Expertos del sector debaten sobre ciberseguridad de equipos en Bauma 2025

Los panelistas de la mesa redonda sobre ciberseguridad (de izquierda a derecha): Marcus Hiemer, ZF Group; Johannes Hipp, VDMA; Roman Hofmann, Liebherr; Chris Sleight, Off-Highway Research; Laura Fiumara, CECE. (Imagen: KHL Group)

Vivimos en una época en la que es difícil encontrar un momento sin conexión a internet. Prácticamente todos los escritorios de cualquier lugar de trabajo tienen una computadora conectada, cada bolsillo lleva un teléfono inteligente y un sinfín de manos juguetean sin cesar con tabletas.

Esta conectividad también se ha extendido a las máquinas. Denominada Internet de las Cosas (IoT), permite que un equipo notifique a un operador sobre una posible falla o que un fabricante de equipos originales (OEM) implemente una actualización de firmware inalámbrica que desbloquee nuevas funciones.

Esta interconexión también facilita que actores maliciosos e inescrupulosos secuestren electrónicamente datos e incluso el propio equipo.

“Hoy en día, manejamos una gran cantidad de datos interconectados”, afirmó Marcus Hiemer, gerente sénior de Electrónica Off-Highway del Grupo ZF. “Por lo tanto, es fundamental proteger los datos, en particular su confidencialidad, disponibilidad e integridad”.

Los comentarios de Hiemer se produjeron en un panel de discusión sobre ciberseguridad en el stand de ZF durante Bauma 2025. Moderado por Julian Buckley, editor de Power Progress International , Hiemer estuvo acompañado por varios otros expertos de la industria:

• Laura Fiumara, responsable de políticas digitales del Comité Europeo de Equipos de Construcción (CECE)
• Johannes Hipp, portavoz técnico de VDMA
• Roman Hofmann, responsable de seguridad de productos, Liebherr
• Chris Sleight, director general de Off-Highway Research

Entendiendo la situación

Fiumara habló sobre las amenazas actuales de ciberseguridad a los equipos.

“Solo puedo decir que, basándome en la experiencia de nuestros miembros —representamos a todos los fabricantes de maquinaria de construcción—, el número de ciberataques en nuestra industria sigue siendo limitado por el momento”, afirmó. Sin embargo, Fiumara añadió que el aumento de máquinas conectadas en el mercado, sumado a una mayor concienciación sobre ciberseguridad entre los miembros de CECE, ha impulsado a la industria a tomar medidas para abordar posibles amenazas a la seguridad.

La cantidad de dispositivos conectados, aunque no se limita a la maquinaria todoterreno, no es pequeña. Un estudio de 2024 publicado en el Journal of Science and Technology Policy Management citó un informe de Statista que indicaba que para 2030 habrá alrededor de 50 000 millones de dispositivos IoT conectados en todo el mundo.

"Hay mucho malware", añadió Hofmann. "Se está automatizando. Hay bots de malware por todas partes, y nadie puede saber si el ingeniero de servicio que trabaja en la máquina tiene una PC o portátil infectada con software de servicio que distribuye malware en la propia máquina".

Según Hiemer, la ciberseguridad es un problema que debe abordarse en toda la cadena de suministro.

“Si fabricamos una ECU, por ejemplo, debemos asegurarnos de que no sea manipulada durante su entrega al siguiente eslabón de la cadena de suministro”, explicó. “Por lo tanto, se trata de gestionar todos los procesos”.

Reglamentos y normas

Según Hipp, el entorno regulatorio en Europa pronto abordará la ciberseguridad del IoT.

“A finales de diciembre de 2027, todos los países europeos deberán cumplir con la Ley de Ciberresiliencia (CRA)”, afirmó. “Esta normativa regula todos los productos con componentes digitales. Por lo tanto, todos los productos, desde el proveedor hasta la máquina —la máquina completa—, deben cumplir con la ciberresiliencia”.

Imagen: vectorfusionart vía Adobe Stock

Fiumara añadió que muchos fabricantes esperan el desarrollo de normas bajo la CRA. «Con esta nueva regulación, la ciberseguridad implica, por diseño y por defecto, que todos los componentes y elementos de una máquina deben diseñarse desde la fase de diseño como ciberresilientes».

Sin embargo, existe otra normativa que ya está tomando medidas para abordar la ciberseguridad, en particular en lo que respecta a la telemática: la Directiva de Equipos Radioeléctricos (RED). Hofmann la describió como «el primer paso para el surgimiento de cierta ciberseguridad» en el mercado.

Según un resumen de los requisitos de ciberseguridad de RED en el sitio web de TÜV SÜD, en enero de 2022 se introdujeron disposiciones adicionales a RED. Estas incluyen la red reforzada, la protección de datos personales y la protección contra el fraude. Estos requisitos entran en vigor el 1 de agosto de este año.

“Ya existen normas para la Directiva de Equipos Radioeléctricos que abarcan todos los productos y elementos de equipos radioeléctricos”, afirmó Fiumara. “Este sería el primer paso para la implementación de la Directiva de Equipos Radioeléctricos, en combinación también con el reglamento de maquinaria, que aborda especialmente la maquinaria en nuestro sector”.

Según Hiemer, se están llevando a cabo otras actividades de estandarización para abordar la ciberseguridad.

“Estamos trabajando en una norma ISO para ciberseguridad fuera de carretera”, afirmó, refiriéndose a la ISO 24882. “En ZF, también estamos desarrollando nuestro nuevo controlador según esa norma”.

Hiemer explicó que si bien el controlador EC5 de ZF se desarrolló antes de que existieran protocolos de ciberseguridad más estrictos, la unidad ahora cumple con el estándar de ciberseguridad propuesto manteniendo el mismo factor de forma.

Más allá de Europa

Si bien las regulaciones mencionadas reflejan la legislación europea en materia de ciberseguridad, el panel debatió la posibilidad de una legislación similar en otras regiones del mundo. Sleight consideró que esta proliferación representa un desafío para los fabricantes de equipos originales (OEM).

“Un estudio de las Naciones Unidas reveló que el 80 % de los países del mundo cuentan con algún tipo de legislación en ciberseguridad, y aproximadamente un 5 % adicional la está desarrollando”, afirmó. “Y eso es preocupante, porque lo hemos visto en otros aspectos de la conformidad de los productos: hay una dirección general de acción. Lo hemos visto con las emisiones de los motores. Pero cuando no hay armonización, se generan muchos problemas y costos”.

Sleight dijo que incluso si las regulaciones en todo el mundo son funcionalmente similares, los requisitos de certificación para la venta en diferentes regiones geográficas podrían ser onerosos.

Creo que esa es una de las grandes preocupaciones de la industria en torno a la ciberseguridad: ¿es necesario repetirlo una y otra vez en múltiples bloques y áreas, incluso con las normas ISO y SAE?

Obligaciones de los Usuarios

El panel sugirió que los usuarios también tienen un papel que desempeñar en la ciberseguridad.

“Habrá una especie de proceso educativo para la industria”, dijo Sleight. “Los productos serán ciberresilientes, y eso es lo que usarán los clientes, pero creo que tendrán cierta responsabilidad de comprender qué son buenas prácticas de ciberseguridad y qué son comportamientos de riesgo”.

Si bien el panel afirmó que será responsabilidad de los OEM proporcionar actualizaciones de ciberseguridad a las máquinas durante su vida útil, será decisión de los usuarios finales si eligen implementar esas actualizaciones.