Tecnologías operativas legacy en PyMEs: cuando la heladera del depósito también necesita antivirus
Tecnologías operativas “legacy” en PyMEs: cuando la heladera del depósito también necesita antivirus
De qué hablamos: ¿qué tienen que ver las fábricas con los hackers?
Si pensabas que los ciberdelincuentes solo se metían en bancos o redes sociales, te cuento que hoy también les interesa tu cámara de frío, tu balanza industrial y hasta el PLC que controla la línea de producción. Sí, ese mismo que nunca actualizaste porque “si funciona, no lo toques”.
El artículo de ESET sobre infraestructuras críticas y tecnologías operativas legacy nos recuerda que los sistemas industriales, esos que parecen “intocables”, están cada vez más expuestos a ciberamenazas. Y ojo: no hablamos solo de grandes plantas nucleares, sino también de PyMEs argentinas y latinoamericanas con depósitos, talleres y fábricas que dependen de equipos que fueron diseñados para durar… pero no para defenderse de hackers.
¿Qué equipos industriales están en la mira?
En la práctica, las PyMEs suelen tener un mix de sistemas que conviven desde hace años:
- Sistemas de refrigeración y cadena de frío: cámaras frigoríficas conectadas a controladores que regulan temperatura y humedad.
- Sistemas de pesaje: balanzas electrónicas industriales que reportan datos a un servidor o PC.
- PLC (Programmable Logic Controllers): cerebros de la automatización que manejan cintas transportadoras, hornos, mezcladoras, etc.
- Generación y supervisión eléctrica: UPS, generadores y tableros inteligentes que informan consumos y alertas.
- Sistemas SCADA: software de supervisión que integra todo lo anterior y lo muestra en pantallas de control.
Todos estos dispositivos fueron diseñados para durar 10, 15 o más años. El problema es que muchos no reciben actualizaciones de seguridad, usan protocolos viejos (Modbus, OPC, etc.) y están conectados a redes corporativas sin segmentación. Resultado: un atacante puede entrar por un simple correo phishing y terminar manipulando la temperatura de tu cámara de frío.
Riesgos reales: no es ciencia ficción
- Paradas de producción: un ransomware que bloquee el PLC puede frenar la línea de producción por días.
- Pérdida de stock: si alguien manipula remotamente la refrigeración, podés perder toneladas de alimentos o medicamentos.
- Manipulación de datos: balanzas alteradas pueden generar diferencias en facturación y logística.
- Daños físicos: un generador mal configurado puede quemar equipos eléctricos y hasta provocar incendios.
En foros técnicos como ICS-CERT y reportes recientes de ESET se documentaron ataques a sistemas SCADA en plantas de agua y energía. En Latinoamérica, se reportaron incidentes en frigoríficos y fábricas donde malware ingresó por PCs de oficina conectadas a la misma red que los PLC con resultados nefastos.
Ejemplos locales en PyMEs
- Depósitos de alimentos en Buenos Aires: cámaras de frío con controladores Siemens S7 conectados a PCs con Windows 7 sin parches.
- Fábricas textiles en Córdoba: PLC Allen-Bradley que aún usan contraseñas por defecto (“1234”).
- Talleres metalúrgicos en Rosario: balanzas industriales conectadas por RS-232 a software que corre en notebooks viejas.
- Plantas de bebidas en Chile: sistemas SCADA que nunca se actualizaron porque “si anda, no lo toques”.
Soluciones viables (sin hipotecar la PyME)
Sabemos que en una PyME el presupuesto es ajustado y los tiempos improductivos son un lujo. Por eso, las soluciones deben ser prácticas:
- Segmentación de red
- Separar la red de oficina (correo, internet) de la red industrial (PLC, SCADA).
- Usar VLANs o firewalls básicos.
- Actualizaciones mínimas
- Si el fabricante ya no da soporte, buscar firmware alternativo o parches comunitarios.
- En PCs con Windows viejos, aplicar al menos antivirus actualizado y bloquear acceso a internet.
- Control de accesos
- Cambiar contraseñas por defecto en PLC y balanzas.
- Usar autenticación básica con usuarios diferenciados.
- Monitoreo barato pero efectivo
- Instalar software de logs (Syslog, Graylog) para detectar accesos raros.
- Usar sensores de red como Snort o Suricata (gratuitos).
- Plan B: repuestos y backups
- Tener un PLC de repuesto listo para instalar.
- Mantener imágenes limpias de discos de PCs industriales para restaurar rápido.
- Documentar drivers y software necesarios (guardar instaladores en un NAS protegido).
Reparaciones y repuestos: lo que realmente pasa
- PLC viejos: muchas veces no hay repuestos locales. Se consiguen en Mercado Libre o importadores, pero tardan semanas. Solución: stock mínimo de repuestos críticos.
- Balanzas industriales: suelen tener drivers que solo corren en Windows XP/7. Guardar esos instaladores en un pendrive es vital pero hay que recordar, cada tanto, revisar que el pendrive este en condiciones y/o remplazarlo por uno nuevo.
- Sistemas SCADA: algunos permiten actualizar módulos. Revisar foros del fabricante y comunidades técnicas.
- UPS y generadores: repuestos básicos (baterías, relés) sí están disponibles localmente.
Paso a paso: cómo instalar drivers y software en equipos legacy
- Identificar el modelo exacto del dispositivo (ej. Siemens S7-1200).
- Buscar en la web oficial del fabricante o en foros técnicos el último driver compatible.
- Descargar y guardar en un NAS o pendrive seguro.
- Instalar en una PC de pruebas antes de tocar la máquina de producción.
- Documentar el proceso en un instructivo interno (sí, aunque sea en un Word con capturas o fotos desde el celu).
Prevención: lo que realmente salva
- Capacitación básica: que el personal sepa que no tiene que abrir correos raros, ni ofertas fantásticas, ni documentos «urgentes» de remitentes desconocidos en PCs conectadas a la red industrial. De hecho, en esos equipos no deberían siquiera tener el correo…
- Backups regulares: de configuraciones de PLC y software SCADA.
- Simulacros de falla: probar qué pasa si un PLC se apaga y cuánto tardan en reponerlo.
- Contratos de soporte: aunque sea con un técnico local que conozca los equipos. Y esta es una cuestión importantísima a tener en cuenta: el soporte informático no tiene porqué saber las particularidades de una cámara frigorífica, ni el técnico en refrigeración está obligado a conocer la topología de red pero no pueden atender sólo lo suyo y desinteresarse por completo de lo otro. Deben mantenerse en contacto, consultarse e informarse mutuamente sobre las implicaciones que un cambio su área específica pueda tener sobre la del otro, porque en definitiva la empresa que los alberga, es un sistema único. Y esto no excluye a electricistas, plomeros, gasistas, mantenimiento ni operarios. Ni el personal de limpieza puede abstraerse: baldear la zona incorrecta o enchufar la aspiradora justo en ese toma, podría tener consecuencias.
Y visceversa, cuando el soporte de IT desconectó un switch aislado sin consultar a otros departamentos, podría estar dejando a la línea envasadora mirándose el ombligo…
Conclusión
Las PyMEs de Argentina y Latinoamérica no están exentas de ciberataques. Los sistemas industriales “legacy” son un blanco fácil porque fueron diseñados para durar, no para defenderse. La buena noticia es que con segmentación de red, repuestos básicos, backups y sentido común, se puede reducir mucho el riesgo sin gastar fortunas.
En resumen: no hace falta ser SpaceX para proteger tu cámara de frío. Con un poco de planificación y prevención, tu PyME puede seguir produciendo sin que un hacker convierta tu freezer en una estufa.