, debes separar también en redes OT y redes IT.

Esto no significa que la red OT sea una red plana, ni mucho menos. Evidentemente tendrá su segmentación en capa 2. Pero claro, en ciertos casos esta red debe poder ser gestionada por el departamento de IT de la empresa, por lo que se deberán aplicar reglas MUY específicas a nivel de firewall para permitir el acceso a ciertos dispositivos que, además, deberán cumplir con unos mínimos de seguridad.