La norma IEC 62443, "Redes de comunicación industrial - Seguridad de redes y sistemas", proporciona un marco crítico que guía la protección de los Sistemas de Control de Automatización Industrial (IACS). Esta serie de normas reconoce los requisitos únicos de los entornos industriales y aborda los retos inherentes a su protección. Inicialmente, los IACS no se diseñaron pensando en la ciberseguridad. Su seguridad dependía en gran medida del aislamiento físico, un concepto que se está volviendo rápidamente inviable en el mundo interconectado de hoy en día.
Dominio de la norma IEC 62443: Guía para proteger los sistemas de control y automatización industrial

Por qué es difícil proteger el SIGC
El enfoque tradicional para proteger los SIGC se basaba en diseños de red plana. Aunque esto podría haber sido suficiente en una época de aislamiento, ahora plantea riesgos significativos. En estos diseños, una sola brecha puede llevar a un compromiso generalizado del sistema, ya que hay pocas barreras internas para detener la propagación de actividades maliciosas. La creciente necesidad de acceso remoto complica el escenario. Esta necesidad entra en conflicto directo con los principios de diseño originales del SIGC, que priorizaban el aislamiento para la seguridad, y es en parte la razón por la que 40% de los SIGC globales fueron blanco de malware solo en 2022.
En 2021, la CEI aprobó la serie 62443 como normas horizontales para ayudar a las organizaciones de cualquier industria a salvaguardar el SIGC. En este artículo, ayudaremos a navegar por las complejas normas de la IEC 62443 y proporcionaremos orientación práctica sobre cómo aplicar dichas normas en cualquier entorno industrial.
Para entender por qué la norma IEC 62443 es esencial, debemos explorar los entresijos que hacen que la seguridad de los SIGC sea especialmente difícil. Los SIGC suelen requerir conocimientos y aptitudes muy especializados para funcionar con eficacia, y encontrar profesionales con experiencia operativa y en seguridad puede resultar desalentador.
Otro obstáculo importante es la dependencia del legado software en la mayoría de los entornos industriales. Muchos componentes del SIGC utilizan software, que no recibe actualizaciones de seguridad del desarrollador. En el caso de los que sí la reciben, las actualizaciones deben someterse a pruebas exhaustivas para evitar problemas de compatibilidad inesperados y posibles retrasos operativos. La seguridad del SIGC se vuelve aún más compleja cuando no se pueden aplicar los parches, lo que obliga a los ingenieros a implantar controles de seguridad adicionales para mitigar el riesgo.
Los modernos requisitos del SIGC hacen necesario el acceso remoto para su supervisión y gestión. Sin embargo, el acceso remoto aumenta al mismo tiempo su vulnerabilidad a los ciberataques, un riesgo tradicionalmente mitigado mediante la segmentación y el aislamiento.
Además, el cumplimiento de la normativa plantea sus propios retos. Los operadores del SIGC suelen estar sujetos a normativas específicas del sector, que pueden variar considerablemente de un sector a otro. Por ejemplo, ISO/SAE 21434 prescribe normas para los fabricantes de automóviles, y los fabricantes de dispositivos médicos se basan en el Reglamento del Sistema de Gestión de la Calidad (QMSR). Ambas industrias cuentan con sus propias normas de cumplimiento, además de la IEC 62443.
Navegar por este panorama normativo puede resultar desalentador, especialmente cuando las normativas evolucionan o están sujetas a variaciones regionales, lo que añade niveles adicionales de cumplimiento.
¿Qué es la norma IEC 62443?
La Comisión Electrotécnica Internacional (CEI) se creó hace más de 100 años para dar respuesta a la necesidad de disponer de una terminología y unas medidas eléctricas normalizadas. Los mercados tecnológicos tenían dificultades para manifestarse y florecer porque los científicos de distintas partes del mundo no podían colaborar. En 1906, científicos representantes de una docena de países de todo el mundo se reunieron en Londres y crearon la CEI.
A principios del siglo XXI, la CEI se ha convertido en la autoridad mundial en temas eléctricos y electrónicos. Hasta la fecha, la organización ha publicado más de 10.000 documentos normativos, desde simbología hasta motores de combustión.
Cuando los profesionales de la automatización y la ciberseguridad de todo el mundo trataron de abordar el creciente riesgo en los entornos industriales, aprovecharon el proceso de creación de normas de la CEI.
El resultado fue la norma IEC 62443, una serie de normas que ofrecen orientación sobre la aplicación de prácticas de seguridad en todo el ciclo de vida del SIGC, desde el diseño hasta la retirada del sistema. Estas normas uniformes y accesibles han permitido a organizaciones de todo el mundo adoptar prácticas seguras de SIGC.
En 2021, la IEC aprobó la serie 62443 como normas horizontaleslo que significa que deben ser consideradas fundamentales por los expertos en la materia a la hora de elaborar normas sectoriales específicas para asegurar el SIGC.
La norma IEC 62443 se diseñó para ser aplicable en diversos sectores industriales. Ya se trate de la industria manufacturera, la energía, el agua o el transporte, la norma IEC 62443 puede adaptarse para satisfacer las necesidades de seguridad específicas de cualquier organización, a pesar de sus requisitos operativos y perfiles de riesgo únicos.
¿Por qué es importante la norma IEC 62443?
La protección del SIGC va más allá de la fabricación. Algunos entornos IACS proporcionan servicios y utilidades que son integrales para la seguridad nacional y económica. Algunos podrían poner vidas humanas en peligro si se vieran comprometidos. La norma IEC 62443 ayuda a garantizar la resistencia de la ciberseguridad, proporcionando directrices prácticas para proteger los SIGC en cualquier entorno, independientemente de su criticidad.
La norma IEC 62443 empieza centrándose en los procesos industriales, estableciendo normas de continuidad y estándares para todas las operaciones industriales. La guía da prioridad a la disponibilidad del SIGC -el funcionamiento ininterrumpido de los sistemas vitales- y a la seguridad del personal y del público.
Las normas también ofrecen un marco de ciberseguridad que ayuda a las organizaciones a defenderse de ataques externos y a reducir la superficie de ataque global de sus operaciones. Las organizaciones deben centrarse en proteger los datos y aplicar controles que promuevan el principio del menor privilegio, como el acceso mínimo y simplificado a la red.
La norma IEC 62443 también ayuda a las organizaciones a crear una base de ciberseguridad que les permita cumplir otros muchos requisitos normativos y legales. Estas normas se ajustan estrechamente a los mandatos geográficos, como la North American Electric Reliability Corporation (NERC) para la energía y los servicios públicos con sede en Estados Unidos. Al crear una base sólida de ciberseguridad, las organizaciones pueden evitar mejor las posibles sanciones legales y financieras por incumplimiento.
Comprensión de zonas y conductos en IEC 62443
El concepto de zonas y conductos es crucial en la interpretación de las normas IEC 62443, ya que desempeña un papel fundamental en la estructuración de la arquitectura de red y en la segmentación de la seguridad en el SIGC. Dentro del SIGC, las zonas son áreas diferenciadas con requisitos de seguridad específicos basados en sus niveles de riesgo y funciones operativas. Están conectadas por conductos, que son las vías de comunicación entre estas zonas.
La implantación eficaz de zonas y conductos requiere un planteamiento estratégico adaptado a cada entorno industrial:
- Evaluación de riesgos y segmentación de redes: Las evaluaciones de riesgos identifican los activos críticos, la sensibilidad de los datos, la exposición a amenazas y las vulnerabilidades, lo que proporciona a los arquitectos de seguridad la visibilidad necesaria para segmentar la red en zonas y establecer conductos seguros.
- Definición de zonas y conductos: La organización puede definir claramente las zonas y establecer una comunicación segura y controlada entre ellas, creando una vía de acceso limitado y supervisable.
- Medidas de seguridad por niveles: Una vez establecidas las zonas, la organización puede implantar controles de seguridad por capas para mitigar los riesgos. Esto incluye el despliegue de cortafuegos, sistemas de detección de intrusos y medidas de control de acceso para fortificar cada zona y sus conductos.
- Revisión y actualización periódicas: La configuración de cada zona y conducto debe revisarse y actualizarse periódicamente para garantizar una defensa eficaz contra las amenazas. Este proceso se integra en un ciclo de vida de la seguridad, que aborda los cambios en la infraestructura.
- Formación y sensibilización: La formación y la concienciación del personal sobre las estructuras de zonas y conductos contribuyen a mantener la seguridad. Esto permite a los empleados comprender la importancia de estos conceptos y su papel en el cumplimiento de los protocolos de seguridad.
- Aprovechar las tecnologías avanzadas: Utilizar tecnologías avanzadas como la IA y el aprendizaje automático para mejorar la detección de amenazas y la respuesta. Esto puede incluir sistemas de detección de anomalías y mecanismos de respuesta automatizada.
- Cumplimiento y alineación con las normas: Por último, asegúrese de que la implantación de zonas y conductos se ajusta a las normas IEC 62443 y otras normativas pertinentes.
¿Cuáles son los niveles de seguridad de la norma IEC 62443?
Al aplicar la norma IEC 62443, las organizaciones deben definir y abordar múltiples niveles de riesgo para la seguridad. Utilizando este enfoque graduado de la seguridad, las organizaciones pueden determinar las medidas de seguridad adecuadas en función de su perfil de riesgo y sus necesidades operativas. Este enfoque garantiza que la asignación de recursos se realice de la forma más eficiente posible, reduciendo el gasto en seguridad al tiempo que se construye una defensa eficaz.
Nivel de seguridad 1 (SL1) - Protección contra infracciones casuales o accidentales
SL1 es el nivel más básico de seguridad, adecuado para entornos en los que las amenazas no son muy sofisticadas o selectivas, y está diseñado para proteger contra violaciones casuales o fortuitas. Este nivel implica la aplicación de controles de seguridad fundamentales para protegerse contra violaciones accidentales, que podrían incluir la autenticación básica de usuarios, controles de acceso físico sencillos y protección elemental contra programas maliciosos. El nivel SL1 es adecuado para sistemas en los que el impacto de una violación de la seguridad es bajo y no compromete significativamente la seguridad o la fiabilidad operativa.
Nivel de seguridad 2 (SL2) - Defensa contra violaciones intencionadas con medios sencillos.
El nivel SL2 refuerza la seguridad para evitar violaciones intencionadas con medios sencillos. Este nivel es adecuado para sistemas que se enfrentan a riesgos moderados, en los que los posibles atacantes podrían tener escasos conocimientos y recursos. SL2 es aplicable en escenarios en los que una violación podría causar daños o interrupciones moderados, lo que requiere controles de seguridad más robustos que SL1, pero no las medidas más avanzadas. Las medidas de seguridad en este nivel incluyen mecanismos de autenticación y autorización más fuertes, controles de acceso de usuario mejorados y protección contra malware más sofisticada.
Nivel de seguridad 3 (SL3) - Protección contra amenazas sofisticadas
SL3 está diseñado para proteger frente a amenazas sofisticadas e implica medidas de seguridad avanzadas adecuadas para entornos de alto riesgo en los que los posibles atacantes poseen habilidades y recursos significativos. El nivel SL3 es necesario para los sistemas en los que un fallo de seguridad podría tener graves consecuencias, como importantes interrupciones operativas o amenazas a la seguridad de las personas. En este nivel, los controles de seguridad son más rigurosos y exhaustivos, e incluyen técnicas avanzadas de cifrado, autenticación multifactor, sistemas de detección de intrusos y auditorías de seguridad periódicas.
Por encima de SL3 - Máximo nivel de protección
Aunque la norma IEC 62443 define principalmente hasta SL3, existen escenarios de riesgo increíblemente alto, que pueden implicar a atacantes patrocinados por el Estado o amenazas persistentes avanzadas contra infraestructuras críticas como las redes eléctricas nacionales. Este nivel superior de recomendaciones se reserva para sistemas que, en caso de verse comprometidos, podrían tener consecuencias catastróficas, afectar a la seguridad nacional y/o causar daños generalizados. Estos niveles exigen los controles de seguridad más estrictos en función del mayor impacto, que pueden incluir tecnologías de ciberseguridad de última generación, supervisión continua y una respuesta muy sofisticada a los incidentes.
El papel de la PKI y los certificados digitales en el cumplimiento de la norma IEC 62443
La infraestructura de clave pública (PKI) y los certificados digitales son componentes críticos de IEC 62443. Estas tecnologías son fundamentales para hacer frente a las crecientes amenazas a la seguridad y verificar las identidades de los dispositivos y usuarios dentro del SIGC. Esto es especialmente importante para SL3 y posteriores, donde las amenazas son más sofisticadas. Asegurar la comunicación y validar las entidades autorizadas para los sistemas críticos dificulta considerablemente el éxito de los ciberdelincuentes.
La PKI permite verificar la identidad digital empleando criptografía de clave pública para autenticar entidades en un entorno industrial. Los certificados digitales sirven de pasaportes electrónicos, proporcionan autenticación y permiten la transmisión segura de datos. Desempeñan un papel crucial en el cifrado de las comunicaciones entre dispositivos, garantizando la confidencialidad y la integridad durante la transmisión.
Aunque la PKI permite prestar servicios críticos, las organizaciones se enfrentan a varios retos.
- En entornos industriales complejos, gestionar el ciclo de vida de los certificados puede resultar desalentadora debido al gran número de dispositivos y sistemas implicados. Sin una detección y gestión centralizadas de certificados, los certificados mal configurados o caducados amenazan con provocar cortes, interrupciones del servicio e incluso la interrupción de la actividad empresarial.
- La integración de PKI con sistemas heredados requiere un planteamiento cuidadoso y por fases. La PKI heredada viene con mucho equipaje, incluidos procesos manuales, proliferación de certificadosy la presión por evolucionar con la explosión de casos de uso.
Para hacer frente a estos retos, la norma IEC 62433 recomienda el uso de herramientas de automatización de certificados para gestionar eficazmente el despliegue de PKI a gran escala. Estas herramientas pueden simplificar la gestión de los certificados digitales, reduciendo el riesgo de errores y garantizando las actualizaciones oportunas. También constituyen la base de una estrategia de seguridad global que incluye una PKI adaptada a las necesidades específicas y a la arquitectura del entorno del SIGC.
IEC 62443-4-2: Centrarse en los componentes del SIGC
La parte 4-2 de la serie IEC 62443 garantiza que cada elemento de un SIGC esté fortificado contra las ciberamenazas. La norma hace hincapié en la aplicación de mecanismos de autenticación sólidos tanto para los dispositivos como para los usuarios. Esto incluye el despliegue de autenticación multifactor en los puntos de acceso críticos para garantizar que sólo las entidades autorizadas puedan interactuar con el SIGC. Las actualizaciones periódicas y la gestión de las credenciales de usuario y los derechos de acceso constituyen una parte vital de este control, ayudando a proteger contra el acceso no autorizado.
Otro requisito clave es garantizar la confidencialidad e integridad de los datos, lo que incluye mecanismos de firma de código que verifican las actualizaciones de firmware y software . Esto se consigue mediante protocolos de cifrado estándar del sector durante la transmisión y el almacenamiento de los datos. La seguridad de estos sistemas se refuerza aún más mediante la actualización periódica de los conjuntos de cifrado, lo que garantiza que los datos permanezcan protegidos frente a las ciberamenazas en constante evolución.
Para reforzar la resistencia de los componentes del SIGC, la norma aboga por desarrollar y probar planes integrales de respuesta a incidentes. También es crucial implantar mecanismos de redundancia y conmutación por error en los componentes críticos.
Retos en la aplicación de la norma IEC 62443 4-2:
La complejidad técnica de la norma IEC 62443 puede abrumar incluso a los arquitectos de seguridad más experimentados. Se anima a las organizaciones a invertir en formación especializada del personal y a aprovechar la experiencia externa para colmar las lagunas de conocimientos.
La aplicación de cambios basados en la norma IEC 62443 4-2 puede exigir muchos recursos. Adopte un enfoque gradual y priorizado para minimizar las pérdidas. Empiece por las áreas más críticas para la empresa y céntrese en soluciones rentables.
Por supuesto, los componentes del SIGC heredados complican cualquier plan de integración. Puede que no sea rentable sustituir por completo algunos sistemas de un entorno. Mientras tanto, las medidas de seguridad alternativas y por capas pueden mitigar el riesgo asociado a esos sistemas.
Si afrontan estos retos y se adhieren a los requisitos de la norma, las empresas pueden mejorar significativamente la seguridad y resistencia de sus sistemas industriales.
Para saber más y estar al día de todo lo relacionado con la criptografía post-cuántica, visite Keyfactor's post-quantum Lab.
IEC 62443 e Industria 4.0
Las tecnologías de fabricación avanzadas y la integración digital han contribuido a allanar el camino hacia la Industria 4.0, que ha mejorado la eficiencia operativa. Este aumento de la interconexión también amplifica el riesgo potencial, que IEC 62443 ayuda a abordar ofreciendo un marco sólido para proteger los sistemas de automatización y control industrial contra las ciberamenazas.
Un componente clave de la fabricación moderna es el concepto de "gemelos digitales", réplicas virtuales de sistemas físicos utilizadas para simulación y análisis. Estos gemelos digitales, esenciales para la optimización de procesos y el mantenimiento predictivo, requieren estrictas medidas de seguridad para evitar la manipulación o el robo de datos.
La norma IEC 62443 desempeña un papel fundamental para garantizar la seguridad de los gemelos digitales. Mediante la aplicación de las directrices de la norma, los fabricantes pueden garantizar que los datos y algoritmos que impulsan estos modelos virtuales están protegidos contra el acceso no autorizado y la manipulación.
A medida que la Industria 4.0 siga evolucionando, también lo harán las amenazas a la ciberseguridad. Es probable que esta evolución constante influya en el desarrollo y la aplicación de las normas IEC 62443. Cabe esperar futuras actualizaciones e iteraciones de la norma para abordar las tecnologías y amenazas emergentes.
Para saber más y estar al día de todo lo relacionado con la criptografía post-cuántica, visite Keyfactor's post-quantum Lab.
Crear una base de seguridad sólida
En el camino hacia una seguridad sólida del SIGC, el papel de una PKI es fundamental, independientemente del nivel de seguridad o de la fase en que se encuentre su implantación de seguridad. La infraestructura PKI establece una base segura en los entornos SIGC y aporta un enfoque estructurado a los procesos de autenticación, cifrado y firma digital.
Herramientas empresariales basadas en el marco EJBCA pueden permitir a las organizaciones implantar y ampliar rápidamente PKI en cualquier entorno.
La automatización de los procesos de PKI es fundamental para agilizar la gestión de la seguridad y permitir la emisión, renovación y revocación completas de certificados. Muchas organizaciones utilizan herramientas empresariales para obtener visibilidad y automatizar el control de PKIevitando interrupciones causadas por procesos manuales propensos a errores.
¿Está listo para saber cómo la automatización de PKI puede mejorar sus operaciones de SIGC? Póngase en contacto con nosotros: nuestro equipo está listo para ayudarle.


