La ciberseguridad en el facility management se ha convertido en una prioridad estratégica para organizaciones que gestionan edificios inteligentes y activos críticos. Los ataques de ciberseguridad en facility management representan una amenaza creciente para los edificios conectados. Actualmente, los ciberataques ya no se limitan al robo de información. En 2024 un edificio de oficinas inteligente en California sufrió un incidente en el que los atacantes lograron manipular sus sistemas de control físico, provocando bloqueos temporales de los accesos y alteraciones operativas.  

Cuando se ven comprometidos sistemas clave como el control de incendios o el suministro eléctrico, las consecuencias pueden incluir interrupciones del servicio, daños materiales e incluso riesgos para la seguridad de las personas. Esto resulta especialmente preocupante considerando que, según estudios del sector, hasta el 38% de los edificios conectados ha sufrido intrusiones, lo que ha supuesto la exposición de datos sensibles y la alteración de su operatividad.  

En un edificio inteligente, integrar la ciberseguridad en el facility management desde la fase de diseño es una necesidad que debe mantenerse durante toda la vida útil del inmueble. La creciente integración de sistemas de climatización, iluminación, videovigilancia y control de accesos incrementa los riesgos de ciberseguridad en los edificios inteligentes, convirtiendo estos entornos en objetivos especialmente atractivos para atacantes. De hecho, muchos incidentes de ransomware comienzan con accesos remotos comprometidos, como VPN o servicios RDP mal protegidos, lo que pone de manifiesto la importancia de reforzar la gestión de accesos en la gestión de instalaciones y su relación con la ciberseguridad en infraestructuras críticas. 

Transformación digital y riesgos de ciberseguridad en el facility management

La transformación digital ha redefinido por completo el panorama del facility management. Las tareas operativas de mantenimiento, supervisión o control energético ahora funcionan como un ecosistema interconectado donde tecnología y personas colaboran para mejorar la eficiencia y la experiencia de usuario. Sin embargo, esta evolución también ha ampliado de forma significativa la superficie expuesta a ciberataques.

El concepto tradicional de perímetro de red ha quedado obsoleto. Actualmente, la superficie de ataque incluye usuarios internos, dispositivos conectados, infraestructuras híbridas, sistemas OT, sensores IoT y proveedores externos con acceso legítimo. Los atacantes ya no necesitan vulnerar complejas barreras técnicas y tratan de aprovecharse de las relaciones de confianza existentes.

En buena parte de los incidentes graves de ciberseguridad, el problema empieza cuando un atacante consigue usar credenciales válidas. Contraseñas robadas, reutilizadas o filtradas pueden permitir el acceso como si fuera un usuario legítimo y, a partir de ahí, facilitar que el ataque se extienda y cause un mayor impacto. Esto ha impulsado la adopción de modelos de control de acceso más estrictos, especialmente relevantes en entornos donde conviven tecnologías de información y sistemas operativos.  

La convergencia entre IT, OT e IoT genera vulnerabilidades específicas en edificios inteligentes. La ciberseguridad OT e IoT en facility management se convierte así en un factor clave, ya que una intrusión digital puede traducirse en un impacto directo sobre sistemas físicos esenciales del edificio, afectando tanto a la operativa como a la seguridad de las personas.  

A este escenario se suma un marco regulatorio cada vez más exigente, que obliga a las organizaciones a demostrar controles de seguridad y capacidad de respuesta ante incidentes. Todo ello refuerza la necesidad de alinear las estrategias de seguridad con las tendencias clave en facility management, donde la protección digital forma parte del servicio, y a definir mejores prácticas de seguridad en FM de forma continua.  

Principales vulnerabilidades y riesgos de ciberseguridad en los edificios inteligentes

Los entornos de facility management combinan riesgos digitales y físicos, creando un conjunto de vulnerabilidades específicas que requieren atención especializada. Estas vulnerabilidades se agrupan en cuatro categorías principales que concentran la mayoría de los incidentes relacionados con la ciberseguridad en la gestión de instalaciones.

Dispositivos heredados sin soporte de seguridad

Muchos edificios cuentan con sistemas que llevan años en funcionamiento y que ya no reciben actualizaciones de seguridad. Estos dispositivos heredados, con firmware obsoleto o software sin soporte, representan uno de los principales vectores de ataque. Es habitual encontrar contraseñas predefinidas o configuraciones que no se revisan, lo que facilita el acceso inicial a los atacantes y aumenta progresivamente el nivel de riesgo.  

Accesos remotos sin control adecuado

Los técnicos externos y proveedores suelen necesitar acceso remoto a los sistemas del edificio. Cuando estas conexiones no están correctamente protegidas, se convierten en una vía de entrada directa para ciberataques. Los accesos VPN o RDP sin autenticación reforzada y la falta de monitorización dificultan la detección de comportamientos anómalos que podrían indicar una intrusión.

Falta de segmentación entre redes operativas y corporativas

La ausencia de una segmentación clara entre redes corporativas y sistemas operativos permite que un incidente se propague con facilidad. En entornos de facility management esta situación resulta especialmente crítica, ya que un problema de red en la oficina puede afectar directamente a sistemas esenciales del edificio, ampliando los riesgos de ciberseguridad en los edificios inteligentes.

Dependencia de múltiples proveedores sin integración de seguridad

La diversidad de fabricantes y proveedores complican la implementación de una estrategia de seguridad homogénea. Cada subsistema suele tener un fabricante distinto, lo que genera dificultades de compatibilidad y coordinación en aspectos de ciberseguridad. Esta fragmentación incrementa el riesgo cuando no existe una política unificada que establezca requisitos mínimos de seguridad para todos los proveedores involucrados en la gestión de instalaciones.

Estrategias y mejores prácticas de seguridad en FM

La reducción de riesgos en facility management requiere la aplicación de medidas adaptadas a la realidad operativa de las instalaciones, siempre con un enfoque práctico y sostenible.  

Segmentación de redes y microsegmentación

La segmentación de redes divide los sistemas en áreas separadas para limitar el alcance de posibles ataques. El modelo Purdue, ampliamente utilizado en entornos industriales, organiza los sistemas desde equipos de control hasta redes corporativas, manteniendo separados los entornos operativos mediante zonas de seguridad intermedias. Este enfoque se complementa con microsegmentación, que establece barreras adicionales dentro de la red evitando el movimiento lateral de atacantes.  

Autenticación multifactor y control de accesos

La implementación de autenticación multifactor (MFA) en accesos remotos y cuentas críticas dificulta considerablemente el acceso no autorizado, incluso cuando se filtran contraseñas. Las recomendaciones apuntan a que cualquier conexión remota debe protegerse mediante VPN con MFA, aplicando además el principio de mínimo privilegio a todos los operadores, es decir, que cada usuario disponga únicamente de los permisos necesarios para su función.  

Actualización de firmware y gestión de vulnerabilidades

Las actualizaciones periódicas de software y firmware son determinantes para cerrar vulnerabilidades conocidas. Este proceso requiere disponer de un inventario preciso de activos y coordinar con proveedores para realizar pruebas de compatibilidad antes de aplicar cambios. Integrar estas tareas en los planes de mantenimiento permite mejorar la protección sin comprometer la continuidad operativa de las instalaciones.  

Monitorización continua de sistemas OT e IoT

La supervisión constante de redes y dispositivos facilita la detección de anomalías antes de que se conviertan en incidentes graves. Existen herramientas o plataformas especializadas que alertan sobre patrones de tráfico inusuales, intentos de intrusión o cambios de configuración indebidos. En edificios inteligentes, la monitorización OT e IoT resulta esencial para proteger tanto la infraestructura como la seguridad de los usuarios.  

Cultura organizativa y gobernanza en la ciberseguridad del facility management

Más allá de las soluciones tecnológicas, el factor humano representa uno de los elementos más vulnerables en la cadena de seguridad del facility management. La formación del personal es fundamental para fomentar comportamientos responsables y reducir errores que puedan comprometer la seguridad de los sistemas.  

Los facility managers asumen un papel determinante en la identificación de vulnerabilidades y en la coordinación de evaluaciones periódicas, especialmente en edificios con largas vidas útiles donde conviven tecnologías de distintas generaciones. Fomentar una cultura de comunicación abierta y sin penalizaciones facilita la detección temprana de incidentes y refuerza la prevención.  

La ciberseguridad en el facility management supone en la actualidad un desafío multidimensional que afecta tanto a la infraestructura digital como física de los edificios conectados. Integrar tecnología, gobernanza y formación es una medida preventiva y un elemento estructural en la gestión de instalaciones en entornos inteligentes.