Hardening de redes IoT y cumplimiento de la directiva RED

Última actualización: 28 de febrero de 2026
Autor: TecnoDigital
  • Las nuevas exigencias de la directiva RED y el Reglamento Delegado 2022/30 obligan a reforzar la ciberseguridad, privacidad y protección antifraude en la mayoría de dispositivos IoT conectados a Internet.
  • Los estándares armonizados EN 18031-1, -2 y -3 marcan la base técnica del cumplimiento, pero en muchos casos es necesario ir más allá y apoyarse en Organismos Notificados y buenas prácticas adicionales.
  • La futura Cyber Resilience Act ampliará y solapará parte de estos requisitos, por lo que resulta clave integrar desde ya procesos de hardening, gestión de vulnerabilidades y actualizaciones seguras a lo largo de todo el ciclo de vida del producto.

Hardening seguridad IoT y RED

La explosión de dispositivos IoT y radio en hogares, fábricas, energía, salud o transporte ha cambiado por completo la manera en la que nos conectamos… y también la superficie de ataque disponible para los ciberdelincuentes. Cada contador inteligente, cada wearable y cada sensor industrial es, en la práctica, un posible punto de entrada a la red si no se ha diseñado con seguridad desde el minuto uno.

En este contexto, el hardening de redes IoT bajo el paraguas de la Radio Equipment Directive (RED) y la futura Cyber Resilience Act (CRA) se ha vuelto un tema crítico para fabricantes, integradores, operadores y cualquier empresa que venda productos conectados en la Unión Europea. No se trata solo de “cumplir papeles”: las nuevas obligaciones legales imponen requisitos muy concretos de ciberseguridad, privacidad y protección frente al fraude que impactan en el diseño de hardware, firmware, software, conectividad y servicios cloud.

Marco legal europeo: por qué RED y CRA lo cambian todo

Durante la última década el IoT se ha expandido gracias a tecnologías como Wi‑Fi, Bluetooth o NFC, que han convertido multitud de productos en equipos de radio capaces de comunicarse entre sí y con la nube. Sin embargo, en ciberseguridad estos dispositivos se consideran uno de los puntos más débiles: muchas soluciones para hogar inteligente siguen sin protección mínima y, en entornos industriales y de fabricación, aún existen carencias enormes tanto en IT como en OT.

El impacto económico de esta situación es brutal: el coste global del ciberdelito rondó los 5,5 billones de euros en 2020 según el Consejo de la UE, y estudios recientes como el de Trend Micro señalan que cerca del 90 % de las empresas alemanas de energía, petróleo y gas o manufactura sufrieron ciberataques en tan solo 12 meses, con daños medios de casi 3 millones de euros por compañía.

Mientras tanto, el auge de los wearables y de los modelos de negocio basados en datos y en IA ha puesto todavía más foco en la protección de la información personal. Normativas como el GDPR (Reglamento (UE) 2016/679) o la antigua Directiva R&TTE 1999/5/CE se han quedado cortas para cubrir el tipo de amenazas actuales contra dispositivos conectados, especialmente en lo relativo a ciberataques avanzados, fraude online o manipulación de servicios.

En respuesta, la Unión Europea ha reforzado la Radio Equipment Directive (RED) 2014/53/UE, en vigor desde 2016 y que sustituyó a la R&TTE. RED ya regulaba la compatibilidad electromagnética, la seguridad eléctrica y el uso eficiente del espectro radioeléctrico; ahora, además, incorpora obligaciones de ciberseguridad de alto nivel que afectan a la mayoría de equipos de radio conectados, incluidos muchos dispositivos IoT.

Cumplimiento RED y seguridad IoT

Delegated Regulation (UE) 2022/30 y artículos 3(3)(d)-(f) RED

El verdadero punto de inflexión llegó con el Reglamento Delegado (UE) 2022/30, adoptado el 29 de octubre de 2021. Este reglamento “activa” los artículos 3(3)(d), (e) y (f) de la RED, definiendo qué categorías de equipos de radio deberán cumplir las nuevas exigencias de ciberseguridad, privacidad y protección frente al fraude.

La norma se centra en varias familias de productos especialmente sensibles, entre ellas gran parte del ecosistema IoT de consumo y profesional:

  • Equipos de radio conectados a Internet: cualquier dispositivo que pueda comunicarse con la red, directa o indirectamente. Aquí entran smartphones, tablets, routers, dispositivos IoT domésticos, sensores industriales conectados, etc.
  • Equipos de radio para el cuidado infantil: productos pensados exclusivamente para monitorizar o asistir en el cuidado de menores, como vigilabebés conectados.
  • Equipos de radio cubiertos por la Directiva de Seguridad de los Juguetes 2009/48/CE: juguetes con funciones de radio capaces de grabar, almacenar o compartir información, interactuar con usuarios (en especial niños) o que integran micrófonos, altavoces o sensores.
  • Dispositivos de radio “wearable”: todo lo diseñado para llevarse encima o sobre la ropa, como relojes inteligentes, pulseras de actividad, cascos, auriculares o gafas inteligentes.

Es importante destacar que ciertas categorías quedan fuera de este reglamento porque ya tienen su propio marco específico: productos sanitarios (Reglamentos (UE) 2017/745 y 2017/746), equipos de aviación civil, sistemas de peaje electrónicos y otros dispositivos regulados por legislación sectorial diferente y excluidos del ámbito de aplicación de RED.

  ¿Te has preguntado cuándo se crearon las redes sociales? Aquí la respuesta

Inicialmente, estas nuevas obligaciones se iban a aplicar desde el 1 de agosto de 2024, pero la Comisión Europea decidió retrasar la fecha un año para dar margen a la industria. El nuevo plazo obligatorio para el cumplimiento del Reglamento Delegado (UE) 2022/30 es el 1 de agosto de 2025. Fabricantes, distribuidores y OEM que integran módulos de radio deben aprovechar este tiempo para ajustar diseños, procesos de desarrollo seguro y documentación de conformidad.

Requisitos de ciberseguridad, privacidad y antifraude en RED

Los artículos 3(3)(d), (e) y (f) de la RED recogen el núcleo de las nuevas exigencias de seguridad, pensadas para reducir los riesgos asociados a la conectividad de los equipos de radio, en especial los dispositivos IoT.

El artículo 3(3)(d) se dirige a todos los equipos de radio conectados a Internet y exige que estén diseñados para que no perjudiquen a la red ni a sus funciones, ni abusen de los recursos de red ni degraden el servicio de manera inaceptable. En la práctica, esto implica medidas para evitar que un dispositivo comprometido pueda tumbar un servicio, provocar un ataque DDoS o interferir con la disponibilidad de redes críticas.

El artículo 3(3)(e) se centra en la protección de datos personales y la privacidad de usuarios y abonados. Obliga a que los equipos de radio que traten datos personales incorporen salvaguardas para impedir accesos no autorizados o transmisiones indebidas de información, por ejemplo mediante controles de acceso robustos, cifrado de datos en tránsito y reposo, y principios de minimización y privacidad desde el diseño.

Por su parte, el artículo 3(3)(f) introduce requisitos específicos para dispositivos que procesen dinero virtual o valores monetarios, es decir, aquellos implicados en pagos digitales, monederos electrónicos u operaciones similares. Estos equipos deberán incluir controles reforzados frente al fraude, como mecanismos de autenticación fuerte de usuarios, integridad de transacciones o detección de actividades sospechosas.

Además, el artículo 4 de la RED aborda un punto clave para el ecosistema IoT: la combinación de equipos de radio con software. Se exige a los fabricantes que faciliten información sobre la conformidad de las combinaciones previstas de hardware y software, asegurando que, tras una actualización o modificación de software, el producto sigue cumpliendo los requisitos esenciales de la directiva.

Ámbito de aplicación: qué se considera equipo de radio

Para entender qué entra exactamente en estas obligaciones hay que volver a la propia definición de la directiva. Según el artículo 2(1) de la RED, se considera equipo de radio a cualquier producto eléctrico o electrónico que emita y/o reciba ondas de radio con fines de radiocomunicación o radionavegación, o que requiera accesorios (como una antena) para hacerlo.

Esta definición se ve matizada por las exclusiones del artículo 1(2), 1(3) y el Anexo I, que dejan fuera ciertos equipos regulados de forma específica. Por otro lado, el Reglamento Delegado 2022/30 añade la condición de que el dispositivo pueda conectarse a Internet para que le apliquen los requisitos de ciberseguridad de los artículos 3(3)(d)-(f).

En la práctica, la mayoría de productos con capacidades IoT y conectividad inalámbrica que se comercialicen en la UE entrarán en el radar de la RED: desde un termostato conectado hasta un controlador industrial con módulo celular, pasando por wearables, routers domésticos, altavoces inteligentes o soluciones de smart building.

Estándares armonizados EN 18031: la hoja de ruta técnica

Para que los fabricantes puedan demostrar más fácilmente la conformidad, la Comisión Europea ha encargado a CEN y CENELEC el desarrollo de normas técnicas que traduzcan los requisitos legales en controles y pruebas concretas. Fruto de este trabajo han surgido los estándares armonizados de la serie EN 18031.

Desde el 28 de enero de 2025 se han armonizado tres normas EN 18031 bajo la RED, lo que proporciona un camino relativamente claro para la evaluación de ciberseguridad:

  • EN 18031-1: define requisitos de ciberseguridad de base para equipos de radio, incluyendo autenticación, cifrado, gestión de credenciales, mecanismos de arranque seguro y procesos de actualización de firmware.
  • EN 18031-2: se centra en salvaguardas de privacidad para equipos que gestionan datos personales o de localización, con medidas de minimización de datos, control por el usuario y protección frente a filtraciones.
  • EN 18031-3: aborda la seguridad de dispositivos implicados en pagos digitales y dinero virtual, reforzando la integridad de transacciones y la protección frente a fraudes.

Aun así, no basta con “marcar la casilla” de cumplir la norma. Algunas cláusulas de estos estándares tienen restricciones y no cubren todos los escenarios. Por ejemplo, productos que permitan funcionar sin contraseña obligatoria, que carezcan de control parental adecuado o que presenten configuraciones de seguridad opcionales pueden requerir medidas adicionales o una evaluación más profunda.

  Cómo pasar archivos entre PCs: todas las opciones explicadas

En esos casos, la recomendación es involucrar a un Organismo Notificado. Estos organismos, designados por los Estados miembros, se encargan de realizar las evaluaciones de conformidad cuando se requiere una tercera parte independiente. La Comisión mantiene un listado oficial de Organismos Notificados, y colaborar con uno de ellos ayuda a garantizar que el producto cumple con todos los requisitos específicos, incluso cuando la aplicación directa de las normas armonizadas no es suficiente.

RED y Cyber Resilience Act: solapamientos y calendario

La Cyber Resilience Act (CRA) añade otra capa normativa al ecosistema europeo de ciberseguridad. Su alcance es incluso más amplio que el de la RED, ya que se aplica a prácticamente todos los “productos con elementos digitales”: chips, software, dispositivos, aplicaciones, etc., cubriendo todo el ciclo de vida, desde el diseño hasta las actualizaciones y la gestión de vulnerabilidades.

En la CRA se plantean requisitos base como la obligación de ofrecer actualizaciones de seguridad durante varios años (en los borradores se hablaba de cinco años como referencia), así como obligaciones específicas de gestión de vulnerabilidades, divulgación responsable, información al usuario y reporte de incidentes. Los productos se agrupan en categorías con distintos esquemas de conformidad: autoevaluación para los no críticos, evaluación de tercera parte o aplicación de estándares para la Clase Crítica I, y evaluación bajo un organismo nacional para la Clase Crítica II.

A día de hoy, la CRA ya ha alcanzado acuerdo político en las instituciones europeas, aunque sus requisitos principales no se aplicarán hasta aproximadamente tres años después de su entrada en vigor. Eso sí, las obligaciones de reporte de vulnerabilidades y ciberincidentes podrían llegar antes de finales de 2025, lo que obligará a muchas empresas a reforzar sus procesos de respuesta ante incidentes.

Existe un solapamiento claro entre RED y CRA: la mayoría de equipos de radio son, a la vez, productos con elementos digitales. Además, la CRA incorpora los mismos objetivos de ciberseguridad que los artículos 3(3)(d)-(f) RED. Sin embargo, el punto clave es el calendario: las obligaciones bajo la RED y su Reglamento Delegado empezarán a aplicarse el 1 de agosto de 2025, mientras que el grueso de la CRA llegará algo más tarde.

En la práctica, esto significa que un fabricante de termostatos conectados que lance un producto en septiembre de 2025 tendrá que autoevaluarse al menos frente a los requisitos RED (o apoyarse en un Organismo Notificado). Más adelante, cuando la CRA sea plenamente aplicable, podría tener que realizar una segunda evaluación bajo ese marco, aunque se espera una cierta convergencia: es posible que los requisitos de RED acaben siendo un subconjunto de los de la CRA, facilitando la reutilización de evidencias y documentación.

Hardening técnico de redes y dispositivos IoT

Más allá del cumplimiento regulatorio, el hardening de una red IoT exige un enfoque de sistema completo. No sirve asegurar solo el dispositivo o únicamente la nube: hay que contemplar hardware, firmware, conectividad, APIs, backend y operaciones.

Entre las defensas técnicas clave, destacan prácticas ya alineadas con los requisitos de EN 18031, ETSI EN 303 645 o NIST 8259:

  • Arranque seguro y validación de firmware: impedir la ejecución de código no autorizado en el inicio del dispositivo, verificando firmas criptográficas y garantizando la integridad del firmware.
  • Endurecimiento de interfaces: deshabilitar puertos y servicios innecesarios, segmentar redes y proteger las interfaces de administración con autenticación fuerte y, cuando sea posible, acceso restringido.
  • Cifrado de comunicaciones: emplear protocolos modernos como TLS 1.2+ o 1.3 para todo el tráfico de datos, incluyendo telemetría, comandos de control y canales de gestión.
  • Gestión de credenciales robusta: eliminar credenciales por defecto, forzar el cambio en el primer uso, aplicar políticas de contraseñas seguras e incorporar, cuando tenga sentido, mecanismos de autenticación multifactor.
  • Actualizaciones automáticas y seguras: establecer procesos de actualización OTA (Over‑the‑Air) con verificación criptográfica, canales cifrados y capacidad de rollback en caso de fallo.
  • Seguridad de APIs: autenticar y autorizar todas las llamadas de terceros, limitar permisos mediante principios de mínimo privilegio y auditar el acceso a recursos clave.
  • Monitorización y analítica de comportamiento: aplicar soluciones de detección de anomalías, muchas veces impulsadas por IA, para identificar comportamientos inusuales de dispositivos, desbordamientos de tráfico o patrones típicos de malware.
  • Seguridad de la cadena de suministro: verificar la procedencia de componentes hardware y software, realizar análisis de firmware y exigir garantías de seguridad a proveedores.
  Telecomunicaciones: ¿Qué son y cuáles son sus funciones?

En paralelo, la privacidad debe integrarse de forma nativa. Esto implica no solo cifrar datos, sino minimizar la información recopilada, ofrecer ajustes claros al usuario, evitar rastreos innecesarios y alinear el tratamiento de datos con los principios del GDPR, desde el diseño y por defecto.

Cumplimiento práctico de RED: procesos y agentes clave

Para los fabricantes, cumplir con RED y el Reglamento Delegado 2022/30 no es solo un tema de ingeniería, sino también de procesos y gobernanza. Es recomendable contar con un mapa claro de todos los productos afectados, su arquitectura, los datos que manejan y las funciones de pago o monetización que puedan activar los requisitos del artículo 3(3)(f).

En muchos casos, la evaluación puede realizarse mediante autoevaluación, siempre que el producto se haya diseñado conforme a normas armonizadas y se mantenga una documentación técnica robusta. Sin embargo, para escenarios complejos o cuando el estándar no cubra totalmente el caso de uso, recurrir a un Organismo Notificado aporta seguridad jurídica y técnica.

Mientras la industria espera que maduren los estándares armonizados y los esquemas de evaluación de la CRA, han surgido iniciativas como PSA Certified, que ofrecen marcos de certificación alineados con la regulación emergente (RED, CRA y PSTI del Reino Unido). PSA Certified Level 1, por ejemplo, incluye una sección específica dedicada a regulación, donde los fabricantes pueden documentar cómo cumplen con los requisitos normativos y someter esa documentación a una revisión independiente.

Este tipo de esquemas, alineados con buenas prácticas globales como EN 303 645 y NIST 8259, permiten a OEM, proveedores de software y fabricantes de chips adelantarse al futuro, integrando desde ya los controles que exigen tanto RED como la CRA y otros marcos nacionales.

Plataformas, actualizaciones y gestión de flotas IoT

Otro aspecto clave para el hardening de redes IoT es la capacidad de gestionar de forma centralizada grandes flotas de dispositivos. Sin una plataforma sólida de gestión, aplicar parches, rotar certificados o detectar comportamientos sospechosos se vuelve casi misión imposible a escala.

En este terreno cobran relevancia soluciones IoT integrales que combinan orquestación de datos, gestión de dispositivos, actualizaciones OTA y capacidades de IA para la toma de decisiones. Funcionalidades como la autenticación mutua mediante certificados (mutual SSL), la rotación periódica de certificados y las actualizaciones seguras de firmware permiten reforzar tanto el endpoint como la red.

Algunas plataformas además integran herramientas de ciberseguridad específicas para IoT, incluyendo seguridad en tiempo de ejecución y análisis continuo de vulnerabilidades. Esto facilita detectar desviaciones de comportamiento en dispositivos desplegados, descubrir vulnerabilidades tanto antes como después de la puesta en producción y priorizar acciones de mitigación.

En paralelo, estas plataformas sirven de base para modelos de negocio basados en servitización: monetización de datos, modelos de suscripción, servicios avanzados basados en IA/ML, etc. Así, el esfuerzo que se realiza para cumplir RED y reforzar la seguridad no solo reduce el riesgo, sino que también abre la puerta a nuevas líneas de ingresos y ofertas de valor añadido.

Todo este enfoque, cuando se diseña con cabeza, demuestra un compromiso claro con la seguridad y la regulación por parte de fabricantes y proveedores tecnológicos, algo cada vez más valorado por los clientes finales y por los propios reguladores.

Las empresas de testing, certificación y servicios de evaluación de conformidad también juegan un papel relevante, ofreciendo auditorías técnicas, ensayos de laboratorio e incluso formaciones específicas sobre RED, CRA y otras normativas. Apoyarse en su experiencia puede acelerar mucho la curva de aprendizaje de organizaciones que se enfrentan por primera vez a este entramado regulatorio.

En definitiva, el hardening de redes IoT en el marco de la RED y la futura CRA obliga a repensar el diseño de los productos conectados, reforzar procesos de desarrollo seguro, monitorización y actualización, y entender muy bien cómo encaja cada dispositivo en el laberinto normativo europeo. Quienes asuman este reto cuanto antes estarán mejor posicionados para reducir riesgos, evitar sanciones y, al mismo tiempo, aprovechar la oportunidad de diferenciarse por seguridad, confianza y calidad en un mercado IoT cada vez más exigente.

aplicaciones para edificios inteligentes
Artículo relacionado:
Aplicaciones IoT para edificios inteligentes y sostenibles