ISA/IEC 62443-3-3: Requisitos de sistema y niveles de seguridad en redes OT

por

En el artículo anterior presentamos la ISA/IEC 62443 como el marco integral para proteger redes OT. Ahora vamos un paso más allá: la parte 3-3, donde la norma aterriza en requisitos de sistema medibles y aplicables.

Aquí es donde aparecen los Foundational Requirements (FRs) y los Security Levels (SLs), que juntos permiten diseñar una defensa proporcional al riesgo real.

Qué es la IEC 62443-3-3?

Es la norma que define los requisitos de seguridad de un sistema industrial completo, considerando:

  • Qué hay que proteger (FRs).
  • Cuánto proteger (SLs).
  • Cómo estructurarlo (zonas y conductos).

Se alimenta del trabajo previo de la IEC 62443-3-2, donde se evalúan riesgos y se definen las zonas.

Los 7 Foundational Requirements (FRs)

La parte 3-3 es la más aplicada en campo, pues define los Foundational Requirements (FRs) que todo sistema debe cumplir.

Foundational Requirement (FR)ObjetivoEjemplos de controles técnicosEjemplo en planta industrial
FR1 Identificación, autenticación y control de accesoAsegurar que solo usuarios y sistemas autorizados accedan a dispositivos y redes.Credenciales únicas, MFA, bloqueo de cuentas inactivas.Evitar que un PLC sea accesible con la misma contraseña genérica usada por todo el personal.
FR2 Control de usoLimitar lo que los usuarios autorizados pueden hacer.Roles y segregación de funciones, perfiles de usuario.Operador puede arrancar/parar equipos, pero no cargar firmware en un controlador.
FR3 Integridad del sistemaProteger contra alteraciones no autorizadas.Firmas digitales en firmware, whitelisting, monitoreo de integridad.Prevenir la ejecución de un archivo manipulado en el SCADA.
FR4 Confidencialidad de los datosEvitar fuga o interceptación de información sensible.Cifrado TLS/VPN, gestión de llaves, cifrado en reposo.Proteger recetas de producción transmitidas entre servidor e IACS.
FR5 Flujo restringido de datosLimitar comunicaciones a lo estrictamente necesario.Firewalls industriales, segmentación de red, DMZ OT.Impedir que un servidor corporativo se comunique directo con un PLC de seguridad.
FR6 – Respuesta oportuna ante eventosDetectar y reaccionar rápidamente a incidentes.Monitoreo en tiempo real, alertas, SIEM.Generar alarma tras intentos múltiples de acceso fallido al SCADA.
FR7 Disponibilidad de recursosMantener operación incluso bajo fallas o ataques.Redundancia, backups, QoS, mitigación de DoS.Evitar que un ataque en la red corporativa interrumpa la producción.

Security Levels (SL0–SL4)

Cada FR se evalúa según el nivel de seguridad requerido:

  • SL 0: sin protección (estado vulnerable).
  • SL 1: protege contra errores accidentales.
  • SL 2: protege contra atacantes básicos.
  • SL 3: resiste ataques organizados y sofisticados.
  • SL 4: protege contra amenazas avanzadas y persistentes.

👉 Ejemplo:

  • En SL1, basta con contraseñas seguras.
  • En SL3, se exige autenticación multifactor, monitoreo continuo y segmentación estricta.
  • En SL4, además se requiere redundancia geográfica y validación criptográfica de firmware.

Zonas y Conductos

¿Qué es una zona (Zone)?

  • Una zona agrupa activos que comparten requisitos de seguridad similares.
  • Puede definirse con base en función, criticidad, tipo de proceso, proximidad física u otros criterios operativos.
  • Ejemplos típicos de zonas en OT:
    • Zona de oficinas / TI (ERP, correo, aplicaciones administrativas).
    • Zona de supervisión / SCADA / historización.
    • Zona de control / DCS / PLCs de procesos.
    • Zona de seguridad crítica (SIS / ESD / Fire & Gas).
    • Zona remota o distribuida (estaciones satélite, plataformas offshore, estaciones de bombeo).

Cada zona puede tener diferentes exigencias de confiabilidad, tolerancia al fallo, exposición a amenazas o dependencia crítica.

¿Qué es un conducto (Conduit)?

  • Un conducto es el canal que conecta dos zonas, diseñado con controles específicos para garantizar que las comunicaciones sean seguras.
  • Incluye reglas de acceso, filtros, inspección, autenticación, cifrado, límites de protocolo/puerto, monitoreo, etc.
  • El conducto define cuándo, cómo y bajo qué condiciones la información puede fluir entre zonas.
  • Algunos ejemplos de conductos:
    • Firewall industrial entre la zona SCADA y la zona de control.
    • DMZ (zona desmilitarizada) o zona intermedia para servidores de historización que comunican OT e IT.
    • Canal VPN cifrado entre una planta y la oficina central (entorno remoto).
    • Proxy o túnel seguro entre estaciones remotas y el host central.

Cómo decidir qué FR aplicar en cada zona con un SL acorde

Para cada zona, hay que decidir:

  1. Qué Security Level (SL) requiere esa zona, con base en su criticidad y el impacto de un fallo o ataque.
  2. Qué FRs deben aplicarse en ese SL — recordando que cada FR tiene requisitos específicos para cada nivel.
ZonaSL asignadoFRs más críticos / enfoques a enfatizar
Zona de oficinas / TISL1 o SL2FR1 (control de acceso con contraseñas seguras), FR4 (cifrado de datos administrativos), FR5 (conducción limitada hacia OT)
Zona de supervisión / SCADASL2–SL3FR2 (control de uso para operadores), FR6 (respuesta de eventos, alertas), FR7 (disponibilidad)
Zona de control / DCS / PLCsSL3FR1 (autenticación robusta), FR3 (integridad del sistema), FR5 (segmentación estricta), FR7 (resiliencia)
Zona de seguridad crítica (SIS / ESD)SL4FR3 (validación y protección de firmware), FR6 (detección avanzada, monitoreo en tiempo real), FR7 (redundancia total, recuperación automática)

En cada zona, los FRs no solo se activan, sino que su nivel de exigencia incrementa según el SL.

Por ejemplo:

  • En la zona de control (SL3), FR1 podría requerir autenticación centralizada, gestión de credenciales y bloqueo tras varios intentos fallidos.
  • En la zona de seguridad (SL4), FR1 exige además mecanismos criptográficos de hardware y autenticación con certificados.

Ejemplos concretos de conductos y reglas

Para ilustrar mejor cómo funcionan los conductos:

  • Conducto SCADA → Zona de control
    • Restricción de protocolos permitidos (solo OPC-UA, Modbus sobre TLS, etc.).
    • Inspección de tráfico para detectar comandos maliciosos.
    • Autenticación mutua entre SCADA y controladores.
  • Conducto Zona corporativa → SCADA
    • Uso de DMZ intermedia.
    • Reglas unidireccionales donde sea posible (solo lectura o sincronización controlada).
    • Supervisión de sesiones y registro de acceso.
  • Conducto remoto → planta
    • Túnel VPN cifrado con autenticación fuerte MFA.
    • Limitación de qué servicios remotos están permitidos (acceso a HMI, no a PLC directamente).
    • Registro forense de cada sesión remota.

Beneficios adicionales de esta aproximación por zonas

  1. Minimiza el impacto de fallos o ataques: un incidente en una zona no compromete toda la planta.
  2. Optimiza inversión: no necesitas escalar controles de nivel SL4 donde no sean críticos.
  3. Mejora la trazabilidad y auditoría: cada conducto se puede monitorear y auditar fácilmente.
  4. Facilita el cumplimiento regulatorio: muchas normas o reguladores ya exigen clasificación por zonas y controles específicos.
  5. Escalabilidad y mantenibilidad: puedes ajustar niveles, agregar zonas o adaptar conductos sin rehacer toda la red.

Buenas prácticas y errores comunes

✅ Buenas prácticas:

  • Documentar cada conducto (origen, destino, protocolo, propósito).
  • Revisar periódicamente los SL y riesgos.
  • Aplicar medidas compensatorias en equipos legacy.

❌ Errores comunes:

  • Pensar que un firewall perimetral es suficiente.
  • Aplicar el mismo SL en toda la red.
  • No probar los backups ni los planes de respuesta.

Implementarla correctamente no es un lujo, es la diferencia entre apagar incendios y asegurar la resiliencia operativa de una planta crítica.