La convergencia entre OT e IT ha dibujado un nuevo mapa de vulnerabilidades donde la ciberseguridad trasciende lo técnico

La forja digital: NIS2 y el blindaje de la industria en tiempos inciertos

Alfonso Ramon, Information Network Technical Specialist en Emerson | viernes, 23 de mayo de 2025, 14:42

No hay alarma más inquietante que aquella que nunca suena. En el ámbito industrial, donde lo digital se entrelaza hoy en matrimonio forzoso (y no siempre bien avenido), la amenaza avanza bajo el radar de la percepción común. Los engranajes que sostienen nuestra civilización moderna — eléctricas, acueductos invisibles, arterias productivas— han abandonado su aislamiento para conectarse a un mundo donde cada paquete de datos puede esconder un caballo de Troya. La convergencia entre OT e IT ha dibujado un nuevo mapa de vulnerabilidades donde la ciberseguridad trasciende lo técnico para convertirse en cuestión de supervivencia. Y en ese tablero complejo, Europa ha decidido jugar fuerte con su directiva NIS2, quizá el último intento de poner orden en la frontera digital más crítica y desprotegida.

Del monasterio al bosque oscuro

Hubo un tiempo, no tan lejano, en que los sistemas industriales vivían en retiro casi monacal (suspiro nostálgico). ‘Seguridad por oscuridad’, lo llamaban: nadie te ataca si no sabe que existes. Luego llegó la interconexión —y es que, como advierte Liu Cixin, nuestros entornos se parecen a un bosque nocturno: cada fabrica es susceptible de ser “cazada”; enseñar la linterna es dibujarse una diana en la espalda.

La Industria 4.0 encendió cientos de fogatas: sensores IoT, paneles remotos, mantenimiento predictivo… ¡brillo por todas partes! El mismo fulgor que nos exige la nueva industria, señala nuestra posición a los depredadores digitales. Apagar las luces no es opción (adiós eficiencias), así que toca camuflar el resplandor: segmentación de redes, accesos con lupa y micro-zonas que huelen a cortafuegos y no a carne fresca.

NIS2: La nueva constitución de la defensa digital europea

La UE se cansó de buenas intenciones y soltó NIS2 (16 enero 2023). Fecha de examen: 17 octubre 2024. Resultado parcial: solo el 12 % de las empresas españolas aprueba; el resto aún afila lápices (veremos algunas luces de despacho encendidas a altas horas de la madrugada). No sólo eso, sino que el legislador español, de españolas maneras, ha esperado hasta principios de año para impulsar el Centro Nacional de Ciberseguridad para completar la transposición. Justo a tiempo (no). NIS2 amplía la mira de los sectores críticos, sube la multa al 2 % de la facturación global y, atención, hace responsables a los directivos. Como guiñó la cita del mariscal Foch: “La responsabilidad sin autoridad es injusta; la autoridad sin responsabilidad es tiranía”", (puede que nunca lo dijera, pero le da empaque al artículo. Ustedes sabrán perdonarme).

La protección de los engranajes invisibles

La tecnología de operaciones (OT) dentro del ecosistema industrial es un entorno utilizado para supervisar y controlar procesos físicos muy esenciales. Además, es una correa de trasmisión que palpita en los sistemas que siguen manteniendo en funcionamiento el organismo de los sistemas que sustentan las infraestructuras críticas de la sociedad.

NIS2 presta especial atención a estos sistemas. Entre sus requisitos específicos para entornos OT destacan la protección de los sistemas de control industrial (ICS), la gestión rigurosa de accesos y la segmentación de redes para reducir el riesgo de propagación de ciberataques. La directiva reconoce la naturaleza crítica de estos sistemas y exige medidas adicionales de protección.

Un sistema de control industrial comprometido puede causar daños físicos reales, no estamos hablando de la pérdida de datos o información sensible, sino de posibles interrupciones en el suministro eléctrico (ejem), alteraciones en el tratamiento de agua potable o incluso riesgos para la integridad física de los trabajadores. La ciberseguridad OT no es, por tanto, un lujo, sino una necesidad imperativa.

PDCA: La brújula en la tormenta digital

NIS2 presenta sus credenciales abrazando PDCA. Primero, Plan: identifica todo dispositivo con chispa de vida. Como reza el viejo adagio militar: "Conoce tu territorio o perderás la batalla". En ciberseguridad industrial, lo que no está identificado no se protegerá, desde ese PLC oxidado en un rincón hasta el servidor que miras de reojo que no sabes muy bien que hace. La verdad es que, sin inventario, vas a ciegas. Luego toca Do y Check: instala barreras, prueba su resistencia y agita el avispero sin piedad. Y finalmente, Act: corrige los fallos, anota aprendizajes y salta de nuevo al Plan, porque este viaje digital no admite descansos largos.

Desafíos de un horizonte en movimiento

La adaptación a NIS2 presenta desafíos formidables para las organizaciones industriales. El primero es la falta de claridad en las directrices. Según un informe reciente, muchos proyectos y financiaciones están paralizados debido a la ausencia de instrucciones precisas. Como barcos sin carta náutica, las empresas navegan en la incertidumbre.

El coste representa otro obstáculo significativo. Según algunos ejercicios prácticos, hacer realidad el NIS2 puede hacer tambalear algunos presupuestos y balance de gastos. Esta cifra puede resultar inviable para muchas instituciones de tamaño medio, la misma categoría de empresas que la directiva pretende proteger. La convergencia de los sistemas de IT y OT refleja una colaboración sin precedentes entre departamentos que en el pasado se encontraban en campos opuestos. Hoy, sin embargo, los profesionales de IT y OT tendrán que empezar a hablar el mismo idioma y están condenados a entenderse. Como ciudadanos del mismo dominio tienen una misma: atenuar las amenazas que traspasan las fronteras.

Las oportunidades tras el desafío

2025 huele a integración total de seguridad física y digital: cámaras, controles de acceso y ciberdefensa en la misma orquesta. Además, la IA ya toca de oído: detecta patrones raros y avisa —con suerte antes de que suba la marea—, justo lo que exige NIS2 (alerta en menos de 24 h). Eso sí, ningún castillo resiste solo: compartir inteligencia es ley no escrita.

El tiempo apremia: Una llamada a la acción

Octubre 2024 no es un susto de calendario; es la línea de meta. Cumplir NIS2 no es postureo, es apuntalar catedrales digitales que durarán décadas. La complacencia regala munición al adversario.

Así que giramos la llave, arrancamos la maquinaria y, mientras la luz azul del tablero parpadea, recordamos la regla: avanzar sin convertirnos en blanco fácil. NIS2 no es aquella camisa de fuerza que temías, sino el chaleco salvavidas que, confiado, dejaste en el camarote. Y piense: Todos somos valientes, hasta que la cucaracha vuela. Estemos preparados, ustedes fabrican el futuro.