Control de accesos multi-factor en industria: más allá de la tarjeta

La tarjeta de proximidad nunca fue un control de acceso. Fue una llave electrónica con registro de paso, y el sector industrial lleva dos décadas confundiendo ambas cosas.

Esta confusión tiene consecuencias medibles. Una llave se pierde, se presta, se duplica y se hereda entre turnos, y un control de acceso debería resistir cada una de esas situaciones por diseño. En la planta media española, la tarjeta sigue siendo el único factor entre el exterior y los activos críticos: sala eléctrica, cuarto de control, racks de TI, almacén de químicos. Cuando un auditor de ISO 27001 pregunta cómo se autentica al portador de esa tarjeta, la respuesta honesta suele ser que no se autentica en absoluto. Se autentica al objeto, no a la persona. La diferencia, en el momento de un incidente, es la diferencia entre saber qué pasó y suponerlo.

El control de accesos multi-factor en industria no es la versión corporativa de TI trasladada al torno de entrada. Es una disciplina propia, con condiciones ambientales duras, con turnos que rotan, con contratistas que entran un día y no vuelven, con guantes, con cascos, con polvo y con humedad. Pretender que un lector facial de oficina funcione en una planta de áridos es un error de categoría. Pero renunciar al segundo factor por incomodidad es otro error, y mayor.

Por qué la tarjeta sola dejó de ser suficiente

La tarjeta RFID, en cualquiera de sus variantes habituales, transmite un identificador. Ese identificador se contrasta con una base de datos local o central, y el sistema abre o niega el paso. En el papel funciona. En la realidad, el identificador puede clonarse con un lector portátil que cuesta menos que una cena, la tarjeta puede prestarse entre operarios al final del turno para evitar fichar tarde, y la base de datos puede contener perfiles inactivos que nunca se dieron de baja porque la coordinación entre Recursos Humanos y Seguridad Física no existe como proceso documentado. INCIBE ha publicado avisos reiterados sobre la clonación de credenciales en entornos OT, y los informes de incidentes del CCN-CERT muestran que el acceso físico sigue siendo, en una proporción no menor de los casos analizados, el origen del compromiso lógico.

Existe además un problema que rara vez se nombra: la tarjeta no sabe quién la lleva. Un sistema basado en un único factor de posesión es ciego al portador. En una planta con ochocientas tarjetas activas, repartidas entre plantilla propia, contratistas habituales, contratistas eventuales, personal de mantenimiento externo y visitas, esa ceguera se traduce en una superficie de ataque que el responsable de seguridad no puede defender con honestidad ante una auditoría seria. Cuando llega el momento de explicar por qué se accedió a la sala de servidores a las tres de la madrugada, la única respuesta posible es leer un identificador de tarjeta. No hay imagen, no hay confirmación biométrica, no hay correlación con el patrón habitual de esa persona. Hay un número y un timestamp.

El estándar ISO 27001, en su control A.7.2 sobre acceso físico a áreas seguras, no exige formalmente multi-factor, pero exige proporcionalidad al riesgo. En instalaciones que tratan datos personales bajo régimen AEPD, que operan procesos sometidos a CNPIC por su consideración de infraestructura crítica, o que firman contratos con clientes industriales que aplican sus propias políticas de seguridad de la cadena de suministro, la proporcionalidad se traduce en la práctica en al menos dos factores independientes. Tarjeta y PIN, tarjeta y biometría, biometría y reconocimiento de patrón de comportamiento. La combinación concreta depende del activo, no de la moda.

Los cuatro factores y cómo se combinan en la práctica

La literatura clásica de seguridad habla de tres factores: algo que se tiene, algo que se sabe, algo que se es. La práctica industrial reciente añade un cuarto, que algunos autores denominan factor de contexto y otros factor de comportamiento. Conviene describirlos sin abstracciones.

Algo que se tiene incluye la tarjeta RFID, el llavero criptográfico, el teléfono móvil con certificado instalado, el token físico. En entornos industriales se prefiere el medio físico dedicado sobre el teléfono, porque el teléfono no siempre se permite en planta y porque la batería introduce un punto de fallo que la tarjeta pasiva no tiene. Algo que se sabe sigue siendo el PIN, con todas sus debilidades conocidas. Un PIN de cuatro dígitos compartido entre el turno de noche y escrito con rotulador en la parte trasera de la tarjeta no es un segundo factor, es un teatro. El PIN exige rotación, exige no compartirse, exige longitud razonable, y exige un teclado que el operario pueda usar con guantes sin equivocarse tres veces seguidas y bloquear su credencial cinco minutos antes del cambio de turno.

Algo que se es cubre la biometría. Huella, palma vascular, iris, geometría facial. Cada modalidad tiene su perfil de error, su sensibilidad ambiental y su coste. La huella es barata pero falla con manos sucias o callosas, frecuentes en industria pesada. La palma vascular es robusta a la suciedad superficial pero exige hardware más caro. El reconocimiento facial funciona bien si la iluminación se controla, pero en un acceso a cielo abierto entre las seis de la mañana en invierno y las tres de la tarde en verano, el sistema debe estar preparado para condiciones que la oficina nunca ve. El iris es preciso pero exige cooperación del usuario y un instante de quietud que en una zona de tráfico denso ralentiza el flujo.

El cuarto factor, el contextual o de comportamiento, es el que diferencia un sistema moderno de uno meramente cumplidor. Aquí entran el horario habitual de la persona, la zona desde la que accede, la secuencia previa de lectores activados, la coincidencia con su turno planificado, la presencia simultánea de su responsable, la correlación con su última lectura en otro sistema corporativo. Un sistema que detecta que un operario del turno de mañana intenta acceder a las dos de la madrugada al cuarto de control sin que figure como guardia esa noche, y que eleva la exigencia de autenticación o lanza una alerta al SOC, está aplicando un factor que ninguna tarjeta puede sustituir. Esta capa la construye el software de gestión, no el lector, y por eso la elección de la plataforma pesa tanto o más que la elección del hardware de campo.

La integración con ISO 27001 y el resto del marco normativo

ISO 27001 no es un certificado de control de accesos. Es un sistema de gestión de la seguridad de la información que, entre sus anexos, exige tratar el acceso físico como uno de los controles del entorno operativo. El Anexo A en su versión de 2022 reagrupa los controles físicos en una sección propia, y plantea exigencias sobre perímetros, entradas, áreas seguras y trabajo en zonas restringidas. La lectura honesta del estándar es que el control de accesos debe responder a un análisis de riesgos documentado, no a un catálogo de buenas intenciones.

En la práctica auditora española, una planta que aspira a la certificación encuentra que los hallazgos más frecuentes en este capítulo no son la ausencia de lectores, sino la ausencia de proceso. Tarjetas activas de personas que dejaron la empresa hace nueve meses. Registros de acceso que no se revisan nunca. Listas de visitas firmadas en papel que conviven con un sistema electrónico, sin reconciliación. Áreas marcadas como seguras en el plano que en realidad tienen una puerta que se queda abierta porque el muelle hidráulico está roto desde el año pasado. El multi-factor, en este contexto, no es un capricho tecnológico. Es el mecanismo que obliga a que el proceso exista, porque sin proceso el sistema no funciona.

La AEPD añade su capa cuando entra biometría, porque el dato biométrico es categoría especial bajo el RGPD. Esto implica base jurídica explícita, evaluación de impacto cuando proceda, conservación limitada, almacenamiento cifrado y, en muchos casos, preferencia por plantillas locales sobre la tarjeta del usuario frente a bases de datos centralizadas. Los fabricantes que entienden el mercado europeo ofrecen ambas arquitecturas y dejan al cliente la decisión informada. Los que sólo ofrecen una, normalmente la centralizada, exportan un modelo de cumplimiento que aquí no encaja sin tensión.

Para infraestructuras bajo CNPIC, la normativa sectorial añade exigencias específicas sobre segregación de zonas, control sobre personal con acceso privilegiado, registro y conservación. El multi-factor aquí no es opcional en la práctica, aunque la ley no lo nombre con esas palabras. Es la única forma razonable de demostrar al inspector que el operador conoce a quien entra a sus zonas críticas. ENISA, en sus guías sobre seguridad en entornos OT, recoge esta misma línea, y la traslada a recomendaciones que los integradores europeos serios han incorporado a su práctica habitual.

Cómo se diseña el despliegue en una planta industrial real

Una planta no es un edificio de oficinas. Hay accesos peatonales, accesos de vehículos, muelles de carga, pasarelas técnicas, zonas restringidas dentro de zonas restringidas. El error frecuente es tratar todos los puntos con la misma exigencia, lo que produce dos efectos indeseables: el coste se dispara y los usuarios buscan atajos. El diseño sensato parte de una clasificación de zonas por nivel de criticidad, y aplica la combinación de factores proporcional a cada nivel.

Una zona de tráfico general, donde entran cientos de personas al día en cambios de turno concentrados, no soporta biometría individual sin colas que paralizan la planta. Aquí funciona la tarjeta con validación contextual: el sistema acepta la lectura si la persona figura en turno, su zona de destino coincide con su asignación y no hay alertas activas sobre su credencial. La segunda barrera, ya dentro, exige el segundo factor: PIN para zonas administrativas, biometría para sala eléctrica, biometría más confirmación de un segundo operario para sala de control. El concepto, conocido como dual control o regla de los dos hombres, no es nuevo, pero su implementación electrónica permite auditar lo que antes dependía de la disciplina del turno.

Los contratistas son el punto donde la mayoría de los sistemas se rompen. Llegan en horarios irregulares, vienen de empresas distintas cada vez, requieren acceso temporal a zonas concretas, y nadie quiere asumir el coste administrativo de darlos de alta como si fueran plantilla. La solución técnica existe y se llama credencial de visita con caducidad automática, vinculada al contrato de servicio, con autorización del responsable interno que asume la trazabilidad. Si el sistema no implementa esto, los contratistas terminan usando tarjetas prestadas de plantilla, y el control multi-factor queda anulado por el eslabón más débil del proceso.

El muelle de carga merece párrafo propio. Es la zona donde más material entra y sale, donde la rotación de conductores externos es máxima, y donde el control de accesos suele degradarse a una garita con un cuaderno. Un diseño moderno integra lectura de matrícula, validación de albarán, identificación del conductor por documento y registro fotográfico, y todo ello antes de que la barrera se abra. No es ciencia ficción, es lo que el sector logístico avanzado lleva implantando desde hace cinco años, y la industria que comparte recinto con logística debería aprender de ese vecino.

Las debilidades que permanecen aunque se implante multi-factor

Ningún sistema elimina el riesgo, sólo lo desplaza. Un control multi-factor bien diseñado reduce la probabilidad de acceso no autorizado, pero introduce nuevas superficies que el responsable debe conocer. La primera es la suplantación con coacción: una persona autorizada que es forzada a abrir bajo amenaza. Aquí el factor biométrico, paradójicamente, agrava el problema, porque no se puede prestar. La respuesta es el código de coacción, un PIN alternativo que abre el acceso pero lanza alerta silenciosa al centro de control. Pocos sistemas lo implementan bien, y aún menos clientes lo configuran.

La segunda debilidad es la dependencia de la red. Un sistema centralizado que pierde conexión con su servidor debe definir qué hace: ¿abre todo, cierra todo, opera en modo degradado con la última lista descargada? Cada elección tiene consecuencias operativas y de seguridad. La práctica recomendada por CCN-CERT en sus guías STIC para entornos sensibles es el modo degradado con lista local y registro diferido, pero la configuración por defecto de muchos productos es otra. Quien no lee la documentación, descubre el comportamiento real el día que falla la red.

La tercera debilidad es la propia plataforma de gestión. El servidor donde residen las credenciales, las políticas y los registros es un activo de alto valor. Si ese servidor está mal segmentado, mal parcheado o gestionado con credenciales compartidas por el equipo de mantenimiento, el multi-factor en las puertas se convierte en una decoración. INCIBE ha documentado casos de compromiso de sistemas de control de accesos por vías exclusivamente lógicas, sin que ningún atacante se acercara físicamente a la planta. La seguridad física moderna es indistinguible de la ciberseguridad, y quien las gestiona en silos separados acumula deuda que tarde o temprano se cobra.

La cuarta debilidad, y la más difícil de tratar, es la fatiga del proceso. Un sistema que exige doble factor en treinta puntos al día agota al usuario, que termina buscando la forma de saltárselo. Un diseño que no piensa en el operario real, en sus guantes, en su prisa, en su turno de doce horas, es un diseño que será sorteado por el propio personal al que pretende proteger. Aquí no hay solución técnica pura. Hay diseño centrado en el uso, formación continua y revisión periódica de qué puntos exigen qué factores, ajustando cuando la realidad operativa lo pide.

Lo que permanece

El control de accesos multi-factor en industria no es una casilla que se marca, es una práctica que se sostiene. La tarjeta sigue siendo útil como primer factor, pero ha dejado de bastar como único factor en cualquier instalación cuyo análisis de riesgos honesto reconozca activos críticos. La combinación de posesión, conocimiento, biometría y contexto, modulada por zonas y proporcional al riesgo, es lo que un auditor de ISO 27001 espera ver, lo que un inspector de CNPIC valora, y lo que un cliente industrial exigente pide en sus cláusulas de seguridad de proveedores.

La planta que sigue defendiendo su perímetro con tarjetas clonables y un cuaderno en la garita no está ahorrando. Está aplazando un coste que llegará en forma de incidente, de no conformidad o de pérdida de contrato. La planta que ha hecho el trabajo, con factores combinados, con proceso documentado, con plataforma auditable y con revisión periódica, ha incorporado a su operación una capa de la que ya no se sale, porque cada certificación que renueva la consolida. En ese tránsito conviene tener un interlocutor que no venda hardware, sino arquitectura. La conversación confidencial de sesenta minutos que ofrecemos como Camino I sirve precisamente para situar el estado actual frente al estado exigible, sin compromiso y sin presentación de producto. Para quien necesita verificar in situ qué tiene y qué le falta, el Camino II, una auditoría de tres a cinco días con seis entregables definidos, transforma la intuición en plan. El libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad desarrolla la lógica que sostiene esta forma de trabajar.

Lo que no cambia, y conviene recordarlo, es que la seguridad física no se compra como producto, se construye como proceso. El multi-factor es una herramienta dentro de ese proceso, no su sustituto.

Preguntas frecuentes

¿Qué factores combinan?

Los sistemas industriales serios combinan al menos dos de cuatro factores: posesión, conocimiento, biometría y contexto. La posesión cubre tarjeta o llavero criptográfico. El conocimiento corresponde al PIN. La biometría incluye huella, palma vascular, iris o reconocimiento facial, con perfiles de error distintos según el entorno. El contexto añade horario, zona, secuencia y correlación con turnos planificados. La combinación concreta se ajusta al nivel de criticidad de cada zona y al análisis de riesgos documentado. Aplicar el mismo nivel en todos los puntos es ineficiente y produce el efecto contrario al buscado.

¿Quién certifica?

ISO 27001 es la norma de referencia internacional para sistemas de gestión de la seguridad de la información, y certifica entidades acreditadas como AENOR, BSI o Bureau Veritas, entre otras. En España, ENAC supervisa la acreditación de las entidades certificadoras. Para infraestructuras críticas, CNPIC actúa como autoridad competente, y exige planes de seguridad específicos que incorporan el control físico de accesos. La AEPD interviene cuando el sistema trata datos biométricos, considerados categoría especial bajo el RGPD. CCN-CERT publica guías STIC que el sector público y muchos privados toman como referencia técnica.

¿Qué fabricantes certifican?

Los fabricantes europeos con presencia consolidada en industria suelen contar con certificaciones de producto como Common Criteria, evaluaciones del BSI alemán o conformidad con normas EN específicas de control de accesos. La certificación del fabricante no equivale a la certificación del sistema desplegado, que depende del diseño, la integración y el proceso operativo del cliente. Conviene exigir documentación técnica detallada, pruebas de penetración independientes y referencias de instalaciones comparables en el sector. Un fabricante que no quiere mostrar su arquitectura interna o sus resultados de auditoría no es un proveedor serio para entornos críticos.

¿Qué debilidades quedan?

Persisten cuatro debilidades aunque el multi-factor esté bien implantado. La coacción sobre personal autorizado, que se mitiga con código de coacción y alerta silenciosa. La dependencia de red, que exige modo degradado bien definido. La seguridad de la propia plataforma de gestión, que es un activo crítico y debe tratarse con la misma exigencia que cualquier sistema corporativo sensible. Y la fatiga del proceso, cuando el diseño no contempla la realidad operativa del usuario y este busca atajos. Ninguna se resuelve sólo con tecnología. Las cuatro exigen diseño, formación y revisión continua.