Antonio Manzanares (AEINSE): “La ciberseguridad en el IoT es un requisito legal”

El Internet de las Cosas (IoT, por sus siglas en inglés) no debe entenderse como una tecnología aislada, sino como una “infraestructura crítica conectada”. Así lo ha advertido Antonio Manzanares, socio de la Asociación Española de Ingenieros de Seguridad (AEINSE), durante su ponencia Ciberseguridad e integración IoT: ¿Cómo influye? en SICUR Cyber, espacio organizado por Seguritecnia y Red Seguridad, con la colaboración de la Fundación Borredá, en el marco del Salón Internacional de la Seguridad (SICUR) de Madrid.

Riesgos reales: de los dispositivos a la nube

El crecimiento exponencial de las conexiones IoT ha traído consigo un aumento de incidentes y vulnerabilidades críticas. Según el ponente, los riesgos reales en este ecosistema nacen en cuatro puntos clave:

• Dispositivos. Muchas veces cuentan con software interno (firmware) sin medidas de seguridad, contraseñas de fábrica imposibles de cambiar y puertos abiertos que facilitan el acceso no deseado. Además, el hardware antiguo suele ser técnicamente imposible de parchear.
• Red. Los protocolos de comunicación antiguos no cifran la información ni garantizan que los datos viajen de forma segura.
• Integración entre IT y OT. Manzanares advirtió sobre el peligro de no aislar correctamente las redes. Un error común es conectar los sistemas de control de la planta (SCADA o PLC) a la misma red de usuarios o directorios de la oficina, lo que permite que un ataque en la parte administrativa salte directamente a la maquinaria de producción.
• Cloud IoT. El uso de interfaces de conexión (API) expuestas públicamente o de gestores de mensajería (brokers MQTT) mal protegidos deja una puerta abierta para que atacantes externos intercepten el control de los sistemas desde Internet.

Además, el experto puso especial énfasis en el acceso remoto como el principal vector de entrada de incidentes industriales en la actualidad. La realidad de muchas plantas, donde conviven sistemas antiguos de más de 20 años con protocolos inseguros y nubes que acceden directamente a datos de operación, genera un “perímetro poroso” difícil de gestionar con herramientas tradicionales como firewalls o SIEM.

Ciberseguridad IoT: cumplimiento normativo

Uno de los puntos clave de su intervención fue el repaso al nuevo marco regulatorio, donde la ciberseguridad pasa de ser una recomendación técnica a una obligación de conformidad a través de una hoja de ruta que incluye las siguientes normas:

• Directiva NIS 2. Aprobada en 2024 y en fase de trasposición en España, se centra en las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (UE).
• Reglamento Delegado RED-DA. Entró en vigor en 2025, es de obligado cumplimiento y establece requisitos estrictos de ciberseguridad para casi todos los dispositivos inalámbricos comercializados en la UE.
• Ley de Ciberresiliencia (Cyber Resilience Act). Se aplicará en 2027 y convertirá a la ciberseguridad en un requisito indispensable para el marcado CE de productos con elementos digitales.

Los cinco pilares de la resiliencia industrial

Para finalizar, el representante de AEINSE resumió la hoja de ruta de la ciberseguridad necesaria para cualquier entorno industrial en cinco pilares fundamentales:

1. Inventario: Conocer con precisión qué activos existen y cómo son sus comunicaciones.
2. Segmentación: Aislar lo crítico de lo expuesto para limitar el impacto de posibles incidentes.
3. Acceso remoto: Implementar conexiones estrictamente vía servidores de salto (jump servers) con autenticación de doble factor (MFA) y trazabilidad total.
4. Monitorización: Lograr visibilidad total de las anomalías en la red de operación (OT).
5. Gestión de vulnerabilidades: Contar con una planificación de parches o medidas compensatorias, como el parcheado virtual (virtual patching), para proteger sistemas que no pueden actualizarse físicamente.