Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

¿Qué es una red aislada físicamente?

Por OPSWAT
Última actualización:
Comparte esta publicación

Definición de redes aisladas físicamente

Una red con aislamiento físico es una arquitectura de seguridad en la que los ordenadores o las redes están aislados física o lógicamente de los sistemas no seguros, incluida la red pública de Internet. Esta separación, conocida comúnmente como «aislamiento físico», impide el acceso no autorizado y garantiza que los datos y sistemas confidenciales permanezcan protegidos frente a las ciberamenazas externas.

Los sistemas aislados físicamente, que se utilizan a menudo en entornos que exigen la máxima protección, como las redes clasificadas o los sistemas de tecnología operativa (OT) en infraestructuras críticas, ofrecen uno de los diseños de red más seguros que existen.

Aislamiento físico frente a aislamiento de red: diferencias clave 

Si bien el aislamiento de redes puede implicar la segmentación de las mismas mediante límites definidos por software, como VLAN o cortafuegos, las redes aisladas físicamente eliminan por completo la conectividad. Esta desconexión física elimina las rutas de tráfico entrante y saliente, lo que hace que los sistemas aislados físicamente sean más resistentes a las amenazas externas. 

Explicación de la terminología del sector

Las redes aisladas son habituales en entornos de alta seguridad, como los sistemas gubernamentales clasificados, los entornos de tecnología operativa (OT) y los sistemas de control industrial (ICS). Estas redes suelen dar soporte a infraestructuras en las que los tiempos de inactividad o las filtraciones de datos podrían tener consecuencias catastróficas.  

Términos como «lado alto/lado bajo» se refieren a la separación entre entornos de confianza y entornos no confiables, y el aislamiento físico garantiza que no exista ningún enlace directo entre ambos.

¿Cómo funcionan las redes aisladas físicamente?

Las redes aisladas físicamente funcionan mediante la imposición de una separación física o lógica respecto a los sistemas no seguros. Estas medidas garantizan que no exista comunicación directa —ya sea por cable o inalámbrica— entre el sistema aislado y las redes externas.

Una arquitectura habitual consiste en utilizar pasarelas unidireccionales controladas por hardware, como los diodos de datos, para permitir que la información salga del entorno aislado sin permitir ningún flujo de datos entrante.

Diagrama que muestra cómo funcionan las redes aisladas físicamente

Aislamiento físico y segmentación de redes

El aislamiento físico consiste en la desconexión total de los sistemas de cualquier red que pueda suponer un riesgo. Esto puede implicar ubicar los sistemas en salas blindadas o eliminar por completo cualquier interfaz inalámbrica o Ethernet.

La segmentación de la red puede complementar el aislamiento físico mediante la creación de límites internos estrictos entre los sistemas, en función de su nivel de confidencialidad y su función.

Flujo de datos unidireccional y diodos de datos

El flujo de datos unidireccional, que suele aplicarse mediante diodos de datos, permite la transferencia unidireccional de información desde un entorno de mayor sensibilidad hacia una zona de menor seguridad sin vía de retorno. Los diodos de datos, en particular, utilizan medidas de control a nivel de hardware para impedir el tráfico de retorno, lo que elimina el riesgo de comunicación por canal oculto.  

Estos dispositivos son esenciales en entornos como las redes eléctricas, donde los operadores necesitan acceder a datos de telemetría en tiempo real sin introducir amenazas externas. 

Para obtener más información sobre cómo se comparan los diodos de datos con otras herramientas de seguridad, consulta «Diodos de datos frente a cortafuegos».

Ventajas de seguridad de las redes aisladas físicamente

Las redes aisladas no son perfectas por sí solas, pero suelen ofrecer protección frente a las ciberamenazas externas. Al estar desconectadas de los sistemas externos, reducen los riesgos derivados de las amenazas que dependen del acceso a Internet, entre las que se incluyen muchos tipos de malware, ransomware y herramientas de explotación remota.

Los sistemas aislados físicamente suelen constituir la última línea de defensa para las operaciones más críticas, desde los centros de mando militares hasta los sistemas de control de las instalaciones nucleares.

OT Security de las infraestructuras críticas y de la OT Security

Las redes aisladas físicamente desempeñan un papel fundamental en la protección de entornos de tecnología operativa (OT), como centrales eléctricas, plantas de tratamiento de aguas y sistemas de transporte. De hecho, muchos de los sistemas de infraestructura crítica de los que más dependemos se construyeron antes de la llegada de Internet.  

Los sistemas que antes dependían de camiones que iban de subestación en subestación para recopilar datos siguen utilizándose hoy en día, a pesar de que Internet ha seguido evolucionando y digitalizando los flujos de trabajo.  

Estos sectores dependen de un funcionamiento predecible y sin interrupciones. Al aislar los sistemas clave, los operadores garantizan la seguridad y la fiabilidad, incluso cuando las amenazas se dirigen directamente contra los componentes conectados a la red informática. 

Para profundizar en este tema, lee el artículo «Cómo proteger los entornos aislados de ataques selectivos».

Creación y mantenimiento de redes aisladas físicamente

La implementación y gestión de una red aislada requiere una planificación minuciosa y una disciplina operativa estricta. Las organizaciones deben decidir si utilizan aislamientos físicos o lógicos, y cómo gestionar la importación y exportación de datos de forma segura.

Las estrategias de copia de seguridad, conocidas como copias de seguridad con aislamiento físico, también son fundamentales. Estas copias de seguridad se almacenan fuera de línea o en entornos aislados para evitar que el ransomware las cifre o las borre.

Separaciones físicas frente a separaciones lógicas

Un aislamiento físico implica que no existen cables de red, conexiones Wi-Fi ni otros puentes digitales entre el sistema protegido y las redes externas. Un aislamiento lógico utiliza controles de software, como reglas de cortafuegos o restricciones de enrutamiento, que pueden resultar más cómodos, pero son menos seguros y más vulnerables a errores de configuración o a posibles ataques.

Media extraíbles Media transferencia Secure

Las redes aisladas suelen depender de USB , CD u otros soportes extraíbles para transferir datos hacia dentro y hacia fuera. Este proceso conlleva riesgos. Para gestionarlo de forma segura, las organizaciones deben:

  • Analiza todos los soportes y dispositivos temporales en busca de malware antes de utilizarlos  
  • Utiliza hardware de confianza como MetaDefender Kiosk y MetaDefender Drive 
  • Aplicar controles de acceso y registros de auditoría para realizar un seguimiento de las transferencias

Los soportes periféricos y extraíbles siguen siendo una de las pocas formas prácticas de actualizar o recuperar datos de un sistema aislado, pero deben gestionarse con rigor para reducir el riesgo.

Ataques de «air gap» y sus limitaciones

A pesar de su solidez, las redes aisladas físicamente no resultan prácticas por sí solas. Es necesario disponer de una forma de acceder a los datos en tiempo real; esto implica que debe establecerse una comunicación entre las redes de alta y baja seguridad,idealmente mediante diodos de datos unidireccionales controlados por hardware.

Además, las redes aisladas físicamente no son invulnerables. Se han producido ataques especializados que han logrado penetrar en sistemas aislados físicamente utilizando vectores no convencionales, como USB comprometidos, señales electromagnéticas o amenazas internas.

El mantenimiento de estos sistemas también puede requerir muchos recursos y resultar complejo desde el punto de vista operativo.

Ejemplos destacados de ataques de «air gap»

El ataque «air gap» más famoso es el de Stuxnet, un sofisticado gusano informático diseñado para atacar las instalaciones de enriquecimiento de uranio de Irán. Se propagó a través de USB infectados y fue diseñado específicamente para alterar el funcionamiento de los controladores lógicos programables (PLC) sin necesidad de acceso a la red.

Otros estudios han demostrado que es posible extraer datos mediante el parpadeo de los LED, señales ultrasónicas o fluctuaciones en el suministro eléctrico, lo que pone de manifiesto que incluso los sistemas aislados pueden ser objeto de intrusión en determinadas condiciones.

Limitaciones y retos de mantenimiento

Las redes aisladas añaden complejidad. Las actualizaciones, los parches y la supervisión del sistema requieren procesos manuales. Los errores humanos, una mala gestión de los soportes de datos o la falta de protocolos de seguridad claros pueden generar vulnerabilidades inesperadas.

Las organizaciones deben encontrar un equilibrio entre las ventajas del aislamiento y las exigencias operativas del mantenimiento y la experiencia del usuario.

Redes aisladas físicamente frente a otros enfoques de seguridad

Las redes aisladas físicamente suelen compararse con los entornos protegidos por cortafuegos, las estrategias de segmentación de redes y la implementación de diodos de datos. Cada una de ellas tiene su lugar en una estrategia de seguridad sólida, pero difieren considerablemente en cuanto a coste, complejidad y eficacia.

Aislamiento físico frente a segmentación de red frente a diodo de datos

Característica
Red aislada físicamente
Segmentación de redes
Seguridad basada en diodos de datos
Conectividad
No hay conexión
Acceso interno controlado
Flujo externo unidireccional
Nivel de aislamiento
Alto (físico/lógico)
Medio (solo lógico)
Alto (impuesto por el hardware)
Caso de uso
Confidencial, OT, crítico
TI empresarial, departamental
Supervisión de sistemas operativos, análisis forense
Coste
Alto
Medio
De medio a alto
Complejidad del mantenimiento
Alto
De baja a media
Medio
Resiliencia frente a los ciberataques
Muy alto
Medio
Alto

Para obtener más información, consulta los artículos «Bridging the Gap » y «Firewalls Are Not Enough». 

Dar el siguiente paso

Diagrama que muestra el proceso de transferencia segura de archivos a través de una red aislada físicamente mediante MetaDefender

Tanto si necesitas proteger un sistema de control nuclear como si simplemente quieres garantizar la seguridad de las transferencias de archivos en un entorno de laboratorio aislado, OPSWAT tecnologías probadas para entornos con aislamiento físico. Nuestro MetaDefender Optical Diode y MetaDefender Kiosk funcionan conjuntamente con MetaDefender Drive y otras capas de la MetaDefender para garantizar un flujo de datos unidireccional y la importación/exportación segura de soportes en redes críticas.

OPSWAT confianza en todo el mundo para proteger lo que es fundamental: descubre cómo podemos ayudarte a mantener seguro tu «air gap».

Preguntas frecuentes (FAQ)

P: ¿Qué es un espacio de aire?

Un «air gap» es un concepto de seguridad que consiste en aislar los sistemas de redes no fiables para evitar el acceso no autorizado o la fuga de datos.

P: ¿Cómo funcionan los espacios de aire?

Las barreras de aislamiento funcionan desconectando física o lógicamente los sistemas de las redes externas, a menudo mediante dispositivos de hardware como los diodos de datos.

P: ¿Cuáles son las ventajas de seguridad de las redes aisladas físicamente?

Las redes aisladas físicamente ofrecen una protección superior frente a las ciberamenazas externas, reducen el riesgo de infiltración de malware y son ideales para infraestructuras críticas.

P: ¿Son las redes aisladas físicamente mejores que otros enfoques de seguridad? 

Ofrecen mayor seguridad en entornos de alto riesgo, pero conllevan unos costes de mantenimiento más elevados y una flexibilidad limitada en comparación con la segmentación o los cortafuegos.

P: ¿Qué es una conexión con cámara de aire?

Técnicamente, no existe una «conexión con aislamiento físico», ya que los sistemas con aislamiento físico están desconectados por diseño. No obstante, las transferencias controladas pueden realizarse mediante soportes extraíbles o pasarelas unidireccionales.

P: ¿En qué consiste la técnica del «air gap»? 

El aislamiento físico es el método que consiste en aislar un sistema mediante la eliminación de todas las conexiones de red, y se utiliza en entornos donde la seguridad es fundamental.

P: ¿Por qué es importante el aislamiento físico? 

El aislamiento físico es esencial para los sistemas en los que la integridad y la confidencialidad de los datos son fundamentales, como los del sector de la defensa, la energía y la industria manufacturera.

P: ¿Qué es una red aislada físicamente? 

Una red aislada es una red segura que está aislada física o lógicamente de sistemas no fiables para evitar el intercambio no autorizado de datos.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.