Entrevista con la Dra. Erika A. Pärn (NYU Abu Dhabi), Jeffrey Saunders (Centro Tecnológico Nacional de Defensa de Dinamarca) y el Prof. Borja García de Soto (NYU Abu Dhabi)
Caminos hacia el riesgo cibernético: brechas de ciberseguridad en la gestión de instalaciones. La creciente digitalización de los edificios y las infraestructuras está transformando el Facility Management, al tiempo que introduce nuevos desafíos relacionados con la seguridad de los sistemas conectados. En este contexto, la ciberseguridad ha pasado de ser una preocupación limitada a los departamentos de TI a convertirse en una cuestión estratégica para los Facility Managers y los responsables de la continuidad operativa.
Para comprender mejor esta realidad, la International Facility Management Association (IFMA) publicó recientemente Brechas de ciberseguridad en la administración de las instalaciones (1), el estudio más completo hasta la fecha sobre los riesgos cibernéticos en el sector. Basado en 372 encuestas realizadas a profesionales de más de cien países y respaldado por una innovadora metodología de análisis comparativo, el informe identifica las principales combinaciones de factores que aumentan la vulnerabilidad de las organizaciones ante incidentes de ciberseguridad que afectan a los sistemas de gestión de edificios.
Para profundizar en los resultados de esta investigación y analizar sus implicaciones para el futuro del Facility Management, conversamos con los autores del estudio: la Dra. Erika A. Pärn (NYU Abu Dhabi), Jeffrey Saunders (Centro Tecnológico Nacional de Defensa de Dinamarca) y el profesor Borja García de Soto (NYU Abu Dhabi). Este es un resumen de una entrevista completa en inglés que pueden leer en este enlace
¿Qué les motivó a realizar esta investigación sobre las brechas de ciberseguridad en Facility Management?
Erika A. Pärn & Borja García de Soto: Nos encontramos repetidamente con una importante brecha tanto en la investigación como en la práctica. Aunque la ciberseguridad se ha convertido en una prioridad en los sectores de TI e infraestructuras críticas, su incidencia en el FM ha recibido mucha menos atención, a pesar de la rápida digitalización de edificios y lugares de trabajo. Las instalaciones son ecosistemas digitales cada vez más complejos, pero no existía una comprensión integral de cómo se producen las brechas de seguridad en la práctica. Nuestro objetivo era proporcionar a los profesionales del FM información práctica basada en evidencias, en lugar de recomendaciones genéricas. La colaboración con IFMA y el alcance a más de 15.000 profesionales en todo el mundo nos permitió hacerlo con rigor.
Jeffrey Saunders: Mi interés surge de años de investigación sobre el futuro del trabajo y los espacios laborales. A medida que los activos físicos se conectaban cada vez más mediante la digitalización, quedó claro que los Facility Managers tendrían que proteger tanto los activos digitales como los físicos. Cuando más tarde me incorporé a IFMA, surgió una pregunta natural: ¿cómo estaban afectando las brechas de ciberseguridad a la profesión de Facility Management? Erika y Borja eran los socios ideales para responderla.
¿Por qué la ciberseguridad se está convirtiendo en un tema tan crítico para los Facility Managers?
EP & BGdS: Los Facility Managers son ahora responsables de vastos ecosistemas digitales que incluyen sistemas de gestión de edificios, dispositivos IoT conectados, controles de acceso, redes de seguridad contra incendios, plataformas energéticas y gemelos digitales. Una brecha de ciberseguridad ya no es solo un problema de datos; puede interrumpir las operaciones, comprometer sistemas de seguridad vitales y exponer información sensible. Al mismo tiempo, normativas como el GDPR y la CCPA han incrementado las consecuencias legales y reputacionales de estos incidentes.
JS: Los edificios se están convirtiendo en entornos inteligentes que recopilan datos de forma continua, automatizan decisiones e interactúan con los sistemas centrales del negocio. Si estos sistemas se ven comprometidos, el impacto puede extenderse mucho más allá de las redes de TI, afectando a la seguridad, la ocupación y la continuidad del negocio. La ciberseguridad forma ya parte del deber de diligencia del Facility Manager y exige una colaboración más estrecha con TI, gestión de riesgos, recursos humanos y alta dirección.
¿Cuáles son las capacidades internas más importantes que deberían desarrollar las organizaciones?
EP & BGdS: Nuestra investigación destacó tres prioridades. En primer lugar, el conocimiento sobre ciberseguridad debe integrarse en toda la plantilla. En segundo lugar, las organizaciones necesitan políticas formales que cubran la tecnología operativa y los sistemas de edificios, no solo la infraestructura informática tradicional. En tercer lugar, es esencial contar con planes de respuesta ante incidentes. La preparación en ciberseguridad no es una medida aislada, sino una capacidad organizativa multicapa.
JS: Las organizaciones también necesitan una mayor coordinación entre los equipos de instalaciones, TI, seguridad física, compras, gestión de riesgos y dirección. Las amenazas ya no pueden gestionarse en compartimentos estancos. El lugar de trabajo es simultáneamente un entorno físico y digital, y las organizaciones necesitan una postura de seguridad integrada que refleje esta realidad.
Dra. Erika A. Pärn es investigadora científica en la División de Ingeniería de la Universidad de Nueva York Abu Dhabi (NYUAD), dentro del grupo de investigación S.M.A.R.T.
¿Qué hallazgos de la investigación les resultaron más preocupantes?
EP & BGdS: Las configuraciones más preocupantes fueron aquellas organizaciones sometidas a fuertes presiones externas —como cambios tecnológicos rápidos o exigencias del mercado— pero que carecían de preparación interna. Estas organizaciones tienden a reaccionar en lugar de anticiparse. También nos llamó la atención que algunas organizaciones altamente preparadas siguieran sufriendo incidentes. Esto sugiere que las organizaciones más maduras cuentan con mejores capacidades de detección y, por tanto, identifican incidentes que otras menos preparadas quizá ni siquiera perciben.
JS: Las organizaciones deben asumir que las brechas ocurrirán. La verdadera medida de la resiliencia no es evitar todos los ataques, sino minimizar los daños, mantener las operaciones críticas y recuperarse rápidamente.
¿Hasta qué punto los riesgos de ciberseguridad en Facility Management son organizativos más que tecnológicos?
EP & BGdS: En gran medida son organizativos. La tecnología importa, sin duda, pero los factores más estrechamente asociados a las brechas fueron la gobernanza, la conciencia de las amenazas, la preparación y la cultura organizativa. Las personas, los procesos y la gobernanza no son elementos secundarios de la ciberseguridad: son su núcleo.
JS: Muchas vulnerabilidades se encuentran en vacíos organizativos. Cuestiones como quién es propietario de un sistema de gestión de edificios, quién autoriza el acceso de proveedores o quién es responsable de las actualizaciones son, fundamentalmente, problemas de gobernanza. La ciberseguridad pertenece a toda la organización, no a un único departamento.
¿Qué papel desempeñan las lagunas de conocimiento y la falta de concienciación en ciberseguridad?
EP & BGdS: Las carencias de conocimiento fueron una de las barreras más importantes identificadas. Las organizaciones con bajos niveles de concienciación son menos capaces de reconocer amenazas o responder eficazmente. Los programas de formación y sensibilización deben considerarse inversiones en infraestructura básica, no iniciativas opcionales.
JS: La falta de concienciación también retrasa la detección. En Facility Management, los incidentes suelen manifestarse primero como anomalías operativas, como comportamientos inusuales en un sistema de gestión de edificios o en una plataforma de control de accesos. El personal no necesita convertirse en experto en ciberseguridad, pero sí debe saber reconocer señales de alerta y escalar las preocupaciones adecuadamente.
¿Cómo deberían responder las organizaciones a la turbulencia tecnológica y a las presiones del mercado?
EP & BGdS: Las presiones externas no pueden controlarse, pero sí la preparación interna. Toda nueva tecnología —ya sea una red IoT, un gemelo digital, una plataforma en la nube o un sistema de gestión de edificios— debería ir acompañada de una evaluación de impacto en ciberseguridad. La seguridad debe integrarse desde el inicio en los procesos de adquisición e implantación.
JS: La ciberseguridad debe tratarse como parte de la gestión del cambio. Las organizaciones no solo deben preguntarse qué valor aporta una tecnología, sino también qué nuevas dependencias y vulnerabilidades introduce.
¿Participan suficientemente los Facility Managers en la estrategia de ciberseguridad?
EP & BGdS: En nuestra experiencia, no. Muchos profesionales de FM siguen considerando la ciberseguridad como un asunto de TI o algo cubierto por los seguros. Esta percepción es cada vez más peligrosa porque los Facility Managers supervisan muchos de los sistemas operativos que son objetivo de los atacantes. Necesitan tener un lugar en la mesa donde se toman las decisiones de gobernanza de la ciberseguridad.
JS: Estoy completamente de acuerdo. El lugar de trabajo del futuro exige responsabilidad y visibilidad compartidas entre departamentos.
Jeffrey Saunders es Director de Tecnología del Centro Tecnológico Nacional de Defensa de Dinamarca
¿Qué activos o sistemas suelen subestimar más las organizaciones?
EP & BGdS: Los sistemas de gestión y automatización de edificios siguen siendo algunos de los activos más infravalorados. Muchas organizaciones cuentan con políticas más sólidas para los sistemas de TI tradicionales que para plataformas HVAC, control de accesos, seguridad contra incendios o gestión energética. Los gemelos digitales representan otra preocupación emergente, ya que crean réplicas virtuales detalladas de activos físicos que pueden convertirse en objetivos valiosos para los atacantes. Las relaciones con la cadena de suministro también constituyen puntos de exposición significativos que suelen recibir una atención insuficiente.
¿Qué primeros pasos prácticos recomendarían para mejorar la preparación en ciberseguridad?
EP & BGdS: En primer lugar, elaborar un inventario completo de los activos conectados, incluidos sistemas de edificios, dispositivos IoT, gemelos digitales y conexiones con terceros. En segundo lugar, asegurarse de que las políticas de ciberseguridad cubran explícitamente la tecnología operativa. En tercer lugar, invertir en programas de formación y sensibilización en toda la organización.
JS: Añadiría un cuarto paso: mejorar la coordinación. Los equipos de FM deben trabajar estrechamente con TI, compras, gestión de riesgos y seguridad para clarificar la propiedad de los sistemas, las responsabilidades y los procedimientos de respuesta. Muchas vulnerabilidades existen simplemente porque no está claro quién es responsable de qué.
¿Cómo ven la evolución de la relación entre edificios inteligentes, transformación digital y ciberseguridad?
EP & BGdS (Borja García de Soto): La superficie de ataque seguirá ampliándose a medida que los edificios se conecten cada vez más con distritos inteligentes, microrredes e infraestructuras urbanas. Tecnologías como la automatización impulsada por IA, las plataformas FM en la nube y los gemelos digitales ofrecen un enorme valor, pero también introducen nuevas vulnerabilidades. La ciberseguridad debe evolucionar al mismo ritmo que la transformación digital.
JS: La ciberseguridad se convertirá cada vez más en un requisito de diseño y no en una reflexión posterior. Un edificio inteligente en el que no se puede confiar no es realmente inteligente. Las organizaciones más exitosas comprenderán que la ciberseguridad y la transformación digital son prioridades complementarias, no competidoras.
Prof. Borja García de Soto es profesor asociado de Ingeniería Civil y Urbana en la Universidad de Nueva York Abu Dhabi
¿Qué mensaje les gustaría compartir con los miembros de IFMA España?
EP & BGdS: La ciberseguridad no es simplemente un asunto de TI; es una cuestión de liderazgo en Facility Management. Las organizaciones más resilientes no son necesariamente las que disponen de mayores presupuestos, sino aquellas en las que la concienciación forma parte de la cultura, las responsabilidades están claramente definidas y las personas comprenden lo que está en juego. Los caminos hacia la vulnerabilidad son cada vez mejor conocidos, lo que significa que los caminos hacia la resiliencia también están al alcance.
JS: No esperen a sufrir una brecha para convertir la ciberseguridad en una prioridad. Los Facility Managers se sitúan en la intersección entre edificios, personas, tecnología y continuidad del negocio, lo que les otorga un papel estratégico en la resiliencia organizativa. Las conversaciones adecuadas deben producirse ahora, antes de que un incidente obligue a ello.
Sobre los autores
Dra. Erika A. Pärn es investigadora científica en la División de Ingeniería de la Universidad de Nueva York Abu Dhabi (NYUAD), dentro del grupo de investigación S.M.A.R.T. Construction, y colaboradora de investigación en la Universidad de Cambridge. Su trabajo se centra en sistemas de gemelos digitales, riesgos de ciberseguridad en el entorno construido, gestión digital de activos y la intersección entre BIM y resiliencia cibernética. Esta investigación fue apoyada por el Centro de Ciberseguridad de NYUAD (CCS-AD) y el centro SHORES, financiado por Tamkeen.
Jeffrey Saunders es Director de Tecnología del Centro Tecnológico Nacional de Defensa de Dinamarca. Aporta una amplia experiencia práctica en gestión del riesgo cibernético en infraestructuras críticas y sectores de instalaciones. Anteriormente fue Director de Investigación de IFMA, donde contribuyó al desarrollo de estudios y liderazgo intelectual sobre el futuro del Facility Management, la transformación digital, los cambios en el lugar de trabajo y el riesgo digital en edificios digitalizados.
Prof. Borja García de Soto es profesor asociado de Ingeniería Civil y Urbana en la Universidad de Nueva York Abu Dhabi y profesor asociado de la Red Global de NYU Tandon. Dirige el grupo de investigación S.M.A.R.T. Construction en NYUAD, donde sus investigaciones se centran en automatización y robótica para la construcción, gemelos digitales para el entorno construido, ciberseguridad en arquitectura, ingeniería y construcción (AEC), IA y grandes modelos de lenguaje aplicados a la construcción, Lean Construction y BIM.
(1) Esta investigación fue financiada parcialmente por el Centro de Ciberseguridad de la Universidad de Nueva York en Abu Dabi (CCS-AD), financiado por Tamkeen a través de la subvención G1104 del Instituto de Investigación de NYU Abu Dabi, y por el Center for Sand Hazards and Opportunities for Resilience, Energy, and Sustainability (SHORES), financiado por Tamkeen a través de la subvención CG013 del Instituto de Investigación de NYU Abu Dabi.
| Referencia de investigación publicada
Pärn, E. A., Sonkor, M. S., García de Soto, B. y Kookalani, S. (2026). Pathways to Cyber Peril: Ten Configurational Routes to Cybersecurity Breaches in the FM Industry. Journal of Information Technology in Construction (ITcon), 31, 332–352. https://doi.org/10.36680/j.itcon.2026.014
|
| Proxima Publicación
Securing Twin Systems — Pärn & García de Soto. Available on Amazon Kindle and in print, expected late July 2026. |