Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.
Energía | Testimonios de clientes

Acceso remoto sin exposición: una empresa de suministro energético abre sus sistemas de tecnología operativa y pone freno a los riesgos

Acceso RDP Secure y auditable a sistemas OT críticos con MetaDefender Access™
Por Vivien Vereczki
Comparte esta publicación

Acerca de la empresa: Una empresa regional de suministro energético en expansión que gestiona activos de generación, transmisión y distribución en varios estados del sudeste asiático. Con aproximadamente 5.000 empleados y más de 20 centros operativos, la empresa presta servicio a millones de clientes y desempeña un papel fundamental en la estabilidad de la red regional. Su entorno incluye salas de control y subestaciones que utilizan sistemas SCADA, DCS, IHMs y PLC, con el apoyo de ingenieros internos y proveedores externos.

¿Cuál es la situación? Esta empresa de servicios públicos dependía anteriormente de VPN heredadas y herramientas genéricas de acceso remoto para permitir que los ingenieros y los proveedores externos se conectaran a los sistemas de las salas de control en múltiples emplazamientos. Este enfoque provocaba que los equipos de TI y de OT se enfrentaran a una visibilidad limitada, privilegios de acceso excesivos, puertos de cortafuegos abiertos y una creciente presión de auditoría en torno a quién accedía a los sistemas de OT, cuándo y cómo. Al implementar una pasarela de acceso remoto OT segura con control granular de RDP, la organización redujo la exposición, aplicó el principio de privilegios mínimos y proporcionó a los equipos de operaciones un acceso más rápido y seguro sin interrumpir los servicios energéticos críticos.

Debido a la naturaleza de la actividad, se ha ocultado el nombre de la organización que aparece en este artículo con el fin de proteger la integridad de su labor.

SECTOR:

Energía y servicios públicos

UBICACIÓN:

Sudeste Asiático

TALLA

unos 5 000 empleados

PRODUCTOS UTILIZADOS:

MetaDefender OT Access

Por qué resulta difícil garantizar un acceso Secure en entornos de tecnología operativa (OT)

icono de cita

El mayor riesgo no era el acceso remoto en sí mismo, sino la falta de control y visibilidad una vez que los usuarios se encontraban dentro de la red de tecnología operativa

Habilitar el acceso remoto en un entorno de tecnología operativa (OT) es, por naturaleza, una tarea compleja. Era necesario encontrar el equilibrio entre el tiempo de actividad, la seguridad y la velocidad, al tiempo que se protegían los sistemas de control heredados que nunca se diseñaron para la conectividad moderna. Los ingenieros internos y los proveedores externos necesitaban acceder con frecuencia para realizar tareas de configuración, mantenimiento y respuesta ante incidentes, pero cada conexión al entorno OT ampliaba la superficie de ataque.

5 razones por las que las VPN y las herramientas genéricas de acceso remoto no funcionan en las redes de tecnología operativa

La empresa de servicios públicos utilizaba redes VPN heredadas y herramientas genéricas de acceso remoto que extendían la confianza a nivel de red a zonas sensibles de tecnología operativa. Una vez conectados, los usuarios solían tener una visibilidad y un acceso más amplios de lo necesario, lo que generaba un riesgo que el equipo de seguridad no podía contener ni supervisar fácilmente.

5 retos clave

  1. Acceso con privilegios excesivos: la conectividad basada en VPN concedía un amplio acceso a la red, en lugar de limitar a los usuarios a determinados activos de tecnología operativa (OT) o pantallas.
  2. Visibilidad limitada de las sesiones: los equipos de seguridad no podían ver lo que hacían los usuarios durante las sesiones RDP activas ni intervenir en tiempo real
  3. Riesgo de movimiento lateral: una vez dentro, los usuarios podrían desplazarse por los segmentos de la red operativa, lo que aumentaría el alcance del impacto
  4. Puertos abiertos del cortafuegos: los requisitos de acceso entrante han creado puntos de exposición persistentes en la infraestructura crítica
  5. Dificultades en materia de auditoría y cumplimiento normativo: demostrar quién accedió a qué sistemas, durante cuánto tiempo y qué acciones realizó requería un trabajo manual y registros fragmentados

Repercusiones empresariales y operativas

  • Aumento del riesgo cibernético en entornos SCADA, DCS, HMI y PLC
  • Respuesta más lenta durante los periodos de mantenimiento y en caso de incidencias debido a soluciones provisionales de acceso
  • Aumenta la presión sobre el CISO para que demuestre que cuenta con controles más estrictos y que está preparado para las auditorías
  • Menor confianza en que el acceso remoto se ajuste a los principios del privilegio mínimo

¿Qué debe ofrecer una solución Secure de acceso remoto a la Secure ?

icono de cita

Necesitábamos acceso RDP sin correr el riesgo que conlleva exponer la red OT.

La empresa de servicios públicos necesitaba una solución de acceso remoto a la red de operaciones (OT) diseñada específicamente para el fin, que aplicara el principio del mínimo privilegio, eliminara la exposición entrante y ofreciera una auditabilidad total sin ralentizar las operaciones. Los equipos de seguridad y de OT acordaron desde el principio un principio claro: el acceso remoto debía facilitar el trabajo diario de ingeniería sin ampliar la confianza a la propia red de operaciones (OT). Cualquier solución debía reducir el riesgo cibernético de forma predeterminada, sin dejar de ser práctica para los ingenieros, los operadores y los proveedores externos que trabajan en múltiples emplazamientos.

Core

Para sustituir el acceso basado en VPN de forma segura, la herramienta estableció los siguientes criterios:

  • Control granular de RDP: permite a los ingenieros acceder a interfaces de usuario (HMI) y herramientas de diagnóstico basadas en Windows sin concederles visibilidad de toda la red ni privilegios ilimitados
  • Aplicación del principio del mínimo privilegio: los usuarios solo deben poder ver e interactuar con los recursos aprobados explícitamente, sin posibilidad de desplazarse lateralmente
  • Firme trazabilidad: cada sesión debe quedar registrada, grabarse si es necesario y vincularse a un usuario, un activo y un intervalo de tiempo concretos
  • Sin exposición del cortafuegos de entrada: el acceso remoto debe funcionar sin necesidad de abrir puertos hacia las redes OT
  • Adecuación operativa para OT: la solución debe ser compatible con los sistemas heredados, minimizar los cambios arquitectónicos y evitar el tiempo de inactividad durante la implementación

Lo que querían evitar

Las experiencias pasadas determinaron lo que la empresa de servicios públicos no quería volver a repetir:

  • Herramientas genéricas de acceso remoto de TI adaptadas para la tecnología operativa
  • Acceso a nivel de red que amplió el alcance del ataque
  • Preparación de auditorías manuales mediante registros fragmentados
  • Medidas de seguridad que ralentizaron las tareas de mantenimiento o la respuesta ante incidentes

Para los responsables, el punto de inflexión fue darse cuenta de que el acceso remoto en sí mismo no era el problema. El problema radicaba en cómo se concedía, se controlaba y se supervisaba dicho acceso.

Formas de Secure el acceso Secure a los sistemas de tecnología operativa sin exponer la red

icono de cita

El punto de inflexión fue pasar del acceso a la red a sesiones controladas sin interrumpir las operaciones.

La empresa de servicios públicos redujo el riesgo asociado al acceso remoto a los entornos de tecnología operativa (OT) y mejoró el control operativo al pasar de un acceso a nivel de red a una conectividad RDP basada en sesiones y regulada por políticas. El acceso remoto a los entornos OT pasó a ser controlado, auditable y aislado por diseño. Los ingenieros y los proveedores podían conectarse a los sistemas concretos que necesitaban, cuando los necesitaban, sin exponer el resto de la red OT ni abrir puertos de entrada en el cortafuegos.

Cómo lo consiguieron

La empresa de servicios públicos implementó MetaDefender Access™ como una pasarela de acceso remoto segura diseñada específicamente para entornos de tecnología operativa (OT). En lugar de ampliar el acceso VPN a las redes de control, la plataforma aplicó un control de acceso a nivel de sesión con estrictos controles de visibilidad y políticas adaptados a las funciones operativas.

Los 5 elementos clave de la solución

  1. Acceso RDP granular a los sistemas de tecnología operativa (OT)
    A los ingenieros solo se les concedió acceso RDP a las interfaces hombre-máquina (HMI) basadas en Windows, las estaciones de trabajo de ingeniería o los sistemas de diagnóstico que habían sido aprobados. Las políticas definían qué acciones estaban permitidas durante cada sesión, lo que reducía el riesgo de uso indebido o de cambios accidentales.
  2. Aplicación de los principios de «línea de visión» y «privilegios mínimos»
    Los usuarios solo podían ver e interactuar con los activos que se les habían asignado explícitamente. No era posible navegar por la red OT ni desplazarse lateralmente entre sistemas.
  3. Conectividad segura solo de salida
    La pasarela de acceso OT estableció conexiones TLS solo de salida, lo que eliminó la necesidad de abrir puertos de entrada en el cortafuegos y redujo la superficie de ataque de la infraestructura crítica.
  4. Supervisión, registro y grabación de sesiones
    Todas las sesiones remotas se registraron y, cuando fue necesario, se grabaron. Los equipos de operaciones y de seguridad podían supervisar las sesiones en tiempo real o revisar la actividad posteriormente para facilitar las auditorías y las investigaciones.
  5. TransferenciaSecure a entornos OT
    Cuando se necesitaban archivos de configuración, scripts o parches, las transferencias de archivos se integraban con un sistema de transferencia gestionada y un análisis de malware con múltiples motores para evitar que contenidos maliciosos entraran en los sistemas OT.

¿Por qué funcionó este enfoque?

En lugar de pedir a los equipos de operaciones que cambiaran su forma de trabajar, la solución se adaptó a la realidad operativa al tiempo que aplicaba controles de seguridad de forma transparente en segundo plano. El acceso ya no se basaba en la confianza en la red, sino en usuarios autorizados según roles y políticas definidos.

De un acceso arriesgado a un control cuantificable

icono de cita

El acceso remoto pasó de ser un riesgo inevitable a convertirse en una capacidad operativa controlada

La empresa de servicios públicos logró un control operativo real sobre el acceso remoto a los sistemas de tecnología operativa (OT), lo que redujo los riesgos y, al mismo tiempo, hizo que las auditorías, el mantenimiento y la respuesta ante incidentes fueran más rápidos y predecibles. Las mejoras operativas fueron inmediatas y perceptibles en los equipos de seguridad, tecnología operativa (OT) y cumplimiento normativo. El acceso remoto dejó de ser un punto ciego y se convirtió en un proceso regulado y repetible.

Mejoras operativas

  • Menor exposición al tiempo de actividad: se han eliminado los puertos de entrada del cortafuegos mediante túneles TLS de salida exclusiva, lo que reduce la superficie de ataque externa
  • Una gestión más estricta de los accesos: los ingenieros y los proveedores solo accedían a los sistemas autorizados, sin posibilidad de desplazarse lateralmente
  • Auditorías más rápidas: los registros y las grabaciones de las sesiones han sustituido a la recopilación manual de pruebas
  • Mejora de la respuesta ante incidentes: los equipos pueden conceder rápidamente acceso por un periodo de tiempo limitado sin relajar los controles de seguridad

Repercusiones en los equipos

  • Los equipos de seguridad se convencieron de que el acceso remoto se ajustaba a la aplicación de los principios de «privilegio mínimo» y «confianza cero»
  • Los equipos de TI dedicaron menos tiempo a gestionar las excepciones de acceso y más tiempo al mantenimiento de los sistemas
  • La dirección tenía una mayor seguridad de que los riesgos del acceso remoto estaban controlados sin que ello afectara al tiempo de actividad

Antes y después OT Access remoto a OT Access

Antes

Después de

Acceso a la red mediante VPN

Acceso RDP basado en sesiones

Amplia visibilidad una vez conectado

Solo para activos autorizados a la vista

Visibilidad limitada de las actividades

Registro y grabación completos de la sesión

Abrir los puertos de entrada del cortafuegos

Conexiones seguras solo de salida

Preparación de la auditoría manual

Registros de acceso preparados para auditorías de forma predeterminada

Ampliar Secure en un entorno de tecnología operativa (OT) en constante crecimiento

icono de cita

¿Cómo pueden las empresas de servicios públicos ampliar el acceso remoto seguro a las redes OT a medida que crecen sus operaciones?

Con la implementación del acceso remoto controlado a la red operativa (OT), la empresa de servicios públicos está en condiciones de ampliar el acceso seguro mediante RDP e integrar los registros y las grabaciones de las sesiones RDP en sus operaciones de seguridad generales. A medida que la empresa continúa modernizando y digitalizando sus operaciones, se prevé que aumenten los requisitos de acceso remoto, tanto en volumen como en alcance. En lugar de introducir nuevas soluciones puntuales, la organización tiene previsto basarse en la misma infraestructura de control de acceso para mantener la coherencia y reducir la complejidad operativa.

Oportunidades de expansión que se están barajando

  • Mayor cobertura de RDP en los activos de ingeniería operativa
    Amplíe el acceso seguro mediante RDP a otros sistemas basados en Windows, como servidores de historiales, estaciones de trabajo de ingeniería y controladores periféricos, manteniendo al mismo tiempo los mismos principios de «privilegios mínimos» y «línea de visión».
  • Mayor integración de las operaciones de seguridad
    : correlaciona los registros y las grabaciones de sesiones RDP con plataformas SIEM y SOAR para ofrecer un contexto más completo durante las investigaciones y una respuesta más rápida ante incidentes.
  • Compatibilidad con futuras iniciativas digitales
    Utilice el mismo marco de acceso para garantizar la conectividad con plataformas de análisis alojadas en la nube o pasarelas de digitalización de la tecnología operativa (OT), asegurando la coherencia de las políticas a medida que evolucionan las arquitecturas.

Reducir la brecha entre el acceso y la garantía

icono de cita

Lo que protege las operaciones críticas es el acceso controlado, no la conectividad.

Al replantearse el acceso remoto a los sistemas OT, la empresa de servicios públicos redujo el riesgo cibernético, mejoró su preparación para las auditorías y permitió a los ingenieros trabajar de forma eficiente sin poner en peligro la infraestructura crítica. Con la implementación MetaDefender OT Access, la organización pasó de un modelo de confianza a nivel de red a sesiones RDP controladas y basadas en políticas.

El acceso remoto pasó a ser un entorno aislado y auditable, y se ajustó a los principios del principio del privilegio mínimo, sin que ello supusiera ningún obstáculo operativo. El resultado fue un modelo de acceso remoto más seguro y predecible que favoreció la disponibilidad del servicio, el cumplimiento normativo y la resiliencia operativa a largo plazo.

Conclusiones finales

  • El acceso remoto a los sistemas de tecnología operativa no tiene por qué aumentar el riesgo para las operaciones de soporte
  • El control basado en sesiones ofrece una mayor seguridad que la confianza a nivel de red
  • La preparación para las auditorías mejora cuando el acceso se registra y se controla de forma predeterminada
  • Las soluciones de acceso a la tecnología operativa (OT) diseñadas específicamente para tal fin se adaptan mejor que las herramientas de tecnología de la información (IT) adaptadas a este fin

Si está protegiendo el acceso remoto a sistemas SCADA, DCS, HMI u otros sistemas de tecnología operativa (OT) y se enfrenta a retos similares en materia de riesgos, visibilidad y cumplimiento normativo, hable con un OPSWAT para descubrir cómo MetaDefender OT Access ayudarle a modernizar su conectividad OT.

Historias similares

25 de junio de 2026 | Noticias de la empresa

OPSWAT un tiempo de inactividad de 1 millón de dólares por hora para uno de los tres principales fabricantes de semiconductores

24 de junio de 2026 | Noticias de la empresa

Visana mejora la seguridad en la subida de archivos para sus clientes sin que ello suponga una carga operativa adicional

17 de junio de 2026 | Noticias de la empresa

Un líder mundial del sector energético pasa de las vulnerabilidades heredadas a Industrial moderna

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.