Ciberseguridad industrial: la CRA ya no es una opción para los fabricantes
La ciberseguridad industrial ha dejado de ser un asunto reservado al departamento de informática. Esa es una de las principales conclusiones de la entrevista a Moisés Ceñera, de Orbik Cybersecurity, en el podcast Tendencieros, donde se abordó el impacto de la Cyber Resilience Act en fabricantes de maquinaria, dispositivos conectados, equipos electrónicos e infraestructuras industriales.
Hasta hace poco, muchas empresas industriales entendían la seguridad desde una perspectiva mecánica, eléctrica o funcional. La máquina debía ser robusta, eficiente y cumplir con las normas técnicas tradicionales. Sin embargo, en un entorno donde sensores, autómatas, plataformas cloud, software embebido y dispositivos IoT están permanentemente conectados, esa visión ya no es suficiente.
La nueva realidad es clara: si un producto industrial tiene elementos digitales y capacidad de conexión, también puede convertirse en una puerta de entrada para un ciberataque.
La comunidad donde los vendedores juegan en serio
¿A quién está dirigido El Club de la Venta?
A los que están listos para dar el salto. Si eres un autónomo, emprendedor o trabajas en una pyme y buscas aprender ventas B2B sin necesidad de gastar grandes cantidades en formaciones presenciales, ¡este es tu sitio!
Qué cambia con la Cyber Resilience Act
La Cyber Resilience Act, conocida como CRA, introduce un marco europeo de requisitos horizontales de ciberseguridad para productos con elementos digitales. La Comisión Europea la presenta como una norma destinada a garantizar que dispositivos y software se diseñen, actualicen y mantengan con criterios de seguridad durante su ciclo de vida.
El calendario es especialmente importante para los fabricantes. Las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves comenzarán a aplicarse el 11 de septiembre de 2026, mientras que las obligaciones principales de la norma serán aplicables desde el 11 de diciembre de 2027.
Esto significa que 2026 no debe interpretarse como un año de espera, sino como el año en el que las empresas tienen que empezar a demostrar madurez operativa: procesos, responsables, trazabilidad, canales de comunicación, gestión de vulnerabilidades y capacidad real de respuesta.
🎣 ¡Ya está aquí!
Después de años en ventas B2B y cientos de aprendizajes en el camino, Iker Vélez de Mendizabal lanza su primer libro:
👉 P.E.S.C.A.N.D.O. Clientes 👈
Una guía clara, directa y sin tecnicismos para dejar de perseguir y empezar a atraer a los clientes correctos.
📘 P.E.S.C.A.N.D.O. Clientes ya está disponible en Amazon.
Haz clic aquí y consigue tu ejemplar hoy:
👉 COMPRAR LIBRO
El gran reto: la baja madurez en ciberseguridad industrial
Durante la conversación, Moisés Ceñera señaló uno de los problemas de fondo: históricamente, muchos fabricantes industriales han priorizado la funcionalidad del producto y han dejado la ciberseguridad en un segundo plano. El resultado es un sector con productos cada vez más conectados, pero con procedimientos de seguridad todavía inmaduros.
El problema no es únicamente técnico. También es organizativo. Una empresa puede disponer de buenos componentes, proveedores reconocidos y maquinaria avanzada, pero si no tiene un sistema de gestión de vulnerabilidades, un inventario claro de componentes o un procedimiento para notificar incidentes, seguirá siendo vulnerable.
La CRA obliga a cambiar esa mentalidad. Ya no basta con reaccionar cuando aparece un problema. La ciberseguridad debe incorporarse desde el diseño, mantenerse durante el ciclo de vida del producto y documentarse de forma verificable.
Productos conectados: de la lavadora inteligente a la planta industrial
Uno de los ejemplos más útiles de la entrevista fue el de los productos aparentemente inocuos, como una lavadora inteligente o un electrodoméstico conectado. Estos dispositivos no suelen percibirse como críticos, pero pueden formar parte de una cadena de ataque si se conectan a servicios cloud, redes domésticas o plataformas del fabricante.
En el ámbito industrial, el riesgo escala rápidamente. Una vulnerabilidad en un autómata, un sensor o un componente de comunicación puede comprometer una línea de producción completa. En sectores como energía, automoción, máquina herramienta o transporte, un incidente de ciberseguridad puede traducirse en paradas operativas, pérdidas económicas, daño reputacional e incluso impacto sobre infraestructuras críticas.
La conclusión es sencilla: la seguridad de una instalación industrial suele ser tan fuerte como su componente más débil.
Ransomware, proveedores y factor humano
La entrevista también puso el foco en tres riesgos habituales.
El primero es el ransomware, uno de los ataques con mayor impacto económico para las organizaciones. En entornos industriales, el cifrado de sistemas o la interrupción de operaciones puede paralizar plantas enteras y generar costes millonarios.
El segundo es la cadena de suministro. Los fabricantes integran librerías, firmware, módulos, software de terceros y componentes de múltiples proveedores. Bajo la CRA, no basta con decir “eso lo hizo mi proveedor”. El fabricante, importador o distribuidor tendrá que exigir evidencias, verificar documentación y asumir responsabilidades según su papel en la cadena de valor. El texto legal de la CRA contempla obligaciones específicas para fabricantes, importadores y distribuidores de productos con elementos digitales.
El tercero es el factor humano. Contraseñas por defecto, credenciales escritas en notas adhesivas, usuarios compartidos o configuraciones básicas como admin y 1234 siguen siendo puertas de entrada muy reales. La ciberseguridad industrial no se resuelve solo con tecnología: exige cultura, formación y disciplina operativa.
CRA, NIS2 y RED: un nuevo mapa regulatorio para la industria
La Cyber Resilience Act no llega sola. Forma parte de un ecosistema normativo europeo más amplio en el que también aparecen la Directiva NIS2 y la Radio Equipment Directive.
La NIS2 establece un marco común de ciberseguridad para sectores críticos y esenciales en la Unión Europea, con obligaciones de gestión de riesgos, notificación y cooperación transfronteriza. La RED, por su parte, activa requisitos relacionados con ciberseguridad, privacidad y protección frente al fraude para determinadas categorías de equipos radioeléctricos.
Para una empresa industrial, esto implica que la ciberseguridad deja de ser un diferencial voluntario y se convierte en una condición de acceso al mercado, de competitividad y de continuidad del negocio.
La oportunidad para los fabricantes: prepararse antes de que sea urgente
Uno de los mensajes más valiosos de Moisés Ceñera es que las empresas no deberían abordar la CRA como un mero trámite legal. Cumplir por obligación, tarde y de forma reactiva, puede generar una falsa sensación de seguridad. El verdadero valor está en usar la normativa como palanca para mejorar productos, procesos y confianza de mercado.
Para fabricantes con muchas referencias o familias de producto, el primer paso razonable no es certificar unidad por unidad sin estrategia, sino analizar familias, similitudes técnicas, componentes compartidos, software común y riesgos reales. Desde ahí se puede construir una hoja de ruta eficiente: análisis GAP, inventario de componentes, gestión de vulnerabilidades, documentación técnica, evaluación de proveedores y preparación para futuras auditorías.
Orbik Cybersecurity se posiciona precisamente en ese espacio, con servicios orientados al cumplimiento de CRA, RED-DA, IEC 62443, NIS2 y gestión de vulnerabilidades para sectores industriales y productos conectados.
Inteligencia artificial y vulnerabilidades zero day
La entrevista también abordó el papel de la inteligencia artificial en el descubrimiento de vulnerabilidades. En este punto conviene precisar que el modelo citado en las notas parece corresponder a Claude Mythos, de Anthropic, vinculado a capacidades avanzadas de detección y explotación de vulnerabilidades zero day. Anthropic comunicó en junio de 2026 restricciones de acceso a sus modelos Fable 5 y Mythos 5 por una directiva del Gobierno de Estados Unidos relacionada con controles de exportación.
Este caso refuerza una idea clave: la velocidad a la que evolucionan las capacidades ofensivas y defensivas en ciberseguridad obliga a las empresas industriales a profesionalizar su gestión del riesgo. Las vulnerabilidades zero day son especialmente críticas porque afectan a fallos desconocidos o sin corrección disponible en el momento de su descubrimiento.
La ciberseguridad ya es una decisión de dirección
La pregunta final planteada en Tendencieros es especialmente pertinente: si fueras director general de una empresa industrial mediana y tuvieras 50.000 euros para invertir, ¿los destinarías a automatización, eficiencia energética, inteligencia artificial o ciberseguridad?
La respuesta no tiene por qué excluir unas áreas frente a otras. Pero sí obliga a reconocer una realidad: cualquier inversión en automatización, IA o eficiencia energética será frágil si la infraestructura conectada que la sostiene no está protegida.
La ciberseguridad industrial ya no es un coste defensivo. Es una condición para vender, operar, competir y generar confianza. La CRA simplemente está acelerando una transformación que el mercado ya había empezado a exigir.
🚗🚗 ¡ARRANCAMOS MOTORES! 🚘🚘
¿QUIERES DESTACAR EN LINKEDIN? 👍👍 DESCÁRGATE NUESTRO E-BOOK 📘📘.
👍 👍 ¡SÍGUENOS EN ESTAS REDES SOCIALES! 👇 👇
👇 👇 Pero antes debes escuchar 👂 el podcast 🎙🎙 👇 👇 :
Podcast: Reproducir en una nueva ventana
Suscríbete: Apple Podcasts | RSS | Más
