La gestión de vulnerabilidades se ha convertido en uno de los grandes retos de la ciberseguridad industrial. El volumen de CVEs (Common Vulnerabilities and Exposures) publicadas crece cada año y se dispara a medida que incorporamos más tecnología en nuestros procesos y operaciones. Y aquí viene el verdadero problema, en entornos OT/ICS, aplicar parches de forma sistemática no siempre es posible ni muchas veces recomendable.
El Informe de Ciberalertas – II del Observatorio de Ciberseguridade Industrial de AMTEGA aborda precisamente este problema: cómo priorizar vulnerabilidades en entornos industriales cuando los recursos son limitados, las ventanas de mantenimiento son reducidas y la continuidad del proceso no puede ponerse en riesgo.
Desde una perspectiva de ciberseguridad, una de las principales conclusiones del informe es clara: la severidad técnica no puede ser el único criterio de decisión. En OT, la gestión de vulnerabilidades debe basarse en el riesgo real para la organización, combinando información técnica, contexto operativo, exposición y posible impacto en el proceso industrial.
Los riesgos de OT no son los mismo de IT
Aunque los principios generales de ciberseguridad son comunes, los entornos industriales presentan restricciones muy diferentes a las de IT corporativo. En IT suele primar la protección de la información: datos, servicios digitales, identidades o sistemas corporativos. En OT, en cambio, la prioridad es garantizar que las operaciones se mantengan seguras, estables y disponibles.
Esto cambia por completo la forma de tomar decisiones. Una vulnerabilidad con una puntuación elevada puede no ser urgente si afecta a un activo aislado o sin exposición real. Al contrario, una vulnerabilidad aparentemente menos crítica puede convertirse en prioritaria si afecta a la disponibilidad de la fábrica, la salud de los operadores de planta o, incluso, el posible impacto medioambiental.
Por eso, la pregunta no debe ser solo “¿qué CVSS tiene?”, sino también: ¿dónde está desplegada?, ¿está expuesta?, ¿afecta a un activo crítico?, ¿existe explotación activa?… la urgencia no está en parchear todo cuanto antes si no en gestionar el riesgo del proceso.
CVSS es útil, pero insuficiente
El informe no descarta el CVSS (Common Vulnerability Scoring System). Al contrario, lo reconoce como una referencia necesaria para medir la severidad técnica de una vulnerabilidad. El problema aparece cuando se utiliza como único criterio de priorización.
CVSS no incorpora de forma suficiente el contexto operativo, la criticidad del activo, la existencia de controles compensatorios, la exposición real o el coste técnico y operativo de aplicar una corrección. En entornos industriales, estos factores son determinantes.
Por este motivo, el informe propone que CVSS debe ser un dato más que se una a otros enfoques más accionables.
Priorización basada en riesgo real
Dentro de estas alternativas a CVSS, la primera es el catálogo KEV (Know Exploited Vulnerabilities) de CISA, el cual permite identificar vulnerabilidades con evidencia confirmada de explotación activa en el mundo real. Esto ayuda a diferenciar entre vulnerabilidades potencialmente graves y vulnerabilidades que ya están siendo utilizadas por atacantes.
Otra métrica interesante es el EPSS (Exploit Prediction Scoring System), la cual aporta una estimación probabilística de explotación, permitiendo anticipar qué vulnerabilidades tienen más posibilidades de convertirse en un problema real a corto plazo. Enfoque que se complementa muy bien con KEV ya que entre las dos combinas gravedad y probabilidad de la amenaza.
El enfoque Now / Next / Never traduce esta información a decisiones operativas:
- Now: actuar con prioridad sobre vulnerabilidades críticas, explotables y sin mitigaciones eficaces.
- Next: planificar su tratamiento en una ventana de mantenimiento o dentro de una campaña de mejora.
- Never: documentar y monitorizar aquellas que, en el contexto concreto de la organización, no representan un riesgo significativo.
Este enfoque permite pasar de una gestión basada en listados interminables de CVEs a una gestión basada en riesgo, impacto y contexto.
Cuando no se puede parchear, hay que mitigar
Una de las ideas clave del informe es que la imposibilidad de parchear no implica inacción. En entornos OT, a menudo es necesario aplicar medidas compensatorias mientras se planifica una remediación segura.
Entre ellas destacan la segmentación de red, el virtual patching, la DMZ industrial, el control de accesos, el acceso remoto seguro, la monitorización pasiva, el logging centralizado etc.
Estas medidas no siempre eliminan la vulnerabilidad, pero reducen su explotabilidad o su impacto potencial.
Conclusión
El Informe de Ciberalertas OT – II transmite un mensaje especialmente relevante: en ciberseguridad industrial, el objetivo no es parchear todo, sino reducir el riesgo real sin comprometer la operación.
Para las organizaciones industriales, esto implica combinar severidad técnica, explotación activa, probabilidad de ataque, criticidad del activo, exposición y viabilidad de mitigación.
Desde InprOTech, seguimos colaborando con AMTEGA en la divulgación de buenas prácticas que ayuden al tejido industrial gallego a avanzar hacia una ciberseguridad OT más madura, medible y alineada con la realidad de las organizaciones.