¿Por qué la ciberseguridad IT no es suficiente para una planta minera?

La ciberseguridad IT protege correo, ERP y bases de datos: la prioridad es confidencialidad. La ciberseguridad OT protege PLC, SCADA y RTU que controlan camiones, chancadores, válvulas y sistemas de seguridad funcional. Aquí la prioridad es disponibilidad y seguridad física: un parche fuera de hora puede detener una planta o crear un riesgo a personas. Por eso un firewall corporativo, un EDR de oficina y un SOC IT no bastan: la mina necesita segmentación según el Purdue Model, monitoreo pasivo de protocolos OT como Modbus, OPC UA o Profinet, y procedimientos de cambio aprobados por operaciones.

¿Cuántos sistemas OT en LATAM fueron atacados con malware en 2025?

Según el reporte de Kaspersky ICS CERT publicado en abril 2026, el 20,4% de las computadoras ICS en Sudamérica tuvo objetos maliciosos bloqueados durante el cuarto trimestre de 2025, levemente sobre el 20,1% del trimestre anterior. La región se ubica en sexto lugar mundial. Adicionalmente, las amenazas vía clientes de correo en Sudamérica fueron 1,9 veces el promedio global, lo que confirma el correo como vector de entrada principal hacia la red OT cuando no existe segmentación adecuada entre IT y planta.

¿Está la minería chilena obligada por la Ley 21.663 ANCI?

La Ley 21.663 lista explícitamente sectores como energía, transporte, salud, telecomunicaciones, banca, agua e infraestructura digital. La minería no aparece nominada en el artículo 4. Sin embargo, la ley faculta a la ANCI para calificar como Operadores de Importancia Vital (OIV) a otras organizaciones cuya interrupción afecte la continuidad nacional. La gran minería del cobre, por su peso económico y su dependencia de infraestructura energética y portuaria, está dentro del alcance natural de esa facultad. La industria debería prepararse como si ya fuera OIV.

¿Qué frameworks debe seguir un programa de ciberseguridad OT?

Los dos marcos de referencia son NIST SP 800-82 Rev. 3 (Guide to Operational Technology Security, septiembre 2023) y la familia ISA/IEC 62443. NIST SP 800-82 r3 cubre arquitectura, segmentación, hardening y respuesta para entornos OT. ISA/IEC 62443 es el estándar internacional reconocido por la IEC y la ONU como estándar horizontal para automatización industrial: define zonas y conductos, niveles de seguridad (SL1 a SL4), requisitos de proveedor, integrador y operador. Combinados con el Purdue Model y un programa de monitoreo pasivo OT, conforman el piso técnico mínimo en 2026.

Ciberseguridad OT minería Chile 2026: IT no alcanza

Q: ¿Qué pasó en Codelco División Gabriela Mistral en 2023?

El 15 de noviembre de 2023, un ciberataque paralizó por aproximadamente 72 horas la flota de camiones autónomos Komatsu en División Gabriela Mistral, según Reporte Minero. El incidente afectó la operación de minería autónoma, no la red corporativa de oficina. Es el caso público chileno más citado para ilustrar lo que distingue OT de IT: un ataque que jamás llegó a un correo o un ERP, pero que detuvo el movimiento físico de toneladas de mineral. La ventana de recuperación fue larga porque restablecer flota autónoma exige validación física y no solo restore de respaldo.

TL;DR. La ciberseguridad IT no fue diseñada para proteger una planta minera. En el cuarto trimestre de 2025, el 20,4% de las computadoras ICS de Sudamérica tuvo objetos maliciosos bloqueados, según Kaspersky ICS CERT. En Chile, el 97% de los sistemas en minería no cumple estándares básicos de ciberseguridad, según la Corporación de Ciberseguridad Minera (CCMIN). Y el caso Codelco División Gabriela Mistral en noviembre 2023 mostró lo que ocurre cuando la red OT cae: 72 horas sin camiones autónomos. Este post explica por qué un firewall corporativo no protege una mina y qué exige un programa OT real en 2026, con apoyo de NIST SP 800-82 r3, ISA/IEC 62443 y el Purdue Model.

¿Por qué la ciberseguridad IT no alcanza para la minería chilena?

La ciberseguridad corporativa fue diseñada para proteger información: correo, bases de datos, ERP, archivos. La triada clásica es CIA: confidencialidad, integridad y disponibilidad, casi siempre en ese orden. En una planta minera la triada se invierte. Lo primero es disponibilidad y seguridad funcional. Si un PLC que controla una correa transportadora se reinicia para aplicar un parche en horario crítico, la correa se detiene. Si un sistema instrumentado de seguridad de un molino SAG falla, hay riesgo a personas. Por eso un firewall corporativo, un EDR de oficinas y un SOC IT son necesarios pero insuficientes: la mina exige una arquitectura, un calendario de parches y un modelo de respuesta distintos.

La ciberseguridad OT (Operational Technology) opera sobre PLC, RTU, SCADA, HMI e IIoT, no sobre laptops y servidores. Sus protocolos son Modbus TCP, OPC UA, Profinet, EtherNet/IP, DNP3. Un EDR moderno no entiende esos protocolos. Las ventanas de mantención se planifican con meses de anticipación con producción y safety, no se ejecutan automáticamente cada martes. Y la mayor parte del equipamiento opera 10, 15 o 20 años: convive hardware moderno con controladores que jamás recibirán un parche.

¿Cuál es el panorama real de amenazas OT/ICS en LATAM y Chile?

El reporte de Kaspersky ICS CERT publicado el 29 de abril de 2026 muestra que Sudamérica fue la sexta región mundial con más actividad maliciosa en computadoras ICS durante el cuarto trimestre de 2025: 20,4% de los equipos tuvo objetos maliciosos bloqueados, una leve alza desde el 20,1% del trimestre anterior. El mismo reporte señala que los clientes de correo electrónico fueron un vector destacado en Sudamérica, con 1,9 veces el promedio global, lo que evidencia el rol del phishing dirigido a usuarios con accesos cruzados entre IT y OT.

El panorama agregado completa el cuadro. En enero de 2026, LATAM registró 3.110 ciberataques por organización por semana, +33% YoY, el mayor volumen mundial según Check Point Research. En Chile, CronUp y NetProvider documentaron 13 organizaciones víctimas de ransomware entre diciembre 2025 y marzo 2026, donde Sernageomin figura como uno de los casos más graves del sector público. Los grupos activos —Qilin, Anubis, Devman— buscan organizaciones donde la presión por pagar es alta, y ese describe a un operador minero o a un servicio del Estado vinculado al sector.

En el plano sectorial chileno, la Corporación de Ciberseguridad Minera, CCMIN, reportó en julio 2025 que el 97% de los sistemas usados en la industria minera del país no cumple estándares básicos de ciberseguridad. Los datos de ejecutivos del sector son consistentes: el 76% percibe mayor exposición que el año anterior, el 62,3% reconoce haber sufrido al menos un incidente en los últimos 12 meses y solo el 43% declara contar con protocolos de respuesta adecuados, según las publicaciones de Reporte Minero noviembre 2025 y Nueva Minería.

¿Qué pasó en Codelco División Gabriela Mistral en 2023?

El 15 de noviembre de 2023, un ciberataque dejó fuera de servicio a la flota de camiones autónomos Komatsu en División Gabriela Mistral durante aproximadamente 72 horas, según Reporte Minero y La Tercera. No fue un ataque al ERP, ni a una casilla de correo, ni a SharePoint. Fue un ataque que afectó la operación física de minería autónoma. Restaurar el servicio no es restaurar un respaldo: cada camión, cada cargador, cada interlock requiere validación física antes de volver a moverse.

Ese caso es la mejor explicación local de por qué la ciberseguridad IT no basta. El SOC corporativo no detectó el problema en el horizonte habitual: el problema vivía en la red OT, con telemetría distinta, con dispositivos que no aceptan agentes y con un comportamiento normal que un EDR jamás aprenderá. Las lecciones que la industria suele documentar después de incidentes como este giran en torno a tres ejes: segmentación real entre IT y OT, monitoreo pasivo del tráfico industrial, y procedimientos de respuesta que integran operaciones, mantenimiento y seguridad funcional, no solo al equipo de ciberseguridad.

¿Cómo se diferencia OT de IT y por qué importa para defender?

La diferencia operativa es nítida. La tabla siguiente resume las dimensiones que cambian entre los dos mundos y por qué el modelo de defensa también debe cambiar.

Dimensión	Mundo IT	Mundo OT minero
Prioridad	Confidencialidad → Integridad → Disponibilidad	Disponibilidad → Integridad → Confidencialidad
Vida útil del equipo	3 a 5 años	10 a 20 años
Ventanas de parche	Semanal o automatizado	Mensual o anual, validado por safety
Protocolos	HTTP, SMTP, LDAP	Modbus, OPC UA, Profinet, DNP3
Telemetría	EDR, SIEM, NDR estándar	NDR pasivo OT, monitoreo de PLC y SCADA
Impacto de un incidente	Pérdida de datos, multas	Detención productiva, riesgo a personas
Reinicio de un activo	Trivial	Requiere validación física y de safety

El error frecuente es trasladar políticas IT al mundo OT. Forzar parches mensuales sobre PLCs activos, instalar agentes en HMIs Windows XP que jamás los soportarán, o interrumpir tráfico OPC UA para hacer escaneos activos: cualquiera de estas decisiones, comunes en programas IT, puede detener una planta. La ciberseguridad OT madura comienza por reconocer la diferencia, no por replicar el playbook del centro corporativo.

¿Qué es el Purdue Model y cómo se aplica en una mina chilena?

El Purdue Enterprise Reference Architecture, referenciado por NIST SP 800-82 Rev. 3, divide la infraestructura industrial en seis niveles. El nivel 0 corresponde a sensores y actuadores en la planta. El nivel 1 a control básico, donde viven PLCs y RTUs. El nivel 2 a supervisión, donde operan SCADA y HMI. El nivel 3 a operaciones de planta, con MES e historian. El nivel 3.5 es la DMZ industrial, frontera entre OT y IT. Los niveles 4 y 5 son IT corporativo: ERP, correo, internet.

En una mina chilena el modelo aterriza así. Los molinos, chancadores, bombas y camiones autónomos viven en niveles 0 y 1. SCADA y los pisos de control en sala viven en nivel 2. El historian que consume la gerencia operacional vive en nivel 3. La DMZ industrial 3.5 es la zona donde un servidor de réplica y un firewall industrial median entre OT y IT, evitando que un ransomware en correo corporativo termine moviendo válvulas. Cuando esta segmentación no existe o existe solo en el papel, un movimiento lateral desde un correo de oficina puede llegar a una HMI. Esa fue la lección global de TRITON, NotPetya y Colonial Pipeline; en Chile, la lección de DGM 2023.

¿Qué exige NIST SP 800-82 y la familia ISA/IEC 62443?

NIST SP 800-82 Rev. 3, publicado en septiembre 2023, es el marco más completo en español-inglés para asegurar entornos OT. Cubre arquitectura, segmentación, hardening de PLCs, gestión de cambios, monitoreo, respuesta a incidentes y recuperación. Se complementa con el ICS Cybersecurity Framework Profile, que mapea los controles a funciones del NIST CSF (Identify, Protect, Detect, Respond, Recover, Govern).

La familia ISA/IEC 62443 es el estándar internacional. Reconocida por IEC y por la ONU como estándar horizontal de automatización desde 2021, define zonas y conductos, niveles de seguridad SL1 a SL4, y certificaciones para fabricantes (62443-4-1, 62443-4-2), integradores (62443-2-4) y operadores (62443-2-1, 62443-3-3). Para una minera chilena que selecciona un nuevo SCADA o un proveedor MES, exigir conformidad 62443 es la vía concreta para no comprar deuda de seguridad. El estándar no es opcional para quien quiera contratar con operadores europeos o cumplir auditorías de seguros cibernéticos.

¿Está la minería incluida en los OIV de la Ley 21.663?

La Ley 21.663 marco de ciberseguridad, promulgada en marzo de 2024, lista en su artículo 4 los sectores donde habitualmente se identifican Operadores de Importancia Vital: energía, transporte, servicios sanitarios, salud, telecomunicaciones, banca, infraestructura digital. La minería no está nominada. Sin embargo, el mismo artículo faculta a la ANCI para calificar como OIV a otras organizaciones cuando su interrupción afecte la continuidad nacional. La gran minería del cobre, que aporta 24% del PIB sumando encadenamientos según Cochilco, y representa el 24% de la producción mundial de cobre, está dentro del alcance natural de esa facultad.

Para la industria, la lectura realista es prepararse como si ya estuvieran calificados. Las obligaciones técnicas relevantes son tres: notificación de incidentes con impacto significativo dentro de las 3 horas (IG N°4), un Sistema de Gestión de Seguridad de la Información (SGSI) alineado a estándares internacionales reconocidos, y un delegado de ciberseguridad con dedicación equivalente a jornada completa. Quien ya operó bajo el marco regulatorio del reglamento general de seguridad minera y la Ley ANCI tiene una ventaja: sabe qué significa documentar y reportar incidentes con plazos cortos.

¿Cómo se arma un programa de ciberseguridad OT minero en 2026?

El punto de partida no es comprar herramientas, es ejecutar un assessment OT independiente. El objetivo es responder cinco preguntas: (1) qué activos OT existen y dónde están, (2) qué tráfico real cruza entre IT y OT hoy, (3) qué nivel de segmentación existe contra el Purdue Model, (4) qué tan parchados están los activos parchables y qué tan compensado está el resto, (5) qué tan ejercitado está el equipo de respuesta para un incidente OT. Sin estas respuestas, cualquier inversión es ciega.

Sobre esa base, un programa típico de 12 a 18 meses prioriza los siguientes hitos.

Segmentación física y lógica entre IT y OT con firewall industrial dedicado y DMZ intermedia, alineado al Purdue Model.
Monitoreo pasivo OT con NDR especializado capaz de leer Modbus, OPC UA, Profinet y DNP3 sin perturbar el tráfico productivo.
Inventario de activos OT vivo que cubra firmware, versiones, EOL y exposición. La premisa “no se puede proteger lo que no se conoce” aplica con especial fuerza en OT.
Política de cambios y parches alineada con safety: nada se actualiza sin validación operativa y plan de retorno.
Hardening de cuentas privilegiadas y accesos remotos: PAM dedicado, MFA en saltos OT, auditoría de sesiones de proveedores.
Plan de respuesta y recuperación OT integrado con operaciones, mantenimiento y safety, alineado al plan de continuidad operacional general y a DR testing automatizado.
Programa de ejercicios anuales sobre escenarios reales: parálisis de flota autónoma, manipulación de setpoint en planta de procesos, ransomware en historian.
Adopción 62443 progresiva en compras y contratos, con cláusulas de conformidad para nuevos SCADA, MES y PLC.

Estos pasos no son un proyecto que cierra. Son un programa permanente. Un operador que pretende competir bajo la Ley 21.663, los nuevos seguros cibernéticos y la presión continua de Qilin, Anubis y Devman necesita gobernanza estable, no campañas puntuales.

Conclusión: la planta minera necesita su propio modelo de defensa

La ciberseguridad IT seguirá protegiendo correo, ERP y bases de datos. Pero la planta minera chilena, donde el 97% de los sistemas no cumple estándares básicos y donde un ataque puede detener camiones autónomos por 72 horas, exige un modelo distinto. Ese modelo se llama ciberseguridad OT y se construye sobre el Purdue Model, NIST SP 800-82 r3 e ISA/IEC 62443. La buena noticia es que las herramientas y los marcos ya existen. La mala es que en 2026, ignorarlos ya no es un riesgo abstracto: es un costo cuantificado que aparece en pérdidas de producción, sanciones regulatorias y primas de seguros.

En Elite Center acompañamos a operadores industriales chilenos en assessments OT, segmentación, monitoreo pasivo y planes de respuesta integrados con safety. Si tu empresa quiere ubicar dónde está parada respecto a NIST SP 800-82 y 62443, conversemos.