La hipoteca de ciberseguridad: por qué lo que instalas hoy condicionará tu producción en 2030. Un análisis de Rubén Lirio, Head of Cibersecurity Services de DEKRA

25 de febrero de 2026

Permítanme que les cuente una breve historia.

Los ingenieros responsables de la digitalización de una planta de EEUU celebraban el éxito que había supuesto el despliegue y la conectividad total en sus plantas de generación Sonaban de otra época aquellos activos aislados, el viejo mito del air-gap, para abrazar con entusiasmo la era del Big Data y los mantenimientos predictivos. Celebraban, convencidos, de que esos chorros de datos dispararían su rentabilidad y eficiencia operativa. Lo que no vieron en aquel momento, mientras celebraban los ingresos proyectados, y los ahorros producidos por la eficiencia, es que habían abierto una nueva puerta a ataques remotos que antes eran físicamente imposibles.

Unos años más tarde, estos mismos ingenieros  sufrió un ataque de denegación de servicio (DoS) que explotó una vulnerabilidad en sus firewalls perdiendo la comunicación con una docena de sitios de generación eólica y solar durante intervalos de cinco minutos a lo largo de 12 horas. Aunque no se detuvo la generación física, los centros de control quedaron «ciegos», perdiendo la capacidad de gestionar remotamente 500 MW de capacidad.[i]

La paradoja de la eficiencia: más datos, más conectividad, más «deuda digital»

La industria eólica ha atravesado una transformación digital prodigiosa. Hoy, gestionamos ecosistemas hiperconectados donde las redes 5G de baja latencia ajustan palas en milisegundos y el Edge Computing procesa datos en la base de la torre mediante algoritmos de IA predictiva.

Esta eficiencia nos ha permitido optimizar el LCOE a niveles históricos. Sin embargo, hemos pasado por alto un factor crítico: la ciberseguridad es ahora un componente directo del coste nivelado de la energía. Un ataque que reduzca la vida útil de una turbina por ejemplo, de 25 a 10 años, mediante fatiga inducida por software, o que eleve las primas de seguros por falta de validación técnica, destruye cualquier modelo de rentabilidad proyectado. Nuestra rentabilidad actual depende de una tecnología que, en gran medida, no gobernamos.

En esta red de dependencias, la llave de nuestra infraestructura ya no reside solo en el bolsillo del departamento de mantenimiento. Ahora está repartida en manos de terceros: fabricantes de equipos originales (OEMs), proveedores de software y mantenedores remotos. Cada nueva conexión es una oportunidad operativa, pero sino está bien implementada también es una «deuda digital» que estamos instalando hoy y que nos podría pasar factura en los próximos años.

Anatomía de la vulnerabilidad: el «sabotaje invisible» del SCADA al sensor

Aquel incidente fue una señal de alarma temprana, pero hoy los atacantes han evolucionado. Si en 2019 el objetivo era dejarnos “ciegos” mediante un DoS, en 2026 el adversario es más sofisticado y busca algo mucho más letal y difícil de detectar: la pérdida de integridad de los datos. Ya no quieren simplemente apagar el parque eólico y delatarse; prefieren que el activo se autodestruya lentamente mientras nuestros sistemas de monitorización reportan que todo funciona con total normalidad. Es lo que denominamos el “sabotaje invisible”.

Tomemos como ejemplo un ataque Man-in-the-Middle a nivel de sensor. Si alguien manipula la información de los sensores de carga o vibración antes de llegar al SCADA, puede hacer que el sistema de control ignore condiciones críticas de estrés mecánico. El aerogenerador seguirá produciendo, pero operará fuera de sus rangos de seguridad. No habrá alertas inmediatas, pero estaremos provocando una fatiga de materiales acelerada. Lo que debería durar 25 años, fallará catastróficamente mucho antes. En nuestra experiencia, un cambio de apenas un 2% o 3% en los valores reportados de velocidad de viento es suficiente para comprometer la integridad estructural a largo plazo. La ciberseguridad en la industria eólica debe centrarse, ante todo, en proteger la física de la máquina.

El ángulo muerto: higiene de terceros y soberanía tecnológica

Si abriéramos el compartimento digital de una góndola moderna, encontraríamos miles de líneas de código y componentes electrónicos de proveedores muy diversos. El problema real para nosotros como operadores no es solo lo que hacemos nosotros, sino lo que nuestros proveedores han hecho o han omitido. Es lo que denominamos «higiene de terceros».

Hasta hace poco, comprábamos turbinas como «cajas negras», confiando ciegamente en que el fabricante garantizaba la seguridad de cada chip y cada librería de software. Hoy, esa confianza es un riesgo inasumible. Debemos exigir transparencia total mediante el SBOM (Software Bill of Materials) y el HBOM (Hardware Bill of Materials), que funcionan como el «etiquetado nutricional» de nuestros activos. Solo sabiendo qué ingredientes hay en nuestros sistemas podremos reaccionar en horas, y no en semanas, cuando surja una vulnerabilidad crítica de tipo Zero-Day.

Además, en el contexto geopolítico actual, la ciberseguridad es una extensión de la soberanía. Debemos preguntarnos si nuestra cadena de suministro es soberana: ¿qué ocurre si un proveedor de firmware entra en quiebra o se ve bloqueado por una guerra comercial? La soberanía tecnológica no implica fabricarlo todo nosotros, sino tener la capacidad de verificar de forma independiente cada actualización que entra en nuestro sistema. Sin verificar ese “linaje” del software, podríamos estar entregando el control de nuestra disponibilidad a actores cuya agenda puede no coincidir con nuestra continuidad de negocio.

De la confianza a la verificación: seguridad basada en la evidencia

Para recuperar esa soberanía tecnológica, la industria debe evolucionar hacia una seguridad basada en la evidencia. No podemos gestionar el riesgo basándonos en cuestionarios de cumplimiento. Necesitamos testear la realidad física y lógica de cada componente. Para lograrlo, aplicamos una “escalera de verificación” proporcional al riesgo del activo: desde una verificación básica en sensores auxiliares hasta el análisis profundo de código y pentesting en elementos críticos en nuestras líneas de producción. Un ejemplo para conseguirlo podría ser:

  • Componentes auxiliares: verificación de higiene básica (estándar EN 18031) para evitar que pequeños componentes con interfaces Wireless sean puntos de entrada.
  • Activos conectados (IoT): evaluación de criptografía y actualizaciones seguras bajo estándares como ETSI EN 303 645.
  • Infraestructura operacional (OT): para PLCs, inversores o controladores de turbina, bajo el estándar IEC 62443-4-2.
  • Componentes críticos:  análisis de código y búsqueda de backdoors mediante pentesting de productos.

Este enfoque no es solo técnico, es una salvaguarda jurídica. Con la Directiva NIS2, la ignorancia técnica ya no exime de responsabilidad. Los directivos respondemos ahora con nuestro patrimonio y cargo ante incidentes derivados de una falta de supervisión. Contar con activos pre-validados técnicamente puede ser el «escudo legal» necesario ante reguladores e inversores.

La ciber-resiliencia como activo estratégico

Hoy en día, los atacantes utilizan IA adversaria para encontrar vulnerabilidades a una velocidad que supera cualquier capacidad humana de parcheo. Si nuestra defensa se basa en auditorías anuales o en la simple confianza, ya hemos perdido la carrera. La verificación continua es el único pilar que sostiene la disponibilidad en la era digital.

Instalar hardware sin validación técnica es firmar una hipoteca de riesgo que impacta directamente en nuestra línea de flotación. Un fallo no es solo un dato perdido; es una turbina parada, un riesgo físico o paradas no programadas que cuestan millones en el mercado. Por el contrario, demostrar un perfil de riesgo validado por terceros es hoy el requisito indispensable para reducir las primas de los seguros y asegurar la rentabilidad.

En definitiva, la ciber-resiliencia ha pasado de ser una preocupación de IT a ser una ventaja competitiva. Aquellas empresas que apuesten por la transparencia y la verificación técnica serán no solo más seguras, sino más rentables y atractivas para un mercado cada vez más exigente.

Rubén Lirio

DEKRA Head of Cibersecurity Services

(DEKRA Digital & Product Solutions)

Asociación Empresarial Eólica
Powered by  GDPR Cookie Compliance
Política de privacidad
Aplicación de la presente Política de Privacidad:

El presente documento regula la Política de Privacidad tanto del presente sitio web, así como de la totalidad de datos e información que pudiera manejar ASOCIACIÓN EMPRESARIAL EÓLICA (en lo sucesivo, "AEE") como Responsable del Tratamiento.

Por ello, para cumplir con el artículo 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo "RGPD" o "Reglamento General de Protección de Datos"), así como el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo "LOPDGDD") se ha establecido y desarrollado la presente Política de Privacidad.

Responsable del Tratamiento:

Tus datos personales son manejados por, nosotros, AEE como Responsable del Tratamiento. Te detallamos nuestros datos sociales para que te puedas poner en contacto con nosotros cuando lo desees:

  • Razón social: ASOCIACIÓN EMPRESARIAL EÓLICA
  • CIF: C83488163
  • Domicilio: C/ SOR ÁNGELA DE LA CRUZ, 2, PLANTA 14D – 28020 MADRID
  • Teléfono: (+34) 917 451 276
  • Correo electrónico: [email protected]

Finalidades y bases legitimadoras:

El presente apartado regula la totalidad de tratamientos llevados a cabo por AEE, en base a cada una de las finalidades, conforme a las bases legitimadoras que lo regulan, comprendido éstos en los que se enumeran a continuación:

  • Consentimiento del interesado (artículo 6.1. a) RGPD)

Usuarios página web: atender su solicitud a través del formulario de contacto.

Procesos de selección de personal: formar parte de los procesos de selección ofertados.

  • Ejecución contractual y medidas precontractuales (artículo 6.1.b) RGPD)

Socios / asociados

  1. Gestión de alta como socio/asociado de AEE.
  2. Mantenimiento y perfeccionamiento de la relación contractual pactada entre AEE y su empresa.
  3. Gestión contable y administrativa del servicio entre AEE y su empresa.
  4. Gestionar las comunicaciones electrónicas entre AEE y su empresa.

Socios / asociados potenciales

  1. Atender cualquier solicitud de información que nos hagas llegar.
  2. Hacerle llegar, en su caso, ofertas comerciales.

 

Empleados

  1. Mantenimiento y perfeccionamiento de la relación laboral pactada entre AEE y usted.
  2. Gestión contable, fiscal y administrativa de la relación laboral.
  3. Gestionar y realizar el pago de su nómina pactada contractualmente y exigidas por la legislación laboral.
  4. Gestionar comunicaciones entre AEE y su usted.
  5. Realizar el seguimiento de las acciones formativas de las que sea sujeto.
  6. Gestión de bajas por enfermedad.
  • Interés legítimo del responsable del tratamiento (artículo 6.1.f) RGPD)

Actividades comerciales: envío de información comercial a usuarios sobre productos y servicios semejantes a los previamente contratados, en vinculación con el artículo 21.2 de la LSSICE.

Videovigilancia: gestión de la seguridad de instalaciones, bienes y personas a través de mecanismos de videovigilancia.

Asimismo, se le informa que todos los datos que AEE le solicite o pudiera solicitar marcados con un asterisco (*) serán obligatorios. En el caso de que los datos obligatorios no fueran facilitados AEE no podrá prestarle el servicio contratado o atender su petición o solicitud.

En cumplimiento del artículo 4.2.a de la LOPDGDD, se garantiza que los datos de carácter personal facilitados por usted hacia AEE se considerarán exactos. Sin embargo, AEE podría solicitarle la actualización de los mismos que sobre usted pudiera conservar.

Plazo de conservación de los datos:

En virtud del artículo 5.1.e) del RGPD, los plazos de conservación de los datos variarán en función del tratamiento realizado. Por ello, desde AEE le aconsejamos leer nuestra Política de conservación de datos para su consulta, la cual la podrá solicitar en [email protected]

No obstante, pese a la existencia de estos plazos generales, le informamos que de forma periódica revisaremos nuestros sistemas para proceder a eliminar aquellos datos que no sean legalmente necesarios.

Derechos que le asisten a los interesados:

La normativa de protección de datos le reconoce los siguientes derechos:

Derecho a solicitar el acceso a sus datos personales.

Derecho a solicitar la rectificación de sus datos personales.

Derecho a solicitar la supresión de sus datos personales.

Derecho a solicitar la limitación del tratamiento.

Derecho a oponerse al tratamiento.

Derecho a la portabilidad.

Derecho a no ser objeto de decisiones individuales automatizadas.

Derecho a retirar su consentimiento.

El ejercicio de tales derechos deberá ser comunicado a ASOCIACIÓN EMPRESARIAL EÓLICA, con domicilio en C/ SOR ÁNGELA DE LA CRUZ, 2, PLANTA 14D – 28020 MADRID, o la cuenta de correo electrónico [email protected]. Adicionalmente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD). Más información en el Apartado Autoridad de Control de la presente política de privacidad.

Destinatarios y transferencias internacionales de datos:

Sus datos personales podrían serán comunicados a Autoridades Públicas o gubernamentales, Fuerzas y Cuerpos de Seguridad del Estado, para dar cumplimiento a los requisitos legales y normativa aplicable en cada caso concreto.

A su vez, podrían ser comunicados a terceros proveedores o entidades para la prestación de algún servicio subcontratado por AEE. A este aspecto le informamos que se han firmado los correspondientes contratos de encargado del tratamiento exigidos por el artículo 28 y 29 del RGPD así como el artículo 28 de la LOPDGDD, y siempre éstos garantizando y siendo comprobado por AEE que cumplen y garantizan con medidas jurídicas, técnicas y organizativas suficientes. Le informamos que sus datos no serán comunicados a terceras personas. Ni se realizarán transferencias internacionales de datos.

Igualmente, de forma excepcional, AEE podrá conceder acceso temporal y controlado al área de administración de su sitio web a proveedores de servicios tecnológicos (por ejemplo, soporte técnico de plataformas o plugins instalados) únicamente con la finalidad de resolver incidencias técnicas específicas. Estos accesos están sujetos a estrictos criterios de seguridad, se limitan al tiempo necesario para la intervención y son eliminados una vez finalizada la asistencia. En todo caso, AEE garantiza que dichos terceros actúan como encargados del tratamiento y están sujetos a los correspondientes contratos de confidencialidad y tratamiento de datos conforme al artículo 28 del RGPD.

Procedencia de los datos personales:

Los datos de carácter personal que trata AEE proceden de usted como titular de los mismos.

A las cuales, usted previamente le ha facilitado sus datos de carácter personal y ha autorizado la comunicación de los mismos a las diversas empresas que ofrecen sus servicios a través de estas empresas.

Seguridad de los datos:

Desde AEE se han implantado medidas jurídicas, técnicas y organizativas suficientes para garantizar la protección de los datos personales. Por ello, revisamos periódicamente nuestros sistemas para evitar cualquier acceso no lícito, no autorizado, así como para evitar cualquier tipo de pérdida, destrucción accidental, divulgación ilegal o no autorizada, así como cualquier otro tipo de daño, tanto accidental como ilícito.

Autoridad de control:

Desde AEE ponemos el máximo empeño para cumplir con la normativa de protección de datos dado que es el activo más valioso para nosotros. No obstante, le informamos que en caso de que usted entienda que sus derechos se han visto menoscabados, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), sita en C/ JORGE JUAN, 6 - 28001 MADRID. Más información sobre la AEPD en su página web.