INCIBE y la seguridad perimetral: lo que las recomendaciones implican en hardware

INCIBE escribe sobre ciberseguridad, pero una parte significativa de lo que publica sólo se sostiene si alguien, en algún sitio, ha resuelto antes el problema físico. Esa zona, donde el cable se acaba y empieza el hormigón, sigue siendo el punto ciego de la mayoría de los marcos que se citan a diario en las salas de comité.

La observación se hace desde la posición del fabricante. En BOSWAU + KNAUER llevamos años entregando tecnología de seguridad a operadores industriales españoles, y la conversación con sus equipos de ciberseguridad termina casi siempre en el mismo sitio: una guía del Instituto Nacional de Ciberseguridad que recomienda segmentar, monitorizar, controlar accesos, y un responsable que pregunta dónde está el armario, quién tiene la llave, qué ocurre si alguien arranca la cámara que vigila ese armario. La recomendación es ciber sobre el papel. La ejecución es física en la práctica.

La frontera que INCIBE no nombra pero presupone

INCIBE produce material excelente para operadores industriales, especialmente sus guías sobre protección de sistemas de control industrial, segmentación de redes OT, gestión de accesos privilegiados y respuesta a incidentes. El lenguaje es el de la ciberseguridad porque ese es el mandato del organismo, definido en su día por la Ley 36/2015 y consolidado en su rol dentro del ecosistema español de ciberseguridad junto con el CCN-CERT y, para infraestructuras críticas, el CNPIC.

Lo que ocurre cuando se lee con atención es que muchas de esas recomendaciones presuponen un perímetro físico que las haga ejecutables. Un control de acceso lógico a una sala técnica no significa nada si la puerta de esa sala se abre con una llave que tienen catorce subcontratistas. Una política de segmentación de red asume que los switches están en armarios cerrados, no en una repisa accesible desde el pasillo de carga. La monitorización de eventos en la red OT presupone que las cámaras que registran quién entra al CPD funcionan, están alimentadas, y no se pueden desconectar tirando de un cable que recorre sesenta metros de falso techo.

Esta frontera no es un defecto del marco. Es una división de competencias. INCIBE no es el regulador físico, igual que el CNPIC no entra en el detalle del cifrado de extremo a extremo en una conexión SCADA. El problema aparece cuando el operador, al ejecutar, se encuentra con que la recomendación se ha redactado asumiendo una madurez física que su instalación no tiene. La planta lleva veinte años funcionando, el perímetro se diseñó para evitar el robo de cobre, y ahora se le pide que aloje sensores, gateways, antenas y un sistema de videoanalítica que envía a un SOC externo. La capa física no estaba preparada para eso.

El fabricante que ha trabajado en obra antes de trabajar en seguridad lo ve con claridad. La ciberseguridad de una instalación industrial española en 2025 se juega en la conjunción de tres cosas: la red, el dispositivo, y el envoltorio físico que protege ambos. Las tres son responsabilidad del operador. Las tres aparecen, explícitas o implícitas, en las recomendaciones de INCIBE. Sólo dos de ellas tienen un proveedor obvio.

Lo que las recomendaciones dicen y lo que exigen

Una lectura técnica de las guías que INCIBE ha publicado sobre entornos industriales, en particular las dedicadas a protección de sistemas de control y a buenas prácticas en redes OT, permite identificar al menos seis bloques donde la ejecución se desplaza al plano físico. El primero es el control de acceso a salas técnicas y armarios de comunicaciones. INCIBE recomienda restringir el acceso físico a los activos críticos de red. En la práctica esto significa cerraduras electrónicas auditables, registro de aperturas, y una política de gestión de llaves que la mayoría de plantas no tiene formalizada.

El segundo bloque es la videovigilancia de zonas con activos OT. La recomendación de mantener registro de quién accede a determinados espacios se traduce en cámaras que cumplen requisitos de retención, resolución suficiente para identificar, y una cadena de custodia de las grabaciones que resista una investigación. La AEPD ha publicado guías sobre videovigilancia en entornos laborales que se cruzan aquí de forma directa, y un sistema mal desplegado puede crear más exposición legal que protección operativa.

El tercer bloque es la detección perimetral exterior. Los recintos donde se alojan subestaciones, depósitos, centros de bombeo o nodos logísticos críticos necesitan detección antes del muro, no después. INCIBE no entra en el detalle, pero cualquier respuesta a incidentes que dependa de una alerta temprana presupone que esa alerta se ha generado en el perímetro físico, no cuando el intruso ya está delante del rack.

El cuarto bloque es la integridad del propio dispositivo de seguridad. Un sensor que se puede arrancar con una llave Allen no es un sensor, es un objeto. Una cámara cuyo cable de alimentación es accesible no graba, ofrece grabar mientras el atacante no decida lo contrario. La robustez física del hardware de seguridad es una recomendación implícita en cualquier guía seria sobre arquitectura de defensa en profundidad.

El quinto bloque es la continuidad ante corte de energía o de comunicaciones. Las recomendaciones sobre disponibilidad de los sistemas de monitorización exigen, en la capa física, alimentación autónoma, comunicación redundante, y la capacidad de seguir operando cuando la red corporativa cae. Un sistema de seguridad que depende del mismo enlace que el atacante ha cortado primero no es un sistema, es una decoración.

El sexto bloque, y el menos discutido, es la trazabilidad de las intervenciones de mantenimiento sobre el propio equipamiento de seguridad. Quién accede al firmware de la cámara, quién cambia la configuración del lector, quién sustituye el sensor. La cadena de suministro de la seguridad física es, en sí misma, un vector de riesgo ciber, como ENISA lleva señalando en sus informes anuales sobre amenazas a infraestructuras europeas.

El operador industrial que ya cumple en el papel

La conversación tipo, en una planta española que opera bajo la designación de operador de servicios esenciales, sigue un guion conocido. El responsable de ciberseguridad presenta un plan que mapea las recomendaciones de INCIBE contra los controles implantados. Hay un porcentaje alto de cumplimiento documental. Hay políticas, hay procedimientos, hay un plan de respuesta a incidentes que se ha probado en mesa al menos una vez. La auditoría externa anual da un resultado aceptable.

Cuando la conversación baja a la planta, el paisaje cambia. La sala del CPD tiene una cerradura mecánica cuyo histórico de llaves nadie ha auditado en diez años. Las cámaras del perímetro exterior son un parque heterogéneo instalado por tres proveedores distintos en momentos distintos, con una grabadora central que se actualizó hace cinco años. El control de accesos al recinto se lleva en una libreta porque el lector biométrico falla cuando hace mucho calor. El armario de comunicaciones del edificio anexo, donde termina la fibra que conecta con el SCADA, está en un pasillo por el que pasan a diario operarios de mantenimiento externo cuya identidad no siempre se verifica.

Ninguna de estas observaciones aparece en la auditoría ciber. No porque el auditor no las vea, sino porque su alcance no las cubre. El operador cumple en el papel y es vulnerable en el ladrillo. La discrepancia no se resuelve sumando más controles lógicos, se resuelve cerrando el perímetro físico hasta el punto donde las recomendaciones lógicas tienen sentido.

Esta es la observación dura. La inversión que muchos operadores españoles deberían hacer en los próximos tres años no es ciber, es ciberfísica. El hardware perimetral, la videovigilancia con capacidad de analítica, los sistemas de detección temprana en exteriores, los armarios certificados, las cerraduras auditables. No porque sea más importante que la ciber, sino porque sin ese sustrato la ciber no se sostiene. Lo que entrega ENISA en sus informes europeos, lo que el CCN-CERT recoge en sus guías STIC, y lo que el CNPIC exige a los operadores críticos converge en este punto: la defensa en profundidad incluye una capa de hormigón, y esa capa lleva años olvidada.

El hardware que cierra la frontera

Desde la posición del fabricante, las soluciones que cierran esta frontera tienen características específicas. La primera es la robustez física certificada. Un equipo de seguridad perimetral que no resiste manipulación, vibración, temperatura extrema y humedad no es apto para entornos industriales españoles, donde una planta puede pasar de menos cinco grados en enero a cuarenta y cinco en agosto, con polvo, salinidad costera o humedad de proceso según la ubicación. La certificación IP y IK no es marketing, es la diferencia entre un sistema que dura siete años y uno que falla en el segundo invierno.

La segunda característica es la autonomía. El hardware perimetral debe poder operar sin depender de la red corporativa ni de la alimentación principal del recinto. Baterías dimensionadas para al menos veinticuatro horas de operación, comunicación celular redundante con la conexión cableada, y capacidad de almacenamiento local que permita seguir registrando aunque el enlace al SOC caiga. Esta autonomía no es lujo, es la única forma de que el sistema siga siendo útil precisamente en el momento en que más se necesita, que es cuando algo ha ido mal en otra parte de la instalación.

La tercera característica es la integración nativa con los sistemas lógicos. Un sensor perimetral que no puede entregar sus eventos al SIEM del operador en un formato estándar es una isla. La interoperabilidad con protocolos industriales, con plataformas de gestión de eventos y con sistemas de control de acceso lógico es lo que convierte el hardware en parte de la arquitectura de seguridad, no en un anexo. Esta integración, descrita con detalle en el capítulo dedicado a integración del libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad, es donde la mayoría de los proyectos fallan, no por falta de tecnología sino por falta de criterio en cómo se conecta lo físico con lo lógico.

La cuarta característica es la analítica en el borde. La videovigilancia que sólo graba es una herramienta forense, útil después del incidente. La videovigilancia con analítica en el dispositivo es una herramienta preventiva, que genera alertas antes de que el incidente progrese. La diferencia entre una y otra no es marginal, es estructural, y determina si el sistema de seguridad reacciona en segundos o en horas.

La quinta característica, y la menos visible, es la cadena de suministro auditable. Quién fabrica el dispositivo, dónde se fabrica, qué componentes contiene, qué firmware ejecuta, cómo se actualiza, quién accede a esa actualización. Las exigencias que ENISA traslada a través de la directiva NIS2 sobre seguridad de la cadena de suministro aplican aquí con la misma fuerza que aplican al software corporativo. Un operador español que en 2026 instale cámaras perimetrales sin auditar esa cadena estará incumpliendo, aunque hoy la inspección no haya llegado todavía.

La auditoría que cruza las dos capas

La consecuencia operativa para un operador industrial español que toma estas observaciones en serio es que necesita una auditoría que cruce las dos capas. No una auditoría ciber que mencione la física como contexto, ni una auditoría de seguridad física que se detenga en el cable. Una auditoría que recorra el perímetro con el plano de la red en la mano, que abra los armarios y mire qué hay dentro, que compruebe si la cámara que vigila el rack está alimentada por el mismo cuadro que el rack, que verifique si la cerradura electrónica registra realmente los accesos o sólo los permite.

Este tipo de auditoría no la hace un consultor ciber tradicional, porque no tiene la formación para evaluar la robustez física. No la hace un instalador de seguridad tradicional, porque no tiene el criterio para evaluar la arquitectura lógica. La hace un fabricante con experiencia operativa en ambos planos, o un equipo que combine las dos competencias bajo una sola coordinación.

En BOSWAU + KNAUER ofrecemos este recorrido como una auditoría de tres a cinco días sobre un recinto industrial, con un entregable que cruza recomendaciones de INCIBE, exigencias del CNPIC cuando aplica, y observaciones físicas detalladas sobre el hardware existente. El resultado no es un informe ciber con un anexo físico, ni un informe físico con un guiño a la ciber. Es un mapa único de la superficie de exposición de la instalación, con priorización por impacto y por coste de remediación. El operador decide después qué hacer con ese mapa. Una parte significativa de lo que aparece en él se puede resolver con cambios de procedimiento que no requieren inversión. Otra parte requiere hardware, y ahí la conversación se vuelve concreta.

Lo que permanece

La frontera entre ciberseguridad y seguridad física, en el caso español, se sostiene en una división institucional que tiene sentido administrativo y consecuencias operativas. INCIBE, el CCN-CERT, el CNPIC y la AEPD cubren entre todos un territorio amplio, pero ninguno cubre la zona gris donde el cable se acaba. Esa zona la cubre el operador, en silencio, con los medios que tiene, y normalmente con menos criterio del que aplica al resto de sus decisiones de seguridad.

La observación de fondo, desde la posición de quien fabrica hardware perimetral y videoanalítica para entornos industriales, es que el cumplimiento real de las recomendaciones de INCIBE en una instalación española de 2025 exige una capa física que la mayoría de operadores todavía no ha actualizado. No es una crítica al marco, es una constatación sobre la ejecución. Y es la oportunidad más clara que tienen los operadores serios para diferenciarse en los próximos tres años: cerrar la frontera antes de que llegue la inspección que la cierre por ellos.

Para un operador que reconozca esta situación en su propia instalación, el primer paso útil no es contratar más tecnología. Es una conversación confidencial de sesenta minutos con un fabricante que haya recorrido el camino de la obra a la seguridad, donde se expongan los puntos concretos sin compromiso de continuidad. De ahí se decide si tiene sentido una auditoría de tres a cinco días, o si la lectura conjunta del marco es suficiente para que el equipo interno avance solo. Las dos respuestas son legítimas. La que no lo es, es seguir asumiendo que el papel cubre el hormigón.

Preguntas frecuentes

¿Qué recomienda INCIBE en seguridad perimetral?

INCIBE no tiene un mandato directo sobre seguridad perimetral física, pero sus guías sobre protección de sistemas de control industrial, segmentación de redes OT y respuesta a incidentes presuponen un perímetro físico funcional. Las recomendaciones incluyen, de forma explícita o implícita, control de acceso a salas técnicas, videovigilancia de zonas críticas con activos OT, detección temprana en exteriores, integridad física de los propios dispositivos de seguridad, continuidad ante corte de energía o comunicaciones, y trazabilidad de las intervenciones de mantenimiento. La ejecución de estas recomendaciones requiere hardware específico que el marco no detalla.

¿Cómo se aplica en una planta industrial?

La aplicación práctica en una planta española exige un recorrido cruzado del perímetro físico y la red OT, con el plano en la mano. Se identifican los armarios de comunicaciones, las salas técnicas, los puntos de entrada de fibra, las cámaras existentes y su estado, los lectores de acceso, los sistemas de alimentación y las redundancias. Se mapean contra las recomendaciones de INCIBE y, si la planta es operador crítico, contra las exigencias del CNPIC. El resultado es una matriz que muestra dónde el cumplimiento documental cubre una vulnerabilidad física real, y dónde no.

¿Qué hardware satisface las recomendaciones?

El hardware adecuado combina cinco propiedades: robustez física certificada con niveles IP e IK apropiados al entorno, autonomía operativa de al menos veinticuatro horas ante corte de energía o comunicaciones, integración nativa con sistemas lógicos a través de protocolos estándar, analítica en el borde que genere alertas preventivas y no sólo grabación forense, y una cadena de suministro auditable que cumpla las exigencias derivadas de NIS2 y de las recomendaciones de ENISA. Cámaras, sensores perimetrales, cerraduras auditables, armarios certificados y plataformas de gestión que cumplan estos criterios son los componentes habituales.

¿Hay certificación específica?

No existe una certificación única que cubra el cruce entre las recomendaciones de INCIBE y el hardware de seguridad física. Las certificaciones relevantes se reparten entre normas de robustez física, como las series IEC para protección IP e IK, normas de funcionalidad de seguridad, como las EN para sistemas de alarma y videovigilancia, y certificaciones de ciberseguridad del propio dispositivo, como Common Criteria o las que recoge el Esquema Nacional de Seguridad. Para operadores críticos, el CNPIC puede exigir requisitos adicionales según el sector. La combinación adecuada depende del tipo de instalación y del marco regulatorio aplicable.