De detectar a entender: el cambio de enfoque
Tradicionalmente, la seguridad en OT ha estado orientada a proteger la disponibilidad y minimizar el impacto. La detección, cuando existe, suele centrarse en identificar anomalías o comportamientos fuera de lo esperado.
Sin embargo, este enfoque presenta una limitación evidente: no permite entender con claridad cómo opera un atacante dentro del entorno.
El despliegue de honeypots introduce una lógica distinta.
En lugar de intentar interpretar comportamientos dentro de sistemas productivos, crea activos diseñados específicamente para ser detectados si alguien interactúa con ellos. Esto permite no solo identificar actividad maliciosa, sino observarla.
Y esa observación es donde se genera el valor real.
Comprender el punto de entrada en entornos industriales
Uno de los primeros aprendizajes que obtiene una empresa al desplegar honeypots en OT es cómo se produce el acceso inicial.
En muchos casos, las organizaciones asumen que el riesgo proviene del exterior. Sin embargo, la realidad es más compleja. Accesos remotos mal configurados, credenciales compartidas o integraciones IT/OT mal segmentadas suelen ser puntos de entrada habituales.
Tal y como recoge el informe Global Threat Report de
CrowdStrike, el uso de credenciales válidas y accesos legítimos es cada vez
más frecuente en ataques avanzados.
Los honeypots permiten validar estos vectores en un entorno controlado, aportando evidencia directa sobre cómo se produce realmente la intrusión.
Identificar cómo se mueve el atacante en OT
En entornos industriales, el movimiento lateral tiene implicaciones especialmente críticas.
A diferencia de IT, donde el impacto suele ser informacional, en OT puede afectar directamente a procesos físicos, producción o incluso seguridad operacional.
Al desplegar honeypots que simulan dispositivos industriales —como PLCs, HMIs o sistemas SCADA—, las organizaciones pueden observar cómo el atacante interactúa con estos elementos, qué protocolos utiliza y qué sistemas intenta alcanzar.
Este tipo de visibilidad es difícil de obtener con herramientas tradicionales, ya que muchas de estas interacciones no generan alertas evidentes.
Descubrir qué sistemas son realmente críticos
Uno de los aprendizajes más relevantes es entender qué activos atraen al atacante.
En OT, la criticidad no siempre está bien definida desde una perspectiva de ciberseguridad. Sistemas que operativamente parecen secundarios pueden resultar altamente atractivos desde el punto de vista ofensivo.
Observar qué intenta acceder un atacante permite redefinir el mapa de riesgo de forma más precisa.
No se trata de lo que la organización considera crítico.
Se trata de lo que el atacante considera valioso.
Detectar actividad que no debería existir
Una de las principales ventajas de los honeypots es que eliminan la ambigüedad.
En entornos OT, donde la variabilidad es menor y los sistemas suelen tener comportamientos predecibles, cualquier interacción con un activo que no forma parte de la operativa es una señal clara.
Esto permite detectar actividad maliciosa sin depender de correlaciones complejas o interpretación de eventos.
Y, a diferencia de otros modelos, no introduce riesgo en la operación.
Generar inteligencia específica del entorno industrial
Cada interacción con un honeypot genera información.
Qué comandos se ejecutan, qué protocolos se utilizan, qué patrones de acceso se repiten.
Este conocimiento permite adaptar la estrategia de seguridad a la realidad del entorno, no a modelos genéricos.
Organizaciones como
MITRE, a través de su framework ATT&CK for ICS, han demostrado la importancia de entender las técnicas específicas utilizadas en entornos industriales para mejorar la defensa.
El reto: observar sin comprometer la operación
En OT, este punto es crítico.
No es viable observar a un atacante dentro de un sistema productivo sin asumir riesgos significativos. La continuidad operativa es prioritaria, y cualquier intervención debe minimizar el impacto.
Aquí es donde los honeypots aportan un valor diferencial.
Permiten observar sin comprometer.
Crear entornos que simulan sistemas reales, pero que están diseñados para ser monitorizados, permite obtener visibilidad sin afectar la producción.