Proteger infraestructuras críticas frente a ciberataques es hoy una mezcla de ingeniería, gobierno y pruebas. Los incidentes que afectan energía, agua, transporte, sanidad o administración digital no se resuelven solo con antivirus: el impacto es social y económico, y los atacantes suelen combinar credenciales robadas, ransomware y abuso de la cadena de suministro.
En equipos que ya conviven con normativa sectorial, auditorías de clientes y expectativas tipo NIS2, la pregunta útil no es si habrá un evento, sino si podréis detectarlo, acotarlo y demostrar qué hicisteis y cuándo. A continuación ordenamos un marco operativo sin humo: qué priorizar primero y cómo conectarlo con un SGSI creíble.
Identificar qué es “crítico” de verdad (y para quién)
Sin inventario y sin propietarios, todo parece prioritario y nada lo es. Partimos de funciones esenciales: qué servicio, si falla, genera daño inmediato o encadena a otros.
Tres decisiones suelen clarificar el alcance:
- Dependencias: qué sistemas, aplicaciones y redes permiten esa función, incluidas interfaces con terceros.
- OT e IT: dónde termina el “oficina” y empieza el terreno operacional; muchos incidentes explotan credenciales en VPN o accesos remotos mal cerrados.
- Datos y reputación: si hay datos personales o notificación a autoridad, el incidente toca RGPD además de continuidad; conviene no tratarlo como ticket solo de redes.
Este inventario vive: cuando cambian proveedores, integraciones o automatización, el mapa de riesgo debe actualizarse con el mismo ritmo.
Gobernanza y prueba: política que se ejecuta
La ciberseguridad de infraestructuras críticas no es un documento de portada bonita. Es un conjunto de roles, aprobaciones y revisiones con acta o registro.
Lo que suele diferenciar madurez es:
- Comité o función de riesgo que decide excepciones (puertos, accesos de emergencia, integraciones cloud) con trazabilidad.
- Pruebas periódicas: tabletop de incidentes, restauración selectiva, validación de copias aisladas del dominio comprometido.
- Métricas simples: MTTD/MTTR orientativos, porcentaje de activos con parches en ventana acordada, cobertura MFA en cuentas con acceso sensible.
Sin el hábito de evidencias, los auditores y supervisores no compran discursos; compran registros coherentes con lo que el manual dice que hacéis.
Arquitectura: segmentación, identidad y superficie expuesta
En infraestructura esencial, segmentar no es moda: reduce el radio de explosión cuando una estación o un PLC queda comprometido. Combinad segmentación de red con control de identidades fuerte (MFA, cuentas con privilegio limitado en el tiempo, revisión de accesos de proveedor).
En paralelo, vigilad exposición externa: servicios publicados sin inventario, RDP abierto, copias en nubes compartidas o APIs sin límites de tasa. Un inventario de superficie, aunque sea trimestral, paga el esfuerzo en la primera búsqueda de sombras IT.
Donde el estándar corporativo sea ISO/IEC 27001, el SGSI ya proporciona el esqueleto de roles, tratamiento de riesgos y mejora continua; el truco es que los controles se escriban con el lenguaje de planta y operaciones, no solo de oficina central.
Cadena de suministro y operadores: confianza medida
Los incidentes recientes recuerdan que tercero confiable mal gestionado es vector de entrada. Contratos claros, revisión de accesos, exigencia de listas de materiales de software y ventanas de cambio coordinadas reducen sorpresas.
Para organizaciones dentro del ámbito de normativa europea de redes y servicios, el hilo con gestión de incidentes, cooperación con autoridades y requisitos de proveedores forma parte del paquete que ya estudia NIS2; la orientación de ENISA ayuda a alinear criterios con el ecosistema de agencias.
Respuesta a incidentes y continuidad: menos heroísmo, más guión
Un plan útil define quién decide, qué se apaga primero, cómo se preserva evidencia y qué se comunica a clientes o autoridades sin improvisar en mitad del caos.
Elementos básicos que solemos ver en equipos sólidos:
- Equipo de crisis con roles suplentes y contactos 24/7 donde aplique.
- Contención escalonada: cortar lateral movement antes de apagar servicios que pueden poner en riesgo seguridad física.
- Comunicaciones: plantillas aprobadas por legal y dirección; coherencia entre técnico, regulatorio y reputación.
- Revisión post-incidente obligatoria: lecciones con tareas y responsables, no solo un PDF archivado.
El texto de la Directiva NIS2 insiste en cooperación y notificación temprana cuando el incidente tenga impacto relevante; preparar canales y criterios antes reduce fricción cuando el reloj corre.
Qué ofrece Privalex (y cómo encaja con infraestructuras críticas)
PrivaLex es una consultora especializada en certificaciones, cumplimiento normativo y protección de datos, no un despacho genérico ni una gestoría. Ayudamos a dirección, CISOs y responsables regulatorios a traducir marco legal y expectativas de mercado en controles medibles y auditorías sostenibles.
En proyectos de ciberseguridad para sectores regulados acompañamos el ciclo que suele chocar con infraestructuras críticas: NIS2, DORA cuando aplica al sector financiero, ENS en el ámbito público y administraciones, ISO 27001 / ISO 27701 para el SGSI y privacidad operativa, informes tipo SOC 2 cuando el contrato lo exige, y AI Act o ISO 42001 cuando hay sistemas automatizados en procesos sensibles. La formación de equipos y las evaluaciones iniciales de brechas forman parte del mismo enfoque para que las políticas no queden colgadas del racimo.
Si queréis cerrar el círculo con evidencias y prioridades, empezad por una valoración de riesgo sin coste y, cuando toque bajar a alcance y calendario, reservad una sesión estratégica con el equipo.
Preguntas frecuentes
El SGSI basado en ISO 27001 es una base excelente para ordenar riesgos y evidencias, pero el sector y el país suman capas: normativa sectorial, requisitos de supervisión y, en muchos casos, expectativas de aislamiento OT, continuidad y gestión de terceros más estrictas que el mínimo del estándar. Para sectores bajo NIS2 o ENS, ISO 27001 cubre gran parte del camino pero no lo sustituye.
No siempre. La Directiva NIS2 trabaja con categorías de sectores y umbrales; la aplicación concreta depende de la transposición nacional y de criterios de designación. La lectura conservadora es: si estáis en sectores esenciales o altamente interconectados, verificad con asesoramiento si podéis quedar dentro del ámbito. En España, la transposición está en tramitación — el INCIBE-CERT y el CCN-CERT ya operan como CSIRTs de referencia.
Técnicamente puede ser el mismo evento; lo que cambia es el impacto, el alcance y los criterios del supervisor. Bajo NIS2, un incidente con impacto significativo en la prestación del servicio activa la obligación de alerta temprana en 24 horas y notificación formal en 72 horas. Por eso conviene definir de antemano umbrales internos alineados con la norma aplicable y con el canal de comunicación con la autoridad, antes de que el reloj corra.
Al menos cuando cambie arquitectura, proveedor con acceso sensible o modelo de amenaza relevante (por ejemplo, un nuevo vector documentado en vuestro sector). Muchos equipos lo enlazan al ciclo de revisión del SGSI o del análisis de riesgos anual. La orientación de ENISA para sectores esenciales recomienda una visión viva del inventario, no un documento estático.
En el mapa de dependencias, con reglas propias de parcheo y mantenimiento que respeten seguridad física y continuidad. La clave es documentar las interfaces OT–IT y los controles compensatorios cuando no podáis aplicar el mismo ciclo de parches que en la oficina. Los marcos de referencia como IEC 62443 proporcionan los niveles de seguridad específicos para entornos de automatización industrial que complementan lo que cubre ISO 27001 a nivel organizativo.