Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Mitigación de Media extraíbles en entornos OT/ICS para cumplir con la norma NIST SP 1334

Por OPSWAT
Comparte esta publicación

Los soportes extraíbles siguen siendo uno de los vectores de ataque más comunes en entornos de tecnología operativa (OT) y sistemas de control industrial (ICS). Una publicación especial reciente del NIST (Instituto Nacional de Estándares y Tecnología), la NIST SP 1334, ofrece recomendaciones prácticas para las organizaciones que operan con OT e ICS. Titulado «Reducción de los riesgos de ciberseguridad de Media de almacenamiento portátiles Media entornos OT», el documento incluye directrices para reducir los riesgos de ciberseguridad relacionados con el uso de dispositivos periféricos y soportes extraíbles.

Según el informe sobre ciberseguridad de ICS/OT de 2025 elaborado por SANS, el 27 % de los ataques se iniciaron a través de soportes extraíbles y dispositivos transitorios comprometidos. En entornos aislados (air-gapped), los soportes portátiles se utilizan a menudo para transferir datos como actualizaciones de firmware, archivos de configuración y registros. Esto aumenta el riesgo de que el malware, los exploits de día cero y la manipulación de la cadena de suministro eludan las defensas existentes. La norma NIST SP 1334 tiene como objetivo ayudar a los operadores y fabricantes de sistemas de tecnología operativa (OT) a gestionar los riesgos asociados a los soportes de almacenamiento portátiles, incluidos los dispositivos USB, las tarjetas SD y los discos duros portátiles, en entornos OT/ICS.

Por qué es importante para los entornos de terapia ocupacional

A diferencia de los entornos de TI, los entornos de OT/ICS suelen enfrentarse a retos y limitaciones en materia de ciberseguridad debido a los habituales requisitos de aislamiento y segregación de redes. La adaptación de las prácticas de ciberseguridad a las directrices de la norma NIST SP 1334 ayuda a las organizaciones a reducir la superficie de ataque, reforzar sus medidas de protección de defensa en profundidad y gestionar mejor el uso y las transferencias de archivos a través de soportes portátiles.

Entre los retos más habituales en entornos OT/ICS se encuentran:

  • Uso de sistemas obsoletos: Muchos dispositivos y sistemas de tecnología operativa (OT) siguen dependiendo de sistemas obsoletos que carecen de medidas modernas de ciberseguridad y ya no pueden actualizarse. La sustitución de estos sistemas puede resultar costosa y estar fuera del alcance.
  • Requisitos de alta disponibilidad: Los tiempos de inactividad y las interrupciones del servicio pueden provocar daños materiales, riesgos para la seguridad o enormes pérdidas operativas.
  • Gestión de entornos con aislamiento físico: Las redes de tecnología operativa suelen estar segregadas, aisladas o separadas físicamente, lo que limita las defensas basadas en la red.
  • Media extraíbles es inevitable: el uso de soportes extraíbles suele ser imprescindible para las actualizaciones de software, los diagnósticos y la transferencia de datos.

Puntos clave del NIST SP 1334 

La norma NIST SP 1334 hace hincapié en la aplicación de controles por niveles en cuatro ámbitos clave: procedimental, físico, técnico y de transporte. 

Controles de procedimiento

Las organizaciones deben elaborar políticas claras que regulen el uso de los soportes de almacenamiento. Entre ellas se incluyen la adquisición de soportes de propiedad de la organización con cifrado de hardware (con certificación FIPS), la prohibición de dispositivos no autorizados y el establecimiento de procedimientos estrictos para el aprovisionamiento, el borrado completo y la eliminación de los soportes. También es fundamental registrar los detalles de uso, como la identidad del usuario, el número de serie del dispositivo y las marcas de tiempo, así como formar al personal sobre estas políticas.

Controles físicos

Las medidas de seguridad física recogidas en las directrices del NIST SP 1334 incluyen el almacenamiento de soportes portátiles en un lugar físicamente seguro y con control de acceso, así como la realización de inventarios y el etiquetado de los soportes autorizados con los detalles de su uso, como parte fundamental de su programa de gestión de activos para minimizar los riesgos.

Controles técnicos

Se recomienda a las organizaciones que establezcan controles técnicos para la protección de los soportes de almacenamiento. Estos controles incluyen la desactivación de puertos innecesarios, el uso de listas de permitidos para restringir el acceso de dispositivos y la ejecución de archivos, el análisis de los soportes antes y después de su uso, el formateo de los dispositivos antes de su reutilización, la activación de la protección contra escritura para los archivos de solo lectura, la desactivación de la ejecución automática, el uso de dispositivos cifrados y la configuración de alertas para las actividades relacionadas con los soportes extraíbles.

Controles de transporte y desinfección

Se requieren controles físicos y lógicos adicionales para mitigar el riesgo que conlleva el transporte de soportes de datos. Estos controles incluyen el uso de cifrado o de contenedores cerrados con llave para garantizar la seguridad del transporte interno, la realización de verificaciones mediante hash o suma de comprobación al transferir archivos entre partes, y la ejecución de un proceso de borrado exhaustivo (tal y como se detalla en la norma NIST SP 800-88, Revisión 2) antes de desechar los soportes de datos.

Cómo OPSWAT prevenir Media a dispositivos periféricos y Media extraíbles

OPSWAT una gama de soluciones diseñadas para proteger entornos críticos de tecnología operativa (OT) frente a amenazas procedentes de dispositivos periféricos y soportes extraíbles. Estas soluciones ayudan a las organizaciones a cumplir con las directrices normativas, entre las que se incluyen NIST, ISA/IEC 62443, NEI 18-08, NERC CIP, ISO 27001, ANSSI, NIS2 y el RGPD.

Mitigación Media extraíbles en el punto de entrada

Diseñado para proteger los entornos más exigentes, MetaDefender analiza y desinfecta los soportes extraíbles en el punto de entrada de los entornos aislados físicamente, garantizando la seguridad de los flujos de datos hacia los sistemas de tecnología operativa (OT). MetaDefender Kiosk ayuda a las organizaciones a mejorar su resiliencia operativa, reduciendo el riesgo de paradas imprevistas, interrupciones en la producción e incidentes de seguridad. Ha sido reconocido como parte de la DeltaV Silver Alliance de Emerson, lo que demuestra su eficacia en múltiples entornos y casos de uso.

Endpoint y control de dispositivos antes de la ejecución

MetaDefender refuerza la seguridad de los puntos finales y ofrece una protección avanzada para entornos operativos. Analiza y detecta de forma activa los soportes extraíbles y periféricos en el momento de su inserción, antes de que los sistemas críticos puedan acceder a ellos. Esta capacidad ayuda a las organizaciones a cumplir los requisitos de ciberseguridad para soportes de almacenamiento portátiles establecidos en la norma NIST SP 1334. Además, permite a los usuarios borrar de forma segura los datos de los soportes extraíbles, lo que contribuye a cumplir los requisitos de desinfección de soportes establecidos en la norma.

Supervisión de la protección desde un único panel de control

Cuando se integran con My Central Management, MetaDefender Endpoint MetaDefender Kiosk aplicar políticas de forma centralizada para controlar el acceso a los dispositivos, supervisar y gestionar el uso de soportes extraíbles y registrar la actividad.

Media como una capa adicional de protección

OPSWAT ofrece una gama de soluciones para reforzar su estrategia de defensa en profundidad. MetaDefender Endpoint , OPSWAT Media Agent y MetaDefender Media proporcionan una capa adicional de seguridad al aplicar políticas de análisis y desinfección.

MetaDefender Endpoint y OPSWAT Media Agent son herramientas ligeras que se instalan en los terminales y funcionan tanto en entornos aislados como en entornos conectados. Actúan como un punto de control para garantizar que el terminal soloKiosk abrir, copiar, seleccionar y acceder a los archivos analizados por MetaDefender Kiosk .

MetaDefender Media Firewall una solución de hardware «plug-and-play» diseñada para proteger los sistemas host críticos frente a las amenazas que transmiten los soportes extraíbles. Funciona junto con MetaDefender Kiosk una capa física de fácil manejo para proteger los entornos de tecnología operativa (OT) y garantizar que ningún soporte extraíble sin analizar pueda eludir los puntos de entrada. Esta solución también ayuda a las organizaciones a aplicar políticas de análisis que se ajustan a las normas de cumplimiento normativo.

Core líderes en el sector

MetaDefender Kiosk MetaDefender Endpoint basan en tecnologías líderes en el sector y de confianza a nivel mundial, entre las que se incluyen:

  • Metascan™ Multiscanning: alcanza tasas de detección de malware de hasta el 99,2 % gracias a más de 30 motores antimalware
  • Tecnología Deep CDR™: Desinfecta los archivos de forma recursiva para eliminar posibles amenazas sin comprometer su funcionalidad, con el fin de prevenir amenazas desconocidas, incluidas las vulnerabilidades de día cero, y es compatible con más de 200 tipos de archivos.
  • File-Based Vulnerability Assessment: detecta vulnerabilidades conocidas gracias a más de 3 000 000 de puntos de datos recopilados de dispositivos activos y más de 30 000 CVE asociados con información sobre su gravedad
  • Proactive DLP™: utiliza modelos basados en inteligencia artificial para localizar y ocultar automáticamente información confidencial, como datos de identificación personal (PII), información médica protegida (PHI) y datos de la industria de tarjetas de pago (PCI), en más de 110 tipos de archivos
  • País de origen: detecta el origen geográfico de los archivos para identificar ubicaciones y proveedores sujetos a restricciones, lo que facilita el cumplimiento normativo

Proteger las infraestructuras críticas frente a Media extraíbles

Descubra por qué las organizaciones de infraestructuras críticas confían en las soluciones OPSWATpara proteger sus entornos OT/ICS frente a las amenazas procedentes de dispositivos periféricos y soportes extraíbles. Solicite una demostración hoy mismo hablando con uno de nuestros expertos.

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.