Nueve de cada diez organizaciones sufrieron al menos un ciberataque en 2024. El coste medio de una brecha de datos supera los 3,9 millones de dólares. Los ataques a la cadena de suministro se han duplicado en un año y cuestan de media 4,33 millones de euros por incidente. Si el cibercrimen fuese una economía nacional, sería la tercera del mundo.
Para la industria vasca la traducción es más concreta todavía: una línea de producción parada cuesta decenas de miles de euros por hora. Un' ransomware' que bloquea el sistema de control de una planta no es un incidente informático. Es una crisis de negocio. Y en sectores como la máquina-herramienta, la automoción o la energía —los de mayor peso en el VAB industrial vasco— el impacto puede ser devastador.
"La ciberseguridad no debe ser un coste adicional, sino una ventaja competitiva. Tiene que diseñarse desde el primer día, no añadirse como parche al final", insiste el responsable científico-tecnológico de BRTA, Jon Kepa Gerrikagoitia.
La masa crítica que Euskadi ha construido
BRTA agrupa a 17 centros tecnológicos y más de 4.000 investigadores. En ciberseguridad, la especialización se concentra en cuatro centros -Tecnallia, Ikerlan, Vicometech y Ceit- con cerca de 90 investigadores y más de 4 millones de euros invertidos en proyectos colaborativos Elkartek desde 2018.
El posicionamiento internacional es sólido. Tecnalia preside la Red Nacional de Investigación en Ciberseguridad (RENIC), forma parte de la Junta Directiva de ECSO, co-liderando uno de los grupos de trabajo, la organización europea del sector, y organiza anualmente el' CyberIndustry Congress' que es el punto de encuentro del ecosistema de ciberseguridad en Euskadi. Los centros vascos lideran proyectos europeos como 'AI4CYBER, CertifAI, EMERALD o DYNABICy' participando en otros como 'KINAITICS' por mencionar algunos. Además se forma parte del ecosistema de Cyberzaintza, la Agencia Vasca de Ciberseguridad.
Cada centro aporta además una infraestructura especializada con perfil propio. Ikerlan y Tecnallia cuentan con laboratorios acreditados por ENAC para certificar productos según IEC 62443-4-2 -el estándar internacional de referencia-. Por su parte, Tecnalia opera un 'Cyber-Range Industrial' para entrenamiento operativo y simulación de ataques, así como laboratorios específicos de ciberseguridad en redes eléctricas inteligentes, movilidad, criptografía y comunicaciones cuánticas. Vicometech tiene un 'testbed' de industria segura 4.0 que replica íntegramente los cinco niveles de la pirámide industrial, desde sensores y PLCs hasta sistemas ERP. Y CEIT aporta un laboratorio OT/Edge centrado en los sistemas más difíciles de proteger —los embebidos, los PLCs y las redes de planta—, con especial aplicación en industria manufacturera, transporte y energía.
De la investigación a la empresa: el modelo Orbik
La mejor prueba de que esta investigación tiene impacto real en la economía vasca es Orbik Cybersecurity. Nacida en 2023 como 'spin-off' de Ikerlan, es la única empresa del Estado especializada en certificar productos electrónicos industriales conforme a normativas internacionales de ciberseguridad.
Su propuesta es sencilla y muy concreta: acompañar a fabricantes de equipamiento electrónico para que certifiquen la seguridad de sus productos antes de que la ley lo exija, convirtiéndolo en ventaja competitiva. Sus clientes son fabricantes del sector eléctrico, máquina-herramienta y bienes de equipo que ya trabajan con el horizonte del 'Cyber Resilience Act' europeo.
La evolución ha sido notable: Orbik cerró 2024 con más de 20 profesionales y 700.000 euros de facturación, con el objetivo de duplicar ambas cifras en 2025. Ha dado, además, un paso singular al convertirse en la primera 'startup' tecnológica vasca en transformarse en cooperativa mixta, con el apoyo del Gobierno Vasco a través del programa 'Basque Tek Ventures'. Es el modelo BRTA de transferencia tecnológica en una sola historia: no publicar resultados, sino crear empresas que resuelven problemas reales.
La regulación europea como oportunidad
El contexto regulatorio europeo está creando un momento decisivo. El 'Cyber Resilience Act' entra en aplicación en septiembre de 2026: los fabricantes de productos con elementos digitales -sensores, PLCs, dispositivos IoT, componentes electrónicos- estarán obligados a certificar su seguridad antes de salir al mercado. La Directiva NIS2, que amplía las obligaciones a sectores críticos como energía, industria y transporte, acumula ya un procedimiento de infracción contra España por su retraso en la transposición.
Para la industria vasca, que exporta componentes y sistemas de automatización a toda Europa, esta presión regulatoria no es una amenaza: es una barrera de entrada que favorece a quienes ya tienen la certificación. El Plan de Industria de Euskadi 2030 sitúa la ciberseguridad como pilar inseparable de la digitalización industrial. No hay máquina inteligente sin máquina cibersegura. Si además tenemos en cuenta la evolución tan rápida que los ciberataques están haciendo en el uso de las tecnologías de IA, esto hace necesario una apuesta clara y decidida por la I+D en Ciberseguridad para que nuestra industria y sus productos y servicios sean cada vez más resilientes ante ciberataques, al mismo tiempo que se habilita el desarrollo de un ecosistema vasco de ciberseguridad.
La apuesta de BRTA es construir capacidades y tecnología en ciberseguridad antes de que la industria las necesite. Los laboratorios acreditados, los proyectos europeos, la transferencia tecnológica a las empresas y la generación de 'startups' como Orbik son piezas de esa estrategia.
