“No puede haber safety sin security”

La ciberseguridad se ha convertido en una pieza estructural del ferrocarril moderno. A medida que los trenes, las estaciones y las redes de control se digitalizan, el transporte ferroviario afronta un desafío que va mucho más allá de la puntualidad o el mantenimiento: garantizar la seguridad en un entorno cada vez más conectado. La infraestructura ferroviaria española, que durante décadas fue sinónimo de fiabilidad mecánica, opera hoy sobre sistemas digitales interdependientes donde un fallo informático puede tener un impacto tan grave como un error físico en la vía.

No se trata solo de tecnología, sino de confianza. La continuidad del servicio, la seguridad de los pasajeros y la reputación de todo el ecosistema dependen ahora de la capacidad para anticipar, detectar y responder a amenazas que evolucionan con la misma velocidad que los trenes que recorren sus líneas. En ese contexto, operadores como Renfe llevan tiempo impulsando un cambio cultural: integrar la ciberseguridad desde el diseño, no como un requisito externo, sino como parte natural de la seguridad operacional.

Francisco Lázaro Anguis, Director de Ciberseguridad y Privacidad de Renfe, conoce bien ese equilibrio difícil entre normativa, operación y amenaza real. En esta conversación repasamos cómo ha vivido la compañía la transición hacia NIS2, qué significa en la práctica gestionar ciberseguridad en una infraestructura que mueve millones de pasajeros al año y por qué la experiencia acumulada puede convertirse en el mejor activo cuando las exigencias regulatorias dejan de ser teoría y empiezan a medirse en capacidad de respuesta ante incidentes que no avisan.

[MCPRO] Tras la entrada en vigor de NIS2, ¿qué medidas concretas en gestión y gobierno han supuesto el mayor salto en la resiliencia digital de Renfe?

[Francisco Lázaro] Renfe ya era una organización con un alto grado de madurez en materia de ciberseguridad, al estar sujeta al Esquema Nacional de Seguridad (ENS), a la Ley de Protección de Infraestructuras Críticas y a la anterior Directiva NIS. A ello se suma un compromiso institucional fuerte y sostenido con la seguridad como parte de la misión corporativa, entendida en su sentido más amplio y no limitada únicamente al ámbito digital.

En este contexto, la entrada en vigor de la Directiva NIS2 ha actuado más como un catalizador para consolidar y reforzar la gobernanza, que como un punto de partida. Entre los aspectos en los que la nueva directiva ha elevado significativamente el nivel de exigencia, destacaría especialmente dos:

• El refuerzo del papel de los órganos de gobierno, que asumen ahora una responsabilidad directa en la supervisión de la ciberseguridad.
• El control más estricto sobre la cadena de suministro, lo que exige una gestión activa del riesgo en entornos cada vez más interconectados.

En cuanto al primero, cabe destacar que Renfe ya había dado pasos firmes antes de NIS2 con la creación de una Dirección de Ciberseguridad y Privacidad con dependencia directa de Presidencia, lo que permitió establecer una clara separación entre las funciones de supervisión y la operación técnica. Esta estructura garantiza independencia funcional, mejora la trazabilidad, y ha facilitado un canal de comunicación directo y eficaz con los órganos de gobierno.

Esta interlocución fluida permite que las decisiones estratégicas de la alta dirección estén basadas en una comprensión realista y actualizada del riesgo, y alineadas con el nivel de ciberseguridad que la organización requiere y se propone alcanzar.

En relación con el control de la cadena de suministro, me parece importante subrayar que Renfe lleva más de ocho años incorporando requisitos específicos de seguridad en todas sus licitaciones, especialmente en aquellas que implican el tratamiento de información digital o la implementación de sistemas de información. Esto significa que la ciberseguridad está presente desde la fase de diseño en cada uno de estos proyectos, integrándose de forma natural en todo su ciclo de vida.

La exigencia que plantea la Directiva NIS2 en este ámbito, y que ya anticipaba el Esquema Nacional de Seguridad en su revisión más reciente (RD 311/2022), no nos resulta ajena, pero sí implica una profundización y extensión de esas premisas que venimos aplicando. Sin embargo, es importante no trivializar este proceso: integrar realmente el control de la cadena de suministro en cada fase requiere un esfuerzo considerable en términos de supervisión, alineamiento contractual y evaluación continua.

Además, conviene recordar que la NIS2 no incluye a los proveedores como sujetos obligados directos, lo que implica que el peso del cumplimiento recae plenamente sobre el operador esencial, que sí lo está. Esto supone un sobreesfuerzo que debe ser gestionado con criterios de proporcionalidad y riesgo. En este sentido, es de valorar positivamente que el ENS sí contemple a los proveedores en su ámbito subjetivo, lo que nos proporciona un respaldo normativo más claro a nivel nacional para exigir ciertos estándares mínimos de seguridad en toda la cadena y sobre todo para que las empresas adjudicatarias entienda que deben cumplir no solo porque lo exija la empresa que la contrata sino por que la obligación debe ser entendida como propia.

[MCPRO] ¿Cuáles son los principales retos de proteger activos industriales con ciclos de vida de hasta 30 años y cómo se abordan desde el área de ciberseguridad?

[Francisco Lázaro] Efectivamente, uno de los grandes retos está en la coexistencia de tecnologías OT muy longevas, a menudo con protocolos propietarios o sin capacidades nativas de ciberseguridad, junto a entornos IT modernos y conectados. Detrás de este desafío subyace, a mi juicio, una cuestión de fondo que no siempre recibe la atención que merece: la evolución de dos planos tradicionalmente considerados relacionados, pero separados —el safety y el security.

De forma resumida, el safety busca evitar que las máquinas dañen a las personas, mientras que el security pretende impedir que las personas (o actores externos) dañen a las máquinas. Durante décadas, los sistemas industriales críticos —en sectores como energía, agua o transporte— se han centrado prioritariamente en el safety, con dispositivos, certificaciones y procedimientos muy robustos. Sin embargo, la digitalización y la creciente conectividad de estos entornos —con mantenimientos remotos, sistemas abiertos y componentes comerciales— han transformado radicalmente el escenario de riesgos.

Hoy nos enfrentamos a una paradoja: cuanto más certificadas y estables son las plataformas industriales en términos de safety, más difícil resulta mantenerlas seguras desde el punto de vista del security. Las certificaciones no contemplan la actualización continua ni los ciclos de parcheo que exige la ciberseguridad moderna. Esto obliga a buscar equilibrios realistas, como aceptar determinados gaps temporales frente a certificaciones previas, establecer marcos de actualización diferenciados o, cuando es viable, separar la certificación de los elementos de safety y security. En cualquier caso, mantengo una convicción firme: no puede haber safety sin security.

Desde el área de ciberseguridad abordamos este reto mediante un enfoque de defensa en profundidad, desplegando seguridad en capas, segmentación de redes, control estricto de accesos, monitorización continua y detección adaptativa. En los sistemas donde no es posible actualizar con frecuencia, reforzamos la vigilancia de vulnerabilidades, aplicamos medidas compensatorias y trabajamos estrechamente con los fabricantes para que los nuevos diseños incorporen la ciberseguridad desde el origen y que la actualización de software y sistemas se integre como parte natural del ciclo de mantenimiento y garantía.

En esta línea, la Cyber Resilience Act (CRA) europea supondrá un paso decisivo, al introducir un marco común que obligará a abordar esta cuestión de forma armonizada y universal, más allá del esfuerzo que hoy realizamos las organizaciones responsables de forma individual.

[MCPRO]  Hablemos de Inteligencia Artificial ¿En qué áreas está Renfe hoy aplicando IA para reforzar su postura de seguridad y cómo valora su potencial?

[Francisco Lázaro] Actualmente, en Renfe estamos aplicando técnicas de machine learning (ML) para el análisis avanzado de logs y eventos de seguridad, con el objetivo de detectar de forma temprana comportamientos anómalos y posibles indicadores de compromiso, especialmente en sistemas críticos. Asimismo, estamos explorando su uso en la clasificación dinámica de activos según su nivel de riesgo, criticidad o sensibilidad de la información que gestionan, así como en la automatización parcial de respuestas ante incidentes.

El potencial de la inteligencia artificial en este campo es enorme, pero requiere una integración prudente y progresiva con el conocimiento experto humano. No se trata de sustituir la capacidad analítica de los equipos, sino de amplificarla. La clave está en asegurar que los modelos se ajusten a contextos operativos tan específicos como el ferroviario, donde las condiciones técnicas, los tiempos de respuesta y la continuidad del servicio son factores críticos.

Un modelo genérico, sin supervisión o entrenamiento especializado, podría generar falsos positivos o incluso afectar a la disponibilidad, por lo que la colaboración hombre-máquina es esencial.

Renfe dispone hoy de una unidad especializada en detección y respuesta ante incidentes, y de otra enfocada en inteligencia, análisis, gestión y explotación de vulnerabilidades. Ambas áreas están evolucionando hacia un modelo de operación híbrido, en el que la IA se incorpora progresivamente al “arsenal” de capacidades, reforzando la correlación de eventos, la priorización de alertas y la toma de decisiones basada en datos.

Por ejemplo, estamos participando en una iniciativa con el CCN con la que GLORIA (el SIEM del CCN) se dota de capacidades de inteligencia artificial para complementar el análisis actual, automatizar respuestas y mejorar la comunicación con otras herramientas del Centro , tales como CARMEN y LUCIA.

Esta adopción gradual, controlada y alineada con las necesidades operativas, nos permite aprovechar las ventajas de la IA sin comprometer la fiabilidad ni la seguridad del entorno ferroviario.

[MCPRO] ¿Qué estrategias se han implementado para clasificar y proteger información no estructurada y qué retos conlleva?

[Francisco Lázaro]  Renfe ha abordado la clasificación y protección de información no estructurada mediante un conjunto coherente de medidas técnicas, organizativas y culturales. Entre ellas destacan las políticas corporativas de gestión de la información, el despliegue de soluciones DLP (Data Loss Prevention), el uso de herramientas de etiquetado automático e IRM (Information Rights Management), y un programa continuo de capacitación y concienciación del personal, donde progresivamente se va introduciendo esta práctica.

El principal reto reside en el volumen masivo de datos que la organización genera y gestiona cada día, distribuidos en múltiples plataformas y bajo la responsabilidad de perfiles muy diversos. En este contexto, la concienciación del usuario y la automatización de controles se han revelado factores decisivos para avanzar de forma gradual, sin afectar la productividad ni obstaculizar el flujo natural de trabajo.

Conviene recordar que los proyectos de clasificación de la información, en organizaciones consolidadas y con un alto volumen de generación y almacenamiento de datos, no son iniciativas triviales. Las herramientas existen y son potentes, pero su eficacia depende de un cambio en la forma de trabajar con la información: la clasificación no se hace sola —o al menos, todavía -.

En este sentido, esperamos que la inteligencia artificial jugará un papel determinante en los próximos años, al permitir la clasificación automática y contextual de documentos, correos o repositorios, reduciendo la carga sobre los usuarios y elevando el nivel de protección de la información sensible sin interferir en la eficiencia operativa.

[MCPRO] ¿Puede compartir algún aprendizaje clave derivado de la gestión de incidentes en el último año bajo NIS2?

[Francisco Lázaro]  Como te decía al principio de la entrevista, las obligaciones las tenemos desde hace muchos años y eso hace que nos encontremos con unas capacidades que si bien en mayor o menor medida son habituales en muchas grandes empresas, como por ejemplo tener un grupo especifico de respuesta a Incidente, nos posicionan para que la NIS2, no represente una exigencia que no tuviéramos ya solventada.

Ahora bien, si en vez de fijarnos en la NIS2, pienso en todo este viaje, una de las lecciones clave ha sido la importancia de contar con protocolos previamente ensayados y disponer de las capacidades humanas y técnicas necesarias. La exigencia de notificar en menos de 24 horas ha obligado a revisar y automatizar flujos de detección, evaluación y notificación de incidentes. En este viaje, hemos aprendido que la coordinación entre áreas (legal, comunicación, seguridad, operación) debe estar previamente definida y validada, y que el entrenamiento continuo mediante simulacros es esencial para responder con eficacia bajo presión.

[MCPRO] Renfe cuenta con unos 15.000 empleados. En esta dimensión, ¿qué acciones resultan más efectivas para fomentar una verdadera mentalidad de ciberseguridad entre empleados y directivos?

[Francisco Lázaro] Sin duda, la más efectiva ha sido integrar la ciberseguridad en el lenguaje del negocio. Explicar los riesgos en términos de impacto operativo, reputacional o legal ha permitido involucrar de forma real a la dirección y a las áreas de negocio. La ciberseguridad deja así de percibirse como un elemento técnico o ajeno, para convertirse en una palanca esencial de continuidad y competitividad empresarial.

En nuestro caso, el hecho de que todas las licitaciones pasen por el departamento de Ciberseguridad y Privacidad permite incorporar, cuando corresponde, requisitos específicos de seguridad en las especificaciones técnicas desde la fase inicial. Además, la gestión de riesgos por parte del responsable de la información —que pertenece al área de negocio— refuerza esa visión compartida: la seguridad no debe “alinearse” con el negocio, la ciberseguridad es parte intrínseca del negocio; sin seguridad no hay negocio.

A nivel general, se han desarrollado programas de formación y concienciación adaptados a distintos perfiles, campañas internas periódicas y la participación activa de todas las áreas relevantes en los ciber-ejercicios. Estas acciones fomentan la corresponsabilidad y ayudan a convertir la seguridad en una práctica cotidiana más que en una obligación externa.

Finalmente, el respaldo explícito de la alta dirección y una comunicación interna coherente y constante han sido determinantes para consolidar esta cultura, haciendo de la ciberseguridad un valor compartido y sostenible en el tiempo.

[MCPRO] ¿Cómo valora el impacto de los estándares colectivos y la cooperación sectorial en la madurez de la ciberseguridad ferroviaria?

[Francisco Lázaro] Los estándares colectivos, como la EN 50701, y las iniciativas de colaboración a nivel europeo son absolutamente esenciales para alcanzar un nivel homogéneo de seguridad y resiliencia en el ecosistema ferroviario. El transporte ferroviario, por su naturaleza interoperable y distribuida, no puede afrontar la ciberseguridad de forma aislada: depende de la coordinación y confianza mutua entre operadores, fabricantes, integradores, mantenedores y socios tecnológicos.

En este contexto, la compartición de información sobre amenazas, vulnerabilidades e incidentes se convierte en un elemento clave. Los foros y grupos de trabajo especializados, como el Grupo de Ciberseguridad Ferroviaria de la Unión Europea o la asociación UNIFE, son ejemplos muy valiosos de cooperación efectiva. A través de ellos se definen criterios comunes, se intercambian experiencias operativas y se promueven buenas prácticas que fortalecen la seguridad de todo el sector.

La experiencia demuestra que ningún operador puede ser ciberseguro de manera aislada. La madurez colectiva del sistema ferroviario depende directamente de la capacidad de sus profesionales y organizaciones para colaborar, compartir conocimiento y alinear estrategias. En última instancia, en un entorno tan interconectado como el ferroviario, la seguridad individual de cada actor es tan sólida como la del conjunto del ecosistema.

[MCPRO] Desde su responsabilidad, ¿qué desafíos encuentra en la coordinación y verificación de la ciberseguridad de los proveedores estratégicos para Renfe?

[Francisco Lázaro]  Uno de los principales retos es alinear los niveles de madurez en ciberseguridad a lo largo de toda la cadena de suministro. En muchos casos, los proveedores —incluso los estratégicos— no están sometidos a los mismos requisitos regulatorios que una entidad esencial como Renfe. Esto obliga a establecer criterios contractuales específicos y evaluaciones de riesgos previas a la adjudicación, así como seguimientos periódicos, para garantizar un nivel de protección coherente con las obligaciones normativas y con el perfil de riesgo del servicio.

Durante la fase de licitación, incorporamos requisitos de seguridad concretos y, cuando procede, exigimos certificaciones reconocidas que avalen las capacidades del proveedor. Una vez adjudicado el contrato, se realiza un seguimiento continuo mediante reuniones de control y revisiones técnicas, combinando la supervisión directa con la verificación documental a través de declaraciones responsables.

Además, se emplean herramientas de cyber rating —como BitSight, SecurityScorecard o RiskRecon— para monitorizar el nivel de exposición y comportamiento digital de los proveedores a lo largo del tiempo. Esta información complementa las auditorías y permite detectar desviaciones o incidentes potenciales de forma temprana.

Solo a través de la colaboración y la transparencia se puede garantizar que toda la cadena —desde los grandes integradores hasta los subcontratistas especializados— actúe bajo una misma cultura de seguridad y resiliencia digital y a día de hoy es sorprendente que muchas empresas de nuestro tejido industrial tengan serias carencias.

[MCPRO] ¿Qué iniciativas han sido más exitosas para atraer y desarrollar perfiles altamente especializados en ciberseguridad ferroviaria?

[Francisco Lázaro]  El entorno ferroviario es altamente especializado, con una complejidad tecnológica y normativa que no siempre se encuentra en otros sectores. Por ello, la estrategia más eficaz ha sido combinar el desarrollo de talento interno con la incorporación de perfiles externos altamente cualificados en ciberseguridad, construyendo equipos mixtos que integren conocimiento del negocio ferroviario y experiencia avanzada en seguridad. Con la finalidad de ir generando un ecosistema de profesionales, colaboramos con programas de formación especializada, itinerarios profesionales, universidades y centros de investigación.

[MCPRO] ¿Cómo anticipa la evolución de las amenazas y del papel del CISO en las operaciones ferroviarias en los próximos tres años?

[Francisco Lázaro]  Aun sin disponer de una bola de cristal —o de una inteligencia artificial que la sustituya—, es fácil prever que nos moveremos en un entorno cada vez más exigente, con amenazas más persistentes, sofisticadas y coordinadas, en el que la IA, tanto adversaria como aliada, jugará un papel determinante. Sin embargo, incluso en ese escenario, el factor humano seguirá siendo el elemento diferencial: la capacidad de análisis, criterio y decisión de los profesionales seguirá marcando la diferencia.

Los atacantes ya combinan técnicas clásicas con estrategias dirigidas a la cadena de suministro y a los entornos OT, aprovechando la creciente interconexión de los sistemas industriales. Por tanto, la protección de estos entornos exigirá una visión integrada, en la que la ciberseguridad deje de concebirse como un servicio de soporte para convertirse en una función esencial de gobernanza y resiliencia corporativa.

El CISO evolucionará hacia un perfil más estratégico, con mayor presencia e influencia en los órganos de decisión. Su papel no será únicamente técnico, sino también de interlocución regulatoria y gestión del riesgo digital. Deberá ser capaz de traducir el riesgo tecnológico en impacto de negocio, y de garantizar que la seguridad esté plenamente integrada en la planificación corporativa.

En el ámbito ferroviario, esta evolución adquiere una dimensión aún más crítica. El CISO de un operador ferroviario deberá mantener una comunicación transparente y continua con la Agencia Española de Seguridad Ferroviaria, así como una colaboración estrecha con otros actores del sector: administradores de infraestructura, fabricantes, integradores, mantenedores y otros operadores. La cooperación técnica y la coordinación de incidentes serán pilares fundamentales.

En definitiva, el CISO del futuro estará tan integrado en las operaciones como hoy lo está la seguridad de la circulación. Su papel será garantizar que la ciberseguridad no solo proteja los sistemas, sino que se convierta en un elemento estructural de la seguridad ferroviaria global, al mismo nivel que las prácticas operativas tradicionales.

_______________________________

La conversación con Francisco Lázaro evidencia que la ciberseguridad ferroviaria ha dejado de ser una cuestión técnica relegada a departamentos especializados para convertirse en un asunto de gobernanza corporativa.

Lo que queda sobre la mesa es una realidad incómoda: la madurez de un operador ferroviario en ciberseguridad ya no depende solo de su capacidad interna, sino de la solidez del ecosistema completo que lo rodea. Proveedores, integradores, fabricantes y subcontratistas forman parte del mismo perímetro de riesgo, pero no todos están sometidos a las mismas obligaciones. Ahí reside uno de los mayores desafíos estructurales que afronta el sector: construir resiliencia colectiva en un entorno donde las responsabilidades están asimétricamente distribuidas.

Mientras tanto, la amenaza no espera. La convergencia entre entornos IT y OT acelera la superficie de ataque, la inteligencia artificial se consolida como herramienta tanto defensiva como ofensiva, y los ciclos de vida de los sistemas industriales siguen siendo incompatibles con los ritmos que exige la ciberseguridad moderna. En ese equilibrio difícil entre continuidad operativa, certificación de seguridad y actualización tecnológica se juega buena parte del futuro de la ciberseguridad ferroviaria europea.