- El ransomware se consolida como la principal amenaza para el sector, con paradas medias de 24 días
- La creciente digitalización (BIM, IoT, IA) amplía la superficie de ataque y eleva el riesgo operativo
- Un 77% de las empresas sufre graves problemas si pierde acceso a la documentación durante más de cinco días
La creciente digitalización del sector de la construcción está transformando no solo la forma de ejecutar los proyectos, sino también su perfil de riesgo. Según el informe* Riesgos digitales en el sector de la construcción, elaborado por Control Risks para QBE, los ciberataques se han convertido en un factor clave que puede comprometer la continuidad operativa y la entrega de obras, con incidentes de ransomware que generan una media de 24 días de inactividad.
El estudio destaca que el sector está incorporando de forma acelerada tecnologías como el Building Information Modelling (BIM), la inteligencia artificial o los dispositivos conectados (IoT), mejorando la coordinación y la eficiencia. Sin embargo, esta evolución también amplía la superficie de ataque y genera nuevas vulnerabilidades, especialmente en entornos donde confluyen múltiples sistemas, proveedores y plataformas digitales.
Digitalización y aumento de la superficie de ataque
En este contexto, el informe señala que el 79% de los expertos considera el ransomware como la amenaza más crítica para las empresas de construcción, por su capacidad para paralizar operaciones, bloquear sistemas clave y generar presión económica inmediata. Este impacto se ve agravado por la propia naturaleza del sector, con plazos ajustados y una elevada dependencia de la coordinación entre múltiples actores. De hecho, el 77% de las compañías empieza a sufrir graves problemas tras cinco días sin acceso a la documentación de sus proyectos, lo que evidencia su dependencia de los entornos digitales.
La vulnerabilidad del sector está también ligada a la creciente interconexión entre sistemas. La integración de tecnologías de la información (IT) con tecnologías operativas (OT), que controlan maquinaria y procesos en obra, mejora la eficiencia, pero abre nuevas vías para los atacantes. Según el informe, una segmentación insuficiente entre ambos entornos estuvo presente en el 81% de los incidentes en sistemas operativos, facilitando el movimiento lateral de los ciberdelincuentes.
Además, el uso creciente de dispositivos conectados está incrementando la exposición. El informe recoge un aumento del 410% en la actividad de malware dirigido a dispositivos IoT en el sector, reflejando cómo la digitalización amplía los posibles puntos de entrada para los atacantes.
Javier Redondo, Head of Financial Lines, Cyber & Specialty Markets de QBE Iberia, señala que “en el sector de la construcción, un incidente ciber puede convertirse rápidamente en una interrupción del negocio. La creciente interconexión entre sistemas, tecnología operativa y plataformas de terceros está ampliando la exposición al riesgo, y cada vez es más habitual que los ataques no solo afecten a los datos, sino que bloqueen la operativa y retrasen la ejecución de los proyectos. En la práctica, el riesgo ciber se ha convertido en riesgo operativo”.
Del riesgo ciber al riesgo operativo en los proyectos
En España, este escenario se produce además en un contexto regulatorio cada vez más exigente. La entrada en vigor de marcos como la directiva NIS2 está elevando las expectativas sobre la gestión del riesgo, obligando a las empresas a demostrar su capacidad para mantener la actividad en situaciones de crisis. Esto está convirtiendo la resiliencia cibernética en un factor clave tanto en la relación con clientes como en el acceso a determinados proyectos, especialmente en infraestructuras críticas.
Natalio García, Head of Construction de QBE Iberia, añade que “los proyectos de construcción ya operan bajo una gran presión de plazos y costes. Cuando un incidente ciber paraliza la obra o dificulta la coordinación entre equipos, las consecuencias se traducen rápidamente en retrasos, conflictos contractuales y sobrecostes”. En este sentido, subraya que la dependencia de cadenas de suministro complejas y entornos colaborativos hace que el riesgo esté cada vez más distribuido: La exposición no se concentra en un solo punto. La conexión entre subcontratistas, proveedores y plataformas digitales aumenta los vectores de ataque, aunque el impacto final lo sufra todo el proyecto”.
El informe también destaca que el contexto geopolítico está incrementando el riesgo de ciberataques contra infraestructuras críticas y sectores asociados, como la construcción, que puede verse afectada directa o indirectamente dentro de cadenas de ataque más amplias.
En este contexto, QBE subraya la necesidad de integrar el riesgo cibernético en la planificación de los proyectos desde sus fases iniciales, al mismo nivel que otros riesgos críticos. Esto implica reforzar la gobernanza, mejorar la visibilidad sobre la cadena de suministro, garantizar una adecuada segmentación de sistemas y contar con planes de respuesta previamente testados.
Asimismo, la colaboración entre empresas, corredores y aseguradoras es clave para anticipar y gestionar estos riesgos. Un enfoque estructurado de la resiliencia permitirá no solo minimizar el impacto de los incidentes, sino garantizar la continuidad operativa y la entrega de los proyectos.
El informe completo, elaborado por Control Risks para QBE, está disponible en la web.
*Como parte de este informe, QBE ha contado con la opinión de 20 expertos senior del área de digital risks de Control Risks sobre los principales riesgos y puntos débiles en el sector de la construcción e infraestructuras.