Puertas automáticas y ciberseguridad: nuevas amenazas y cómo mitigarlas

19-03-2026

Durante décadas, las puertas automáticas han sido percibidas como sistemas puramente mecánicos o electro-mecánicos, donde la seguridad se entendía en términos de prevención de atrapamientos, fiabilidad de los sensores o cumplimiento de normativas como la EN 16005.

Sin embargo, el escenario ha cambiado de forma profunda en muy poco tiempo. En la actualidad, una puerta automática ya no es un elemento aislado: forma parte de un sistema conectado que interactúa con redes locales, plataformas en la nube, aplicaciones móviles y sistemas de gestión de edificios (BMS). Motores con electrónica avanzada, cuadros de maniobra con conectividad IP, pasarelas IoT, acceso remoto para mantenimiento, etc. todo ello ha convertido a estos equipos en nodos dentro de una infraestructura digital más amplia.

Un salto tecnológico que ha aportado ventajas claras: mantenimiento predictivo, diagnóstico remoto, integración con control de accesos, eficiencia energética y mejora de la experiencia del usuario; pero que también ha abierto una nueva superficie de exposición: la ciberseguridad.

De esta manera, el sector de las puertas automáticas se encuentra, por tanto, en una transición silenciosa. La seguridad ya no se limita a lo físico. La dimensión digital introduce riesgos que, si no se gestionan adecuadamente, pueden comprometer la operativa, la privacidad e incluso la seguridad de las personas.

 Vulnerabilidades reales en sistemas IoT y control remoto

Cuando analizamos los sistemas actuales desde una perspectiva de ciberseguridad, encontramos patrones de vulnerabilidad que no son exclusivos del sector, pero que aquí adquieren particular relevancia por el tipo de activo que se protege: un punto de acceso físico.

  • Credenciales por defecto y autenticación débil: muchos dispositivos IoT integrados en automatismos (controladores, gateways, módulos WiFi o GSM) se despliegan con credenciales por defecto que no se modifican. Este es uno de los vectores de ataque más comunes. Un atacante con acceso a la red podría tomar el control del sistema sin demasiada dificultad.
  • Protocolos de comunicación inseguros: en algunos casos, la comunicación entre dispositivos o con plataformas externas se realiza sin cifrado o con protocolos obsoletos. Esto permite ataques de tipo “man-in-the-middle”, interceptando o modificando órdenes de apertura o cierre.
  • Acceso remoto mal gestionado: el acceso remoto para mantenimiento es una herramienta valiosa, pero también un punto crítico. Puertos abiertos, VPN mal configuradas o servicios expuestos directamente a Internet incrementan el riesgo de intrusión.
  • Firmware no actualizado: los fabricantes suelen publicar actualizaciones para corregir vulnerabilidades. Sin embargo, en campo es frecuente encontrar equipos que nunca se actualizan. Esto deja abiertas puertas conocidas para atacantes que explotan fallos documentados.
  • Integración con otros sistemas del edificio: cuando una puerta automática se integra en un BMS o en un sistema de control de accesos, hereda también sus riesgos. Una brecha en otro subsistema puede convertirse en una vía indirecta para comprometer el automatismo.
  • Falta de segmentación de red: en muchas instalaciones, los dispositivos de automatización comparten red con otros sistemas corporativos o incluso con redes de invitados. Esta falta de segmentación facilita el movimiento lateral dentro de la red en caso de intrusión.

El impacto de estas vulnerabilidades va más allá de la manipulación puntual de una puerta. Puede implicar accesos no autorizados a instalaciones, interrupciones del servicio, sabotaje o incluso riesgos para la seguridad de las personas en situaciones críticas.

De la vulnerabilidad a la estrategia: ciberseguridad aplicada a sistemas de acceso automatizados

Una vez identificados los riesgos, el siguiente paso es entender cómo abordarlos de forma estructurada. Aquí es donde entran en juego las recomendaciones de organismos como ENISA y los estándares internacionales.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) insiste en un principio clave: la seguridad debe integrarse desde el diseño, no añadirse posteriormente. Este enfoque, conocido como security by design, resulta especialmente relevante en productos industriales y sistemas IoT.

A partir de este enfoque, se pueden trasladar varias buenas prácticas al ámbito de las puertas automáticas:

Gestión robusta de identidades y accesos

  • Eliminación de credenciales por defecto.
  • Uso de contraseñas fuertes o autenticación multifactor en accesos remotos.
  • Control granular de permisos según el perfil (instalador, mantenedor, usuario final).

Cifrado de comunicaciones

  • Implementación de protocolos seguros (TLS, HTTPS, VPN).
  • Protección de datos en tránsito entre dispositivos, aplicaciones y servidores.

Actualización y gestión de vulnerabilidades

  • Mecanismos seguros de actualización de firmware.
  • Políticas claras de mantenimiento y parcheo.
  • Monitorización de vulnerabilidades conocidas.

Segmentación de red

  • Separación de redes operativas (OT) y redes corporativas (IT).
  • Uso de VLANs o firewalls internos para limitar accesos.

Registro y monitorización

  • Registro de eventos relevantes (accesos, cambios de configuración, fallos).
  • Integración con sistemas de monitorización para detectar comportamientos anómalos.

Configuración segura por defecto

  • En línea con recomendaciones como las recogidas en la norma ETSI EN 303 645 para dispositivos IoT de consumo, los equipos deben entregarse con configuraciones seguras desde el primer momento.

Normas y estándares aplicables: una base necesaria

Por suerte, el sector no parte de cero, existiendo marcos normativos que, aunque no siempre específicos de puertas automáticas, son plenamente aplicables:

  • IEC 62443: referencia clave en ciberseguridad para sistemas industriales y de automatización. Define requisitos tanto para fabricantes como para integradores.
  • ISO/IEC 27001: estándar de gestión de la seguridad de la información, relevante para organizaciones que operan o gestionan estos sistemas.
  • ETSI EN 303 645: establece requisitos de seguridad para dispositivos IoT, muchos de ellos aplicables a controladores y dispositivos conectados.
  • Reglamento (UE) 2019/881 (Cybersecurity Act): refuerza el papel de ENISA y establece esquemas europeos de certificación.
  • Directiva NIS2: amplía las obligaciones en materia de ciberseguridad para operadores de servicios esenciales y entidades relevantes, incluyendo infraestructuras críticas donde estos sistemas pueden estar presentes.

A medida que evoluciona la regulación, es previsible que los requisitos de ciberseguridad se integren de forma más explícita en normativas sectoriales, del mismo modo que ocurrió en su día con la seguridad funcional.

Implicaciones para fabricantes, instaladores y mantenedores

El cambio tecnológico no solo afecta a los equipos. Redefine el papel de los profesionales del sector.

Fabricantes

El desarrollo de producto debe incorporar la ciberseguridad desde fases tempranas. Esto implica:

  • Diseño de arquitecturas seguras.
  • Ciclos de vida de software bien definidos.
  • Capacidad de actualización remota segura.
  • Documentación clara sobre configuración y riesgos.

El mercado empieza a exigir productos que no solo cumplan requisitos mecánicos o eléctricos, sino también digitales.

Instaladores

El instalador deja de ser únicamente un especialista en montaje y ajuste. Su rol incluye:

  • Configuración segura de los equipos.
  • Integración en redes segmentadas.
  • Coordinación con departamentos IT del cliente.

Una mala configuración inicial puede invalidar cualquier medida de seguridad implementada por el fabricante.

Mantenedores

El mantenimiento evoluciona hacia un modelo continuo y proactivo:

  • Aplicación de actualizaciones de seguridad.
  • Monitorización de eventos.
  • Auditorías periódicas de configuración.

El mantenimiento ya no se limita a lo físico. Incluye la supervisión del estado digital del sistema.