Hard2bit presta servicios de ciberseguridad industrial a empresas con activos OT, ICS, SCADA, DCS y PLC en España: auditoría según IEC 62443, segmentación IT/OT bajo el Modelo de Referencia Purdue, cumplimiento de NIS2 para entidades esenciales e importantes, gestión de vulnerabilidades en entornos de control y respuesta a incidentes en infraestructuras críticas.
Empresa española fundada en 2013, con sede en la Comunidad de Madrid. El servicio de auditoría de seguridad está dentro del alcance certificado de Hard2bit en ENS Categoría Alta (Real Decreto 311/2022) e ISO/IEC 27001:2022, auditado por entidad acreditada por ENAC. Combinamos esa base con marco normativo industrial real: IEC 62443, NIST SP 800-82, MITRE ATT&CK for ICS, ISO 27019 para energía y guías de CCI-ES, ENISA, INCIBE-CERT y CCN-CERT.
Alcance del servicio
Las empresas que buscan ciberseguridad OT suelen llegar con tres motivos: NIS2 pidiéndoles un programa de seguridad demostrable, un incidente reciente que ha mostrado el agujero IT-OT, o una auditoría de fabricante o cliente que exige IEC 62443. Estos son los escenarios que cubrimos con detalle.
Evaluación técnica y documental de entornos OT contra la familia ISA/IEC 62443 (62443-2-1 para programa de seguridad, 62443-3-2 para evaluación de riesgo, 62443-3-3 para requisitos del sistema, 62443-4-1/4-2 para ciclo de vida y componentes). Informe con evidencias, niveles de seguridad (SL-T y SL-A) por zona y plan de remediación.
Análisis de aplicabilidad de la Directiva (UE) 2022/2555 y su transposición en España para sectores industria, energía, agua y transporte. Cobertura de las medidas técnicas y organizativas exigidas, gestión de riesgos en la cadena de suministro y obligaciones de notificación de incidentes a INCIBE-CERT y autoridades sectoriales.
Diseño de la arquitectura de red según el Modelo de Referencia Purdue (niveles 0-5) y la noción de zonas y conductos de IEC 62443. Aislamiento de la planta respecto del corporativo, control de los flujos legítimos, despliegue de DMZ industrial y validación de la pasarela única hacia internet.
Identificación de activos PLC, RTU, HMI, SCADA y DCS, priorización con criterios reales de explotabilidad (CISA KEV, EPSS, CVSS-OT cuando aplica), validación de impacto en producción y planificación de ventanas de parcheo compatibles con disponibilidad. Cuando el parche no es viable, controles compensatorios documentados.
Plan de respuesta específico para OT, con runbooks de contención que no comprometan la seguridad física de la planta. Coordinación con CSIRT corporativo, fabricante del sistema de control, INCIBE-CERT y CCN-CERT. Forense industrial preservando la trazabilidad operativa.
El alcance se ajusta a la realidad de cada planta. No partimos del mismo punto en una farmacéutica con validación CSV, en una subestación eléctrica regulada por CNMC o en una depuradora con telecontrol antiguo. La metodología es la misma; la priorización y los controles no.
Por qué Hard2bit
El servicio de auditoría de seguridad forma parte del alcance certificado de Hard2bit en ENS Categoría Alta (RD 311/2022) e ISO/IEC 27001:2022, auditado por entidad acreditada por ENAC. La metodología que aplicamos a clientes nosotros mismos la pasamos cada año.
La realidad de NIS2 es que IT y OT comparten responsable de ciberseguridad. Hard2bit integra auditoría, pentesting, respuesta a incidentes y compliance en un único equipo, evitando la transferencia entre proveedores que en OT acaba en agujeros de cobertura.
ISA/IEC 62443 (familia completa), NIST SP 800-82 Rev. 3, MITRE ATT&CK for ICS, NERC CIP como referencia internacional, ISO 27019 para energía, IEC 62351 e IEC 61850 cuando aplica al sector eléctrico. No referenciamos marcos que no aplicamos.
Sede en Leganés y oficina en Las Rozas. Operación habitual para plantas industriales en toda la península e islas, incluyendo intervenciones in situ cuando la criticidad del incidente o el alcance de la auditoría lo requieren.
Metodología
Descubrimiento pasivo de activos para no perturbar la planta: PLC, RTU, HMI, ingeniería, historiadores, gateways industriales, switches no gestionados, sensores. Clasificación por nivel del Modelo Purdue, criticidad operativa y exposición.
Identificación de zonas y conductos, modelado de amenazas con MITRE ATT&CK for ICS, asignación de Security Level objetivo (SL-T) por zona, análisis de gap entre SL-actual y SL-T. Documentación trazable para auditoría externa o inspección.
Diseño de la arquitectura objetivo (DMZ industrial, microsegmentación, jump servers, control de medios extraíbles), hardening de PLC y HMI, despliegue de detección específica para OT (capturas pasivas, NDR industrial cuando se justifica) y baseline de tráfico legítimo.
Plan ordenado por reducción real de riesgo, con dependencias técnicas, ventanas de parada compatibles con la operación y controles compensatorios cuando el parche no es viable. Estimación de esfuerzo por actuación.
Soporte durante la implantación, simulacros de incidente OT con runbooks operados por el equipo de planta, y revalidación periódica del Security Level alcanzado. Integración con el sistema de gestión ISO 27001 o ENS si existe.
Marcos y referencias
El servicio se apoya en marcos internacionales y nacionales con peso real ante auditor o regulador. Esa base metodológica es lo que hace que el informe sea defendible y que el plan resista la siguiente inspección NIS2 o la próxima auditoría externa.
Estándar internacional para ciberseguridad de sistemas de automatización y control industrial (IACS). 62443-2-1 para programa de seguridad, 62443-3-2 para evaluación de riesgo por zonas y conductos, 62443-3-3 para requisitos del sistema, 62443-4-1 y 4-2 para ciclo de vida y componentes.
Marco europeo de ciberseguridad para entidades esenciales e importantes. Industria, energía, agua, transporte y alimentación entran en alcance según tamaño y criticidad. Define medidas técnicas y organizativas, gestión del riesgo en cadena de suministro y obligaciones de notificación de incidentes.
Guía del National Institute of Standards and Technology para la seguridad de tecnologías operacionales (OT), incluyendo ICS, SCADA, DCS y PLC. Referencia metodológica de uso global, especialmente para diseño de controles y monitorización.
Matriz de tácticas y técnicas adversarias documentadas contra sistemas de control industrial. Base para modelado de amenazas, evaluación de detecciones y diseño de ejercicios red team OT con cobertura realista.
Centro de Ciberseguridad Industrial (CCI) como referente español del sector, CCN-CERT para administración pública con infraestructura industrial e INCIBE-CERT como CSIRT nacional para el sector privado, incluida la coordinación de incidentes en infraestructuras críticas.
Agencia de la Unión Europea para la Ciberseguridad. Publica anualmente el panorama de amenazas para tecnologías operacionales y guías específicas para sectores regulados por NIS2.
No usamos marcos como decoración. Si un cliente del sector eléctrico no necesita IEC 61850 ni ISO 27019 (poco probable), no aparecerán en su proyecto. La selección de estándares la guía el sector, el alcance NIS2 y los compromisos contractuales con clientes y aseguradoras.
Sectores
NIS2 y los marcos sectoriales clasifican como esenciales o importantes a varios verticales con actividad OT intensiva. Estas son las áreas donde concentramos la práctica industrial de Hard2bit.
Plantas con PLC, DCS e historiadores. Riesgos típicos: ransomware llegando desde IT, accesos remotos de fabricante sin control, dispositivos USB en consolas de ingeniería, falta de inventario actualizado.
Subestaciones (IEC 61850), centros de control, generación renovable distribuida. NIS2 entidad esencial por defecto. Marco propio ISO 27019. Integración obligada con CCN-CERT cuando es operador estratégico.
Telecontrol de captación, potabilización y depuración. Sector incluido como esencial en NIS2 y con afectación directa de la salud pública. Mucho equipamiento legacy difícil de parchear.
Señalización, supervisión de tráfico, sistemas embarcados. Requiere segmentación estricta y normativa propia (TS 50701 para ferrocarril). Convivencia compleja IT corporativo / OT operación.
Líneas de envasado, control de proceso, integridad de datos (Anexo 11, 21 CFR Part 11 cuando exporta). Disponibilidad y trazabilidad como pilares, ciberseguridad como condición de cumplimiento regulatorio.
Hospitales con IoT médico, equipos de diagnóstico conectados y sistemas de soporte vital. Convivencia de OT médico con HCE y RGPD. Categoría especial de datos personales y vidas en juego.
Cuándo tiene sentido
Servicios y sectores relacionados
Preguntas frecuentes
OT (Operational Technology) abarca los sistemas que controlan procesos físicos: PLC, SCADA, DCS, HMI, RTU y la red industrial que los une. Se diferencia de IT en tres puntos clave. Primero, la prioridad: en IT manda la confidencialidad, en OT manda la disponibilidad y la seguridad física, porque una parada o un fallo de control puede causar daño material y personal. Segundo, los ciclos de vida: un PLC puede operar 20 años, frente a 3-5 años de un servidor IT, lo que cambia por completo la política de parches. Tercero, los protocolos: Modbus, OPC UA, DNP3, IEC 61850 o PROFINET en lugar de HTTP, SMB o RDP.
Probablemente sí si pertenece a los sectores de energía, agua potable, aguas residuales, transporte, fabricación (productos médicos, productos químicos, alimentación, productos manufacturados específicos), gestión de residuos, infraestructura digital o investigación. NIS2 distingue entre entidades esenciales e importantes según sector y tamaño. La transposición española obliga a registrarse ante la autoridad competente, implantar medidas de gestión de riesgos y notificar incidentes en plazos cortos. Una evaluación previa de alcance ahorra problemas posteriores.
El Modelo Purdue divide la arquitectura industrial en niveles del 0 al 5: nivel 0 son los sensores y actuadores físicos, nivel 1 son los controladores (PLC, RTU), nivel 2 supervisión y HMI, nivel 3 operaciones de planta, nivel 3.5 una DMZ industrial, nivel 4 sistemas corporativos de planta y nivel 5 corporativo IT. Se cita siempre porque sirve como mapa común para diseñar segmentación, decidir qué tráfico está permitido entre niveles y aplicar IEC 62443 sobre algo tangible.
No, salvo que el cliente lo solicite expresamente para ejecutar pruebas activas. La metodología estándar en entornos OT es no intrusiva: descubrimiento pasivo de activos a partir de capturas de tráfico, revisión documental, entrevistas con operación y mantenimiento, revisión de configuraciones en caliente con consentimiento del responsable de planta. Las pruebas activas se reservan para entornos espejo, paradas programadas o ventanas acordadas con el responsable de producción.
IEC 62443 es el cómo y NIS2 es el qué. NIS2 obliga a aplicar medidas técnicas y organizativas proporcionadas al riesgo, pero no prescribe cómo implementarlas en un entorno industrial. IEC 62443 da la metodología concreta para hacerlo: evaluación de riesgo por zonas y conductos, niveles de seguridad, requisitos del sistema, requisitos del proveedor y ciclo de vida. En la práctica, una auditoría seria en industria usa NIS2 como driver legal y 62443 como vara de medir técnica.
NIS2 establece una notificación de alerta temprana en 24 horas desde que se conoce el incidente significativo, una notificación de incidente más detallada en 72 horas, y un informe final en un mes. La notificación se dirige al CSIRT designado o a la autoridad competente, que en España incluye INCIBE-CERT para el sector privado y CCN-CERT para administración pública e infraestructuras estratégicas. Un retainer de respuesta a incidentes industrial reduce la fricción de cumplir estos plazos.
Por tres motivos prácticos. Primero, el fabricante a menudo no publica parches con la cadencia del software ofimático y, cuando lo hace, requiere validación contra el proceso. Segundo, parar un PLC para parchearlo implica parar la línea, lo que tiene un coste operativo medible en miles o millones de euros por hora. Tercero, muchos sistemas están sobre hardware o sistemas operativos sin soporte. En entornos OT serios, la gestión de vulnerabilidades combina parche cuando es viable, controles compensatorios cuando no, y planificación con la operación.
Depende del alcance. Una auditoría puntual sobre una planta concreta suele estar en 4-8 semanas, incluyendo trabajo de campo y reporte. Un proyecto integral NIS2 + IEC 62443 para una compañía industrial mediana con varias plantas se mueve en el rango de 4 a 9 meses, dependiendo del número de emplazamientos, del estado documental de partida y de la disponibilidad del personal operativo para entrevistas y validaciones.
Sí. El informe documenta alcance, metodología (IEC 62443, NIS2, NIST SP 800-82, MITRE ATT&CK for ICS), evidencias recopiladas, hallazgos priorizados, niveles de seguridad por zona y plan de remediación. Está diseñado para integrarse en un sistema de gestión existente (ISO 27001, ENS, ISO 27019 cuando aplica) y servir como evidencia trazable ante auditor externo, inspección de la autoridad competente NIS2 o coordinación de incidentes con INCIBE-CERT y CCN-CERT.
Siguiente paso
Si necesitas auditar una planta, preparar NIS2, segmentar IT/OT o diseñar un programa IEC 62443 con criterio técnico, revisamos tu contexto y proponemos un alcance proporcionado al riesgo y a la operativa real.
Antes de irte…
Te damos un diagnóstico rápido de 15 min y te decimos qué priorizar primero: M365, pentesting, vulnerabilidades, SOC y/o DORA, NIS2, ENS o ISO 27001.
Sin spam. Respuesta en 24h.
