Las violaciones de infraestructuras críticas no comienzan en la sala de control. Comienzan con credenciales.

Colonial Pipeline. La red eléctrica de Ucrania. La planta de tratamiento de agua de Oldsmar. Todos los grandes incidentes en infraestructuras críticas de la última década comenzaron de la misma manera — con una credencial en manos humanas que el operador no podía controlar, monitorear ni revocar. MyCena cierra ese punto de entrada antes de que el atacante alcance la capa de tecnología operativa.
Solicitar una presentación técnica →
0
De los ataques ciberfísicos utilizan el acceso remoto como vector de entrada · OT Ecosystem 2025
0
Rescate de Colonial Pipeline — pagado por una credencial VPN inactiva nunca revocada
0
Aumento de ataques alineados con estados contra energía, transporte y manufactura en 2024
0
Costo anual de paradas no planificadas en infraestructuras industriales a nivel mundial · Siemens 2024
El patrón

Tres incidentes. Mismo punto de entrada.

Cada gran brecha en infraestructura crítica en la última década siguió la misma falla arquitectónica. Una credencial estaba en manos humanas. El operador no tenía un mecanismo estructural para controlarla.

Colonial Pipeline — 2021
$4.4M
Suministro de combustible en 17 estados de EE.UU. detenido durante seis días.
Los atacantes compraron una credencial VPN de un ex empleado en la dark web. La cuenta nunca había sido desactivada.
Punto de entrada — credencial VPN inactiva de ex empleado
Red eléctrica de Ucrania — 2015 & 2016
230.000
Clientes sin electricidad tras ataques coordinados contra operadores de red.
Los atacantes usaron phishing para robar credenciales de operadores y acceder remotamente a sistemas SCADA.
Punto de entrada — credenciales de operador por phishing
Planta de agua de Oldsmar — 2021
111x
Un atacante accedió remotamente al sistema SCADA e intentó aumentar químicos a niveles peligrosos.
Acceso mediante credenciales de escritorio remoto compartidas entre múltiples usuarios.
Punto de entrada — credenciales compartidas de acceso remoto

En todos los casos, la red OT no fue el punto de entrada inicial. El atacante se autenticó con credenciales válidas en el límite IT/OT. Todos los sistemas de seguridad vieron un usuario legítimo, porque la credencial era legítima. La falla ocurrió antes de llegar a la sala de control.

Panorama de riesgos

Seis riesgos de credenciales específicos para infraestructura crítica

Los entornos de infraestructura crítica tienen la misma brecha de credenciales que el enterprise — más riesgos operativos únicos.

01 — Operacional
Acceso remoto de proveedores y contratistas
Ingenieros externos acceden a redes OT mediante VPN o escritorio remoto usando credenciales que la organización no genera ni puede revocar instantáneamente. El 82% de los ataques ciberfísicos usan esta vía de acceso.
Cuando termina la relación, ¿cuánto tarda en revocar el acceso? Si requiere un ticket, existe una brecha.
02 — Operacional
Credenciales compartidas de operadores
Muchos entornos OT usan cuentas compartidas, sin trazabilidad ni atribución individual.
En incidentes como Oldsmar, no fue posible saber quién estaba conectado.
03 — Seguridad
Credenciales comprometidas afectando procesos físicos
Un ataque en OT puede afectar directamente procesos físicos como válvulas o sistemas eléctricos.
La credencial controla el proceso físico. Es la primera capa de seguridad.
04 — Regulatorio
Requisitos NIS2 y CAF B2
Se requiere evidencia continua de control de acceso. Las políticas no son suficientes.
La falta de control puede generar responsabilidad personal de la dirección.
05 — Cadena de suministro
Acceso de mantenimiento de proveedores
Los proveedores requieren acceso remoto a sistemas OT, lo que introduce riesgos críticos.
No puedes revocar credenciales que no controlas.
06 — Emergente
Credenciales de IA y automatización
Los sistemas de IA industrial introducen identidades no humanas con acceso a sistemas críticos.
Cada agente de IA crea un nuevo punto de acceso no gobernado.
Dónde opera MyCena

La brecha de credenciales en la convergencia IT/OT

MyCena no reemplaza las herramientas de seguridad OT — Dragos, Claroty y Nozomi gestionan la capa de red OT. MyCena gestiona la capa de credenciales por encima: la capa de acceso remoto, las estaciones de ingeniería y las conexiones de proveedores que han sido el punto de entrada de todas las grandes brechas OT.

Dónde se aplica el control de credenciales en un entorno OT
MyCena gestiona
Acceso remoto de proveedores
Credenciales de ingenieros para tu entorno OT
Ingenieros de mantenimiento externos se conectan vía VPN o RDP. MyCena genera esas credenciales de forma centralizada — el ingeniero nunca las posee — y revoca todo el acceso en segundos cuando termina la ventana de mantenimiento o la relación.
✓ Punto de entrada de Colonial Pipeline — cerrado estructuralmente
MyCena gestiona
Estaciones de ingeniería
Autenticación de operadores e ingenieros en la capa HMI
Operadores e ingenieros se autentican en estaciones HMI e interfaces SCADA mediante MyCena. Sin credenciales compartidas. Cada evento de acceso está individualmente atribuido, con marca de tiempo y registrado. Riesgo de credenciales compartidas como Oldsmar eliminado.
✓ Punto de entrada Oldsmar — cerrado estructuralmente
MyCena gestiona
Sistemas de frontera IT/OT
Jump servers, sistemas de historiadores, aplicaciones DMZ
La frontera IT/OT — donde TI empresarial y OT se conectan — es donde el compromiso de credenciales se convierte en riesgo operativo. MyCena gestiona la autenticación en todos los sistemas de frontera mediante protocolos estándar.
✓ Patrón de entrada de la red eléctrica de Ucrania — cerrado estructuralmente
MyCena gestiona
Agentes de IA y automatización
Agentes de IA industrial que acceden a datos de proceso e interfaces de control
Los agentes de IA para mantenimiento predictivo, detección de anomalías y optimización de procesos se autentican mediante MyCena. Sus credenciales se generan centralmente, se atribuyen individualmente y se pueden revocar instantáneamente — en la misma plataforma que los usuarios humanos.
✓ Gobernanza de agentes de IA — misma arquitectura, identidades no humanas
Fuera de alcance
Firmware de PLC y credenciales de dispositivos
Credenciales hardcoded, protocolos propietarios de PLC
Las credenciales embebidas en firmware de PLC y protocolos heredados operan por debajo de la capa de autenticación estándar. Estos sistemas son gestionados por plataformas OT como Dragos y Claroty. MyCena opera por encima de esta capa.
La pila OT — gobernanza de credenciales por capa
MyCena gestiona · Nivel 5
TI empresarial — estaciones de trabajo, SaaS, correo
Gobernanza completa de credenciales para usuarios, proveedores y agentes de IA. Generación central, inyección invisible y revocación instantánea.
MyCena gestiona · Nivel 4
Frontera IT/OT — jump servers, historiadores, DMZ
La capa crítica de convergencia. Acceso remoto, VPN y aplicaciones de frontera — punto de entrada de todas las grandes brechas OT.
MyCena gestiona · Nivel 3
Red de operaciones — estaciones HMI, interfaces SCADA
Autenticación de operadores e ingenieros en sistemas de control. Atribución individual, eliminación de cuentas compartidas y trazabilidad completa.
Alcance OT · Nivel 2
Red de control — PLCs, DCS, RTUs
Sistemas de control de procesos. Gestionados por Dragos, Claroty y Nozomi para monitorización y detección de anomalías.
Alcance OT · Nivel 1
Dispositivos de campo — sensores, actuadores, instrumentación
Capa física del proceso. Gobernanza basada en hardware. Fuera del modelo de autenticación.
Lo que entrega MyCena

Control estructural de credenciales en la frontera IT/OT

Los puntos de entrada que causaron todas las principales brechas OT en la última década se encuentran en la capa de acceso remoto — no dentro de la red de control. MyCena cierra esos puntos de entrada de forma estructural.

Acceso remoto de proveedores — generado y revocado por usted
Los ingenieros de mantenimiento de terceros se autentican a través de MyCena. Usted genera sus credenciales, ellos nunca las ven, y usted revoca todo el acceso en segundos al final de la ventana de mantenimiento — o inmediatamente en caso de incidente sospechoso.
Credenciales compartidas — eliminadas
Cada operador e ingeniero tiene credenciales asignadas individualmente y generadas de forma centralizada. Se acabaron los inicios de sesión compartidos. Cada evento de acceso es trazable hasta una persona nombrada con marca de tiempo precisa — evidencia forense bajo demanda.
Phishing — sin objetivo
Los operadores nunca ven ni introducen sus credenciales. Una campaña de spear phishing dirigida a un operador o ingeniero no encuentra credenciales que robar. El vector de ataque de la red eléctrica de Ucrania — credenciales de operadores obtenidas por phishing — se cierra estructuralmente.
CAF B2 — cumplido estructuralmente
El principio CAF B2 del NCSC exige evidencia continua de control de identidad y acceso. MyCena genera automáticamente un registro con marca de tiempo de cada evento de credencial — quién accedió a qué, cuándo y desde dónde. Los auditores reciben el registro. No un documento de política.
«En el mundo físico, un operador de energía no puede entregar las llaves de su subestación a un contratista de mantenimiento esperando que las devuelva. En el mundo digital, eso es exactamente lo que ocurre cada día — y el atacante que compra esas llaves en la dark web entra directamente.»
La cuestión de Colonial Pipeline

Colonial Pipeline pagó 4,4 millones de dólares porque una credencial VPN inactiva de un ex empleado nunca fue revocada. El atacante la compró en la dark web. Si Colonial hubiera implementado MyCena, la credencial no habría existido en manos humanas — no habría nada que comprar. El retraso medio de desactivación de accesos de 3,2 días en la industria representa miles de ventanas de exposición de credenciales activas en este momento.

Cómo funciona en la frontera IT/OT

Control de credenciales sin tocar los sistemas OT

MyCena se implementa como una capa de software en la frontera IT/OT. Ningún sistema OT se modifica. Ninguna red de control se cambia. Ningún proceso de producción se toca.

Paso 01
Generación centralizada de credenciales en la frontera
Cada credencial de operador, ingeniero y proveedor para sistemas de frontera — servidores jump, endpoints VPN, estaciones HMI, acceso a historiadores — es generada centralmente por MyCena. Ningún usuario crea sus propios accesos. Ningún proveedor trae sus propias credenciales a su entorno.
Paso 02
Inyección invisible — nada que robar o compartir
Los operadores e ingenieros se conectan a los sistemas de frontera con un clic. MyCena inyecta las credenciales en el momento de autenticación — nunca las ven, las escriben ni las almacenan. Ninguna campaña de spear phishing puede robar una credencial que el operador no conoce. Ningún ingeniero de mantenimiento puede compartir algo que nunca ha visto.
Paso 03
Mapa de acceso completo — mantenido automáticamente
Cada evento de credencial se registra individualmente — qué operador, qué sistema de frontera, cuándo y desde dónde. El mapa de acceso está siempre completo y actualizado. Cuando comienza una investigación, la trazabilidad ya está disponible. Sin reconstrucción. Sin incertidumbre sobre quién estaba conectado.
Paso 04
Revocación instantánea — proveedor u operador, cualquier sistema
Fin de ventana de mantenimiento: un comando, acceso del proveedor revocado en todos los sistemas de frontera simultáneamente en segundos. Sospecha de incidente interno: mismo comando, misma velocidad. Auditoría regulatoria: prueba de revocación con marca de tiempo bajo demanda. La brecha de Colonial Pipeline queda cerrada.
Marco regulatorio

NIS2, CAF, NERC CIP e IEC 62443 — todos exigen lo que MyCena entrega

Todos los marcos que regulan el control de acceso en infraestructuras críticas exigen evidencia demostrable de quién accedió a qué, cuándo — y que ese acceso fue revocado inmediatamente cuando la relación cambió. MyCena genera esa evidencia automáticamente.

NIS2 — Artículos 20 y 21
Los operadores de servicios esenciales deben demostrar gobernanza del control de acceso. El Artículo 20 introduce responsabilidad personal para la dirección identificada. El Artículo 21 exige seguridad de la cadena de suministro, incluyendo gobernanza de acceso de terceros. Los documentos de política no son suficientes — se requiere evidencia continua.
✓ Riesgo de responsabilidad personal mitigado estructuralmente
NCSC CAF — Principio B2
Control de identidad y acceso — las organizaciones deben gestionar y mantener estrictamente el acceso de todos los usuarios, dispositivos y sistemas, incluidas funciones automatizadas. El principio B2 exige que esto se aplique arquitectónicamente, no solo mediante procedimientos. MyCena cumple el B2 estructuralmente.
✓ B2 cumplido arquitectónicamente, no procedimentalmente
NERC CIP — CIP-004 y CIP-011
Los estándares de protección de infraestructuras críticas para utilities eléctricas exigen gestión de acceso de personal, control de acceso a activos cibernéticos críticos y perímetros de seguridad electrónicos. La atribución individual y la revocación instantánea son requisitos explícitos.
✓ Requisitos de gestión de acceso CIP cumplidos
IEC 62443 — IAM
El marco ISA/IEC 62443 reconoce que sin una gestión adecuada de identidad y acceso, otros controles técnicos pueden ser eludidos por atacantes con credenciales válidas. El modelo basado en zonas requiere autenticación individual — sin cuentas compartidas.
✓ Controles IAM de IEC 62443 cumplidos en la frontera
NIST SP 800-82
Las directrices de EE. UU. para la seguridad OT exigen control de acceso, auditoría y responsabilidad, además de autenticación e identificación. La gobernanza del acceso remoto y de proveedores se identifica explícitamente como punto crítico de seguridad ICS.
✓ Controles de acceso remoto y proveedores cumplidos
Ciberseguro
Los operadores de infraestructuras críticas enfrentan mayor escrutinio en la gobernanza de acceso remoto de proveedores durante la renovación del seguro. El control estructural de credenciales — con evidencia de revocación con timestamp — proporciona la prueba exigida por los aseguradores que los documentos de política no pueden ofrecer. Reducción de prima aplicable.
✓ Madurez nivel 4–5 — reducción de prima aplicable
Sesión técnica para infraestructuras críticas
Una sesión técnica de 45 minutos sobre gobernanza de credenciales en la frontera IT/OT — específica para tu sector y obligaciones regulatorias.
Reservar sesión técnica →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.