#insights

La ciberseguridad en infraestructuras críticas ya no puede abordarse como una capa adicional ni como una reacción ante incidentes. En el contexto actual, marcado por normativas como NIS2 o el Cyber Resilience Act (CRA), la seguridad debe integrarse desde la fase de concepción y diseño de los sistemas. No es un valor añadido: es el requisito mínimo para poder diseñar, construir y operar activos críticos de forma sostenible.

En una compañía de ingeniería como Sener, este enfoque se traduce en una idea muy concreta: cada activo digital nace con la seguridad incorporada. Desde un PLC desplegado en campo hasta una plataforma OT de monitorización a gran escala, la ciberseguridad forma parte del diseño inicial y no de una fase posterior basada en parches, excepciones o soluciones reactivas.

Este planteamiento reduce de forma significativa el riesgo de interrupciones de servicio y permite una explotación más predecible, eficiente y rentable a lo largo de todo el ciclo de vida de la infraestructura.

¿Qué significa realmente “ciberseguridad desde el diseño”?

Hablar de seguridad desde el diseño (security by design) implica incorporar requisitos y controles de ciberseguridad en todas las fases del ciclo de vida del hardware y del software. No se trata únicamente de desplegar tecnología, sino de asumir la seguridad como un requisito funcional del sistema, al mismo nivel que la disponibilidad, la seguridad operacional (safety) o el rendimiento.

En la práctica, este enfoque se apoya en cinco pilares fundamentales:

• Análisis de riesgos y amenazas desde las primeras fases de ingeniería
• Definición de arquitecturas seguras, alineadas con entornos OT e IT
• Decisiones de diseño y desarrollo basadas en principios de mínimo privilegio
• Pruebas de seguridad y puesta en servicio controlada
• Operación segura, con capacidad de actualización y gestión del cambio

De este modelo se derivan principios clave y medibles: reducción de la superficie de ataque, defensa en profundidad, segmentación efectiva entre redes OT e IT, gestión robusta de identidades y accesos, y mecanismos de actualización segura durante toda la vida útil del sistema. Todos ellos alineados con las nuevas exigencias regulatorias para productos y sistemas con elementos digitales.

De la teoría a la práctica: ciberseguridad OT en el sector ferroviario

Un ejemplo representativo de este enfoque es el programa “OT Cyber Security Uplift” desarrollado para Sydney Trains, donde Sener ha integrado capacidades avanzadas de ciberseguridad en sistemas OT ya existentes.

El objetivo no era únicamente desplegar herramientas, sino elevar de forma medible la madurez de seguridad de los activos ferroviarios más críticos. Este trabajo ha permitido reducir vulnerabilidades en entornos safety-critical, alinear la operación con las mejores prácticas regulatorias y reforzar la resiliencia de la red ferroviaria de Sídney frente a amenazas cada vez más sofisticadas.

En proyectos como Sydney Metro Western Sydney Airport, este mismo enfoque se aplica desde la fase de ingeniería, alineando comunicaciones, señalización y plataformas digitales con arquitecturas seguras por defecto, diseñadas para operar durante décadas.

Impacto en energía, industria y movilidad

En los sectores de energía e industria, el enfoque de Sener combina marcos internacionales como IEC 62443 con requisitos de seguridad nacionales y europeos —por ejemplo, el ENS adaptado a NIS2— para diseñar redes DCS, SCADA y sistemas industriales complejos con:

• Segmentación OT/IT adecuada
• Capacidades específicas de monitorización de seguridad
• Gestión de vulnerabilidades integrada en la operación

En el ámbito de la movilidad, las soluciones de OT Security conectan el diseño de infraestructuras resilientes con capacidades de detección y respuesta casi en tiempo real, de modo que los nuevos proyectos nacen preparados tanto para auditorías bajo NIS2 como para las exigencias que introduce el Cyber Resilience Act.

Diseñar seguro hoy para operar mañana

En infraestructuras críticas, no hay margen para improvisar la ciberseguridad. Diseñar sistemas seguros desde el inicio no solo reduce riesgos: mejora la disponibilidad, simplifica la operación y protege inversiones adaptativas y orientadas al negocio.

La ciberseguridad ya no es un parche. Es, y debe ser, una decisión de diseño.