SERVEO – Cuando un edificio inteligente deja de ser seguro

Cuando un edificio inteligente deja de ser seguro

Por qué la ciberseguridad ya no es un asunto del equipo de Sistemas, sino un pilar del Facility Management

Durante años, el Facility Management consideró la ciberseguridad un asunto ajeno, limitado a Sistemas. Hoy, la convergencia entre Sistemas y toda la operación ha roto esa lógica: climatización, control de accesos, iluminación, ascensores o videovigilancia están conectados, monitorizados y gestionados digitalmente. Y eso cambia por completo las reglas del juego.

La ciberseguridad ya no es un complemento tecnológico: es un requisito crítico para la continuidad del negocio, la seguridad física de las personas y la resiliencia de las organizaciones.

Si todavía existen dudas sobre la magnitud real de este riesgo, conviene recordar un caso que marcó un antes y un después. En 2020, un ataque de ransomware paralizó los sistemas del Hospital Universitario de Düsseldorf, obligó a cerrar urgencias y desviar pacientes a otros centros. Una mujer falleció durante el traslado al no poder ser atendida a tiempo. Aquella noche, la ciberseguridad dejó de ser un concepto abstracto para convertirse en una cuestión de vida o muerte. La lección fue clara: en entornos críticos, un fallo digital puede tener consecuencias físicas irreversibles.

NIS2: el regulador entra en la ecuación

A este nuevo escenario se suma un marco normativo que ya no deja lugar a la ambigüedad. La Directiva europea NIS2 no es una recomendación ni una guía de buenas prácticas: es una obligación legal que eleva la ciberseguridad al máximo nivel de responsabilidad corporativa.Por primera vez, la normativa establece una responsabilidad directa de la alta dirección ante los incidentes de seguridad y extiende estas obligaciones a toda la cadena de suministro: desde el fabricante de un sensor hasta la empresa que realiza el mantenimiento de una instalación. Externalizar el riesgo ya no es una opción. La verdadera pregunta ya no es si esto afecta al Facility Management, sino: ¿estamos preparados para responder?

No es solo tecnología: es estrategia

Ante este contexto, la reacción habitual es pensar en nuevas herramientas. Sin embargo, la ciberseguridad en el Facility Management no se resuelve solo comprando tecnología, sino construyendo una estrategia sólida y transversal que se apoya en varios pilares fundamentales:

• Gobernanza y cultura: romper los silos

Mantener la frontera tradicional entre TI y OT ya no solo es ineficiente, es peligroso. La ciberseguridad exige una gobernanza compartida, espacios de decisión comunes y un lenguaje alineado.

Un edificio no es más seguro por tener más tecnología, sino porque las personas que lo gestionan saben reaccionar cuando algo no va como debería.

• Confianza cero: verificar siempre

El paradigma debe cambiar radicalmente. La filosofía de “nunca confiar, siempre verificar” se convierte en la base de la nueva arquitectura. Estándares como ISA/IEC 62443 ofrecen marcos claros para proteger entornos OT, apoyados en medidas como la microsegmentación, que limita el movimiento lateral de un atacante, o el parcheo virtual, clave para proteger sistemas heredados que no pueden actualizarse.

• La cadena de suministro como vector de riesgo

Somos tan fuertes como el eslabón más débil de nuestra cadena de suministro. Su riesgo es también el nuestro. La ciberseguridad debe incorporarse a contratos, auditorías y procesos de verificación.

• Hablar el idioma de la dirección

La ciberseguridad no se defiende con acrónimos, sino con impacto en el negocio. Lograr el compromiso real de la alta dirección exige traducir el riesgo digital a términos económicos: interrupciones del servicio, impacto en ingresos, daño reputacional. Métricas como la Pérdida Anual Esperada (ALE) permiten demostrar que la ciberseguridad no es un coste, sino una inversión estratégica.

• Impacto de la IA

La IA redefine el riesgo: es simultáneamente amenaza y aliado estratégico. Mientras potencia ciberataques, permite una defensa predictiva en IT y OT. Integrarla en la estrategia de seguridad es una obligación.

Una conclusión incómoda, pero necesaria

Gestionamos edificios cada vez más inteligentes, conectados y eficientes. Pero sin seguridad, esa inteligencia no solo deja de aportar valor: puede convertirse en un riesgo.

Invertir en ciberseguridad ya no va de cumplir normativas ni de proteger sistemas. Va de garantizar que los edificios y servicios que gestionamos sigan siendo fiables en un entorno cada vez más hostil. Porque hoy, en Facility Management, un edificio inteligente que no es seguro es, sencillamente, un riesgo.