La ciberseguridad en entornos industriales ha dejado de ser una preocupación latente para convertirse en una necesidad inaplazable. Si bien las infraestrucuras industriales y los sistemas de automatización nunca han estado exentos de amenazas, en los últimos años se ha producido un cambio profundo tanto en su naturaleza como en su escala. La irrupción de la inteligencia artificial ha abierto la puerta a ataques más generalizados, sofisticados y persistentes. “Ya no es necesario que un atacante tenga un objetivo concreto. El coste es tan bajo que pueden actuar de forma indiscriminada, y cualquier dispositivo conectado puede convertirse en un objetivo”, explica David González, responsable del área de Ciberseguridad de Ikerlan, centro que aspira a consolidarse como un referente de cibersegruidad industrial.

"Muchas empresas están lejos de cumplir con las exigencias del CRA". David González, responsable de Ciberseguridad de Ikerlan.

Las líneas de actividad de Ikerlan abarcan desde la seguridad del hardware y el software embebido hasta las plataformas digitales, el software de alto nivel y los modelos de inteligencia artificial. “Este enfoque nos permite cubrir de forma coherente todos los puntos críticos donde pueden aparecer vulnerabilidades”, señala González. Además de investigar en tecnologías y mecanismos que permitan garantizar la seguridad por diseño, desarrollan metodologías que ayuden a las empresas a integrar la ciberseguridad de forma eficiente en sus procesos de desarrollo.

"El objetivo es llevar los avances de I+D a soluciones reales"

Esto incluye asegurar el cumplimiento de las normativas aplicables en cada sector, un aspecto cada vez más relevante en el contexto actual. Como avanza el responsable del área de Ciberseguridad, “el Cyber Resilience Act (CRA) supone un punto de inflexión regulatorio en Europa”, ya que establece por primera vez requisitos muy exigentes de ciberseguridad obligatorios para cualquier producto conectado a lo largo de todo su ciclo de vida. “En la práctica, muchas empresas industriales todavía están lejos de cumplir plenamente con estas exigencias. La regulación será de obligado cumplimiento en diciembre de 2027, y aunque parece una fecha lejana, los ciclos de desarrollo de producto son largos. La adaptación real requiere cambios profundos, desde la incorporación de prácticas de security by design en el desarrollo, hasta la gestión de vulnerabilidades, actualizaciones seguras o trazabilidad del software”.

Por ello advierte de que “las empresas que aún no han iniciado este proceso están llegando tarde y afrontarán mayores dificultades para adaptarse a tiempo”.

Primer laboratorio acreditado

Con un equipo multidisciplinar de 60 investigadores, Ikerlan cuenta con el primer laboratorio acreditado por ENAC para realizar ensayos de ciberseguridad en sistemas de automatización y control industrial. Equipado con las herramientas y capacidades necesarias tanto para la investigación como para la evaluación de la seguridad de productos y sistemas, “en este laboratorio llevamos a cabo todas las pruebas necesarias para evaluar la ciberseguridad de productos y sistemas industriales, especialmente en contextos de I+D. Lo que incluye desde análisis de vulnerabilidades y pruebas de penetración hasta la evaluación de mecanismos de protección en hardware, software embebido y comunicaciones, siempre con un enfoque adaptado a entornos industriales reales”, señala González.

Estas pruebas permiten identificar y mitigar riesgos como accesos no autorizados, manipulación de dispositivos, explotación de vulnerabilidades en firmware o fallos en los mecanismos de actualización, entre otros. Ikerlan está trasladando, en paralelo, las capacidades del laboratorio a Orbik Cybersecurity, una spin-off creada en 2023. “El objetivo es ofrecer estos servicios de evaluación y certificación de forma más directa al tejido industrial, más allá del ámbito de la I+D, y dar respuesta a una demanda creciente en el mercado”, avanza.

Orbik ha desarrollado un laboratorio virtual de ensayos automatizados que permite integrar las pruebas directamente en el propio proceso de desarrollo, e incluso ejecutarlas en las propias instalaciones del cliente, lo que aporta una gran agilidad y flexibilidad a la hora de realizar la evaluación de ciberseguridad de un producto. Como señala el responsable de Ciberseguridad, el principal impacto es la drástica reducción de tiempos. “Procesos de evaluación que tradicionalmente podían prolongarse durante semanas pasan a ejecutarse en cuestión de minutos, lo que facilita su incorporación en fases tempranas del desarrollo. Esto es clave para aplicar enfoques de security by design y detectar vulnerabilidades antes de que el producto llegue a fases avanzadas”.

Portafolio de proyectos

Ikerlan trabaja en una amplia variedad de proyectos, ya sea en el ámbito de la investigación como en el de transferencia tecnológica a empresas. En este último caso, colabora estrechamente con empresas de sectores como industria, transporte y energía, para incorporar estas tecnologías y enfoques en sus productos y procesos. “El objetivo es llevar los avances de la investigación a soluciones reales que mejoren la seguridad y el cumplimiento normativo en entornos industriales”, afirma González. En el ámbito de la investigación, el centro participa en proyectos centrados en algunos de los principales retos actuales de la ciberseguridad. Entre ellos destacan la criptografía postcuántica, los ataques físicos avanzados, la seguridad de la inteligencia artificial o el uso de la propia IA para mejorar las capacidades de detección y respuesta frente a amenazas.