Inicio Blog IIoT
IIoT

Cómo acceder remotamente a un PLC Siemens S7-1200 de forma segura usando VPN

9 de junio de 2026 · TEKJUY
Cómo acceder remotamente a un PLC Siemens S7-1200 de forma segura usando VPN

Introducción

Hay una situación que se repite constantemente en plantas del NOA: el PLC está en Jujuy, Salta o Tucumán, y el ingeniero o el integrador necesita acceder desde otra ciudad para hacer un diagnóstico, ajustar un parámetro o revisar el estado del proceso. La solución improvisada suele ser la misma: abrir un puerto en el router del ISP y apuntar directo al PLC.

Es funcional. Y es un error.

Un PLC expuesto directamente a internet es un objetivo conocido. Herramientas públicas como Shodan indexan dispositivos industriales en minutos, y el protocolo S7comm tiene vulnerabilidades documentadas desde hace años. El S7-1200 tiene protección de acceso, sí, pero no está diseñado para resistir ataques desde internet.

La solución correcta es otra: un túnel VPN terminado en un router de seguridad industrial, que actúa como barrera entre internet y la red del PLC. El dispositivo pensado exactamente para eso es el Siemens SCALANCE S615.

La arquitectura correcta

Antes de entrar en configuración, vale la pena entender el modelo de seguridad que vamos a implementar.

[Tu PC - Córdoba / Buenos Aires]
        |
     Internet
        |
  Router ISP (Jujuy)
  Puerto UDP 500/4500 abierto hacia el S615
        |
  SCALANCE S615  ← termina el túnel VPN, firewall, NAT
        |
  PLC S7-1200 (ej: 192.168.1.10)

Tu PC establece un túnel VPN cifrado con el S615. Una vez activo ese túnel, tu máquina queda virtualmente dentro de la red de la planta. Desde ahí podés acceder al webserver del PLC, conectar TIA Portal para diagnóstico online, o correr Node-RED localmente — exactamente igual que si estuvieras sentado en la planta.

El PLC nunca ve internet. Solo ve tu PC, que llegó a través del túnel autenticado.

Qué es el SCALANCE S615 y por qué importa

El SCALANCE S615 es un router de seguridad industrial de Siemens, parte de la línea SIMATIC NET. No es un router hogareño ni de oficina: fue diseñado específicamente para proteger redes de automatización.

Sus capacidades clave para este caso de uso son:

  • Firewall stateful inspection — analiza el estado de cada conexión, no solo el paquete individual
  • VPN IPsec con hasta 20 conexiones simultáneas — cifrado AES-256, autenticación por certificados X.509v3 o clave precompartida
  • NAT/NAPT — oculta la topología interna de la red industrial
  • Cliente DDNS — mantiene actualizado el nombre de dominio aunque la IP del ISP cambie
  • Cliente SINEMA Remote Connect — acceso remoto sin necesidad de IP pública fija ni puertos abiertos
  • Switch de 5 puertos integrado — conecta el PLC y otros dispositivos de planta directamente
  • Rango de temperatura operativo de -40 °C a +70 °C, apto para tableros industriales sin climatización

Paso 1: Configurar la VPN en el SCALANCE S615

La configuración del S615 se hace desde su interfaz web (WBM — Web Based Management), accesible por HTTPS en la IP de gestión del dispositivo.

1.1 Definir la interfaz WAN y LAN

En el S615, el puerto P5 suele usarse como WAN (conectado al router del ISP) y los puertos P1–P4 como LAN (donde conectás el PLC). Esto se configura en Interfaces > Ports.

1.2 Configurar IPsec VPN

Ir a Security > VPN > IPsec. Crear un nuevo perfil de conexión con los siguientes parámetros recomendados:

  • Modo: Tunnel mode
  • Autenticación: Preshared Key para empezar (podés migrar a certificados X.509v3 más adelante)
  • Cifrado fase 1 (IKE): AES-256, SHA-256, Diffie-Hellman grupo 14 o superior
  • Cifrado fase 2 (IPsec): AES-256, SHA-256
  • Red local protegida: el rango de la LAN industrial, ej. 192.168.1.0/24
  • Red remota: el rango de la PC que se va a conectar, o 0.0.0.0/0 si usás road warrior

1.3 Configurar DDNS (si la IP del ISP es dinámica)

Ir a System > DNS > Dynamic DNS. El S615 tiene cliente DDNS integrado compatible con servicios como No-IP o DynDNS. Registrá un dominio gratuito (ej. planta-jujuy.ddns.net) y configuralo acá. El S615 va a actualizar el registro automáticamente cada vez que cambie la IP pública.

Paso 2: Configurar el cliente VPN en Windows

Una vez que el S615 está listo, configurás la conexión VPN en la PC que va a acceder remotamente.

2.1 Crear la conexión VPN en Windows 10/11

Ir a Configuración > Red e Internet > VPN > Agregar una conexión VPN:

  • Proveedor VPN: Windows (integrado)
  • Nombre de la conexión: Planta Jujuy
  • Nombre o dirección del servidor: la IP pública del ISP o el dominio DDNS (planta-jujuy.ddns.net)
  • Tipo de VPN: IKEv2
  • Tipo de información de inicio de sesión: Nombre de usuario y contraseña (o certificado)

Guardás y probás la conexión manualmente primero. Si el túnel levanta correctamente, deberías poder hacer ping a 192.168.1.10 (la IP del PLC) desde tu PC en Córdoba.

2.2 Configurar conexión automática al iniciar Windows

Para que la VPN conecte sola sin intervención del usuario, creás un script PowerShell y lo programás como tarea de inicio:

# conectar_vpn.ps1
$vpnName = "Planta Jujuy"
$usuario = "usuario_vpn"
$clave   = "contraseña_segura"

$estado = Get-VpnConnection -Name $vpnName
if ($estado.ConnectionStatus -ne "Connected") {
    rasdial $vpnName $usuario $clave
}

Abrís el Programador de tareas de Windows y creás una tarea nueva:

  • Desencadenador: Al iniciar sesión
  • Acción: Iniciar un programa → powershell.exe
  • Argumentos: -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\VPN\conectar_vpn.ps1"

A partir de ahí, cada vez que el usuario inicia sesión en Windows, el túnel VPN se levanta automáticamente en segundo plano.

Nota de seguridad: no guardes la contraseña en texto plano en el script en producción. Usá Windows Credential Manager para almacenarla cifrada y recuperarla desde PowerShell con Get-StoredCredential.

Paso 3: Acceder al webserver del S7-1200

Con el túnel VPN activo desde tu PC, el acceso al PLC es idéntico a estar en la misma red física de la planta.

3.1 Habilitar el webserver en TIA Portal

En el proyecto TIA Portal, ir a las propiedades de la CPU → Web server:

  • Activar “Activar web server en este módulo”
  • Definir los usuarios y sus niveles de acceso (lectura, operador, administrador)
  • Compilar y descargar los cambios al PLC

3.2 Acceder desde el navegador

Con la VPN conectada, abrís tu navegador y escribís:

https://192.168.1.10

El navegador va a mostrar el webserver embebido del S7-1200 con el login de usuario. Desde ahí podés ver el estado de variables, tablas de observación, diagnósticos del módulo y las páginas personalizadas que hayas programado en TIA Portal.

3.3 Diagnóstico online desde TIA Portal

También podés abrir TIA Portal en tu PC en Córdoba, ir a Online > Acceder al dispositivo y conectarte al PLC por su IP 192.168.1.10 exactamente igual que si tuvieras un cable Ethernet en la planta. Podés hacer go online, monitorear bloques, ajustar variables de forzado — todo a través del túnel.

Alternativa más robusta: SINEMA Remote Connect

Si el acceso remoto va a ser frecuente, hay varios técnicos involucrados, o la IP del ISP en la planta es dinámica y preferís no depender de DDNS, la solución más prolija es SINEMA Remote Connect (SINEMA RC).

La diferencia fundamental con la configuración anterior es que el S615 no espera conexiones entrantes — él mismo llama hacia afuera al servidor SINEMA RC. Esto tiene implicancias importantes:

  • No hace falta abrir ningún puerto en el router del ISP de la planta
  • No importa si la IP del ISP cambia — el S615 siempre llama hacia afuera
  • El acceso de los técnicos se gestiona desde un portal web centralizado, donde podés crear usuarios, asignar permisos por máquina y ver el historial de conexiones
  • Cada sesión remota queda auditada: quién se conectó, a qué hora y por cuánto tiempo
[Tu PC]  →  Portal SINEMA RC (Siemens)  →  VPN  →  S615  →  PLC

El S615 requiere un KEY-PLUG SINEMA RC (accesorio de licencia) para activar esta funcionalidad. Para plantas con varios técnicos o clientes con múltiples instalaciones distribuidas, es la opción más profesional.

Modelo de seguridad en capas

Vale la pena entender que la VPN y la seguridad del PLC no son alternativas — son capas complementarias que se refuerzan mutuamente:

CapaMecanismoQué protege
1 — RedVPN IPsec en S615Nadie sin credenciales VPN llega siquiera a ver la red del PLC
2 — PLCProtección de CPU en TIA PortalAunque alguien llegue a la red, no puede programar ni leer sin contraseña
3 — WebserverUsuarios y roles del webserverAcceso a la interfaz web con permisos diferenciados por rol

Este modelo sigue el principio de defensa en profundidad, el estándar recomendado por la norma IEC 62443 para ciberseguridad en sistemas de control industrial.

Algunas configuraciones adicionales que recomendamos activar en TIA Portal antes de poner en producción:

  • Nivel de protección de CPU al máximo que permita la aplicación
  • Deshabilitar PUT/GET si no lo usás (Propiedades CPU > Protección > Acceso PUT/GET)
  • Usuarios del webserver con el mínimo privilegio necesario — no usar el usuario administrador para operación diaria
  • Firmware del S7-1200 actualizado a la última versión disponible

Conclusión

Acceder remotamente a un PLC no tiene por qué implicar un riesgo de seguridad. Con el SCALANCE S615 como punto de terminación VPN, el S7-1200 nunca queda expuesto a internet: solo es accesible desde dentro del túnel cifrado, autenticado y auditado.

El flujo es simple una vez configurado: la PC del técnico levanta la VPN automáticamente al iniciar Windows, y desde ese momento acceder al webserver del PLC o conectar TIA Portal es exactamente igual que estar sentado en la planta — con la diferencia de que podés estar en cualquier lugar del país.

Para plantas del NOA donde la distancia entre el integrador y la instalación puede ser de cientos de kilómetros, este tipo de arquitectura no es un lujo: es la diferencia entre resolver un problema en 10 minutos o mandar un técnico en un viaje de medio día.

¿Tenés un S7-1200 en una planta remota y necesitás acceso seguro? En TEKJUY diseñamos e implementamos arquitecturas de acceso remoto para instalaciones industriales del NOA. Contactanos.