Durante años, los operadores de infraestructuras críticas se han visto obligados a elegir entre el tiempo de actividad y una sólida protección de ciberseguridad. Los controles tradicionales, como los firewalls, ralentizan los sistemas o no se pueden implementar en absoluto en entornos de OT frágiles. Al integrar Akamai Guardicore Segmentation con las DPU NVIDIA BlueField, la aplicación del Zero Trust se traslada directamente a la propia infraestructura y ofrece protección a la tasa de línea, acelerada y aislada por hardware para sistemas esenciales y sin sacrificar el rendimiento.
Sistemas que no pueden fallar
Son las 2:17 de la madrugada en un centro regional de operaciones eléctricas. Un ingeniero observa tráfico anómalo entre dos sistemas de supervisión que rara vez se comunican. En cuestión de segundos, un controlador responsable del equilibrio de carga comienza a emitir comandos inesperados.
Nada se bloquea. Nada explota. Pero algo va mal.
En muchos entornos de OT, ese momento determina si el incidente permanece contenido o se propaga en cascada a través de las subestaciones, líneas de producción o procesos de tratamiento de agua.
Esto no es teoría. Según los informes de Check Point Research, las empresas de servicios públicos de EE. UU. experimentaron un aumento de casi un 70 % en las ciberamenazas en 2024 en comparación con el año anterior. En KnowBe4 se observó un aumento del 30 % en las amenazas a la infraestructura crítica nacional durante el mismo período. El Departamento de Seguridad Nacional de los Estados Unidos ha advertido que se espera que las amenazas a la energía, el transporte y otros sectores esenciales se intensifiquen en 2025.
Los directivos no se enfrentan a una posibilidad distante. Se enfrentan a una campaña sostenida.
Y, sin embargo, muchos de los sistemas más importantes aún dependen de supuestos de confianza que se diseñaron hace décadas.
Por qué los modelos de seguridad de OT tradicionales tienen dificultades
Los entornos de tecnología operativa se diseñaron para ofrecer fiabilidad y un comportamiento determinista, no para una ciberdefensa adaptativa. Muchos ejecutan sistemas operativos heredados. A algunos no se les pueden aplicar parches sin una nueva certificación. Otros no toleran ni siquiera los más mínimos cambios en la latencia.
Los equipos de seguridad saben que el movimiento lateral es la forma en que se producen los daños reales. Una vez que un adversario obtiene un acceso inicial, la capacidad de moverse entre sistemas determina el alcance del impacto.
En el entorno de la TI empresarial, la microsegmentación basada en agentes se ha convertido en una forma eficaz de aplicar el acceso con privilegios mínimos y contener la propagación de amenazas. Cuando se implementa correctamente, ofrece una visibilidad detallada y un alto rendimiento.
Pero la OT introduce una restricción diferente. En algunos casos, la instalación de un agente no es segura. En otros, no está permitido. En otros, simplemente no es posible.
Esto crea una brecha peligrosa. Los sistemas que controlan los procesos físicos a menudo están protegidos en el perímetro y, a la vez, son muy permisivos internamente.
Los ejecutivos deben hacer una pausa aquí y hacerse una pregunta sencilla:
si un atacante se afianzara en su red de OT esta noche, ¿hasta dónde podría moverse antes de que algo los parara?
Si la respuesta honesta es "más lejos de lo que me hace sentir cómodo", su arquitectura necesita cambios.
La presión normativa y de las aseguradoras es real
La seguridad en una infraestructura crítica ya no es solo un debate técnico. Se trata de una cuestión normativa y al nivel de la junta directiva.
En Estados Unidos, las empresas de servicios públicos y otros operadores críticos se enfrentan a exigencias cada vez mayores en cuanto a la segmentación, la supervisión y la respuesta ante incidentes. Las directrices federales y las normativas específicas del sector están reduciendo las expectativas en torno a la resiliencia, no solo a la detección.
Las ciberaseguradoras también están recalibrando sus modelos. Las compañías aseguradoras analizan las prácticas de segmentación, los controles de acceso y las capacidades de contención antes de emitir o renovar las pólizas. Las primas no solo reflejan si una organización puede detectar un incidente, sino si puede limitar su onda expansiva.
Los ejecutivos deben preguntarse:
¿Podemos demostrar que un controlador comprometido no puede acceder lateralmente a sistemas de gran valor?
¿Podemos demostrar que el tráfico este-oeste se rige por el principio de privilegios mínimos?
¿Podemos demostrar que la aplicación de la seguridad sobrevivirá incluso si un host se ve comprometido?
Si la respuesta a cualquiera de ellas es incierta, no es únicamente un riesgo técnico. Es quedar expuestos financiera y reglamentariamente.
Aplicar la seguridad en la infraestructura
La integración de Akamai Guardicore Segmentation con las DPU NVIDIA BlueField refleja una mentalidad de arquitectura diferente.
En lugar de depender únicamente de la aplicación basada en host, la política de segmentación puede descargar la computación a una unidad de procesamiento de datos (DPU) aislada por hardware integrada en la ruta de datos. BlueField funciona independientemente del sistema operativo del host y de la CPU. Las políticas traducidas a reglas de flujo de hardware se aplican a la tasa de línea en los chips.
En este modelo, NVIDIA BlueField proporciona la telemetría en tiempo real y el punto de aplicación en la capa de infraestructura, mientras que Akamai Guardicore Segmentation proporciona la visibilidad centralizada, el modelado y gestión de políticas que rigen cómo se define y aplica la segmentación en todo el entorno.
BlueField recopila la telemetría directamente sin necesidad de ningún software basado en host, lo que garantiza conseguir la visibilidad sin que afecte a los frágiles sistemas de OT. Esa telemetría aparece a continuación a través de la plataforma Akamai Guardicore Segmentation, donde los equipos de seguridad pueden asignar dependencias de aplicaciones, definir políticas de privilegios mínimos y gestionar la segmentación de forma coherente en los ámbitos de TI y OT.
Si un servidor se ve comprometido, la lógica de cumplimiento que se ejecuta en la DPU permanece intacta. Desde la perspectiva del host, no se requiere software adicional.
BlueField ejecuta directamente la aplicación a nivel de infraestructura, en función de las políticas definidas y coordinadas a través de Akamai Guardicore Segmentation. Esta separación entre el plano de control y el punto de aplicación garantiza que, incluso si se infringe una carga de trabajo, la política no pueda ser alterada por un atacante que opere en el host.
Esto es muy importante en los entornos de OT. En el caso de los sistemas que no toleran agentes o la sobrecarga de rendimiento, la protección se integra en la infraestructura en lugar de instalarse en la carga de trabajo.
Es importante ser claros. La microsegmentación basada en agentes sigue siendo un modelo de alto rendimiento y probado en los entornos de TI de nube modernos y en los centros de datos. La integración de BlueField no reemplaza esa fortaleza. Extiende la segmentación a los dominios en los que los agentes no pueden operar de forma segura.
La integración combina la telemetría y la implementación aisladas de hardware de BlueField con la inteligencia de políticas y el plano de control centralizado de Akamai Guardicore Segmentation.
El resultado es una visibilidad, una política y una contención coherentes y escalables tanto en TI como en OT, sin que los sistemas más frágiles se vean obligados a soportar la carga.
Contención a toda máquina
Los atacantes de hoy en día automatizan el reconocimiento y el movimiento lateral. No esperan a las ventanas de cambio. No respetan las sensibilidades operativas.
Cuando se aplica la segmentación en la ruta de datos, el tráfico se evalúa a medida que entra y sale de cada nodo. Las conexiones no autorizadas se bloquean antes de que se propaguen. Los sistemas afectados se pueden aislar en tiempo real, lo que limita la onda expansiva.
En arquitecturas alineadas con el modelo Purdue, los límites de confianza entre los sistemas empresariales, las capas DMZ, los controles de supervisión y los dispositivos de nivel de proceso se pueden reforzar sin modificar el propio equipo.
Esto hace que el enfoque pase de la detección de amenazas después del hecho a la contención por diseño.
Los directivos deben preguntarse:
¿Tenemos una arquitectura diseñada para detectar riesgos o para sobrevivir?
Porque no es lo mismo.
La nueva generación de seguridad de infraestructuras críticas
La creencia largamente arraigada de que una mayor seguridad inevitablemente ralentiza los sistemas críticos ha dado forma a las decisiones durante décadas. Pero esta creencia ya no se mantiene.
La seguridad no tiene que competir con la disponibilidad. Se puede integrar en la propia infraestructura.
A medida que convergen OT y TI, y las soluciones basadas en IA aceleran tanto la innovación como las cargas de trabajo de IA, la seguridad Zero Trust debe evolucionar más allá de las superposiciones de software. Debe reconocer el hardware, ser resistente a los riesgos del host y capaz de aplicar privilegios mínimos a la velocidad de la red.
Las organizaciones que lideren la próxima década, incluidas las que crean infraestructuras de IA y fábricas de IA, no serán las que simplemente implementen más herramientas de supervisión. Serán las que rediseñen su arquitectura para contener los fallos de forma predeterminada.
La verdadera pregunta para los directivos no es si las amenazas seguirán aumentando. Porque lo harán.
La verdadera pregunta es:
Cuando se produce la inevitable brecha dentro de su entorno de OT, ¿absorberá su arquitectura el impacto o lo amplificará?
La respuesta no se encuentra en los documentos de la política. Se encuentra en las decisiones sobre la infraestructura que tome hoy.
Etiquetas
