El estándar IEC/ISA 62443 es la referencia internacional para la ciberseguridad de los sistemas de automatización y control industrial (IACS). Donde ISO 27001 gobierna la seguridad de la información corporativa, IEC 62443 gobierna el mundo de los PLCs, RTUs, HMIs, sistemas SCADA y sistemas instrumentados de seguridad. Nació del comité ISA99 y fue adoptado por la Comisión Electrotécnica Internacional a través del comité técnico IEC TC65, de ahí su doble nombre ISA/IEC 62443. Hoy es el marco que integradores, fabricantes de componentes y operadores de activos usan para hablar el mismo idioma cuando el objetivo no es proteger datos, sino proteger un proceso físico.
Este artículo describe la anatomía del estándar: qué es y por qué es la referencia OT/IACS, el mapa de la familia de partes, los siete requisitos fundamentales, los niveles de seguridad SL1-SL4, el modelo de zonas y conductos, los esquemas de certificación y una hoja de ruta de adopción realista. Para la relación concreta entre IEC 62443 y NIS2 no reconstruimos el mapeo aquí, sino que remitimos al análisis dedicado de ciberseguridad industria 4.0 y OT bajo NIS2.
Lo esencial. IEC/ISA 62443 no es un documento único, sino una familia de normas organizada en cuatro grupos: general, políticas y procedimientos, sistema y componente. Define siete requisitos fundamentales (FR1 a FR7), cuatro niveles de seguridad (SL1 a SL4) y un modelo de segmentación basado en zonas y conductos. Distingue tres destinatarios (operador de activos, integrador y fabricante de producto) y tres tipos de certificación (producto, proceso y personal). Adoptarlo es un proyecto por fases, no una casilla que se marca.
Qué es IEC 62443 y por qué es la referencia OT/IACS
Los entornos OT tienen restricciones que la seguridad IT tradicional no contempla: ciclos de vida de hardware de 15 a 30 años, protocolos industriales heredados sin autenticación nativa, disponibilidad como prioridad absoluta y una tolerancia mínima a interrupciones que convierte el parcheado en una operación de riesgo. IEC 62443 se diseñó desde esa realidad. En lugar de imponer controles pensados para servidores y estaciones de trabajo, parte del concepto de IACS, define un modelo de riesgo específico para el proceso industrial y reparte responsabilidades a lo largo de toda la cadena de valor.
Esa distribución de responsabilidades es una de sus aportaciones clave. La seguridad de una instalación industrial no depende solo del operador: depende también de cómo el fabricante desarrolló el PLC (ciclo de desarrollo seguro) y de cómo el integrador diseñó y desplegó la solución. IEC 62443 formaliza esos tres roles y les asigna partes distintas del estándar, de modo que un operador puede exigir contractualmente componentes y servicios que cumplan requisitos verificables. Es el motivo por el que se ha consolidado como el estándar de referencia frente a marcos más genéricos, y por el que reguladores y auditores lo aceptan como evidencia de madurez técnica en sectores de infraestructura crítica.
Mapa de la familia IEC 62443
La numeración sigue el patrón 62443-X-Y, donde X identifica el grupo y Y el documento dentro del grupo. Estas son las partes que conviene conocer:
- 62443-1-1 (conceptos y modelos): establece la terminología, los conceptos y los modelos que sustentan toda la serie. Aquí se definen los requisitos fundamentales, los niveles de seguridad y la noción de zonas y conductos. Es la puerta de entrada conceptual.
- 62443-2-1 (programa de seguridad IACS): dirigido al operador de activos. Define cómo establecer y mantener un sistema de gestión de ciberseguridad para el entorno IACS, el equivalente OT de un SGSI. Su revisión reciente lo ha acercado a la estructura de políticas y controles habitual en gobernanza.
- 62443-2-4 (proveedores de servicio): requisitos del programa de seguridad para integradores y proveedores de mantenimiento. Permite a un operador evaluar y exigir capacidades de seguridad a quien despliega o mantiene su instalación.
- 62443-3-2 (evaluación de riesgo del sistema): define la metodología para partir el sistema bajo consideración en zonas y conductos, realizar la evaluación de riesgo y asignar un nivel de seguridad objetivo a cada zona. Es el corazón del diseño seguro.
- 62443-3-3 (requisitos de seguridad del sistema): traduce los siete requisitos fundamentales en requisitos de sistema concretos (SR) y los asocia a los niveles de seguridad SL1 a SL4. Es la referencia técnica del lado del sistema integrado.
- 62443-4-1 (desarrollo seguro de producto): requisitos del ciclo de vida de desarrollo seguro para fabricantes de componentes. Cubre gestión de requisitos, diseño seguro, gestión de vulnerabilidades y respuesta a incidentes en el producto.
- 62443-4-2 (requisitos de componente): requisitos técnicos de seguridad para los componentes individuales (dispositivos embebidos, host, aplicaciones de software y componentes de red), organizados también por los siete requisitos fundamentales.
El grupo general incluye además documentos de soporte como glosarios y métricas, y el grupo de políticas cubre aspectos como la gestión de parches en el entorno IACS. Para la mayoría de organizaciones, las partes 2-1, 3-2, 3-3 y 4-2 son las que concentran el trabajo operativo. En entornos de fabricación conectada, este mapa se cruza con el Modelo Purdue, como detallamos en el análisis de amenazas críticas IoT/OT en 2026.
Los siete requisitos fundamentales (FR1-FR7)
Todo el edificio técnico de IEC 62443 se apoya en siete requisitos fundamentales que agrupan las capacidades de seguridad esperables de un sistema o componente:
- FR1 - Control de identificación y autenticación (IAC): identificar y autenticar a todos los usuarios, procesos y dispositivos antes de concederles acceso.
- FR2 - Control de uso (UC): hacer cumplir los privilegios asignados una vez autenticada la entidad, incluido el registro de acciones.
- FR3 - Integridad del sistema (SI): garantizar la integridad del sistema y de la información frente a manipulación no autorizada.
- FR4 - Confidencialidad de datos (DC): proteger la confidencialidad de la información en tránsito y en reposo cuando corresponda.
- FR5 - Flujo de datos restringido (RDF): segmentar el sistema y controlar los flujos de comunicación, la base conceptual de zonas y conductos.
- FR6 - Respuesta oportuna a eventos (TRE): detectar, registrar y responder a incidentes de seguridad en un plazo adecuado.
- FR7 - Disponibilidad de recursos (RA): garantizar la disponibilidad del sistema frente a degradación o denegación de servicio, la prioridad número uno en OT.
Estos siete vectores se repiten tanto en 62443-3-3 (a nivel de sistema) como en 62443-4-2 (a nivel de componente), lo que permite razonar la postura de seguridad de forma consistente en toda la arquitectura.
Niveles de seguridad SL1-SL4 y niveles de madurez
IEC 62443 no exige un mismo grado de protección para todo. Define cuatro niveles de seguridad graduados según la capacidad del atacante frente al que se quiere proteger:
- SL1: protección frente a violaciones casuales o accidentales.
- SL2: protección frente a violaciones intencionadas con medios simples, recursos bajos, habilidades genéricas y motivación baja.
- SL3: protección frente a violaciones intencionadas con medios sofisticados, recursos moderados, habilidades específicas de IACS y motivación moderada.
- SL4: protección frente a violaciones intencionadas con medios sofisticados, recursos amplios, habilidades específicas de IACS y motivación alta, el perfil de un actor estatal.
La distinción práctica más importante es entre el nivel objetivo (SL-T) y el nivel alcanzado (SL-A). El SL-T es la protección que una zona necesita según el riesgo, y se determina en la evaluación de 62443-3-2. El SL-A es la protección que el sistema realmente ofrece una vez desplegado. Existe además el nivel de capacidad (SL-C), que expresa lo que un componente puede ofrecer con la configuración adecuada. La brecha entre SL-T y SL-A es, literalmente, lo que un gap assessment IEC 62443 pone sobre la mesa. Cada zona no recibe un único número, sino un vector de siete valores, uno por cada requisito fundamental.
Junto a los niveles de seguridad, el estándar emplea niveles de madurez para evaluar procesos, especialmente en 62443-2-4 y 4-1, con una escala inspirada en CMMI: ML1 inicial (ad hoc), ML2 gestionado (repetible), ML3 definido (proceso practicado y documentado) y ML4 en mejora (medido y en mejora continua). Los SL miden qué protección ofrece la tecnología; los ML miden la solidez del proceso que la sostiene.
Zonas y conductos en profundidad
El modelo de zonas y conductos es la contribución arquitectónica más reconocible de IEC 62443 y la materialización del requisito FR5. Una zona agrupa activos que comparten los mismos requisitos de seguridad; un conducto agrupa las comunicaciones autorizadas entre zonas y es donde se concentran los controles: firewalls industriales, sistemas de detección, diodos de datos o autenticación reforzada.
El proceso de 62443-3-2 sigue una secuencia clara. Primero se define el sistema bajo consideración. A continuación se realiza una evaluación de riesgo inicial de alto nivel. Después se particiona el sistema en zonas y conductos, separando por criticidad y por función: la zona de control básico se separa de la zona de supervisión, y los sistemas instrumentados de seguridad se aíslan siempre en su propia zona por su papel de última barrera frente a accidentes. Sobre cada zona y conducto se ejecuta una evaluación de riesgo detallada que fija el SL-T, y todo se documenta en una especificación de requisitos de ciberseguridad.
Este esquema se alinea de forma natural con el Modelo Purdue: los niveles se traducen en zonas y la DMZ industrial se convierte en el conducto obligatorio entre el dominio corporativo y el operativo. La regla de oro es que ningún flujo IT/OT debe atravesar niveles no adyacentes sin pasar por esa DMZ, donde viven la inspección, la autenticación y el registro. Reforzar esos límites conecta con prácticas de bastionado de redes y sistemas adaptadas al entorno industrial.
Esquemas de certificación
IEC 62443 es certificable, y las certificaciones se agrupan en tres categorías que reflejan los tres destinatarios del estándar:
- Certificación de producto: valida que un componente o un sistema cumple requisitos técnicos. El esquema más conocido es ISASecure, gestionado por el ISA Security Compliance Institute, que ofrece certificaciones como CSA para componentes (basada en 62443-4-2), SSA para sistemas (basada en 62443-3-3) y esquemas específicos para dispositivos IIoT. Entidades como TÜV (Rheinland, SÜD, NORD) y otros laboratorios acreditados ofrecen esquemas equivalentes.
- Certificación de proceso: valida la solidez de un proceso frente a una parte del estándar. Un fabricante certifica su ciclo de desarrollo seguro con SDLA (basada en 62443-4-1), un integrador o proveedor de servicio se certifica frente a 62443-2-4 y un operador puede evaluar su programa frente a 62443-2-1.
- Certificación de personal: acredita la competencia individual de profesionales mediante programas formativos y exámenes reconocidos, ofrecidos por ISA, TÜV y otros organismos.
La certificación no es obligatoria para cumplir NIS2, pero aporta evidencia objetiva ante auditores y clientes, y permite trasladar exigencias verificables a la cadena de suministro. Un operador puede, por ejemplo, exigir componentes con certificación 62443-4-2 al nivel de seguridad que su zona requiere.
Hoja de ruta práctica de adopción
Adoptar IEC 62443 en una organización que parte de baja madurez es un recorrido por fases, no un despliegue único:
- Gobernanza y alcance. Definir el alcance IACS, nombrar un responsable y adoptar la estructura de programa de 62443-2-1.
- Inventario y sistema bajo consideración. Descubrir todos los activos OT con herramientas de descubrimiento pasivo como Claroty, Nozomi Networks o Dragos, sin inyectar tráfico que altere dispositivos sensibles.
- Zonas, conductos y riesgo. Aplicar 62443-3-2 para particionar el sistema y ejecutar la evaluación de riesgo.
- Nivel objetivo por zona. Fijar el SL-T de cada zona mediante el vector de requisitos fundamentales.
- Gap assessment. Comparar el estado real (SL-A) frente al objetivo usando 62443-3-3 a nivel de sistema y 62443-4-2 a nivel de componente.
- Remediación. Segmentar, endurecer, asegurar el acceso remoto de proveedor con jump host y MFA, desplegar monitorización pasiva y exigir en compras componentes desarrollados según 62443-4-1.
- Mejora continua. Gestión de parches en el entorno IACS, elevación de la madurez de proceso, auditorías periódicas y, si aporta valor comercial o regulatorio, certificación.
El retorno de este enfoque no es solo defensivo. Integrar la seguridad desde el diseño, en lugar de corregir tras el despliegue, reduce de forma notable el coste total de propiedad y facilita la conversación con la administración, un aspecto especialmente relevante bajo el nuevo marco de cumplimiento NIS2 en España.
Preguntas frecuentes
¿Cuál es la diferencia entre ISA 62443 e IEC 62443?
Son el mismo estándar. La serie nació en el comité ISA99 de la International Society of Automation y fue adoptada por la Comisión Electrotécnica Internacional. Por eso se referencia indistintamente como ISA/IEC 62443, ANSI/ISA-62443 o IEC 62443, según el organismo que publica cada documento. El contenido técnico es común.
¿Es IEC 62443 obligatorio?
El estándar en sí no es una ley, pero es el marco técnico de referencia que reguladores y auditores esperan ver en sectores de infraestructura crítica y manufactura. NIS2 no impone un framework concreto, aunque IEC 62443 se ha consolidado como la forma más sólida de demostrar madurez. En algunos contratos y licitaciones, cumplir partes específicas del estándar sí es una exigencia contractual.
¿Qué relación hay entre los niveles de seguridad y las zonas?
Cada zona recibe un nivel de seguridad objetivo (SL-T) fijado en la evaluación de riesgo de 62443-3-2. Ese objetivo no es un único número, sino un vector con un valor por cada uno de los siete requisitos fundamentales. Después se compara con el nivel alcanzado (SL-A) que ofrece el sistema desplegado, y la diferencia define el plan de remediación.
¿Por dónde debe empezar una planta que nunca ha aplicado IEC 62443?
Por el inventario de activos y la definición del sistema bajo consideración. Sin saber qué hay conectado y cómo se comunica no es posible partir en zonas ni evaluar riesgo. El descubrimiento pasivo es el primer paso técnico, seguido del análisis de segmentación y de un gap assessment frente a 62443-3-3 y 4-2.
¿IEC 62443 sustituye a ISO 27001?
No, se complementan. ISO 27001 gobierna la seguridad de la información a nivel de organización, mientras que IEC 62443 aporta el detalle técnico y de proceso específico de los entornos IACS. Muchas organizaciones industriales operan un SGSI ISO 27001 en IT y aplican IEC 62443 en OT, alineando ambos marcos.
Recursos relacionados
- Ciberseguridad industria 4.0 y OT: protección NIS2 para fabricación
- Ciberseguridad IoT y OT: amenazas críticas en 2026
- NIS2 España: cumplimiento 2026
- Auditoría NIS2 paso a paso
Auditoría OT/ICS y gap assessment IEC 62443 con Secra
Secra acompaña a operadores de activos, integradores y fabricantes en la adopción de IEC 62443 con un enfoque OT-aware. Realizamos auditoría OT/ICS no intrusiva, definición de zonas y conductos, asignación de niveles de seguridad objetivo y gap assessment IEC 62443 que cuantifica la distancia entre el SL-T de cada zona y su SL-A real. Trabajamos con sensibilidad operativa, respetando los tiempos y las restricciones de la planta.
Si tu organización necesita mapear su postura frente a IEC 62443 antes de que lo haga un regulador o un atacante, conoce nuestra auditoría de seguridad IoT/OT o contacta con nuestro equipo para una conversación inicial sin compromiso.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

