Casi nadie piensa en su edificio como un sistema informático, pero lo es. El aire acondicionado que mantiene el cuarto de servidores frío, los elevadores, la iluminación, la detección de incendios, incluso parte del control de acceso: en un edificio moderno todo eso lo coordina un sistema de automatización de edificios (BMS, Building Management System) —software y controladores hablando por una red—. Y como ya vimos que OT no es solo para fábricas, el BMS es probablemente tu mayor superficie de OT sin vigilar.
Qué es un BMS y por qué es OT
Un BMS integra y controla los sistemas físicos de un inmueble desde una consola central: clima, energía, iluminación, elevadores, incendios, a veces accesos. Para lograrlo usa controladores (los que de verdad accionan las cosas) y una capa de middleware que traduce entre todos esos subsistemas —de distintos fabricantes y protocolos— y la red de datos. Es OT de manual: computadoras que miden y accionan el mundo físico. La diferencia con una planta es solo el decorado; la naturaleza del sistema —y del riesgo— es idéntica.
Por qué es un punto ciego perfecto
El BMS reúne todas las condiciones para que nadie lo cuide:
- Lo opera "mantenimiento", no TI. Se instala en la obra, lo configura un integrador, y desde entonces vive fuera del radar de ciberseguridad.
- Se instala una vez y se olvida. Rara vez se actualiza el firmware; "si el aire enfría, no lo toques".
- Contraseñas de fábrica y accesos del integrador. Es común que conserve credenciales por defecto y accesos remotos permanentes del proveedor que lo montó.
- En la misma red que todo. Sin segmentación, el controlador del aire y la laptop de contabilidad comparten el mismo segmento.
Que no es teórico: el caso Niagara
En 2025, la firma Nozomi investigó el Niagara Framework de Tridium —uno de los middleware de automatización de edificios más usados del mundo— y encontró trece vulnerabilidades. Encadenando varias, un atacante con acceso a la red podía llegar a ejecutar código como root en el dispositivo que gobierna el edificio (detalle en el NVD y en esta cobertura). No es un producto oscuro de una mina remota: es el sistema que corre edificios de oficinas, hospitales y hoteles. La superficie es enorme y real.
Qué pasa si lo comprometen
La consecuencia de un BMS vulnerado no es un dato filtrado, es física: apagar el enfriamiento hasta que el cuarto de servidores se sobrecaliente, manipular el control de accesos, cegar la detección de incendios, dejar un edificio a oscuras. Y como suele compartir red, un BMS comprometido es también un excelente trampolín hacia el resto de la infraestructura —un punto de entrada que nadie estaba mirando—.
Qué hacer
Lo mismo que con cualquier OT, aterrizado al edificio: inventariar qué controladores y consolas existen y en qué red viven; segmentar el BMS en su propia VLAN, aislado de la red de oficina; cambiar las contraseñas de fábrica y cerrar los accesos remotos permanentes del integrador (que se abran cuando se necesiten, no siempre); parchar el firmware —sí, el BMS también recibe parches— priorizando lo que se explota; y monitorear su tráfico como monitoreas el resto.
La pregunta que conviene hacerse
La pregunta no es "¿funciona el aire acondicionado?", sino ¿quién controla el sistema que controla mi edificio, en qué red está, y cuándo se actualizó por última vez? Si la respuesta es "lo dejó el integrador hace cinco años y no lo hemos tocado", ese es tu punto ciego. Verlo, segmentarlo y monitorearlo es parte de extender la disciplina OT al edificio, dentro de nuestro NOC/SOC administrado. Otros dos frentes del mismo problema: tus cámaras y control de acceso y las instalaciones del cuarto de servidores.