{"id":5973,"date":"2026-06-05T08:43:46","date_gmt":"2026-06-05T08:43:46","guid":{"rendered":"https:\/\/centosoftware.com\/2026\/06\/05\/seguridad-de-protocolos-industriales-comparacion-entre-dnp3-opc-ua-modbus-e-iec-61850\/"},"modified":"2026-06-09T22:58:37","modified_gmt":"2026-06-09T22:58:37","slug":"seguridad-de-protocolos-industriales-comparacion-entre-dnp3-opc-ua-modbus-e-iec-61850","status":"publish","type":"post","link":"https:\/\/centosoftware.com\/es\/2026\/06\/05\/seguridad-de-protocolos-industriales-comparacion-entre-dnp3-opc-ua-modbus-e-iec-61850\/","title":{"rendered":"Seguridad de protocolos industriales: comparaci\u00f3n entre DNP3, OPC UA, Modbus e IEC 61850"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La mayor\u00eda de las redes OT operan con protocolos que nunca fueron dise\u00f1ados pensando en la seguridad. Modbus es anterior por completo a las redes modernas. DNP3 fue construido para confiabilidad, no para autenticaci\u00f3n. El resultado es un panorama de protocolos donde existen visibilidad y control, pero rara vez se ha mapeado la superficie de ataque. <\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"Ingeniero\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t

\u00bfPor qu\u00e9 las brechas de seguridad en protocolos industriales generan riesgo operativo?<\/h2>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Los equipos OT no se renuevan al ritmo de los sistemas IT. Una m\u00e1quina de producci\u00f3n representa una inversi\u00f3n de capital significativa y normalmente permanece en servicio durante 10 a 15 a\u00f1os o m\u00e1s. El hardware y software integrados en esa m\u00e1quina no pueden actualizarse f\u00e1cilmente, lo que significa que los protocolos con los que fue entregada son los protocolos que utilizar\u00e1 durante toda su vida operativa. <\/p>

Dispositivo legacy:<\/strong> Dispositivo que no puede cumplir los requisitos de seguridad de las redes industriales modernas, incluyendo dispositivos que ejecutan protocolos como Modbus, dise\u00f1ados sin autenticaci\u00f3n ni cifrado.<\/p>

Modbus apareci\u00f3 en 1979 para comunicaci\u00f3n serial entre PLCs y terminales. DNP3 surgi\u00f3 a inicios de los a\u00f1os 90 para SCADA en utilities el\u00e9ctricas. Ninguno fue dise\u00f1ado considerando condiciones de red adversariales; fueron dise\u00f1ados para funcionar. IEC 61850 y OPC UA llegaron despu\u00e9s y a\u00f1adieron estructura sem\u00e1ntica y capacidades de seguridad, pero incluso su adopci\u00f3n no elimina la base instalada de dispositivos antiguos que siguen operando con protocolos antiguos junto a ellos. <\/p>

En entornos SCADA, el orden de prioridad de seguridad refleja directamente esa realidad operativa: la disponibilidad ocupa el primer lugar, la integridad el segundo y la confidencialidad el \u00faltimo. El cifrado a\u00f1ade una sobrecarga de latencia que dificulta la comunicaci\u00f3n en tiempo real, por lo que la mayor parte del tr\u00e1fico SCADA permanece sin cifrar. Esto lo hace directamente inspeccionable, una propiedad que beneficia la detecci\u00f3n de intrusiones basada en red, pero tambi\u00e9n significa que cualquier atacante que llegue a la red puede leer, reproducir o modificar lo que circula por ella. <\/p>

Hist\u00f3ricamente, la seguridad en soluciones de retrofit para entornos brownfield se ha tratado como una preocupaci\u00f3n secundaria. Estudios publicados sobre soluciones middleware de agregaci\u00f3n confirman este patr\u00f3n: la prioridad de ingenier\u00eda es la traducci\u00f3n r\u00e1pida y confiable de protocolos. Esa brecha entre necesidad operativa y postura de seguridad es donde viven la mayor\u00eda de las vulnerabilidades de redes OT. <\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t

\u00bfC\u00f3mo funcionan realmente DNP3, Modbus, OPC UA e IEC 61850?<\/h2>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Cada uno de estos cuatro protocolos resuelve una parte diferente del problema de comunicaci\u00f3n industrial, y entender el mecanismo es clave para entender d\u00f3nde se encuentra el riesgo.<\/p>

DNP3<\/strong> es el principal protocolo basado en Ethernet utilizado en SCADA moderno de redes inteligentes para intercambio de datos tipo poll-and-response entre subestaciones y centros de control. Soporta modos de comunicaci\u00f3n unicast, multicast, anycast y broadcast, lo que le permite manejar arquitecturas de subestaciones distribuidas con m\u00faltiples tipos de datos: valores con timestamp, datos prioritarios y comandos cr\u00edticos de control. Una de sus caracter\u00edsticas definitorias es la respuesta no solicitada. <\/p>

Respuesta no solicitada:<\/strong> Mensaje DNP3 en el que una outstation env\u00eda datos al maestro sin una solicitud de polling previa, activado autom\u00e1ticamente cuando ocurre un cambio inesperado en el estado del sistema.<\/p>

Esa capacidad es importante a nivel operativo: una outstation no necesita esperar a que se le pregunte. Pero tambi\u00e9n significa que el maestro depende de recibir esos mensajes, un hecho que ciertos vectores de ataque explotan directamente. <\/p>

Modbus<\/strong> se origin\u00f3 como protocolo serial en modos RTU y ASCII, y evolucion\u00f3 hacia Modbus TCP, que forma parte de IEC 61158. Su simplicidad y especificaci\u00f3n abierta lo convirtieron en la opci\u00f3n predeterminada para conectividad de dispositivos de campo en pr\u00e1cticamente todos los sectores industriales. La variante reforzada en seguridad, Modbus\/TCP Security, no fue introducida hasta 2018 y est\u00e1 definida \u00fanicamente por la Modbus Organisation; no forma parte de IEC 61158. La adopci\u00f3n de la variante segura sigue siendo limitada precisamente por la larga vida \u00fatil de los equipos. <\/p>

A nivel pr\u00e1ctico, m\u00faltiples sensores Modbus pueden operar simult\u00e1neamente en un solo bus RS-485, cada uno con una direcci\u00f3n esclava \u00fanica. Esa simplicidad es la ventaja duradera del protocolo, y tambi\u00e9n la raz\u00f3n por la que persiste en entornos que, de otro modo, ya habr\u00edan migrado. <\/p>

OPC UA<\/strong> (IEC 62541) fue dise\u00f1ado desde el inicio para comunicaci\u00f3n industrial segura e independiente de plataforma. Soporta tanto modelos cliente-servidor como publish-subscribe. Cuando se utiliza con una arquitectura de servidor agregador, reduce a una por cliente la cantidad de conexiones simult\u00e1neas que deben gestionar los PLCs con recursos limitados, un beneficio significativo en entornos donde los PLCs tambi\u00e9n ejecutan tareas de control en tiempo real. <\/p>

IEC 61850<\/strong> se ha convertido en el est\u00e1ndar dominante para la comunicaci\u00f3n en subestaciones digitales. Su enfoque de modelado orientado a objetos y su dise\u00f1o interoperable lo distinguen de los protocolos de la era SCADA. Transporta tres servicios de comunicaci\u00f3n distintos: GOOSE para mensajes r\u00e1pidos de control basados en eventos, Sampled Values (SV) para mediciones digitalizadas de corriente y voltaje desde merging units, y MMS para configuraci\u00f3n e intercambio de datos sobre TCP\/IP en el bus de estaci\u00f3n. Cada servicio tiene su propio transporte, sus propios requisitos de tiempo y su propio perfil de exposici\u00f3n. <\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t

\u00bfQu\u00e9 vectores de ataque apuntan a cada protocolo en campo?<\/h2>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Saber que un protocolo carece de autenticaci\u00f3n es distinto de saber espec\u00edficamente c\u00f3mo se explota. Los patrones de ataque var\u00edan seg\u00fan la arquitectura del protocolo. <\/p>

GOOSE (Generic Object-Oriented Substation Event):<\/strong> Servicio de mensajer\u00eda basado en eventos y modelo publisher-subscriber en IEC 61850, transmitido como tramas multicast Ethernet de Capa 2 con etiquetado VLAN para comunicaci\u00f3n r\u00e1pida de protecci\u00f3n y control en subestaciones digitales.<\/p>

Los mensajes GOOSE no tienen seguridad integrada. Al operar en la Capa 2 de Ethernet, carecen de las protecciones a nivel IP que MMS puede aprovechar. Cualquier atacante que obtenga acceso a la LAN puede ejecutar ataques de repetici\u00f3n, ataques de suplantaci\u00f3n, denegaci\u00f3n de servicio por flooding o denegaci\u00f3n de servicio mediante descarte de paquetes. Las tramas de Sampled Values de IEC 61850 comparten la misma exposici\u00f3n: al transmitirse como multicast de Capa 2 sin cifrado, pueden ser inspeccionadas, inyectadas o reproducidas por cualquiera dentro de la red local. <\/p>

Un atacante man-in-the-middle en el bus de proceso IEC 61850 puede inyectar tramas SV falsificadas que activen un disparo no deseado del rel\u00e9 al emular un cortocircuito trif\u00e1sico cercano. Alternativamente, un ataque de inyecci\u00f3n de datos falsos con suplantaci\u00f3n reemplaza muestras relacionadas con la falla por valores normales grabados, impidiendo la operaci\u00f3n del rel\u00e9 y permitiendo que una falla real persista sin ser detectada. Estos ataques coordinados multipar\u00e1metro, que preservan la consistencia f\u00edsica entre valores de corriente y voltaje, son significativamente m\u00e1s dif\u00edciles de detectar que las perturbaciones de un solo par\u00e1metro estudiadas en gran parte de la investigaci\u00f3n previa. <\/p>

MMS, al ejecutarse sobre TCP\/IP en el bus de estaci\u00f3n, genera una exposici\u00f3n diferente. Proporciona acceso a datos de configuraci\u00f3n y contenido SCL. Si esos datos se modifican, los atacantes pueden alterar configuraciones de protecci\u00f3n o par\u00e1metros l\u00f3gicos, un ataque de mayor privilegio que una simple inyecci\u00f3n de tr\u00e1fico. <\/p>

Los vectores de ataque en DNP3<\/strong> est\u00e1n m\u00e1s orientados a la operaci\u00f3n. Un ataque select-operate implica capturar y reproducir tanto el payload del comando Select como el del comando Operate, lo que potencialmente puede causar interrupciones de energ\u00eda en subestaciones objetivo. Un ataque de solicitud broadcast modifica el destino de la capa de enlace hacia la direcci\u00f3n broadcast, enviando c\u00f3digos de funci\u00f3n cr\u00edticos a todas las estaciones simult\u00e1neamente. Un ataque de deshabilitaci\u00f3n de respuestas no solicitadas impide que el maestro reciba actualizaciones espont\u00e1neas de la outstation, dejando efectivamente al centro de control sin visibilidad sobre eventos inesperados de campo sin activar una alarma evidente. <\/p>

En Modbus<\/strong>, la ausencia de cualquier mecanismo de autenticaci\u00f3n significa que cualquier dispositivo que pueda alcanzar el segmento de red puede leer registros, escribir valores de coils o emitir comandos. No hay sesi\u00f3n, no hay credencial y no hay verificaci\u00f3n de integridad del payload. <\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t\t\t
\t\t
\n\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t<\/path><\/svg>\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Mira un video sobre c\u00f3mo funciona CENTO<\/span><\/h3>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t

O lea qu\u00e9 es CENTO y c\u00f3mo transforma las operaciones empresariales en un gemelo digital unificado, brindando claridad sobre el consumo energ\u00e9tico, reducci\u00f3n de costos, crecimiento sostenible y mucho m\u00e1s en nuestro art\u00edculo.<\/p>\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t
Leer art\u00edculo <\/a><\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t<\/path><\/svg>\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Mira un video sobre c\u00f3mo funciona CENTO<\/span><\/h3>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t

O lea qu\u00e9 es CENTO y c\u00f3mo transforma las operaciones empresariales en un gemelo digital unificado, brindando claridad sobre el consumo energ\u00e9tico, reducci\u00f3n de costos, crecimiento sostenible y mucho m\u00e1s en nuestro art\u00edculo.<\/p>\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t
Leer art\u00edculo <\/a><\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t

\u00bfQu\u00e9 dicen los n\u00fameros sobre el desempe\u00f1o de los protocolos y la sobrecarga de seguridad?<\/h2>\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

El argumento contra a\u00f1adir seguridad a protocolos OT sensibles a la latencia suele plantearse en torno a la sobrecarga. Los datos medidos muestran una realidad m\u00e1s matizada. <\/p>

Para IEC 61850 GOOSE, el requisito de entrega tipo 1A es de 3 ms. La verificaci\u00f3n MAC de IEC 62351 utilizando AES-GMAC-128 a\u00f1ade una latencia promedio de procesamiento de 0,38 ms, con un m\u00e1ximo de 0,64 ms, muy dentro del presupuesto. Un IDS basado en reglas con validaci\u00f3n sem\u00e1ntica a\u00f1ade 0,25 ms en promedio y 0,40 ms como m\u00e1ximo. El enfoque h\u00edbrido que combina ambas capas a\u00f1ade 0,54 ms en promedio y 0,88 ms como m\u00e1ximo. Los tres permanecen dentro de la restricci\u00f3n de 3 ms. Estas mediciones se realizaron en un procesador modesto con 4 GB de RAM y sin optimizaciones a nivel de CPU, lo que sugiere que representan un l\u00edmite superior conservador para hardware desplegable. <\/p>

Los ataques de flooding contra GOOSE suelen operar a tasas muy superiores a los intervalos normales de estado estable: los escenarios probados alcanzaron aproximadamente 1000 Hz, mientras que el tr\u00e1fico GOOSE normal opera por debajo de 100 Hz. Esa diferencia es lo que aprovechan las reglas IDS basadas en umbrales de tiempo para la detecci\u00f3n. <\/p>

Para OPC UA, el perfil de desempe\u00f1o depende en gran medida de la operaci\u00f3n que se est\u00e9 realizando. Las lecturas de un solo nodo tienen una mediana de 3,0 ms. La enumeraci\u00f3n de variables, que requiere recorrido recursivo del \u00e1rbol, tiene una mediana de 103,9 ms y un p95 de 108,2 ms. Dos \u00f3rdenes de magnitud de diferencia. Las llamadas paralelas a herramientas cross-protocol reducen la latencia de 7,1\u20137,4 ms en modo secuencial a 3,7\u20133,8 ms, confirmando que la invocaci\u00f3n concurrente funciona correctamente en entornos multiprotocolo. <\/p>

Sistema brownfield:<\/strong> Instalaci\u00f3n industrial existente que contiene dispositivos legacy que no pueden actualizarse f\u00e1cilmente para soportar est\u00e1ndares modernos de seguridad, normalmente ubicados en zonas de seguridad aisladas para contener el riesgo.<\/p>

Modbus y adaptadores similares basados en polling operan en el rango bajo de milisegundos, con p95 por debajo de 3,3 ms, lo que los hace viables para flujos de polling sensibles a la latencia incluso cuando se encapsulan dentro de una capa de agregaci\u00f3n. El proxy de agregaci\u00f3n OPC UA SigmaServer logra una latencia extremo a extremo inferior a 2,6 ms, con procesamiento interno promedio de 21,15 \u00b5s, mientras consume solo entre 6 y 19 MiB de RAM frente a 105\u2013115 MiB del servidor de agregaci\u00f3n de referencia de la OPC Foundation. El uso de CPU se mantiene entre 0,75 % y 3,16 %. Ese perfil de recursos encaja con hardware OT limitado. <\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t