La digitalización de los edificios ha dejado de ser una promesa para convertirse en una realidad operativa. Climatización, iluminación, control de accesos, videovigilancia, ascensores, sensores IoT o sistemas de gestión energética forman ya parte de un ecosistema conectado que mejora la eficiencia y la sostenibilidad, pero también amplía la superficie de exposición a amenazas digitales.
La ciberseguridad ya no es solo una cuestión del departamento de IT. Afecta directamente a la continuidad de negocio, a la operativa diaria de las instalaciones y, en determinados entornos, incluso a la seguridad de las personas. Así lo señalan los expertos consultados por CyberMadrid, Clúster de Ciberseguridad de Madrid, que coinciden en una idea central: el edificio inteligente debe empezar a entenderse como una infraestructura digital crítica.
“El edificio se ha convertido en un sistema informático más, pero casi nadie lo gestiona como tal”, advierten desde Minery Report. La conexión de sistemas de climatización, accesos, videovigilancia o iluminación con redes corporativas y servicios en la nube ha difuminado las fronteras entre operación, tecnología y seguridad. Actitud-TI lo resume de forma clara: “un edificio inteligente es un objetivo digital crítico”.
IMMUNE Technology Institute añade que esta creciente conectividad ha convertido a los edificios inteligentes en potenciales objetivos de sabotaje, robo o incluso terrorismo, obligando a integrar la seguridad física y la ciberseguridad bajo una visión única de protección.
El problema, sin embargo, no siempre está en ataques sofisticados. Muchas vulnerabilidades nacen de fallos cotidianos: paneles de gestión accesibles desde Internet, dispositivos sin actualizar, credenciales débiles, redes sin segmentar o accesos remotos de proveedores externos abiertos durante años. SECUR0 apunta precisamente a estos elementos como vectores habituales de entrada y los expertos de VSISTEMAS subrayan la falta de separación entre redes corporativas, redes de invitados y sistemas IoT como uno de los errores más frecuentes.
En este contexto, el riesgo deja de limitarse al robo de información. Un atacante no necesita comprometer el núcleo corporativo para generar impacto: basta con dejar fuera de servicio el control de accesos, la climatización de un centro de datos o los sistemas de videovigilancia para afectar gravemente a la actividad de una organización.
Por eso, la resiliencia se ha convertido en el nuevo indicador de madurez. Para Claudia Veas, gerente general para Europa de Inside Security, la ciberseguridad debe integrarse en la estrategia de negocio porque permite reducir impactos operacionales, financieros y reputacionales. Secure&IT coincide en que debe incorporarse desde el diseño de cualquier proyecto, no como una capa añadida al final. Desde Minery Report lo expresan así: “La pregunta no es si te van a atacar, sino cuánto tiempo puedes seguir funcionando cuando ocurra”.
Esa capacidad de respuesta depende menos de tener más tecnología y más de contar con inventarios actualizados, redes segmentadas, copias de seguridad, planes de continuidad, protocolos de respuesta y simulacros reales. Un plan que nunca se ha probado, recuerdan los expertos, difícilmente servirá cuando llegue el incidente. En este punto, IMMUNE defiende que la preparación debe involucrar a toda la organización y no únicamente a los equipos de tecnología, incorporando ejercicios y simulaciones que permitan entrenar la respuesta coordinada de áreas como seguridad, comunicación, legal o dirección.
La irrupción de la inteligencia artificial, el crecimiento del IoT y la convergencia con sistemas OT añaden una nueva dimensión al problema. La IA mejora la capacidad defensiva, pero también facilita fraudes más creíbles, phishing sin errores evidentes y suplantaciones de voz o imagen. “La inteligencia artificial lo está cambiando todo y muy rápido”, señalan desde Secure&IT. Minery Report añade que “cada sensor barato es un punto de entrada potencial que rara vez recibe actualizaciones”.
Desde IMMUNE recuerdan además que muchos dispositivos IoT operan con capacidades limitadas de seguridad y que los sistemas OT fueron diseñados históricamente priorizando la disponibilidad y la continuidad operativa frente a la protección frente a amenazas digitales.
Vodafone Empresas aporta una visión complementaria: estas tecnologías permiten gestionar edificios con mucha más precisión, anticipar incidencias y optimizar recursos, algo que ellos, por ejemplo, han desarrollado junto a la Diputación de Valladolid, con 792 sensores instalados en 44 edificios públicos de 42 municipios. La clave, según la compañía, está en acompañar esta conectividad con seguridad desde el diseño, segmentación entre entornos IT y OT, control de accesos y monitorización continua.
El reto no es únicamente técnico. También es organizativo. Durante años, Facility Management ha gestionado instalaciones, IT ha gestionado redes y la seguridad del espacio intermedio ha quedado en una zona gris. “La seguridad de lo que hay en medio no es de nadie”, resumen desde Minery Report. Esa frontera es precisamente la que empieza a exigir nuevos modelos de gobernanza.
Marina Cuervo, de Q-Mission, habla de un cambio estructural: la convergencia entre seguridad física, ciberseguridad, gestión de instalaciones y riesgo digital requiere liderazgo multidisciplinar, colaboración público-privada y profesionales preparados para operar en esa intersección. VSISTEMAS coincide en que la coordinación entre gestores de infraestructuras, proveedores tecnológicos, responsables de seguridad y equipos cyber será decisiva en los próximos años.
A ello se suma la presión regulatoria. Marcos como NIS2 están obligando a muchas organizaciones a tratar la ciberseguridad como un asunto de dirección y no como una cuestión meramente informática. Pero el gran desafío sigue siendo el talento. Q-Mission alerta de que “seguimos formando profesionales de ciberseguridad para un mundo que ya no existe” y defiende modelos basados en formación continua, escenarios reales y evaluación por competencias operativas.
El concepto de edificio seguro, por tanto, está cambiando. Ya no basta con hablar de incendios, evacuación, accesos o protección física. La seguridad incluye también sistemas, datos, comunicaciones, proveedores, sensores, redes y capacidad de recuperación.
La oportunidad para el Facility Management es enorme: integrar la ciberseguridad como parte natural de la gestión de instalaciones. Porque el futuro de los edificios inteligentes no dependerá solo de cuántos dispositivos conectados incorporen, sino de si son capaces de operar de forma segura, resiliente y coordinada.
Como resume Marina Cuervo, Co-Chairman/Global CRO de Q-Mission, “el futuro de la ciberseguridad en infraestructuras y edificios no lo decidirán las herramientas. Lo decidirán las personas que sepan usarlas”.
Artículo de CyberMadrid, Clúster de Ciberseguridad de Madrid
