¿Está obsoleto el modelo de zonas y conductos?
Hacia un enfoque de segmentación industrial basado en VLANs**
La ciberseguridad industrial vive un momento de transformación acelerada. El aumento de la conectividad OT, la adopción de redes basadas en IP, la integración con servicios cloud y la presión por modernizar entornos legacy están obligando a revisar conceptos tradicionales que han estado vigentes durante dos décadas. Entre ellos, uno de los más relevantes es el modelo de zonas y conductos definido por la serie de estándares ISA/IEC 62443, pilar fundamental del diseño seguro en entornos industriales.
Pero ¿sigue siendo suficiente este enfoque en 2026? ¿O ha llegado el momento de evolucionar hacia una segmentación más granular, cercana a modelos de microsegmentación basados en VLANs y políticas dinámicas?
A continuación, analizamos esta cuestión desde una perspectiva técnica y actualizada.
1. El modelo de zonas y conductos: sólido, pero limitado ante la hiperconectividad moderna
El modelo de zonas (agrupaciones lógicas de activos con requisitos de seguridad comunes) y conduits (canales de comunicación controlados entre zonas) sigue siendo la base conceptual del estándar ISA/IEC 62443 para proteger sistemas de automatización industrial y control (IACS).
Según Cisco, el estándar proporciona un marco claro para organizar activos OT siguiendo principios como mínimo privilegio y defensa en profundidad. [cisco.com]
Del mismo modo, publicaciones como Advanced Manufacturing destacan que la segmentación mediante zonas y conduits continúa siendo eficaz para dividir redes industriales y limitar la propagación de amenazas en entornos muy automatizados. [advancedma…turing.org]
Sin embargo, el modelo fue concebido para entornos en los que:
- Las comunicaciones eran principalmente deterministas.
- La conectividad externa era limitada.
- Los flujos OT estaban bien definidos y estáticos.
- La convergencia IT/OT era marginal.
Hoy, esas premisas ya no se cumplen.
2. ¿Por qué empieza a quedarse corto el modelo tradicional?
La rápida adopción de IP en OT, la proliferación de sensores IoT/IIoT, la explosión del acceso remoto seguro y la demanda de telemetría avanzada han hecho que las redes industriales sean mucho más dinámicas que hace 10 años.
Limitaciones identificadas por la industria:
2.1. Segmentar solo en Layer 3 ya no es suficiente
El propio análisis de Elisity sobre los cambios en IEC 62443 para 2025 subraya que los métodos clásicos de segmentación basada en zonas y conduits “tienen dificultades para adaptarse a la complejidad actual” y que es necesario introducir microsegmentación por debajo de la capa 3, especialmente en entornos híbridos con tráfico IP y no IP coexistiendo en la misma planta. [elisity.com]
2.2. La segmentación estática no escala con la dinámica actual OT
Los flujos industriales ya no son tan estables como antes:
- Integraciones con cloud OT.
- Accesos remotos que cambian por turnos.
- Mantenimiento predictivo basado en IA.
- Dispositivos autodescubribles.
El modelo clásico no contempla bien esta movilidad lógica.
2.3. La coexistencia de sistemas legacy complica aún más la segmentación
Los sistemas IACS pueden superar los 20 años de vida, con dispositivos que no soportan autenticación avanzada ni reconfiguración dinámica, tal como recoge el análisis de IEC 62443-2-1 de 2024 citado por Elisity. [elisity.com]
3. ¿Es el momento de pasar a un enfoque basado en VLANs?
No se trata de sustituir el modelo de zonas y conduits, sino de adaptarlo al entorno IP actual.
Las VLAN permiten:
- Segmentar a nivel de Layer 2 con mayor granularidad.
- Crear dominios de broadcast independientes.
- Controlar flujos sin necesidad de reconfigurar todo el enrutamiento.
- Implementar políticas dinámicas con autenticación.
- Integrar Zero Trust con microsegmentación o identidad de dispositivo.
El enfoque ampliamente adoptado en IT se traslada ahora a OT, pero con particularidades:
3.1. VLANs ≠ zonas, pero pueden implementarlas físicamente
Una VLAN puede corresponder a una zona OT siempre que su definición responda a:
- un riesgo definido,
- un nivel de seguridad deseado,
- un análisis de criticidad,
tal como exige ISA/IEC 62443.
Rockwell Automation remarca que el estándar sigue siendo válido, siempre que se aplique con una perspectiva realista al ecosistema OT actual. [rockwellau…mation.com]
3.2. Microsegmentación y Zero Trust entran en juego
Las tendencias emergentes en 62443 ponen énfasis en:
- segmentación por identidad,
- políticas dinámicas,
- inspección continua del tráfico entre zonas,
- reglas de acceso basadas en comportamiento,
según el análisis de 2025 del estándar. [elisity.com]
Esto acerca el modelo OT al diseño moderno de redes IT, donde VLANs + ACL políticas + Zero Trust crean una matriz dinámica de acceso.
3.3. VLANs pueden representar conduits de forma más flexible
Un conduit puede implementarse como:
- enlaces entre switches,
- túneles cifrados,
- firewalls virtualizados entre VLANs,
- segmentación definida por software (SDSN/SDN).
4. ¿Conclusión?
El modelo clásico no está obsoleto, pero sí incompleto para 2026**
ISA/IEC 62443 sigue siendo el marco imprescindible para diseñar seguridad en entornos OT.
No está obsoleto, pero sí necesita apoyarse en mecanismos modernos como VLANs, microsegmentación y políticas dinámicas.
El modelo que funciona en 2026 es híbrido:
- Zonas = lógica de riesgo
- VLANs = implementación física/virtual
- Conduits = firewalls + SDN + monitoreo + Zero Trust
- Microsegmentación = granularidad por identidad, no solo por red
Los fabricantes y organismos reguladores ya lo están empujando en esa dirección, y las actualizaciones recientes de IEC 62443 no hacen sino confirmarlo.
