Seguridad OT 2026: Por qué IEC 62443 y el EU Cyber Resilience Act deben leerse juntos
OT-Security recibirá en 2026 un impulso regulatorio que muchos fabricantes aún subestiman. El Cyber Resilience Act de la UE requerirá a partir de junio de 2026 la notificación de vulnerabilidades para todos los productos digitales. La obligación del ciclo de vida entrará en vigor a partir de diciembre de 2027. IEC 62443 es el único estándar ampliamente utilizado que proporciona la infraestructura técnica para esto.
Lo más importante en resumen
- CRA + IEC 62443 son complementarios. El Cyber Resilience Act de la UE define lo que (Secure-by-Design, Handling de vulnerabilidades, Soporte post-venta). IEC 62443 proporciona cómo (Zonas, Conduits, Niveles de seguridad).
- Air-Gap ha sido un mito. En entornos de fabricación modernos, hay prácticamente no hay un verdadero Air-Gap. Cualquier conexión IIoT, acceso de mantenimiento remoto y supervisión a distancia rompe la división clásica.
- El modelo Purdue no es suficiente. La visión jerárquica de la producción de TI es demasiado rígida para las arquitecturas actuales. IEC 62443 trabaja con zonas basadas en riesgos que pueden extenderse horizontalmente a través de los niveles Purdue.
RelacionadoDORA 15 meses después: Lecciones de los primeros audits / Windows Defender: BlueHammer y RedSun activos
Qué IEC 62443 exige técnicamente
¿Qué es IEC 62443? La serie IEC 62443 es un estándar internacional para la ciberseguridad en sistemas de automatización e control industriales (IACS). Define roles (Propietario de activos, Integrador, Productor de productos), cuatro niveles de seguridad (SL 1 a SL 4), conceptos de zonas con conduits entre las zonas y un ciclo de vida completo desde análisis de riesgos hasta operación. Para empresas que se ven afectadas por el CRA, es el guía técnica para proyectar las obligaciones del CRA.
El núcleo práctico del estándar son dos conceptos. Primero: Zonas. Una zona es un grupo lógico de activos con requisitos de seguridad iguales. No tiene que estar alineada a fronteras físicas, sino que se orienta al perfil de riesgo. Un robot en la línea de producción A y un robot en la línea de producción B pueden estar en la misma zona si tienen las mismas necesidades de protección. Segundo: Conduits. Cualquier comunicación entre zonas se realiza a través de un conduit definido. Allí se aplica autenticación, filtro e inspección. Sin conduits, no hay comunicación permitida entre zonas.
Los niveles de seguridad se basan en los anteriores. SL 1 protege contra amenazas casuales, SL 2 contra ataques intencionales con métodos simples, SL 3 contra ataques con técnicas sofisticadas y recursos moderados, SL 4 contra ataques financieramente motivados con un alto nivel de recursos. Cada activo obtiene un valor SL objetivo derivado de la análisis de riesgos. La brecha entre el SL actual y el SL objetivo define la hoja de ruta de inversión.
¿Por qué el modelo Purdue 2026 está al borde de las fronteras?
El Purdue Enterprise Reference Architecture Model (PERA) ha dominado la discusión sobre seguridad OT durante muchos años. La perspectiva jerárquica con niveles 0 a 5 (proceso, control, supervisión, operaciones, empresa) fue un modelo práctico, hasta que las entornos de fabricación estaban claramente separados verticalmente. En 2026, la lógica ya no se ajusta perfectamente a la realidad. Los sensores IIoT envían datos directamente a la nube y saltan múltiples niveles. Las conexiones de mantenimiento remoto conectan a los técnicos externos con los sistemas de nivel 1. Las plataformas de gemelos digitales extraen datos brutas de las capas inferiores y los agregan en sistemas de análisis superiores.
IEC 62443 responde con el modelo de zonas. Los activos se agrupan según su necesidad de protección, no según su nivel jerárquico. Esto permite estructuras flexibles: Una estación de trabajo de ingeniería puede estar en una zona diferente a la estación de trabajo HMI adyacente, si sus necesidades de protección son diferentes. Un gateway de nube puede permanecer dentro de la zona de red de fabricación, si sus conductos están bien definidos. La implementación es más compleja, pero se alinea mejor con la realidad actual.
Muchos pequeños y medianos empresas han construido en los últimos años una mezcla de la terminología Purdue y análisis de riesgos puntuales debido a limitaciones de recursos. Con CRA y NIS2, esta forma intermedia se convertirá en un obstáculo de cumplimiento en 2026. Las conversaciones de supervisión piden definiciones de zonas claras, no diagramas de niveles. Quien no tiene una cartografía de zonas recibirá vulnerabilidades documentadas en informes de auditoría.
La buena noticia: La transición del modelo Purdue a los modelos de zonas IEC-62443 no es un reinicio completo. Los segmentos de red existentes se pueden traducir a zonas tan pronto como los requisitos de protección por activo estén documentados. El salto conceptual está en la mentalidad: En lugar de agrupar por jerarquías, se agrupa por perfiles de riesgo. Esto hace la diferencia en conversaciones de auditoría y en la respuesta a incidentes concretos, ya que los atacantes rara vez atacan de manera jerárquica. Buscan vulnerabilidades donde las encuentran.
¿Qué significa la práctica del air-gap legacy?
El compromiso de air-gap ha desvanecido en los últimos cinco años en la mayoría de los operadores de producción alemanes. Las causas son claras: el mantenimiento predictivo requiere flujos de datos a la nube, el soporte remoto de los fabricantes requiere acceso a las instalaciones, la garantía digital requiere la extracción de datos de medición de las líneas y la contabilidad operativa requiere datos de consumo y producción en tiempo real. Cada una de estas conexiones desencadena una parte del air-gap.
La realidad es que los modernos redes OT están conectados a través de numerosas interfaces con sistemas IT y socios externos. La línea de separación no se encuentra ya entre IT y OT, sino entre diferentes zonas de riesgo dentro de un mismo red. El desafío de los equipos de seguridad es definir explícitamente estas zonas, supervisar los conductos entre ellas y detectar pronto los ataques que atraviesan las zonas.
¿Dónde falla la seguridad OT en 2026?
- Asunción de air-gap sin realizar una isla de red
- Inventario de activos OT no actualizado
- Accesos remotos sin MFA y sin auditoría de sesiones
- Gestión de revisiones sin procesos OT específicos
¿Qué caracteriza los setups conformes con IEC-62443?
- Modelo de zonas con análisis de riesgos documentado
- Conductos con autenticación y filtro de protocolos
- SIEM OT específico con soporte de protocolos para Modbus, OPC UA
- Gestión de vulnerabilidades continua también para dispositivos legacy
El proceso de gestión de revisiones OT es uno de los factores de éxito subestimados. Las revisiones de IT clásicas se llevan a cabo en ritmo semanal, pero los sistemas OT no pueden soportar esto. Una línea de producción productiva que se revisa todos los siete días corre el riesgo de problemas de calidad y disponibilidad. El enfoque IEC-62443 es integrar revisiones en ventanas de mantenimiento, aumentar medidas compensatorias (segmentación, monitoreo) para vulnerabilidades críticas y tomar decisiones de riesgo documentadas. El anti-patrón es implementar revisiones urgentes sin consultar a las partes responsables de la producción.
¿Cómo los equipos de seguridad pueden comenzar ahora?
Para los equipos de seguridad que se verán sometidos al presupuesto de CRA en 2026 o que deben cumplir con las obligaciones de registro NIS2, se ha establecido un plan de cuatro fases. Primera fase: inventario de activos. ¿Quién tiene qué dispositivos, qué estado de firmware, qué conexiones de red, qué dependencias con socios externos. Sin este fundamento, cualquier decisión posterior estará basada en conjeturas. Segunda fase: análisis de riesgos por clúster de activos. ¿Qué escenarios de amenazas son realistas, qué fallos serían relevantes para el negocio, qué niveles de seguridad son necesarios. Tercera fase: diseño de zonas y definición de conductos. Aquí se adaptan los conceptos IEC-62443 a la propia entorno. Cuarta fase: implementación técnica y operación continua.
La tercera fase es a menudo el punto de congestionamiento, ya que requiere una lengua común entre el IT de seguridad, los ingenieros de OT y los encargados de la producción. Mientras que el IT de seguridad piensa en firewalls y políticas de acceso, el OT se centra en interfaces y ritmos de mantenimiento, y los encargados de la producción en disponibilidad y rendimiento. El formato de taller compartido con las tres agrupaciones es la metodología más práctica. Generalmente se requiere trabajo intensivo durante tres a cinco días, acompañado por dos a cuatro semanas de posterior procesamiento, para crear una primera carta topográfica de zonas sólidas.
Un elemento a menudo pasado por alto en la tercera fase es la documentación de los conductos. Cada comunicación entre zonas debe ser registrada en una lista, incluyendo el protocolo, la frecuencia, los activos afectados y las responsabilidades. Esta lista es solicitada explícitamente por los auditores y es la base para cualquier futura expansión. Quien no documente los conductos pierde el control de los áreas vulnerables a los ataques, especialmente cuando nuevas conexiones se introducen. Una lista en constante evolución es más importante que una única gráfica bonita, ya que la realidad de OT cambia continuamente y nuevas conexiones se generan constantemente.
La tecnología ha mejorado considerablemente para 2026. Firewalls específicos para OT, sistemas de detección de intrusiones en red y SIEMs están disponibles, a menudo con soporte para los protocolos OT comunes (Modbus, OPC UA, PROFINET, EtherNet/IP). Proveedores como Claroty, Nozomi Networks, Dragos, Tenable OT o Cisco Cyber Vision cubren las necesidades. La elección depende de la infraestructura existente y del tamaño del panorama OT. Para empresas medianas con un número manejable de plantas, una solución integrada suficiente, mientras que grandes corporaciones suelen adoptar una estrategia de multi-vendor.
Lo que es importante entre CRA y el impacto en el mercado en 2026
Las fronteras de la CRA transforman la discusión sobre seguridad de OT de un «nice-to-have» a una obligación del mercado. A partir de junio de 2026, todos los productos digitales en el mercado EU deben tener rutas de informes de vulnerabilidades y documentar las debilidades en plazos específicos. A partir de diciembre de 2027, la obligación de soporte de ciclo de vida entrará en vigor. Los fabricantes deben proporcionar actualizaciones durante un período establecido, y los propietarios de activos deben poder demostrar que implementan estas actualizaciones. El IEC 62443 ofrece el único marco técnico ampliamente acceptado que operationaliza estas obligaciones.
Para los compradores de sistemas OT, esto significa que las convocatorias de 2026 cambiarán. Las certificaciones IEC-62443 del fabricante se verán solicitadas, y la conformidad con la CRA debe ser demostrada. Los procesos de manejo de vulnerabilidades deben formar parte de la oferta. Los fabricantes que no puedan proporcionar esta documentación se excluirán de las convocatorias. Los propietarios de activos que no exijan estos requisitos en sus proveedores encontrarán problemas en sus propias auditorías, ya que tendrán que compensar las debilidades que el fabricante no proporciona.
Otra dimensión es la función de los proveedores externos. Muchas empresas manufactureras alemanas contratan mantenimiento, soporte remoto e incluso partes de su monitoreo de seguridad a terceros. Estos proveedores están sujetos a las cláusulas de cadena de suministro NIS2, si su rendimiento es relevante para el funcionamiento de instalaciones críticas. Los propietarios de activos deben evaluar la práctica de seguridad de sus proveedores y documentarla en addendas contractuales. Quienes no lo hacen de manera proactiva, asumirán en sus auditorías las debilidades de sus proveedores.
Además, se desarrolla el panorama de certificación. La CRA se subyectará a Schemata propios por parte del Grupo Europeo de Certificación de Ciberseguridad (ECCG), y el IEC 62443 presentará certificados ISA-Secure para productos e instalaciones. Estos certificados se verán solicitados en contratos B2B. Los fabricantes que no tengan certificados adecuados antes de finales de 2026 perderán las convocatorias. Los propietarios de activos que no exijan estos certificados asumirán riesgos de cumplimiento ocultos.
El último aspecto es la dimensión de la cadena de suministro. Los sistemas OT se comprenden por miles de componentes de diferentes fuentes. El Software Bill of Materials (SBOM) se convertirá en un artefacto estándar para 2026 para crear transparencia sobre los componentes utilizados. Los equipos de seguridad que manejen correctamente los SBOM y los verifiquen contra feeds de vulnerabilidades pueden identificar las debilidades en su inventario más rápidamente. Sin la disciplina de SBOM, las nuevas CVEs en componentes OT pueden pasar desapercibidas durante semanas o meses.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿También los pequeños y medianos emprendedores necesitan una conformidad con IEC-62443?
Normalmente no necesitan ser certificados directamente. Pero una vez que comercialicen productos bajo la CRA en el mercado EU o formen parte de cadenas de suministro con operadores de sistemas críticos, las concepturas de IEC-62443 se verán solicitadas en las auditorías de los clientes. La aplicación del estándar sin una certificación formal es generalmente el camino más práctico.
¿Cómo diferencio zonas de segmentos de red clásicos?
Los segmentos de red son separados técnicamente, a menudo a través de VLANs o enrutadores físicamente separados. Las zonas son grupos lógicos con requisitos de protección comunes y pueden estar técnicamente en diferentes segmentos de red. Una zona puede incluir múltiples segmentos o viceversa. La asignación se realiza basándose en el análisis de riesgos.
¿Con qué frecuencia debo actualizar el mapa de zonas?
Minimamente anualmente, o con cualquier cambio significativo en la infraestructura de TI o producción. Nuevas conexiones IIoT, accesos remotos adicionales, nuevas instalaciones o cambios en los procesos comerciales pueden alterar el contexto de riesgo. Una actualización sin un motivo justificado después de más de dos años documenta una práctica de gobernanza débil.
¿Cuál es el papel de la MFA en redes OT?
Un papel cada vez mayor. Los puntos de acceso de HMI clásicos en la producción suelen tener solo autenticación básica. En 2026, la MFA se convertirá en la norma para accesos remotos, trabajos de ingeniería y cuentas de técnicos de servicio. Su implementación es técnicamente viable y se requiere en zonas IEC 62443-SL-3.
¿Cuál es el paso más importante para los equipos de seguridad en los próximos seis meses?
Inventario de activos y auditoría de accesos remotos. Sin un inventario de activos actualizado, no se puede realizar un análisis de riesgos efectivo. Sin una auditoría de accesos remotos, no se puede obtener una visión clara de las superficies de ataque existentes. Ambos pueden completarse dentro de un cuarto de tiempo con un esfuerzo moderado y forman la base para todos los pasos siguientes.
Más de la red MBF Media
cloudmagazinPlatform Engineering 2026: Backstage, rutas doradas e IDP…MyBusinessFutureBajo código en pymes: gobernanza, éxito o caosDigital ChiefsResiliencia TI 2026: Por qué DORA, NIS2 e ISO 22301 deben integrarse en un marco único


