IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Qué es IEC 62443 y qué te exige de verdad (no la versión de folleto)

08/07/2026 4 min de lectura Rubén Espinoza

Cuando alguien menciona "IEC 62443" en una junta, suele pasar una de dos cosas: o nadie en la sala sabe qué es y se asiente en silencio, o alguien lo usa como sello para cerrar una venta. Ninguna de las dos ayuda a proteger una planta. Vale la pena entender qué exige de verdad, sin la versión de folleto.

Qué es (y qué no es) IEC 62443

IEC 62443 es una familia de estándares —no un solo documento— para la seguridad de los sistemas de automatización y control industrial (IACS). Nació del trabajo de ISA (la ISA-99) y hoy es la referencia internacional más usada en el mundo OT.

Igual de importante es lo que no es. No es una ley. No es un producto que compras e instalas. No es un certificado que obtienes en un fin de semana y cuelgas en la pared. Es un marco de referencia para diseñar y operar la seguridad industrial con criterio, en vez de a ojo.

Primero: 62443 no le habla a una sola persona

El estándar define responsabilidades para tres roles distintos, y cada uno usa partes diferentes:

  1. El operador de la planta (asset owner): evalúa su riesgo y opera el entorno.
  2. El integrador: diseña e implementa la solución.
  3. El fabricante del producto: construye equipos con seguridad incorporada.

Por eso "cumplir con 62443" significa cosas distintas según quién seas. Un PLC puede estar certificado bajo la parte 4-2 del estándar sin que tu planta esté, ni de cerca, "en 62443". Comprar componentes certificados es un insumo, no el resultado.

Las dos ideas que de verdad tienes que entender

Zonas y conductos. Consiste en agrupar los activos por nivel de riesgo (las zonas) y controlar explícitamente lo que puede circular entre ellas (los conductos). Si leíste sobre el modelo Purdue, esto es su formalización: el modelo te da las capas; 62443 te da el lenguaje para definir las fronteras y decidir qué las cruza.

Niveles de seguridad (SL 1 a 4). No todo necesita el mismo blindaje. El nivel se elige según a quién quieres resistir: desde un error casual o accidental (SL 1) hasta un atacante con recursos amplios, conocimiento específico de sistemas industriales y alta motivación (SL 4). Subir de nivel cuesta dinero y complejidad, así que se define por zona —la que controla un proceso crítico exige más que la de un área administrativa—, no para toda la planta por parejo.

Qué te exige de verdad (el trabajo real)

Debajo del vocabulario, el estándar te pide un trabajo concreto y sostenido:

  1. Empezar por una evaluación de riesgo, no por comprar equipo.
  2. Segmentar el entorno en zonas y conductos.
  3. Cubrir, en el nivel que cada zona necesite, los siete requisitos fundamentales: control de identidad y autenticación, control de uso, integridad del sistema, confidencialidad de datos, flujo de datos restringido, respuesta oportuna a eventos y disponibilidad de recursos.
  4. Tratarlo como un ciclo de vida: se mantiene, se audita y se ajusta. No es un proyecto con fecha de cierre.

La parte que los folletos omiten

Sí existen certificaciones —de producto y de proceso de integración—, pero para el operador de una planta el valor casi nunca está en un diploma en la pared: está en el camino que se recorre para llegar ahí, la evaluación de riesgo y la segmentación. "Alineado a 62443" no es lo mismo que "certificado en 62443", y confundir ambas cosas a propósito es precisamente la venta de humo.

Y en México, hoy, 62443 no es una obligación legal de aplicación general. Puede aparecer como requisito de un cliente, de una casa matriz extranjera o de un sector específico. Esto no es asesoría legal: conviene verificar qué exige tu industria en concreto, que es parte de lo que hacemos en preparación para cumplimiento normativo.

Por eso la pregunta útil no es "¿ya estamos certificados en 62443?", sino una mucho más reveladora: ¿tenemos definidas nuestras zonas, y sabemos qué controla lo que pasa entre ellas? Ahí empieza el valor real del estándar —y, casualmente, ahí empieza también cualquier proyecto serio de ciberseguridad OT.

#iec 62443 #seguridad ot #ciberseguridad industrial #zonas y conductos #niveles de seguridad #cumplimiento

Preguntas frecuentes

¿IEC 62443 es obligatorio en México?

Hoy no es una obligación legal de aplicación general. Puede volverse obligatorio por contrato con un cliente, por requisito de una casa matriz o por regulación de un sector específico. Esto no es asesoría legal: conviene verificar los requisitos concretos de tu industria y tus clientes.

¿Puedo "certificarme" en IEC 62443?

Existen certificaciones de producto (para fabricantes) y de proceso (para integradores), pero para el operador de una planta el valor suele estar en alinearse al marco —evaluación de riesgo y segmentación en zonas y conductos— más que en obtener un diploma. "Alineado a 62443" no equivale a "certificado en 62443".

¿Por dónde se empieza con IEC 62443?

Por una evaluación de riesgo y la definición de zonas y conductos, apoyándote en un modelo de referencia como el Purdue, no por comprar productos "certificados". La segmentación y el análisis de riesgo son la base sobre la que se decide todo lo demás, incluido qué nivel de seguridad necesita cada zona.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Segmentar IT/OT sin frenar la producción: los trade-offs reales
El modelo Purdue explicado sin humo, para quien opera una planta
IT y OT no son lo mismo, y tratarlos igual es como te vulneran