Ascensores y ciberseguridad

By Madeleine Olausson | El futuro de la TV - 2030 El | Marzo 2, 2026

11 minuto de lectura

Descripción general de la IA

A medida que los ascensores evolucionan hacia plataformas conectadas y controladas por software, la ciberseguridad se ha vuelto tan crucial como la seguridad mecánica, ya que las vulnerabilidades pueden interrumpir el funcionamiento, comprometer las funciones de emergencia o proporcionar accesos a otros sistemas del edificio. La mayoría de las brechas de seguridad comienzan con el phishing, por lo que la capacitación del personal y los procedimientos de incidentes son esenciales, junto con las medidas técnicas. Las pruebas de penetración periódicas, la segmentación de la red, la autenticación, el acceso con privilegios mínimos, las comprobaciones de integridad, el cifrado, el registro de eventos y las protecciones contra ataques DDoS y el agotamiento de recursos son defensas clave. La adopción de los principios de la norma IEC 62443-4-2 ayuda a garantizar la identificación, el control de uso, la integridad del sistema, la confidencialidad de los datos, el flujo de datos restringido, la respuesta oportuna a eventos y la disponibilidad. La creciente presión regulatoria, incluidos los marcos NIS y la Ley de Resiliencia Cibernética, implica que los fabricantes y operadores deben integrar la ciberseguridad en el diseño, el mantenimiento y la elaboración de informes para proteger a las personas y la continuidad del negocio.

Qué puede pasar y cómo proteger tu empresa

por Madeleine Olausson, corresponsal de EW en el Reino Unido

A medida que los ascensores evolucionan continuamente, pasando de sistemas electromecánicos aislados a plataformas conectadas y basadas en software, la ciberseguridad se ha vuelto casi tan crucial como la seguridad. La monitorización remota, las herramientas de servicio digital, los controladores compatibles con el Internet de las Cosas (IoT) y los sistemas de destino conectados a la nube abren nuevas oportunidades, pero también conllevan nuevos riesgos.

Un hacker podría provocar un comportamiento anómalo en el ascensor, como mantener las puertas abiertas o interrumpir su funcionamiento normal. Interrumpir un ascensor tiene un grave impacto en el flujo de personas y la seguridad del edificio. En edificios donde un ascensor cumple una función de seguridad definida, como un ascensor de bomberos o un ascensor de evacuación, un fallo puede afectar significativamente a los procedimientos de emergencia del edificio. Hackear un sistema de ascensores también es una vía de acceso ideal a otras partes del edificio. Con una mayor interconectividad, el ascensor podría ser un punto de acceso a otros subsistemas, como los sistemas de climatización y contra incendios.

¿Cómo ocurre un ataque?

La palabra ciberataque puede evocar todo tipo de imágenes. En nueve de cada diez casos...[ 1 ]Un ataque es el resultado de un intento de phishing exitoso. En otras palabras, alguien hace clic en un enlace o abre un archivo adjunto en un correo electrónico, lo que permite a los atacantes acceder al sistema sin querer. Antes, este tipo de correos electrónicos estaban plagados de errores ortográficos y se presentaban como falsos. Cualquiera que no reconociera estos errores era más propenso a hacer clic en un enlace y caer en la estafa. Con la IA, los correos electrónicos se han vuelto más sofisticados, lo que los hace más difíciles de distinguir y se dirigen a más objetivos y de mayor valor. Los hackers pueden enviar millones de correos electrónicos a muy bajo costo, y basta con uno o dos clics para que sus actividades delictivas se beneficien. Recientemente, se han dado casos de clonación de la voz de una persona mediante IA, lo que dificulta aún más distinguir una solicitud verdadera de una falsa.

El phishing suele ser una puerta de entrada para los ataques. Según Hiscox Insurance, el tipo de ataque más frecuente dirigido a las pequeñas y medianas empresas (pymes) en el Reino Unido es...

Actualmente, se conoce como fraude de desvío de pagos, donde se alteran las instrucciones de pago. Otro tipo de ataque es el espionaje de propiedad intelectual, espiando y obteniendo datos secretos. Otro es la extorsión cibernética, donde un atacante amenaza con revelar registros financieros, datos contractuales y propiedad intelectual a menos que se realice un pago. O un grupo de BitLocker bloquea todos sus archivos y solicita un rescate para permitirle acceder de nuevo a sus propios sistemas. Otros ataques incluyen el lanzamiento de una campaña de denegación de servicio distribuido (DDoS) o la implementación de malware de minería de criptomonedas. Los DDoS se utilizan para ralentizar un sistema sobrecargándolo con demasiados datos. Un minero de criptomonedas utiliza la potencia de cálculo de la máquina, robando energía, para minar criptomonedas. Desafortunadamente, se puede producir una gran variedad de ataques.

Un posible impacto surge cuando la congestión de la red o la sobrecarga de malware impiden que el ascensor envíe mensajes de estado rutinarios a los servidores de monitoreo. La ausencia de estos mensajes puede provocar que el servidor de monitoreo emita una solicitud operativa. Dicha solicitud puede indicar al ascensor que regrese a una planta predeterminada o que suspenda temporalmente sus operaciones normales. Es fundamental que ninguna función vital dependa de la comunicación externa.

De manera similar, si la red del edificio se satura por tráfico malicioso o consumo anormal de recursos, los sistemas de supervisión clave pueden no poder comunicarse con el ascensor, lo que provoca retrasos en el despacho, pérdida de servicio o paradas.

¿Cómo proteger su empresa?

En materia de ciberseguridad, es necesario equilibrar los aspectos técnicos y procedimentales. Puedes tener sistemas técnicamente seguros, pero si alguien comparte su contraseña, tu seguridad se ve comprometida y prácticamente inexistente. Puedes tener buenos procedimientos, pero si tienes sistemas heredados sin seguridad actualizada, tu seguridad general también es muy baja. Capacitar a tu personal para que no haga clic en enlaces, instale programas ni comparta datos, y asegurar que tengan conocimientos generales de ciberseguridad, es un primer paso. Es importante capacitar al personal para evitar riesgos, pero es igualmente importante contar con procedimientos establecidos para cuando se sea objeto de un ataque. ¿Cómo minimizamos la propagación y cómo logramos que todo vuelva a funcionar? Hoy en día, lamentablemente, no se trata de "si" sufres un ataque informático, sino de "cuándo". En 2024, más del 40 % de las empresas del Reino Unido sufrieron ciberataques, lo que equivale a más de 600 000 organizaciones.[ 2 ]

¿Cómo se puede comprobar el aspecto técnico? Una solución es realizar una prueba de penetración, o prueba de penetración. En este caso, los atacantes intentan hackear el sistema para encontrar cualquier problema antes de que los atacantes tengan la oportunidad de hacerlo. «En nuestra experiencia, las pruebas de penetración casi siempre revelan oportunidades de mejora, incluso en sistemas bien diseñados», afirmó Tijmen Molema, del Liftinstituut.

Molema añade que no hay que temer a una prueba de penetración, sino que debe considerarse una experiencia de aprendizaje. Es una excelente manera de aprender a proteger mejor a la empresa. Dependiendo del tamaño y el alcance del sistema, existen múltiples maneras de aprender. La mejor manera es contar con varios evaluadores durante varios días realizando pruebas. Esto les da la oportunidad de debatir entre ellos y trabajar en equipo. Los primeros puntos de mejora suelen detectarse en la primera hora, pero al permitir que una prueba se realice durante varios días, los evaluadores pueden obtener una buena visión general de cualquier problema, tanto en el hardware como en la red Ethernet. La combinación de experiencia en plataformas de elevación y conocimiento en pruebas de penetración es una gran ventaja: permite al equipo evaluar los puntos débiles y prever el impacto.

Internet es constantemente escaneado automáticamente por rastreadores. Estos buscan puertos abiertos, es decir, canales de comunicación que permiten que un dispositivo interactúe con el exterior. Una vez que un rastreador encuentra un puerto abierto, el hacker simplemente verifica si es de interés. Los puertos abiertos suelen revelar información crítica, como el tipo de dispositivo, el nombre del proveedor o el software utilizado. Esto puede ayudar a los atacantes a identificar sistemas con vulnerabilidades conocidas o configuraciones de seguridad débiles.

Molema también afirma que los principios básicos de ciberseguridad son prácticamente los mismos independientemente del activo: podría tratarse de un microondas o de un ascensor. Sin embargo, en sistemas críticos para la seguridad, como los ascensores, su aplicación e impacto son muy diferentes, ya que las fallas pueden afectar directamente la seguridad física. Los hackers tienen un amplio conocimiento de los datos, pero no siempre comprenden todas sus implicaciones. Durante una prueba de penetración, a menudo se necesita una "capa de traducción" entre los evaluadores y la empresa para garantizar que se comprendan plenamente las implicaciones de los ataques.

Aunque desagradables, los ciberataques son, en última instancia, un modelo de negocio. Un hacker suele solicitar un rescate equivalente a un porcentaje de la facturación de la empresa o a una cantidad fija, la que sea mayor. Para una empresa del sector de los ascensores, podría ser el 1.4 % de la facturación anual o hasta 7 millones de libras. Este es un nivel que los hackers consideran que las empresas pueden permitirse pagar sin declararse en quiebra. Podría resultar irónico que las sanciones económicas para una empresa con prácticas de ciberseguridad inadecuadas sean de un nivel similar. Esto simplemente tiene como objetivo disuadir y garantizar que las empresas dediquen los esfuerzos necesarios a la ciberseguridad.

Cuando la ciberseguridad es buena, no suele apreciarse su valor. Sin embargo, los costos de una seguridad deficiente pueden ser muy altos. El daño a la reputación podría ser tan perjudicial como cualquier pérdida inmediata causada por un ciberataque.

Con el inicio de un nuevo año, es un buen momento para revisar su ciberseguridad. Puede llevar un año ponerse al día con la revisión de sistemas, el aprendizaje e implementación de lo necesario, la capacitación de sus empleados, etc.

Ciberseguridad para ascensores: comprensión de la norma IEC 62443-4-2 

Molema recomienda cumplir con la norma IEC 62443-4-2, un estándar clave para componentes industriales seguros. A continuación, se detalla el significado de sus siete requisitos en el contexto de la industria de los ascensores.

1. Saber quién es quién: Control de identificación y autenticación

Un sistema seguro comienza con la claridad de la identidad. Numerosos actores interactúan con el controlador del ascensor y cualquier subsistema relacionado. La norma IEC 62443-4-2 exige que cada usuario, dispositivo y proceso de software verifique su identidad antes de acceder. Las herramientas de servicio deben autenticarse de forma segura en lugar de usar contraseñas predeterminadas. Los controladores de ascensores deben verificar la identidad de las conexiones de diagnóstico remoto. Esto ayuda a evitar que personas no autorizadas o dispositivos maliciosos se hagan pasar por personal de mantenimiento legítimo o componentes del sistema.

2. Permiso con precisión: utilice el control

Una vez que sepa quién o qué accede al sistema, la siguiente pregunta es: ¿Qué pueden hacer? Utilice medidas de control, definiendo lo que cada identidad puede hacer y aplicando el principio del mínimo privilegio. Por ejemplo: Los cambios de configuración solo pueden ser realizados por técnicos certificados, y los sistemas de monitorización remota pueden leer datos, pero no modificar parámetros. Esto minimiza el riesgo de accidentes y ataques, garantizando que, incluso si un intruso entra, su alcance permanezca limitado.

3. Mantener el código limpio y protegido contra malware: integridad del sistema

Si se altera el software de un controlador de ascensor, las consecuencias pueden ser graves, desde fallos impredecibles hasta comportamientos críticos para la seguridad. Los requisitos de integridad del sistema garantizan que el software, el firmware y los archivos de configuración se mantengan exactamente como estaban previstos. Por ejemplo, el firmware de los controladores y variadores debe estar firmado criptográficamente, cualquier modificación no autorizada del código o los parámetros debe detectarse y las actualizaciones solo se pueden instalar si provienen de una fuente fiable. Para los equipos de mantenimiento de operaciones de campo, esto significa la confianza de que el sistema en el que trabajan es original, no ha sufrido modificaciones y es seguro de operar.

4. Proteja lo que importa: la confidencialidad de los datos

Los sistemas de ascensores generan y transmiten cada vez más datos como patrones de uso de plantas, interacciones de control de acceso, registros de diagnóstico, estadísticas de flujo de pasajeros y más. Los requisitos de confidencialidad de los datos garantizan la protección de la información sensible, generalmente mediante cifrado en reposo y en tránsito, con el respaldo de una sólida gestión de claves. La confidencialidad no se limita a la privacidad; también impide que los atacantes recopilen información sobre los patrones de actividad de un edificio.

5. Solo el tráfico adecuado: flujo de datos restringido

Una de las estrategias de ciberseguridad más eficaces consiste simplemente en seguir el principio del mínimo privilegio y evitar todas las conexiones innecesarias. El flujo de datos restringido fomenta la segmentación, creando barreras que limitan la propagación de una vulneración. Los firewalls, las reglas de acceso y una conectividad mínima reducen las vías de ataque. Si surge una vulnerabilidad en un área, la segmentación evita que se convierta en una catástrofe para todo el sistema.

Las recomendaciones son separar los componentes críticos para la seguridad (por ejemplo, controlador, unidad, cadena de seguridad) de los sistemas de información y entretenimiento o publicidad, garantizar que el Wi-Fi de la cabina o la señalización digital no puedan llegar a la red de control del ascensor y utilizar firewalls entre la TI del edificio y los entornos OT (tecnología operativa) del ascensor.

6. No se pierda las señales: respuesta oportuna a los eventos

Los ascensores modernos están repletos de sensores y funciones de diagnóstico. La ciberseguridad añade otra categoría de señales: intentos de acceso sospechosos, anomalías de configuración, comportamiento inesperado del firmware y más.

La norma IEC 62443-4-2 exige que los componentes registren eventos significativos, generen alertas cuando ocurra algo inusual y respalden los sistemas de monitoreo en la detección de ciberamenazas. Para las organizaciones de servicios, esto mejora el mantenimiento proactivo y ayuda a identificar problemas antes de que provoquen averías o condiciones inseguras.

7. Siempre activo: Disponibilidad de recursos

Los requisitos de disponibilidad de recursos garantizan que los componentes permanezcan operativos, incluso bajo estrés o ataques. La protección contra intentos de DDoS, agotamiento de recursos y fallos de hardware contribuye a mantener la fiabilidad.

Esto puede incluir protección contra inundaciones de red o sobrecarga del controlador, rutas de comunicación redundantes para sistemas críticos y degradación gradual si un componente se vuelve inestable. Para fabricantes y proveedores de mantenimiento, esto se traduce en un mayor tiempo de actividad y una operación continua más segura.

La ciberseguridad no reemplaza la seguridad mecánica, sino que la refuerza. A medida que los ascensores se vuelven más conectados, se integran en la nube y se basan en software, los riesgos evolucionan. La norma IEC 62443-4-2 proporciona un modelo para la construcción y el mantenimiento de componentes seguros que protegen a pasajeros, operadores y propietarios de edificios por igual.

Leyes y directivas de ciberseguridad

Existen varias leyes de ciberseguridad en el Reino Unido, entre ellas, la Ley de Uso Indebido de Computadoras de 1990, que penaliza el acceso no autorizado a sistemas informáticos y datos, así como el uso indebido de funciones. Esta ley se ha reformado para crear una defensa contra hackers éticos e investigadores de seguridad. La Ley de Protección de Datos de 2018 es la versión británica de las leyes de la Unión Europea (UE) (Reglamento General de Protección de Datos) y su alcance es muy similar.

La NIS 2018 es la directiva del Reglamento de Redes y Sistemas de Información (NIS) de la UE, traducida al derecho británico. Esta ley solo se aplica a los servicios esenciales, y su alcance se está ampliando con el nuevo Proyecto de Ley de Ciberseguridad y Resiliencia (Redes y Sistemas de Información) (Proyecto de Ley CS&R), presentado al Parlamento británico en noviembre de 2025. Esta ley también reforzará las obligaciones de resiliencia y los requisitos de información.

Otros marcos de buenas prácticas son el Marco de Evaluación Cibernética y Cyber ​​Essentials+. Este último suele ser obligatorio para operar con cualquier sector público del Reino Unido, pero cada vez más empresas privadas lo exigen debido a la necesidad de contar con cadenas de suministro seguras. Además, existen estándares y marcos globales como la norma ISO 27001, que también suelen exigir las empresas.

La Directiva NIS-2 y la Ley de Ciberresiliencia (CRA), la ciberseguridad reforzada de la UE, serán obligatorias próximamente. La Directiva ya ha sido aceptada a nivel europeo, pero aún no se ha implementado en todos los Estados miembros. Esta "falla" en la regulación no reside en la CRA: esta será una regulación que entrará en vigor en todos los Estados miembros a finales de diciembre de 2027.

La Directiva NIS-2 exige que una empresa sea cibersegura y, en caso de fallo, debe poder emitir un informe breve sobre el incidente de inmediato y uno más extenso en un plazo de dos semanas. El objetivo es aprender de ello y comprender las causas. Dado que esta legislación entró en vigor tras el Brexit, no es válida en el mercado británico, pero debe ser considerada por las empresas británicas que exportan a países europeos.

La Ley de Ciberresiliencia añade más normas, como la de que los productos deben diseñarse, desarrollarse y producirse teniendo en cuenta la ciberseguridad desde el principio. La CRA exige que los fabricantes implementen un proceso para identificar, evaluar y abordar las vulnerabilidades durante todo el período de soporte.

Referencias

[1] Estadísticas sobre ataques de phishing dirigidos a empresas | Huntress

[2] Resumen del proyecto de ley - GOV.UK

Acciones