{"id":12808,"date":"2026-04-20T12:00:00","date_gmt":"2026-04-20T12:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/23\/seguridad-ot-2026-por-que-iec-62443-y-el-eu-cyber-resilience\/"},"modified":"2026-07-09T17:00:51","modified_gmt":"2026-07-09T17:00:51","slug":"seguridad-ot-2026-por-que-iec-62443-y-el-eu-cyber-resilience","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/04\/20\/seguridad-ot-2026-por-que-iec-62443-y-el-eu-cyber-resilience\/","title":{"rendered":"Seguridad OT 2026: Por qu\u00e9 IEC\u202f62443 y el EU Cyber Resilience Act deben leerse juntos"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">8 min. de lectura<\/p>\n<p><strong>OT-Security recibir\u00e1 en 2026 un impulso regulatorio que muchos fabricantes a\u00fan subestiman. El Cyber Resilience Act de la UE requerir\u00e1 a partir de junio de 2026 la notificaci\u00f3n de vulnerabilidades para todos los productos digitales. La obligaci\u00f3n del ciclo de vida entrar\u00e1 en vigor a partir de diciembre de 2027. IEC 62443 es el \u00fanico est\u00e1ndar ampliamente utilizado que proporciona la infraestructura t\u00e9cnica para esto.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">CRA + IEC 62443 son complementarios.<\/strong> El Cyber Resilience Act de la UE define lo que (Secure-by-Design, Handling de vulnerabilidades, Soporte post-venta). IEC 62443 proporciona c\u00f3mo (Zonas, Conduits, Niveles de seguridad).<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Air-Gap ha sido un mito.<\/strong> En entornos de fabricaci\u00f3n modernos, hay pr\u00e1cticamente no hay un verdadero Air-Gap. Cualquier conexi\u00f3n IIoT, acceso de mantenimiento remoto y supervisi\u00f3n a distancia rompe la divisi\u00f3n cl\u00e1sica.<\/li>\n<li><strong style=\"color:#69d8ed;\">El modelo Purdue no es suficiente.<\/strong> La visi\u00f3n jer\u00e1rquica de la producci\u00f3n de TI es demasiado r\u00edgida para las arquitecturas actuales. IEC 62443 trabaja con zonas basadas en riesgos que pueden extenderse horizontalmente a trav\u00e9s de los niveles Purdue.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/04\/17\/dora-tras-15-meses-lo-que-los-equipos-de-seguridad-en\/\" style=\"color:#333;text-decoration:underline;\">DORA 15 meses despu\u00e9s: Lecciones de los primeros audits<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/04\/21\/windows-defender-bajo-fuego-bluehammer-y-redsun-explotados\/\" style=\"color:#333;text-decoration:underline;\">Windows Defender: BlueHammer y RedSun activos<\/a><\/p>\n<h2>Qu\u00e9 IEC 62443 exige t\u00e9cnicamente<\/h2>\n<p><strong>\u00bfQu\u00e9 es IEC 62443?<\/strong> La serie IEC 62443 es un est\u00e1ndar internacional para la ciberseguridad en sistemas de automatizaci\u00f3n e control industriales (IACS). Define roles (Propietario de activos, Integrador, Productor de productos), cuatro niveles de seguridad (SL 1 a SL 4), conceptos de zonas con conduits entre las zonas y un ciclo de vida completo desde an\u00e1lisis de riesgos hasta operaci\u00f3n. Para empresas que se ven afectadas por el CRA, es el gu\u00eda t\u00e9cnica para proyectar las obligaciones del CRA.<\/p>\n<p>El n\u00facleo pr\u00e1ctico del est\u00e1ndar son dos conceptos. Primero: Zonas. Una zona es un grupo l\u00f3gico de activos con requisitos de seguridad iguales. No tiene que estar alineada a fronteras f\u00edsicas, sino que se orienta al perfil de riesgo. Un robot en la l\u00ednea de producci\u00f3n A y un robot en la l\u00ednea de producci\u00f3n B pueden estar en la misma zona si tienen las mismas necesidades de protecci\u00f3n. Segundo: Conduits. Cualquier comunicaci\u00f3n entre zonas se realiza a trav\u00e9s de un conduit definido. All\u00ed se aplica autenticaci\u00f3n, filtro e inspecci\u00f3n. Sin conduits, no hay comunicaci\u00f3n permitida entre zonas.<\/p>\n<p>Los niveles de seguridad se basan en los anteriores. SL 1 protege contra amenazas casuales, SL 2 contra ataques intencionales con m\u00e9todos simples, SL 3 contra ataques con t\u00e9cnicas sofisticadas y recursos moderados, SL 4 contra ataques financieramente motivados con un alto nivel de recursos. Cada activo obtiene un valor SL objetivo derivado de la an\u00e1lisis de riesgos. La brecha entre el SL actual y el SL objetivo define la hoja de ruta de inversi\u00f3n.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#003340;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#fff;letter-spacing:-0.03em;\">Junio 2026<\/div>\n<div style=\"font-size:15px;color:#fff;margin-top:8px;max-width:480px;margin-left:auto;margin-right:auto;line-height:1.5;\">Fecha l\u00edmite para la obligaci\u00f3n de notificaci\u00f3n de vulnerabilidades del CRA. Todos los productos digitales en el mercado de la UE deben notificar sus vulnerabilidades y tener rutas de actualizaci\u00f3n desde este punto. La obligaci\u00f3n de soporte del ciclo de vida entrar\u00e1 en vigor en diciembre de 2027.<\/div>\n<div style=\"font-size:12px;color:#69d8ed;margin-top:12px;\">Fuente: Cyber Resilience Act de la UE, plan final 2026\/27.<\/div>\n<\/div>\n<h2>\u00bfPor qu\u00e9 el modelo Purdue 2026 est\u00e1 al borde de las fronteras?<\/h2>\n<p>El Purdue Enterprise Reference Architecture Model (PERA) ha dominado la discusi\u00f3n sobre seguridad OT durante muchos a\u00f1os. La perspectiva jer\u00e1rquica con niveles 0 a 5 (proceso, control, supervisi\u00f3n, operaciones, empresa) fue un modelo pr\u00e1ctico, hasta que las entornos de fabricaci\u00f3n estaban claramente separados verticalmente. En 2026, la l\u00f3gica ya no se ajusta perfectamente a la realidad. Los sensores IIoT env\u00edan datos directamente a la nube y saltan m\u00faltiples niveles. Las conexiones de mantenimiento remoto conectan a los t\u00e9cnicos externos con los sistemas de nivel 1. Las plataformas de gemelos digitales extraen datos brutas de las capas inferiores y los agregan en sistemas de an\u00e1lisis superiores.<\/p>\n<p>IEC 62443 responde con el modelo de zonas. Los activos se agrupan seg\u00fan su necesidad de protecci\u00f3n, no seg\u00fan su nivel jer\u00e1rquico. Esto permite estructuras flexibles: Una estaci\u00f3n de trabajo de ingenier\u00eda puede estar en una zona diferente a la estaci\u00f3n de trabajo HMI adyacente, si sus necesidades de protecci\u00f3n son diferentes. Un gateway de nube puede permanecer dentro de la zona de red de fabricaci\u00f3n, si sus conductos est\u00e1n bien definidos. La implementaci\u00f3n es m\u00e1s compleja, pero se alinea mejor con la realidad actual.<\/p>\n<p>Muchos peque\u00f1os y medianos empresas han construido en los \u00faltimos a\u00f1os una mezcla de la terminolog\u00eda Purdue y an\u00e1lisis de riesgos puntuales debido a limitaciones de recursos. Con CRA y NIS2, esta forma intermedia se convertir\u00e1 en un obst\u00e1culo de cumplimiento en 2026. Las conversaciones de supervisi\u00f3n piden definiciones de zonas claras, no diagramas de niveles. Quien no tiene una cartograf\u00eda de zonas recibir\u00e1 vulnerabilidades documentadas en informes de auditor\u00eda.<\/p>\n<p>La buena noticia: La transici\u00f3n del modelo Purdue a los modelos de zonas IEC-62443 no es un reinicio completo. Los segmentos de red existentes se pueden traducir a zonas tan pronto como los requisitos de protecci\u00f3n por activo est\u00e9n documentados. El salto conceptual est\u00e1 en la mentalidad: En lugar de agrupar por jerarqu\u00edas, se agrupa por perfiles de riesgo. Esto hace la diferencia en conversaciones de auditor\u00eda y en la respuesta a incidentes concretos, ya que los atacantes rara vez atacan de manera jer\u00e1rquica. Buscan vulnerabilidades donde las encuentran.<\/p>\n<h2>\u00bfQu\u00e9 significa la pr\u00e1ctica del air-gap legacy?<\/h2>\n<p>El compromiso de air-gap ha desvanecido en los \u00faltimos cinco a\u00f1os en la mayor\u00eda de los operadores de producci\u00f3n alemanes. Las causas son claras: el mantenimiento predictivo requiere flujos de datos a la nube, el soporte remoto de los fabricantes requiere acceso a las instalaciones, la garant\u00eda digital requiere la extracci\u00f3n de datos de medici\u00f3n de las l\u00edneas y la contabilidad operativa requiere datos de consumo y producci\u00f3n en tiempo real. Cada una de estas conexiones desencadena una parte del air-gap.<\/p>\n<p>La realidad es que los modernos redes OT est\u00e1n conectados a trav\u00e9s de numerosas interfaces con sistemas IT y socios externos. La l\u00ednea de separaci\u00f3n no se encuentra ya entre IT y OT, sino entre diferentes zonas de riesgo dentro de un mismo red. El desaf\u00edo de los equipos de seguridad es definir expl\u00edcitamente estas zonas, supervisar los conductos entre ellas y detectar pronto los ataques que atraviesan las zonas.<\/p>\n<div class=\"pros-cons\" style=\"display:grid;grid-template-columns:repeat(auto-fit,minmax(280px,1fr));gap:16px;margin:28px 0;\">\n<div style=\"background:#fafafa;border-top:3px solid #c0392b;padding:18px 20px;border-radius:4px;\">\n<p style=\"margin:0 0 10px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#c0392b;\">\u00bfD\u00f3nde falla la seguridad OT en 2026?<\/p>\n<ul style=\"margin:0;padding-left:18px;color:#333;line-height:1.55;font-size:0.95em;\">\n<li style=\"margin-bottom:6px;\">Asunci\u00f3n de air-gap sin realizar una isla de red<\/li>\n<li style=\"margin-bottom:6px;\">Inventario de activos OT no actualizado<\/li>\n<li style=\"margin-bottom:6px;\">Accesos remotos sin MFA y sin auditor\u00eda de sesiones<\/li>\n<li>Gesti\u00f3n de revisiones sin procesos OT espec\u00edficos<\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#fafafa;border-top:3px solid #2d7a3e;padding:18px 20px;border-radius:4px;\">\n<p style=\"margin:0 0 10px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#2d7a3e;\">\u00bfQu\u00e9 caracteriza los setups conformes con IEC-62443?<\/p>\n<ul style=\"margin:0;padding-left:18px;color:#333;line-height:1.55;font-size:0.95em;\">\n<li style=\"margin-bottom:6px;\">Modelo de zonas con an\u00e1lisis de riesgos documentado<\/li>\n<li style=\"margin-bottom:6px;\">Conductos con autenticaci\u00f3n y filtro de protocolos<\/li>\n<li style=\"margin-bottom:6px;\">SIEM OT espec\u00edfico con soporte de protocolos para Modbus, OPC UA<\/li>\n<li>Gesti\u00f3n de vulnerabilidades continua tambi\u00e9n para dispositivos legacy<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<p>El proceso de gesti\u00f3n de revisiones OT es uno de los factores de \u00e9xito subestimados. Las revisiones de IT cl\u00e1sicas se llevan a cabo en ritmo semanal, pero los sistemas OT no pueden soportar esto. Una l\u00ednea de producci\u00f3n productiva que se revisa todos los siete d\u00edas corre el riesgo de problemas de calidad y disponibilidad. El enfoque IEC-62443 es integrar revisiones en ventanas de mantenimiento, aumentar medidas compensatorias (segmentaci\u00f3n, monitoreo) para vulnerabilidades cr\u00edticas y tomar decisiones de riesgo documentadas. El anti-patr\u00f3n es implementar revisiones urgentes sin consultar a las partes responsables de la producci\u00f3n.<\/p>\n<h2>\u00bfC\u00f3mo los equipos de seguridad pueden comenzar ahora?<\/h2>\n<p>Para los equipos de seguridad que se ver\u00e1n sometidos al presupuesto de CRA en 2026 o que deben cumplir con las obligaciones de registro NIS2, se ha establecido un plan de cuatro fases. Primera fase: inventario de activos. \u00bfQui\u00e9n tiene qu\u00e9 dispositivos, qu\u00e9 estado de firmware, qu\u00e9 conexiones de red, qu\u00e9 dependencias con socios externos. Sin este fundamento, cualquier decisi\u00f3n posterior estar\u00e1 basada en conjeturas. Segunda fase: an\u00e1lisis de riesgos por cl\u00faster de activos. \u00bfQu\u00e9 escenarios de amenazas son realistas, qu\u00e9 fallos ser\u00edan relevantes para el negocio, qu\u00e9 niveles de seguridad son necesarios. Tercera fase: dise\u00f1o de zonas y definici\u00f3n de conductos. Aqu\u00ed se adaptan los conceptos IEC-62443 a la propia entorno. Cuarta fase: implementaci\u00f3n t\u00e9cnica y operaci\u00f3n continua.<\/p>\n<p>La tercera fase es a menudo el punto de congestionamiento, ya que requiere una lengua com\u00fan entre el IT de seguridad, los ingenieros de OT y los encargados de la producci\u00f3n. Mientras que el IT de seguridad piensa en firewalls y pol\u00edticas de acceso, el OT se centra en interfaces y ritmos de mantenimiento, y los encargados de la producci\u00f3n en disponibilidad y rendimiento. El formato de taller compartido con las tres agrupaciones es la metodolog\u00eda m\u00e1s pr\u00e1ctica. Generalmente se requiere trabajo intensivo durante tres a cinco d\u00edas, acompa\u00f1ado por dos a cuatro semanas de posterior procesamiento, para crear una primera carta topogr\u00e1fica de zonas s\u00f3lidas.<\/p>\n<p>Un elemento a menudo pasado por alto en la tercera fase es la documentaci\u00f3n de los conductos. Cada comunicaci\u00f3n entre zonas debe ser registrada en una lista, incluyendo el protocolo, la frecuencia, los activos afectados y las responsabilidades. Esta lista es solicitada expl\u00edcitamente por los auditores y es la base para cualquier futura expansi\u00f3n. Quien no documente los conductos pierde el control de los \u00e1reas vulnerables a los ataques, especialmente cuando nuevas conexiones se introducen. Una lista en constante evoluci\u00f3n es m\u00e1s importante que una \u00fanica gr\u00e1fica bonita, ya que la realidad de OT cambia continuamente y nuevas conexiones se generan constantemente.<\/p>\n<p>La tecnolog\u00eda ha mejorado considerablemente para 2026. Firewalls espec\u00edficos para OT, sistemas de detecci\u00f3n de intrusiones en red y SIEMs est\u00e1n disponibles, a menudo con soporte para los protocolos OT comunes (Modbus, OPC UA, PROFINET, EtherNet\/IP). Proveedores como Claroty, Nozomi Networks, Dragos, Tenable OT o Cisco Cyber Vision cubren las necesidades. La elecci\u00f3n depende de la infraestructura existente y del tama\u00f1o del panorama OT. Para empresas medianas con un n\u00famero manejable de plantas, una soluci\u00f3n integrada suficiente, mientras que grandes corporaciones suelen adoptar una estrategia de multi-vendor.<\/p>\n<h2>Lo que es importante entre CRA y el impacto en el mercado en 2026<\/h2>\n<p>Las fronteras de la CRA transforman la discusi\u00f3n sobre seguridad de OT de un \u00abnice-to-have\u00bb a una obligaci\u00f3n del mercado. A partir de junio de 2026, todos los productos digitales en el mercado EU deben tener rutas de informes de vulnerabilidades y documentar las debilidades en plazos espec\u00edficos. A partir de diciembre de 2027, la obligaci\u00f3n de soporte de ciclo de vida entrar\u00e1 en vigor. Los fabricantes deben proporcionar actualizaciones durante un per\u00edodo establecido, y los propietarios de activos deben poder demostrar que implementan estas actualizaciones. El IEC 62443 ofrece el \u00fanico marco t\u00e9cnico ampliamente acceptado que operationaliza estas obligaciones.<\/p>\n<p>Para los compradores de sistemas OT, esto significa que las convocatorias de 2026 cambiar\u00e1n. Las certificaciones IEC-62443 del fabricante se ver\u00e1n solicitadas, y la conformidad con la CRA debe ser demostrada. Los procesos de manejo de vulnerabilidades deben formar parte de la oferta. Los fabricantes que no puedan proporcionar esta documentaci\u00f3n se excluir\u00e1n de las convocatorias. Los propietarios de activos que no exijan estos requisitos en sus proveedores encontrar\u00e1n problemas en sus propias auditor\u00edas, ya que tendr\u00e1n que compensar las debilidades que el fabricante no proporciona.<\/p>\n<p>Otra dimensi\u00f3n es la funci\u00f3n de los proveedores externos. Muchas empresas manufactureras alemanas contratan mantenimiento, soporte remoto e incluso partes de su monitoreo de seguridad a terceros. Estos proveedores est\u00e1n sujetos a las cl\u00e1usulas de cadena de suministro NIS2, si su rendimiento es relevante para el funcionamiento de instalaciones cr\u00edticas. Los propietarios de activos deben evaluar la pr\u00e1ctica de seguridad de sus proveedores y documentarla en addendas contractuales. Quienes no lo hacen de manera proactiva, asumir\u00e1n en sus auditor\u00edas las debilidades de sus proveedores.<\/p>\n<p>Adem\u00e1s, se desarrolla el panorama de certificaci\u00f3n. La CRA se subyectar\u00e1 a Schemata propios por parte del Grupo Europeo de Certificaci\u00f3n de Ciberseguridad (ECCG), y el IEC 62443 presentar\u00e1 certificados ISA-Secure para productos e instalaciones. Estos certificados se ver\u00e1n solicitados en contratos B2B. Los fabricantes que no tengan certificados adecuados antes de finales de 2026 perder\u00e1n las convocatorias. Los propietarios de activos que no exijan estos certificados asumir\u00e1n riesgos de cumplimiento ocultos.<\/p>\n<p>El \u00faltimo aspecto es la dimensi\u00f3n de la cadena de suministro. Los sistemas OT se comprenden por miles de componentes de diferentes fuentes. El Software Bill of Materials (SBOM) se convertir\u00e1 en un artefacto est\u00e1ndar para 2026 para crear transparencia sobre los componentes utilizados. Los equipos de seguridad que manejen correctamente los SBOM y los verifiquen contra feeds de vulnerabilidades pueden identificar las debilidades en su inventario m\u00e1s r\u00e1pidamente. Sin la disciplina de SBOM, las nuevas CVEs en componentes OT pueden pasar desapercibidas durante semanas o meses.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 bloqueada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfTambi\u00e9n los peque\u00f1os y medianos emprendedores necesitan una conformidad con IEC-62443?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Normalmente no necesitan ser certificados directamente. Pero una vez que comercialicen productos bajo la CRA en el mercado EU o formen parte de cadenas de suministro con operadores de sistemas cr\u00edticos, las concepturas de IEC-62443 se ver\u00e1n solicitadas en las auditor\u00edas de los clientes. La aplicaci\u00f3n del est\u00e1ndar sin una certificaci\u00f3n formal es generalmente el camino m\u00e1s pr\u00e1ctico.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfC\u00f3mo diferencio zonas de segmentos de red cl\u00e1sicos?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Los segmentos de red son separados t\u00e9cnicamente, a menudo a trav\u00e9s de VLANs o enrutadores f\u00edsicamente separados. Las zonas son grupos l\u00f3gicos con requisitos de protecci\u00f3n comunes y pueden estar t\u00e9cnicamente en diferentes segmentos de red. Una zona puede incluir m\u00faltiples segmentos o viceversa. La asignaci\u00f3n se realiza bas\u00e1ndose en el an\u00e1lisis de riesgos.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCon qu\u00e9 frecuencia debo actualizar el mapa de zonas?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Minimamente anualmente, o con cualquier cambio significativo en la infraestructura de TI o producci\u00f3n. Nuevas conexiones IIoT, accesos remotos adicionales, nuevas instalaciones o cambios en los procesos comerciales pueden alterar el contexto de riesgo. Una actualizaci\u00f3n sin un motivo justificado despu\u00e9s de m\u00e1s de dos a\u00f1os documenta una pr\u00e1ctica de gobernanza d\u00e9bil.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1l es el papel de la MFA en redes OT?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un papel cada vez mayor. Los puntos de acceso de HMI cl\u00e1sicos en la producci\u00f3n suelen tener solo autenticaci\u00f3n b\u00e1sica. En 2026, la MFA se convertir\u00e1 en la norma para accesos remotos, trabajos de ingenier\u00eda y cuentas de t\u00e9cnicos de servicio. Su implementaci\u00f3n es t\u00e9cnicamente viable y se requiere en zonas IEC 62443-SL-3.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1l es el paso m\u00e1s importante para los equipos de seguridad en los pr\u00f3ximos seis meses?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Inventario de activos y auditor\u00eda de accesos remotos. Sin un inventario de activos actualizado, no se puede realizar un an\u00e1lisis de riesgos efectivo. Sin una auditor\u00eda de accesos remotos, no se puede obtener una visi\u00f3n clara de las superficies de ataque existentes. Ambos pueden completarse dentro de un cuarto de tiempo con un esfuerzo moderado y forman la base para todos los pasos siguientes.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/04\/20\/platform-engineering-2026-por-que-backstage-rutas-doradas-e\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-platform-engineering-2026-backstage-idp-94288502.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Platform Engineering 2026: Backstage, rutas doradas e IDP\u2026<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/plataformas-de-bajo-codigo-en-pymes-2026-por-que-la\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-low-code-plattformen-mittelstand-2026-go-62008429-250x167.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Bajo c\u00f3digo en pymes: gobernanza, \u00e9xito o caos<\/span><\/span><\/a><a href=\"https:\/\/www.digital-chiefs.de\/es\/resiliencia-ti-2026-por-que-dora-nis2-e-iso-22301-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-it-resilienz-bcm-cio-dora-nis2-iso-22301-36056664-250x167.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Resiliencia TI 2026: Por qu\u00e9 DORA, NIS2 e ISO 22301 deben integrarse en un marco \u00fanico<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"EU CRA obligatorio a partir de junio de 2026. Lo que IEC 62443 ofrece como marco de implementaci\u00f3n y por qu\u00e9 el air-gap ya no es un modelo de protecci\u00f3n v\u00e1lido en 2026.","protected":false},"author":10,"featured_media":12570,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Zonas conductos obligatorios OT","_yoast_wpseo_title":"Seguridad OT 2026: Por qu\u00e9 IEC\u202f62443 y el EU Cyber Resilience Act deben leerse j","_yoast_wpseo_metadesc":"El CRA exige informes de vulnerabilidades, IEC 62443 explica el c\u00f3mo. Zonas, conductos y niveles de seguridad para la IT industrial 2026. CRA exige el reporte de vulnerabilidades, IEC 62443 explica el c\u00f3mo. Zonas, conductos y niveles de seguridad para la IT de fabricaci\u00f3n 2026.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[261],"tags":[],"class_list":["post-12808","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-es"],"evm_reading_time_minutes":14,"wpml_language":"es","wpml_translation_of":12571,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/12808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=12808"}],"version-history":[{"count":7,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/12808\/revisions"}],"predecessor-version":[{"id":21562,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/12808\/revisions\/21562"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/12570"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=12808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=12808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=12808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}