Durante años, la ciberseguridad en entornos industriales fue tratada como un problema secundario. Los sistemas de control de planta —PLCs, SCADAs, autómatas— vivían en redes aisladas, separadas del mundo exterior por lo que se conoce como air gap: una separación física que, en teoría, los hacía inaccesibles desde el exterior.
Esa realidad ha cambiado de forma radical. La convergencia IT/OT que impulsa la Industria 4.0 —conectar las máquinas de planta con los sistemas de gestión, con la nube y con los proveedores— ha eliminado ese aislamiento. Y con él, ha desaparecido también la falsa sensación de seguridad que proporcionaba.
El resultado es que las plantas industriales se han convertido en un objetivo prioritario para los ciberataques. Y la Unión Europea ha respondido con una directiva que está cambiando las reglas del juego: la NIS2.
Qué es la NIS2 y por qué afecta a la industria manufacturera
La Directiva NIS2 (Network and Information Security 2) es la actualización de la normativa europea de ciberseguridad, y amplía de forma muy significativa su alcance respecto a la directiva anterior. Una de las novedades más relevantes para el sector industrial es precisamente esa ampliación: la NIS2 incluye explícitamente a empresas manufactureras de sectores considerados críticos o importantes, como la fabricación de maquinaria, la industria química, la alimentación o la fabricación de dispositivos médicos.
Esto significa que muchas plantas industriales que hasta ahora no estaban sujetas a ninguna regulación específica de ciberseguridad se encuentran hoy dentro del ámbito de aplicación de una normativa que impone obligaciones concretas: gestión de riesgos, notificación de incidentes, medidas técnicas mínimas y responsabilidad directa de la dirección en caso de incumplimiento.
La transposición de la directiva al ordenamiento jurídico de cada estado miembro está en marcha, y las empresas afectadas deben estar preparadas.
El problema específico del entorno OT
La ciberseguridad en entornos industriales no es lo mismo que la ciberseguridad corporativa. Los entornos OT (Operational Technology) tienen características que los hacen especialmente complejos de proteger.
Equipos con décadas de antigüedad. Una planta industrial media convive con maquinaria de distintas generaciones. Muchos de estos equipos ejecutan sistemas operativos que ya no reciben actualizaciones de seguridad y que no pueden ser reemplazados fácilmente por su coste o por su papel crítico en el proceso productivo.
Prioridad de la disponibilidad sobre la seguridad. En IT, ante un incidente de seguridad, la respuesta habitual es detener el sistema afectado. En OT, detener una línea de producción tiene un coste directo e inmediato. Esta diferencia de prioridades complica la aplicación de medidas de seguridad estándar.
Protocolos industriales propietarios. Los entornos OT utilizan protocolos de comunicación —Modbus, Profinet, DNP3— diseñados para la fiabilidad y el rendimiento, no para la seguridad. Muchos de ellos no incluyen mecanismos de autenticación ni cifrado.
Visibilidad limitada. En muchas plantas, nadie tiene un inventario completo y actualizado de todos los dispositivos conectados a la red industrial. Lo que no se ve, no se puede proteger.
Los vectores de ataque más habituales en entornos industriales
Los ciberataques a infraestructuras industriales no siguen siempre el mismo patrón, pero hay vectores que se repiten con frecuencia.
El acceso remoto mal securizado es uno de los más comunes. La pandemia aceleró la implantación de accesos remotos a sistemas de planta para mantenimiento y soporte, muchos de ellos configurados con prisas y sin las medidas de seguridad adecuadas.
Los proveedores y la cadena de suministro representan otro vector crítico. Un atacante que compromete a un proveedor de software industrial o de mantenimiento puede acceder a las redes de todos sus clientes industriales sin necesidad de atacarlos directamente.
El phishing dirigido a empleados con acceso a sistemas de planta sigue siendo uno de los métodos de entrada más efectivos, independientemente de la sofisticación técnica del entorno atacado.
Y el ransomware industrial ha evolucionado hasta convertirse en una amenaza específicamente diseñada para entornos OT, capaz de cifrar sistemas de control y paralizar la producción con un impacto económico inmediato y cuantificable.
Qué implica prepararse para la NIS2 en una planta industrial
La preparación para el cumplimiento de la NIS2 no es un proyecto de IT que se delega al departamento de informática. Implica a toda la organización y requiere abordar varias dimensiones de forma simultánea.
Inventario y segmentación de redes. El primer paso es saber qué hay conectado y establecer una segmentación clara entre la red corporativa y la red de planta, limitando los puntos de conexión y controlando el tráfico entre ambas.
Gestión de vulnerabilidades. Identificar qué equipos y sistemas tienen vulnerabilidades conocidas y establecer un plan de mitigación realista, teniendo en cuenta las restricciones operativas del entorno industrial.
Gestión de accesos e identidades. Controlar quién accede a qué sistemas, con qué nivel de privilegio y desde dónde, incluyendo los accesos remotos de proveedores y personal de mantenimiento externo.
Plan de respuesta a incidentes. La NIS2 exige no solo prevenir incidentes, sino estar preparado para detectarlos y responder de forma estructurada, incluyendo los procedimientos de notificación a las autoridades competentes en los plazos establecidos.
Formación y concienciación. El factor humano sigue siendo el eslabón más débil. La formación específica en ciberseguridad para perfiles industriales —operarios, técnicos de mantenimiento, responsables de planta— es una de las medidas con mayor retorno.
La ciberseguridad industrial como inversión, no como coste
El cambio de mentalidad más importante que la NIS2 está forzando en el sector industrial es precisamente este: dejar de ver la ciberseguridad como un coste regulatorio y empezar a entenderla como una inversión en continuidad operativa.
Un ciberataque que paraliza una planta durante varios días no es solo un problema de seguridad informática: es una crisis de producción, una crisis de reputación con clientes y, en sectores críticos, potencialmente una crisis de seguridad física. El coste de un incidente de este tipo supera con creces el de cualquier inversión preventiva.
La convergencia IT/OT que hace posible la fábrica inteligente y la conectividad que habilita el mantenimiento predictivo, los gemelos digitales y la analítica en tiempo real, también amplía la superficie de ataque. Gestionar ese riesgo no es opcional: es la condición necesaria para que la transformación digital industrial sea sostenible.
