Hay una conversación que se repite en casi todos los proyectos de Gemelo Digital con clientes que gestionan infraestructuras críticas. Suele empezar con algo parecido a esto: «La idea nos parece interesante, pero nuestro departamento de IT no va a dejar que conectemos los sistemas de control a la red.»
Es una postura legítima. El responsable de ciberseguridad que protege una planta depuradora, un hospital o un edificio corporativo de gran escala tiene razones sólidas para desconfiar de cualquier propuesta que implique conectar sistemas OT (Operational Technology) a entornos IT. La historia reciente de ciberataques a infraestructuras críticas justifica esa cautela.
El problema es que la respuesta tradicional a ese riesgo, el «Air Gap» o aislamiento total de los sistemas, es una estrategia que en 2026 ya no es viable. No porque haya desaparecido el riesgo, sino porque el coste operativo de gestionar activos complejos sin datos en tiempo real supera ampliamente el riesgo de una integración bien diseñada.
La pregunta relevante no es si conectar o no conectar. Es cómo conectar con garantías.
El miedo a la conectividad en entornos críticos
En infraestructuras críticas, parar el servicio no es una opción. Una planta de tratamiento de agua, un centro de datos, un hospital o una sede corporativa de gran tamaño no pueden permitirse que una integración tecnológica derive en una interrupción del servicio o, peor, en una brecha de seguridad que comprometa sistemas de control físico.
Este miedo tiene un nombre técnico preciso: la convergencia IT/OT. Los sistemas de información tradicionales (IT) fueron diseñados con lógicas de actualización frecuente y tolerancia a reinicios. Los sistemas de control operativo (OT) fueron diseñados para funcionar de forma ininterrumpida durante décadas, muchas veces con protocolos propietarios y sin parches de seguridad.
Cuando estos dos mundos se conectan sin una arquitectura diseñada específicamente para gestionar esa convergencia, el resultado puede ser exactamente lo que el responsable de IT temía. Pero cuando la integración se diseña correctamente, el riesgo es manejable y los beneficios son sustanciales.
El error de las integraciones improvisadas
Existe una diferencia fundamental entre conectar cables y diseñar una arquitectura de integración segura. Las soluciones low-cost de Gemelo Digital suelen optar por el primer enfoque: conectar directamente los protocolos de campo, como Modbus o BACnet, a plataformas cloud sin ninguna capa de protección intermedia.
El resultado es una superficie de ataque enorme. Un sistema de climatización HVAC mal protegido, que habitualmente queda fuera del perímetro de seguridad IT porque se considera «solo un equipo de instalaciones», puede convertirse en la puerta trasera que permite a un atacante acceder a la red de control del edificio completo.
Este no es un escenario teórico. Los incidentes de seguridad en sistemas de automatización de edificios han crecido de forma constante en los últimos años precisamente porque la expansión del IoT ha aumentado la superficie de ataque sin que los protocolos de seguridad hayan evolucionado al mismo ritmo.
Interoperabilidad real entre BMS, SCADA e IoT
Un Gemelo Digital bien diseñado no exige sustituir la infraestructura existente. Esta es quizá la idea más importante para los responsables de decisión: integrar no significa tirar lo que funciona. Y conviene tener clara la diferencia entre BIM y gemelo digital antes de hablar de seguridad: el modelo BIM es una representación estática del activo, el Gemelo Digital es ese mismo modelo conectado a datos en vivo de los sistemas existentes. La arquitectura de seguridad que vamos a tratar protege exactamente esa conexión.
Los sistemas de automatización de edificios tienen vidas útiles de entre 15 y 25 años. Forzar su sustitución completa para implementar un Gemelo Digital no es técnicamente necesario ni económicamente razonable. La arquitectura correcta permite que sistemas de diferentes épocas y fabricantes, Siemens, Schneider, Honeywell, Johnson Controls, convivan en un único entorno de datos sin comprometer la seguridad de ninguno de ellos.
Por qué mantener los sistemas legacy es técnicamente válido
Los sistemas OT legacy tienen una ventaja que a veces se olvida: son predecibles. Llevan años funcionando con parámetros conocidos. La clave no es sustituirlos, sino añadir una capa de lectura segura que extraiga sus datos sin interferir en su operación.
Esta capa intermedia, que en arquitectura de seguridad se denomina «Gateway Seguro», lee los datos de los sistemas de campo, los normaliza en un formato estándar y los transmite al Gemelo Digital con encriptación de extremo a extremo. El sistema de control original nunca está expuesto directamente a la red.
Ciberseguridad industrial y norma IEC 62443
En el ámbito de la seguridad para sistemas de automatización y control industrial, el estándar de referencia es la norma IEC 62443. Es el framework que cualquier CIO o CISO reconoce como el marco técnico riguroso para evaluar la seguridad de una integración IT/OT.
La norma define requisitos de seguridad por niveles (Security Levels 1 a 4) en función de la criticidad del sistema y el nivel de protección requerido. No todos los activos necesitan el mismo nivel de protección, pero todos necesitan un nivel definido explícitamente y verificable.
Gobierno del dato y segregación de redes
Dos de los principios más importantes en la arquitectura de seguridad para Gemelo Digital son la segregación de redes y el control de acceso basado en roles (RBAC).
La segregación garantiza que el tráfico de datos de los sistemas OT nunca viaja por la misma red que el tráfico IT corporativo. Incluso si se produce una brecha en la red de oficinas, los sistemas de control quedan aislados. El RBAC asegura que cada usuario del Gemelo Digital accede únicamente a la información y los controles que le corresponden según su función. El técnico de mantenimiento ve los datos del equipo que gestiona. La dirección ve los KPIs operativos agregados. Nadie tiene acceso a todo sin justificación.
La arquitectura de integración de MSI Digital Builders
El enfoque de MSI parte de un principio simple: conectamos para leer, no para controlar. El Gemelo Digital recibe datos de los sistemas existentes a través del Gateway Seguro, los procesa y los presenta en el entorno de gestión. El flujo de control permanece en los sistemas originales, bajo los protocolos de seguridad que ya existían.
Esta arquitectura elimina el riesgo que más preocupa a los responsables de IT: que una vulnerabilidad en la plataforma de Gemelo Digital permita a un tercero actuar sobre los sistemas físicos del edificio. La información fluye en una dirección. Los comandos de control no.
Esta es la misma arquitectura que aplicamos en proyectos como el Gemelo Digital del Consorci Besòs Tordera, donde los sistemas SCADA de control de procesos de tratamiento de agua están integrados con la plataforma de monitorización sin ninguna exposición de los sistemas de control a la red exterior.
Twin Pulse: Operación segura en tiempo real
Twin Pulse, la plataforma de Gemelo Digital de MSI, implementa esta arquitectura de seguridad de forma nativa. Cada integración incluye el diseño del Gateway Seguro, la definición del modelo de acceso por roles y la documentación de la arquitectura de red para que el equipo de IT pueda validar la solución antes de su implementación.
El objetivo no es convencer al responsable de seguridad de que baje la guardia. Es entregarle una arquitectura que pueda auditar, certificar y defender ante su dirección.
Sin seguridad no hay Gemelo Digital viable
La seguridad no es una característica opcional del Gemelo Digital. Es su condición de existencia.
Un Gemelo Digital que los equipos de IT no pueden validar técnicamente nunca será desplegado en una infraestructura crítica. Un sistema que conecta sensores IoT sin una arquitectura de seguridad definida es un riesgo que ningún responsable de operaciones puede asumir. La tecnología más avanzada de monitorización y gestión de activos es inútil si no puede instalarse.
La seguridad es el habilitador del Gemelo Digital, no un obstáculo. Cuando la arquitectura está bien diseñada, la conversación con IT deja de ser una negociación sobre riesgos y se convierte en una validación técnica de una solución que ya tiene respuestas para sus preguntas.
