Lo que Todo Fabricante Debe Saber Ahora
¿Fabricas o comercializas dispositivos conectados en Europa? Entonces este artículo puede salvarte de perder millones de euros en 2025.
A partir del 1 de agosto de 2025, vender smartphones, routers, cámaras IP, wearables o cualquier dispositivo con Wi-Fi, Bluetooth o conectividad móvil en la Unión Europea sin cumplir la norma UNE-EN 18031 será ilegal. No es una recomendación: es un requisito legal vinculante que afectará a miles de empresas tecnológicas.
¿Qué vas a aprender en esta guía?
- Qué productos están afectados exactamente
- Los 7 requisitos técnicos obligatorios (explicados sin tecnicismos)
- Cómo obtener el marcado CE: autoevaluación vs. Organismo Notificado
- Diferencias con ISO 27001, LINCE y EUCC
- Plan de acción para cumplir antes de agosto 2025
- Consecuencias reales de no cumplir (multas, retiradas de producto, demandas)
Tiempo estimado de lectura: 18 minutos que pueden ahorrarte problemas legales millonarios.
¿Qué es la Norma UNE-EN 18031?
La UNE-EN 18031 es el primer estándar europeo armonizado que establece requisitos mínimos de ciberseguridad para equipos radioeléctricos conectados a Internet.
En otras palabras: es el listado oficial de medidas de seguridad que tu producto DEBE tener para poder venderse legalmente en la UE.
Origen Regulatorio
Esta norma surge del Reglamento Delegado (UE) 2022/30, que modificó la Directiva de Equipos Radioeléctricos (RED 2014/53/UE) añadiendo tres nuevos requisitos esenciales de ciberseguridad:
- Artículo 3.3(d): Protección de redes y servicios
- Artículo 3.3(e): Protección de datos personales y privacidad
- Artículo 3.3(f): Protección contra fraude en transacciones financieras
El plazo de transición de 30 meses expira el 1 de agosto de 2025. Después de esa fecha, no cumplir estos requisitos significa perder el derecho al marcado CE.
Alcance: ¿Afecta a Mi Producto? (Checklist Definitivo)
Dispositivos OBLIGADOS a Cumplir
Tu producto DEBE cumplir UNE-EN 18031 si responde SÍ a estas dos preguntas:
- ¿Tiene capacidad radioeléctrica? (Wi-Fi, Bluetooth, Zigbee, 4G, 5G, LoRa, NB-IoT, etc.)
- ¿Se conecta a Internet y maneja datos personales O activos financieros?
Lista de Productos Afectados
Categoría 1: Electrónica de Consumo
- Smartphones y tablets
- Smartwatches y pulseras de actividad
- Smart TVs
- Routers domésticos y puntos de acceso Wi-Fi
- Asistentes virtuales (Alexa, Google Home)
- Auriculares inalámbricos con conectividad inteligente
Categoría 2: IoT y Domótica
- Cámaras de seguridad IP
- Videoporteros inteligentes
- Cerraduras inteligentes
- Termostatos conectados
- Electrodomésticos smart (neveras, lavadoras)
- Sistemas de iluminación inteligente
Categoría 3: Salud y Cuidado Personal
- Monitores de bebés conectados
- Dispositivos médicos IoT (medidores de glucosa, tensiómetros)
- Básculas inteligentes
- Rastreadores de sueño
Categoría 4: Juguetes y Entretenimiento
- Juguetes conectados a Internet
- Drones con conectividad
- Consolas portátiles con Wi-Fi
Categoría 5: Pagos y Finanzas
- Terminales de pago inalámbricos (TPV)
- Wallets hardware de criptomonedas con conectividad
- Dispositivos de autenticación bancaria
Categoría 6: Industrial y Profesional
- Gateways IoT industriales
- Sensores industriales conectados
- Equipos de telemetría
- Dispositivos de monitorización remota
Productos NO Afectados
❌ Dispositivos sin conectividad radio (solo Ethernet)
❌ Equipos que no se conectan a Internet
❌ Dispositivos que no manejan datos personales ni financieros
❌ Equipos puramente de radiodifusión (receptores radio/TV sin interactividad)
Estructura de la Norma: Las 3 Partes de EN 18031
La norma se divide en tres documentos complementarios, cada uno correspondiente a un requisito de la Directiva RED:
EN 18031-1:2024 - Requisitos Comunes (Obligatorio para TODOS)
Artículo RED: 3.3(d) - Protección de redes
Objetivo: Evitar que dispositivos comprometidos dañen redes o abusen de recursos.
Aplica a: Cualquier dispositivo con conectividad radio a Internet
Controles clave:
- Resiliencia ante ataques DDoS
- Gestión de tráfico para prevenir abusos
- Mecanismos de actualización segura
- Autenticación básica de acceso
Ejemplo práctico: Un router debe impedir que, si es hackeado, se use para lanzar ataques DDoS contra otros servicios.
EN 18031-2:2024 - Protección de Datos Personales (Si aplica)
Artículo RED: 3.3(e) - Privacidad y protección de datos
Objetivo: Proteger la confidencialidad e integridad de datos personales.
Aplica a:
- Dispositivos que almacenan/procesan datos personales
- Equipos de cuidado infantil conectados
- Juguetes radioeléctricos con Internet
- Wearables (smartwatches, fitness trackers)
- Cámaras, micrófonos y sensores IoT
Controles clave:
- Cifrado de datos en reposo y tránsito
- Control de acceso estricto a datos personales
- Minimización de recopilación de datos
- Transparencia sobre qué datos se recogen
- Opciones de borrado seguro
Ejemplo práctico: Una cámara de vigilancia debe cifrar el vídeo almacenado y transmitido, impedir accesos no autorizados, y permitir al usuario borrar completamente sus grabaciones.
EN 18031-3:2024 - Protección Financiera (Si aplica)
Artículo RED: 3.3(f) - Prevención de fraude
Objetivo: Proteger transacciones y activos monetarios/virtuales.
Aplica a:
- Terminales de pago (TPV)
- Dispositivos con funciones de pago móvil
- Wallets de criptomonedas
- Equipos de banca electrónica
- Cualquier dispositivo que gestione dinero o valor monetario
Controles clave:
- Autenticación fuerte para transacciones
- Protección criptográfica de datos financieros
- Registro auditable de operaciones
- Prevención de manipulación de transacciones
- Almacenamiento seguro de credenciales bancarias
Ejemplo práctico: Un TPV inalámbrico debe asegurar que las transacciones no puedan ser interceptadas, modificadas o realizadas sin autorización del usuario legítimo.
¿Cuántas Partes Debe Cumplir Mi Producto?
Escenario 1: Smartphone
- ✅ Parte 1 (conectado a Internet)
- ✅ Parte 2 (datos personales: fotos, contactos, ubicación)
- ✅ Parte 3 (pagos móviles, banca)
Escenario 2: Cámara IP doméstica
- ✅ Parte 1 (conectado a Internet)
- ✅ Parte 2 (graba imágenes de personas)
- ❌ Parte 3 (no gestiona pagos)
Escenario 3: Sensor industrial de temperatura
- ✅ Parte 1 (conectado a Internet)
- ❌ Parte 2 (no procesa datos personales)
- ❌ Parte 3 (no gestiona dinero)
Escenario 4: Juguete inteligente para niños
- ✅ Parte 1 (conectado a Internet)
- ✅ Parte 2 (graba voz de niños - datos especialmente protegidos)
- ❌ Parte 3 (no gestiona pagos)
Los 7 Requisitos Técnicos Obligatorios
Requisito 1: Eliminar Credenciales por Defecto
❌ PROHIBIDO:
- Usuario: admin / Contraseña: admin
- Contraseñas de fábrica idénticas en todos los dispositivos
- Acceso sin autenticación a interfaces de configuración
✅ OBLIGATORIO:
- Forzar cambio de contraseña en primer uso
- Generar credenciales únicas por dispositivo
- Contraseñas que cumplan criterios de complejidad (mínimo 8 caracteres, mayúsculas, números, símbolos)
- Soporte para autenticación multifactor (MFA) cuando sea técnicamente viable
Ejemplo de implementación: Un router debe obligar al usuario a crear una contraseña personalizada durante la configuración inicial, rechazando contraseñas débiles como "12345678".
Requisito 2: Cifrado de Comunicaciones
Qué debe cifrarse:
- Toda comunicación entre el dispositivo e Internet
- Conexiones a APIs y servicios en la nube
- Transmisión de credenciales y datos sensibles
- Actualizaciones de firmware descargadas
Protocolos mínimos aceptados:
- TLS 1.2 o superior (TLS 1.3 recomendado)
- Configuración segura de cifrados (sin RC4, DES, 3DES)
- Certificados válidos y verificación de autenticidad
❌ Ejemplo de incumplimiento: Una cámara que envía el stream de vídeo en HTTP sin cifrar.
✅ Ejemplo de cumplimiento: Una cámara que usa HTTPS/TLS para transmitir vídeo encriptado, validando el certificado del servidor.
Requisito 3: Almacenamiento Seguro de Datos Sensibles
Datos que DEBEN protegerse:
- Contraseñas y credenciales de usuario
- Claves criptográficas (Wi-Fi passwords, API keys)
- Tokens de autenticación
- Datos personales (en dispositivos Parte 2)
- Información de configuración sensible
Medidas obligatorias:
- Cifrado de datos en memoria flash/disco
- Uso de almacenamiento seguro (Secure Elements, TPM cuando sea posible)
- Nunca almacenar contraseñas en texto plano
- Implementar mecanismos de borrado seguro
Tecnologías recomendadas:
- AES-256 para cifrado de datos
- Secure Boot para proteger el firmware
- TEE (Trusted Execution Environment) en procesadores compatibles
Requisito 4: Actualizaciones de Firmware Seguras
Componentes obligatorios del sistema de actualización:
-
Firma digital de actualizaciones
- Cada actualización debe estar firmada criptográficamente
- El dispositivo verifica la firma antes de instalar
- Rechazo automático de firmware no firmado o con firma inválida
-
Distribución segura
- Descarga mediante HTTPS/TLS
- Verificación de integridad (checksums, hashes)
- Protección contra ataques de downgrade
-
Proceso de instalación robusto
- Sistema de recuperación ante fallos (fallback)
- Backup de firmware anterior
- Verificación post-instalación
-
Política de soporte
- Período mínimo de soporte definido
- Comunicación proactiva de actualizaciones de seguridad
- Avisos al usuario sobre actualizaciones críticas
❌ Ejemplo de incumplimiento: Un dispositivo que descarga actualizaciones por HTTP sin verificar su autenticidad.
✅ Ejemplo de cumplimiento: Un smartwatch que solo instala actualizaciones firmadas por el fabricante, descargadas por HTTPS, con verificación SHA-256 y capacidad de rollback.
Requisito 5: Resiliencia Ante Ataques
Protecciones obligatorias:
A) Contra ataques de fuerza bruta:
- Limitación de intentos de autenticación (ej: 5 intentos, luego bloqueo temporal)
- Delays progresivos entre intentos fallidos
- Alertas de intentos de acceso sospechosos
B) Contra ataques DoS/DDoS:
- Rate limiting en interfaces expuestas
- Validación de entrada para prevenir buffer overflows
- Graceful degradation (degradación controlada bajo ataque)
C) Manejo seguro de errores:
- No revelar información sensible en mensajes de error
- Logs seguros sin exponer credenciales
- Estado seguro por defecto ante fallos
Ejemplo práctico: Un router que, tras 3 intentos fallidos de login, bloquea esa IP durante 15 minutos y registra el evento en un log.
Requisito 6: Monitoreo y Registro de Eventos de Seguridad
Eventos que DEBEN registrarse:
- Intentos de autenticación (exitosos y fallidos)
- Cambios de configuración
- Actualizaciones de firmware
- Accesos a datos sensibles
- Errores de seguridad o anomalías
Características de los logs:
- Protegidos contra alteración (integridad)
- Almacenados de forma segura (cifrados si contienen datos sensibles)
- Rotación automática para evitar saturación
- Timestamps precisos y sincronizados
Capacidades de detección:
- Alertas ante patrones anómalos
- Notificaciones al usuario de eventos críticos
- APIs para integración con SIEM (en dispositivos empresariales)
Ejemplo: Una cámara IP que notifica al usuario cuando se accede desde una ubicación nueva, registrando IP, timestamp y acción realizada.
Requisito 7: Protecciones Específicas para Transacciones (Parte 3 únicamente)
Exclusivo para dispositivos financieros:
A) Autenticación fuerte de transacciones:
- Confirmación explícita del usuario (PIN, biometría)
- Límites de transacción configurables
- Autenticación multifactor para operaciones de alto valor
B) Protección criptográfica:
- Cifrado end-to-end de datos financieros
- Tokenización de números de tarjeta
- Secure elements para almacenar claves
C) Trazabilidad:
- Registro inmutable de todas las transacciones
- Capacidad de auditoría forense
- Reportes de actividad financiera para el usuario
D) Prevención de fraude:
- Detección de transacciones anómalas
- Bloqueo automático ante actividad sospechosa
- Mecanismos de disputa y reversión
Proceso de Evaluación de Conformidad
Fase 1: Análisis Conceptual y Documentación
Objetivos:
- Identificar qué partes de EN 18031 aplican
- Documentar decisiones de aplicabilidad
- Elaborar análisis de riesgos
Entregables:
- Matriz de aplicabilidad: Tabla que explica requisito por requisito si aplica y por qué
- Análisis de riesgos: Identificación de amenazas, vulnerabilidades y controles
- Especificación de seguridad: Descripción técnica de cómo se implementa cada control
Herramienta: Árboles de decisión proporcionados en la norma para cada requisito
Ejemplo práctico:
Requisito: Cifrado de comunicaciones (Parte 1, Cláusula X) ¿Aplica? SÍ - El dispositivo transmite datos a servidores cloud Implementación: TLS 1.3 con certificados X.509 Riesgo cubierto: Interceptación de tráfico (Man-in-the-Middle) Evidencia: Documentación de configuración TLS, capturas de tráfico Wireshark
Fase 2: Pruebas Funcionales
Objetivo: Verificar que cada mecanismo de seguridad funciona correctamente
Metodología:
A) Pruebas de autenticación:
- Verificar rechazo de credenciales por defecto
- Comprobar política de contraseñas
- Validar lockout tras intentos fallidos
B) Pruebas de cifrado:
- Captura de tráfico para verificar protocolos
- Análisis de firmeza de cifrados
- Validación de certificados
C) Pruebas de actualización:
- Intento de instalación de firmware no firmado (debe fallar)
- Verificación de recuperación ante actualización fallida
- Comprobación de mecanismo anti-downgrade
D) Pruebas de almacenamiento:
- Extracción de memoria flash (si es posible)
- Verificación de cifrado de datos sensibles
- Pruebas de borrado seguro
Herramientas típicas:
- Wireshark (análisis de tráfico)
- Nmap/Nessus (escaneo de vulnerabilidades)
- Binwalk (análisis de firmware)
- Multímetros y osciloscopios (pruebas de hardware)
Resultado: Informe de pruebas con evidencias (capturas de pantalla, logs, grabaciones)
Fase 3: Pruebas de Penetración (Pentesting - ETSI 303-645)
Objetivo: Validar la resistencia real ante ataques
Alcance típico:
A) Fuzzing:
- Envío de datos malformados a interfaces
- Pruebas de inyección (SQL, XSS, command injection)
- Análisis de parsing de protocolos
B) Análisis de firmware:
- Ingeniería inversa del firmware
- Búsqueda de hardcoded secrets
- Identificación de funciones inseguras
C) Explotación de vulnerabilidades:
- Bypass de autenticación
- Escalada de privilegios
- Ejecución remota de código
- Extracción de datos cifrados
D) Pruebas de red:
- Ataques Man-in-the-Middle
- Ataques de repetición (replay attacks)
- Suplantación de servicios (spoofing)
E) Pruebas de hardware (si aplica):
- Side-channel attacks
- Glitching attacks
- Acceso por JTAG/UART
Criterios de aceptación:
- No vulnerabilidades críticas (CVSS ≥ 9.0)
- Vulnerabilidades altas (CVSS 7.0-8.9) documentadas con plan de mitigación
- Todas las protecciones probadas resisten intentos de bypass
Resultado: Informe de pentesting profesional con:
- Lista de vulnerabilidades encontradas (clasificadas por CVSS)
- Prueba de concepto (PoC) de cada vulnerabilidad
- Recomendaciones de corrección
- Re-test tras aplicar correcciones
Fase 4: Compilación del Expediente Técnico
Documentos obligatorios para el marcado CE:
- Declaración UE de Conformidad
- Análisis de riesgos completo
- Especificaciones técnicas del producto
- Informes de todas las pruebas realizadas
- Certificados de componentes (si aplica)
- Manual de usuario con instrucciones de seguridad
- Política de actualizaciones y soporte
- Evidencias de conformidad con EN 18031 (todas las partes aplicables)
Duración de conservación: 10 años desde la comercialización del último ejemplar
Autoevaluación vs. Organismo Certificado: ¿Cuál Elegir?
| Criterio | Autoevaluación | Organismo Notificado |
| Requisito legal | Solo si EN 18031 está armonizada y publicada en DOUE | Siempre válido |
| Coste | Bajo (solo recursos internos + laboratorios propios) | Alto (€15,000 - €50,000+ según complejidad) |
| Tiempo | 2-4 meses | 4-8 meses |
| Presunción de conformidad | Sí (si la norma está armonizada) | Sí (siempre) |
| Credibilidad externa | Media (sin sello de tercero) | Alta (certificado oficial) |
| Riesgo | Mayor (si interpretación incorrecta = incumplimiento) | Menor (expertos validan) |
| Ideal para | Empresas con experiencia en certificaciones, productos no críticos | Primera certificación, productos complejos, mercados exigentes |
Escenario 1: Autoevaluación (Módulo A - Control Interno)
Cuándo usarlo:
- EN 18031 ya está publicada como norma armonizada en el DOUE
- Tu empresa tiene experiencia en cumplimiento normativo
- Dispones de laboratorio de pruebas propio o contratado
- El producto es relativamente simple
- Tienes personal cualificado en ciberseguridad
Proceso:
- Realizar internamente todas las fases de evaluación (análisis, pruebas, pentesting)
- Documentar exhaustivamente cada paso
- Emitir Declaración UE de Conformidad firmada por representante legal
- Aplicar marcado CE
- Conservar expediente técnico 10 años
Ventajas:
- Control total del proceso
- Costes reducidos
- Tiempo más corto
- Flexibilidad para iteraciones
Riesgos:
- Si autoridades detectan incumplimiento = sanciones
- Posible cuestionamiento en auditorías de mercado
- Responsabilidad total recae en el fabricante
Escenario 2: Organismo Notificado (Módulo B - Examen de Tipo UE)
Cuándo usarlo:
- EN 18031 aún no está armonizada
- Primera vez certificando producto bajo RED
- Producto complejo o crítico (ej: dispositivos médicos, TPV)
- Clientes exigen certificación de terceros
- Quieres minimizar riesgos legales
Proceso:
- Solicitar presupuesto a Organismos Notificados (ej: SGS, TÜV, Applus+, Bureau Veritas)
- Firmar contrato y entregar documentación técnica
- El Organismo revisa documentación y realiza pruebas adicionales
- Auditoría presencial (si aplica)
- Emisión de Certificado de Examen de Tipo UE
- Fabricante emite Declaración UE de Conformidad referenciando el certificado
- Aplicar marcado CE con número del Organismo Notificado
Ventajas:
- Validación experta independiente
- Mayor credibilidad ante clientes y autoridades
- Reducción de riesgo de incumplimiento
- Soporte técnico durante el proceso
Recomendación Práctica
Si eres startup o PYME sin experiencia previa
➡️ Empieza con Organismo Notificado. El coste inicial se compensa con la reducción de riesgo y el aprendizaje del proceso. En futuros productos podrás auto-evaluar.
Si eres empresa establecida con departamento de compliance:
➡️ Autoevaluación con pre-auditoría voluntaria de consultor especializado. Ahorra costes manteniendo seguridad.
Si fabricas productos críticos (salud, finanzas, niños):
➡️ Organismo Notificado siempre. El riesgo reputacional de un fallo de seguridad no justifica el ahorro.
Comparativa con Otras Certificaciones
| Aspecto | EN 18031 | ISO 27001 | LINCE | EUCC (Common Criteria) |
| Tipo | Norma de producto | Norma de gestión | Certificación de producto | Certificación de producto |
| Emisor | CEN/CENELEC | ISO/IEC | CCN (España) | UE (varios organismos nacionales) |
| Obligatoriedad | Obligatorio para RED desde 08/2025 | Voluntario | Voluntario (obligatorio para venta a Admin. Pública española) | Voluntario |
| Evalúa | Seguridad técnica de dispositivos radio | Sistema de gestión empresarial | Seguridad técnica de productos TIC | Seguridad técnica de productos TIC |
| Alcance | Dispositivos IoT con radio | Toda la organización | Cualquier producto TIC | Cualquier producto TIC |
| Duración certificación | N/A (conformidad continua) | 3 años (con auditorías anuales) | 2 años | Indefinida (hasta nueva versión producto) |
| Coste | €15k-50k (ON) o interno | €30k-80k inicial + €10k/año | €20k-60k | €50k-300k+ |
| Tiempo | 4-8 meses | 6-12 meses | 4-8 meses | 6-18 meses |
| Niveles de garantía | No (pasa/falla) | No (certifica/no) | Básico + módulos opcionales | 4 niveles (Basic, Substantial, High, Critical) |
| Reconocimiento | UE | Internacional | España + parcial internacional | UE (reconocimiento mutuo) |
| Ideal para | Cumplir requisito legal RED | Demostrar madurez en SGSI | Licitaciones públicas españolas | Productos de alta seguridad, sector defensa |
| Combinación con EN 18031 | - | Complementario (facilita procesos) | Puede reutilizar evaluaciones | EUCC superset de EN 18031 |
Casos de Uso Combinados
Escenario A: Startup de cámaras IoT
- Obligatorio: EN 18031 (Partes 1 y 2)
- Recomendado: ISO 27001 (para ganar clientes empresariales)
- Opcional: LINCE (si se quiere vender a administraciones españolas)
Escenario B: Fabricante de TPVs
- Obligatorio: EN 18031 (Partes 1 y 3), PCI DSS
- Recomendado: EUCC nivel Substantial
- Opcional: ISO 27001
Escenario C: Empresa de dispositivos médicos conectados
- Obligatorio: EN 18031 (Partes 1 y 2), MDR (Reglamento Dispositivos Médicos), IEC 62304
- Altamente recomendado: ISO 27001, EUCC nivel High
Plan de Acción: Cómo Cumplir Antes de Agosto 2025
Agosto 2025: 🚨 Fecha límite legal
Fase 1: Evaluación Inicial
Actividades:
Semana 1-2: Identificación de productos en alcance
- Inventariar todos los productos con conectividad radio
- Clasificar por tipo de datos que manejan
- Determinar qué partes de EN 18031 aplican a cada uno
Semana 3-4: Análisis GAP preliminar
- Comparar especificaciones actuales vs. requisitos EN 18031
- Identificar brechas de seguridad
- Priorizar productos (empezar por los de mayor venta/riesgo)
Entregable: Informe GAP con lista de deficiencias y estimación de esfuerzo
Fase 2: Planificación y Diseño
Actividades:
Definir estrategia de cumplimiento
- Decidir autoevaluación vs. Organismo Notificado
- Solicitar presupuestos (si se opta por ON)
- Asignar presupuesto interno
Formar equipo de proyecto
- Project Manager
- Ingenieros de firmware/software
- Experto en ciberseguridad
- Responsable de calidad/cumplimiento
- Enlace con proveedores de componentes
Diseñar soluciones técnicas
- Arquitectura de seguridad por diseño
- Selección de librerías criptográficas
- Diseño de sistema de actualización OTA
- Plan de gestión de claves
Entregable: Plan de proyecto detallado con cronograma y presupuesto
Fase 3: Implementación
Actividades:
Desarrollo de funcionalidades de seguridad
- Implementar controles de acceso
- Integrar cifrado (TLS, cifrado de almacenamiento)
- Desarrollar sistema de actualización segura
- Añadir logging y monitoreo
Actualización de firmware
- Eliminar credenciales por defecto
- Añadir gestión de contraseñas seguras
- Implementar protecciones anti-brute-force
Testing interno continuo
- Pruebas unitarias de funciones de seguridad
- Testing de integración
- Primeras pruebas de penetración informales
Entregable: Versión candidata del producto con controles implementados
Fase 4: Documentación
Actividades:
Elaborar análisis de riesgos
- Identificar activos a proteger
- Análisis de amenazas y vulnerabilidades
- Documentar controles aplicados
Crear matriz de aplicabilidad
- Árbol de decisiones para cada requisito
- Justificación de no aplicabilidad (si aplica)
Actualizar manuales
- Manual de usuario con instrucciones de seguridad
- Guía de configuración segura
- Política de actualizaciones y soporte
Entregable: Expediente técnico completo en borrador
Fase 5: Evaluación Formal
Actividades:
Pruebas funcionales en laboratorio
- Verificación de cada control
- Generación de evidencias (capturas, logs)
Pentesting profesional
- Contratar equipo especializado o hacerlo internamente si hay capacidad
- Ejecutar todas las pruebas de seguridad (fuzzing, análisis de firmware, explotación)
- Documentar hallazgos
Corrección de vulnerabilidades
- Priorizar vulnerabilidades críticas y altas
- Implementar correcciones
- Re-test hasta que no haya vulnerabilidades inaceptables
Entregable: Informes de pruebas completos
Fase 6: Certificación
Si Organismo Notificado:
- Entregar documentación completa
- Auditoría del ON
- Responder a no conformidades (si las hay)
- Obtener Certificado de Examen de Tipo
Si Autoevaluación:
- Revisión interna final de toda la documentación
- Validación por departamento legal
Entregable: Certificación o validación interna
Fase 7: Marcado CE y Lanzamiento
Actividades:
- Emitir Declaración UE de Conformidad
- Aplicar marcado CE físicamente al producto y packaging
- Actualizar canales de venta (web, distribuidores)
- Comunicar a clientes el cumplimiento
- Entregable: Producto certificado listo para comercialización
Consecuencias Reales de Incumplimiento
Escenario 1: Bloqueo en Aduanas
Qué sucede:
- Autoridades aduaneras europeas detectan que tu producto no tiene el marcado CE válido
- Retención del envío completo
- Requieren documentación de conformidad
Consecuencias económicas:
- Almacenaje en aduana: €50-200/día
- Pérdida de ventas durante retención (semanas o meses)
- Posible destrucción del lote si no se corrige
- Daño reputacional con distribuidores
Caso real esperado: Una empresa china de cámaras IP intenta importar 10,000 unidades en septiembre 2025 sin certificación EN 18031. Resultado: retención de 3 meses, costes de €45,000 en almacenaje, pérdida del contrato con distribuidor europeo.
Escenario 2: Retirada del Mercado (Market Surveillance)
Qué sucede:
- Autoridades de vigilancia de mercado compran tu producto anónimamente
- Lo someten a pruebas de conformidad
- Detectan incumplimiento de EN 18031
Consecuencias:
- Orden de retirada inmediata de todos los canales de venta
- Posible recall de productos ya vendidos
- Multas administrativas (ver tabla abajo)
- Prohibición de venta hasta corrección
Ejemplo: Reino Unido (aunque ya no UE, mantiene requisitos similares) ha retirado del mercado cámaras de vigilancia por deficiencias de seguridad, con multas de hasta £10,000 por cada lote incumplidor.
Escenario 3: Sanciones Administrativas por País
| País | Organismo Supervisor | Multa Típica (Producto No Conforme) | Base Legal |
| España | SETSI (Min. Asuntos Económicos) | €6,000 - €1,000,000 | Ley 9/2014 General de Telecomunicaciones |
| Alemania | BNetzA | €10,000 - €100,000 por infracción | TKG (Ley de Telecomunicaciones) |
| Francia | ANFR | €3,000 - €750,000 | Code des postes et communications électroniques |
| Italia | Ministero Sviluppo Economico | €5,000 - €50,000 | Codice delle Comunicazioni Elettroniche |
| Países Bajos | Agentschap Telecom | €10,000 - €450,000 | Telecommunicatiewet |
Agravantes que aumentan la sanción:
- Reincidencia (x2 o x3)
- Ocultación deliberada de incumplimiento
- Daños reales a usuarios (datos comprometidos, fraudes)
- Productos destinados a niños o personas vulnerables
Escenario 4: Responsabilidad Civil y Demandas
Si un producto no conforme causa daños:
Ejemplo 1: Cámara hackeada - Filtración de imágenes privadas
- Usuario demanda por invasión de privacidad
- Coste legal: €50,000 - €200,000 en defensa
- Compensación: €10,000 - €100,000 por afectado
- Si es demanda colectiva (miles de usuarios) → millones de euros
Ejemplo 2: TPV vulnerado - Robo de datos bancarios
- Banco demanda por negligencia
- Usuarios afectados demandan
- Coste total puede superar €5,000,000
- Pérdida total de credibilidad en el mercado
Precedente similar: En 2017, fabricante de juguetes VTech pagó $650,000 en multas FTC (USA) por no proteger datos de niños. Aunque no es UE, la EN 18031 Parte 2 busca prevenir casos similares.
Escenario 5: Pérdida de Contratos y Reputación
Impactos comerciales:
A) Grandes clientes (B2B):
- Retailers como MediaMarkt, Amazon, Carrefour exigen certificación
- Sin EN 18031 → sin contrato de distribución
- Ejemplo: pérdida de contrato de €2M/año con cadena de retail
B) Sector público:
- Licitaciones gubernamentales requieren cumplimiento normativo
- Sin certificación → exclusión automática de concursos
- Ejemplo: imposibilidad de participar en proyecto smart city de €10M
C) Reputación de marca:
- Noticia "Producto X retirado por inseguro" → caída del 30-50% en ventas
- Tiempo de recuperación: 2-5 años
- Ejemplo: marca de wearables pierde valoración de mercado tras escándalo de seguridad
Preguntas Frecuentes (FAQ Detallado)
P1: ¿Qué pasa con el stock fabricado antes de agosto 2025?
R: Existe un período de gracia para inventario existente:
- Productos fabricados ANTES de 01/08/2025 pueden venderse bajo las reglas antiguas
- Productos fabricados DESPUÉS deben cumplir EN 18031
- Recomendación: Documenta fechas de fabricación claramente (números de serie, lotes) para demostrar que el stock era pre-agosto 2025
Caso especial: Si modificas el producto después de 01/08/2025 (actualización firmware, cambio hardware), se considera "nueva puesta en mercado" → debe cumplir EN 18031.
P2: ¿Y si mi producto ya cumple ETSI EN 303 645 (anterior estándar IoT)?
R: ETSI EN 303 645 es un excelente punto de partida:
- Aproximadamente 70% de solapamiento con EN 18031
- Brechas principales:
- EN 303 645 es más general (cualquier IoT)
- EN 18031 Parte 3 (protección financiera) no está en EN 303 645
- EN 18031 tiene requisitos más específicos de evaluación
Acción: Realizar análisis GAP entre EN 303 645 y EN 18031 para identificar deficiencias. Muchos fabricantes podrán complementar su cumplimiento EN 303 645 con relativamente poco esfuerzo adicional.
P3: ¿Los productos de radio amateur están exentos?
R: Sí, equipos de radioaficionado (bandas amateur) están exentos de muchos requisitos RED, pero:
- Solo si están destinados EXCLUSIVAMENTE a uso amateur
- Si tienen capacidad IoT y procesan datos personales, pueden estar parcialmente afectados
- Consultar con autoridad nacional (ej: SETSI en España)
P4: ¿Qué pasa si fabrico fuera de la UE pero vendo dentro?
R: La normativa aplica al importador o representante autorizado en la UE:
- Si eres fabricante extranjero, debes designar un representante autorizado en la UE que asuma la responsabilidad de conformidad
- Ese representante debe tener acceso al expediente técnico y poder responder ante autoridades
- Alternativamente, muchos importadores exigirán al fabricante que certifique el producto antes de aceptar la mercancía
No cumplir = no poder entrar al mercado europeo, independientemente de dónde se fabrique.
P5: ¿Se aceptan certificaciones equivalentes de otros países (ej: FCC de USA)?
R: No directamente. FCC, IC (Canadá), MIC (Japón) cubren aspectos de emisiones radio, pero NO ciberseguridad.
Sin embargo:
- Certificados de ciberseguridad como ISO 62443 (industrial), IEC 62443, o certificaciones nacionales robustas pueden facilitar el proceso
- Common Criteria (ISO 15408) equivale en gran medida a EUCC
- No sustituyen EN 18031 pero aceleran la evaluación al demostrar controles existentes
En resumen: No hay reconocimiento mutuo automático. Debes cumplir específicamente con EN 18031 o demostrar equivalencia formal (difícil).
P6: ¿Cada variante del producto necesita evaluación separada?
R: Depende del alcance de las diferencias:
Variantes que NO requieren nueva evaluación completa:
- Cambios estéticos (color, forma)
- Diferencias de idioma en software/UI
- Cambios menores de hardware sin impacto en seguridad (ej: sensor adicional no crítico)
Variantes que SÍ requieren evaluación:
- Cambio de procesador o firmware diferente
- Añadir/eliminar funcionalidades de conectividad
- Cambio de método de cifrado o autenticación
- Modificación de arquitectura de seguridad
Solución práctica: Usar arquitectura modular con núcleo de seguridad común certificado y módulos periféricos que no afecten la conformidad.
P7: ¿Puedo usar software de código abierto y aún cumplir?
R: Sí, absolutamente. Muchas implementaciones de EN 18031 usarán:
- OpenSSL / BoringSSL (TLS)
- mbedTLS (para embedded)
- Linux con hardening (kernel con SELinux, AppArmor)
Consideraciones:
- Asegúrate de usar versiones sin vulnerabilidades conocidas
- Documenta qué librerías usas (SBOM - Software Bill of Materials)
- Configura correctamente (ej: TLS con ciphersuites seguros)
- Mantén actualizado
El uso de código abierto es perfectamente válido y, de hecho, facilita auditorías (código fuente disponible para revisión).
P8: ¿Cuánto tiempo debe mantenerse el soporte de actualizaciones?
R: La norma NO especifica un período mínimo fijo, pero:
Buenas prácticas emergentes:
- Mínimo 3-5 años desde la venta del último dispositivo
- Proporcional al ciclo de vida esperado del producto:
- Smartphones/tablets: 3-5 años
- Routers: 5-7 años
- IoT industrial: 10+ años
Obligaciones:
- Informar claramente al usuario del período de soporte
- Si se descontinúa el soporte antes, notificar con antelación
- Proporcionar al menos actualizaciones de seguridad críticas
Consecuencia: Si tu producto no puede actualizarse después del período de soporte, el usuario debe ser avisado del riesgo. Si no hay forma de actualización segura al final de la vida, puede haber obligación de recall.
P9: ¿Qué pasa con los productos ya en el mercado (legacy)?
R: Los dispositivos vendidos antes de 01/08/2025 no necesitan cumplir retroactivamente EN 18031 en su hardware/firmware original.
PERO:
- Si emites actualizaciones de firmware después de agosto 2025, esas actualizaciones deberían idealmente cumplir con las mejores prácticas de EN 18031
- Si hay vulnerabilidades graves conocidas, podrías tener obligación moral y legal (bajo GDPR, directivas de seguridad de productos) de corregirlas
- Autoridades pueden solicitar medidas correctivas en productos legacy si causan daños
Recomendación: Planes de actualización retroactiva para productos recientes (últimos 2-3 años) que permitan mejorar su seguridad y alinearlos con EN 18031 tanto como sea técnicamente viable.
P10: ¿Cuándo estará EN 18031 oficialmente armonizada?
R: Actualización a noviembre 2024:
- EN 18031-1, -2, -3 están finalizadas técnicamente
- Pendientes de citación en el Diario Oficial de la UE (DOUE)
- Proceso típico: 6-18 meses desde finalización hasta publicación en DOUE
Implicación práctica:
- Incluso si no está armonizada oficialmente el 01/08/2025, los requisitos RED 3.3(d/e/f) SÍ son obligatorios
- Sin norma armonizada = obligatorio ir con Organismo Notificado
- Previsión: armonización probablemente en Q1-Q2 2025
Seguimiento: Consultar regularmente https://ec.europa.eu/growth/single-market/european-standards/harmonised-standards/red
Recursos y Contactos Útiles
Organismos Notificados en España
-
Applus+ Laboratories
- Web: https://www.appluslaboratories.com
- Servicios: Evaluación RED, pentesting, certificación CE
- Contacto: red@applus.com
-
SGS Tecnos
- Web: https://www.sgs.es
- Servicios: Certificación completa RED, laboratorio acreditado
- Contacto: es.tecnos@sgs.com
-
Bureau Veritas
- Web: https://www.bureauveritas.es
- Servicios: Evaluación de conformidad, auditorías técnicas
- Contacto: spain.industry@bureauveritas.com
-
TÜV Rheinland
- Web: https://www.tuv.com
- Servicios: Testing completo, certificación internacional
- Contacto: info@es.tuv.com
Autoridades Nacionales de Supervisión
España:
- SETSI (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales)
- Web: https://www.mineco.gob.es
- Email: vigilancia.mercado@mineco.es
Otros países UE:
- Alemania: BNetzA (https://www.bundesnetzagentur.de)
- Francia: ANFR (https://www.anfr.fr)
- Italia: Ministero dello Sviluppo Economico
- Países Bajos: Agentschap Telecom (https://www.agentschaptelecom.nl)
Documentación Oficial
-
Norma EN 18031 (compra):
- AENOR: https://www.aenor.com (buscar "UNE-EN 18031")
- CEN/CENELEC: https://www.cencenelec.eu
-
Directiva RED:
- Texto consolidado: https://eur-lex.europa.eu/eli/dir/2014/53/oj
- Reglamento Delegado 2022/30: https://eur-lex.europa.eu/eli/reg_del/2022/30/oj
-
Guías de la Comisión Europea:
- RED Guidelines: https://ec.europa.eu/growth/sectors/electrical-engineering/red-directive/guidance_en
Herramientas y Software Recomendado
Para pruebas de seguridad:
- Nmap/Zenmap (escaneo de puertos): https://nmap.org
- Wireshark (análisis de tráfico): https://www.wireshark.org
- Burp Suite (pentesting web): https://portswigger.net
- Metasploit (framework de pentesting): https://www.metasploit.com
- OpenVAS (escáner de vulnerabilidades): https://www.openvas.org
Para análisis de firmware:
- Binwalk (extracción firmware): https://github.com/ReFirmLabs/binwalk
- Ghidra (ingeniería inversa): https://ghidra-sre.org
- QEMU (emulación): https://www.qemu.org
Para gestión de proyectos de cumplimiento:
- JIRA + plugin de compliance
- OneTrust (GRC - Governance, Risk, Compliance)
- ServiceNow GRC
Formación Recomendada
Cursos en ciberseguridad IoT:
- SANS SEC450: IoT/ICS Security Essentials
- Offensive Security: IoT Hacking courses
- Udemy/Coursera: "IoT Security" courses
Certificaciones profesionales:
- GIAC GMON (Monitoring y análisis)
- CEH (Certified Ethical Hacker)
- OSCP (Offensive Security)
Conclusión: La Oportunidad Detrás de la Obligación
La norma UNE-EN 18031 puede parecer inicialmente una carga regulatoria más. Pero las empresas visionarias la ven como lo que realmente es: una oportunidad de oro.
Por Qué Esto es una Ventaja Competitiva
- Diferenciación inmediata: En agosto 2025, muchos competidores NO estarán listos. Tú sí.
- Barrera de entrada: EN 18031 aumenta el coste de desarrollo. Empresas pequeñas o mal gestionadas desaparecerán del mercado. Si cumples, reduces competencia.
- Confianza del consumidor: En la era post-Cambridge Analytica, post-SolarWinds, los usuarios valoran (y pagarán más por) seguridad certificada.
- Preparación para el futuro: La Cyber Resilience Act (CRA) de la UE, que entrará en vigor 2026-2027, exigirá requisitos aún más estrictos. Si ya cumples EN 18031, tendrás una ventaja de 2-3 años.
- Acceso a nuevos mercados: Gobiernos, empresas B2B, sector salud... todos exigirán productos certificados. Sin EN 18031 = auto-exclusión de licitaciones millonarias.
El Coste Real de la Inacción
No cumplir EN 18031 no es solo arriesgarse a una multa. Es:
- Cerrar la puerta al mercado europeo (€450,000M en electrónica de consumo)
- Perder contratos con grandes distribuidores
- Exponerse a demandas millonarias si hay breach de seguridad
- Quedar como "esa empresa que vendía productos inseguros"
En 2025, la ciberseguridad no es un diferenciador, es el precio de entrada.
Nuestro Llamado a la Acción
Si has llegado hasta aquí, ya sabes más sobre EN 18031 que el 95% de fabricantes. Ahora:
Paso 1: Descarga nuestra Checklist EN 18031 gratuita (incluye matriz de aplicabilidad pre-completada) [Enlace: contacto@quantumsec.es - Asunto: "Checklist EN 18031"]
Paso 2: Agenda una consulta gratuita de 30 minutos donde analizaremos:
- Si tus productos están en alcance
- Estimación de coste y tiempo de certificación
- Hoja de ruta personalizada
[Reservar aquí: https://quantumsec.es/reservar o +34 618 638 040]
Paso 3: Si decides actuar (y deberías), te acompañamos en todo el proceso:
- Análisis GAP completo
- Implementación técnica de controles
- Pentesting profesional
- Coordinación con Organismos Notificados
- Preparación de expediente técnico
No esperes a julio 2025 para empezar. Para entonces será demasiado tarde.
Una Última Reflexión
En 2018, cuando entró en vigor el GDPR, miles de empresas lo vieron como una amenaza. Hoy, las que cumplieron desde el principio dominan mercados enteros, mientras que las que ignoraron la norma pagan multas y pierden clientes.
EN 18031 es el GDPR de los dispositivos IoT. La pregunta no es si debes cumplir, sino ¿serás de los primeros o de los últimos en hacerlo?
Los primeros capturan el mercado. Los últimos capturan multas.
¿En qué grupo quieres estar?
Sobre Quantumsec
Quantumsec es una consultora española especializada en pentesting y certificaciones de ciberseguridad para dispositivos IoT, con foco en normativas europeas (EN 18031, ETSI EN 303 645, RED-DA, Cyber Resilience Act).
Nuestros servicios:
- ✅ Análisis GAP y roadmap de cumplimiento EN 18031
- ✅ Pentesting de dispositivos IoT (hardware + firmware + red)
- ✅ Preparación de expedientes técnicos para marcado CE
- ✅ Coordinación con Organismos Notificados
- ✅ Formación interna para equipos técnicos
Contacto: 📧 Email: contacto@quantumsec.es
📞 Teléfono: +34 618 638 040
🌐 Web: https://quantumsec.es
📍 Ubicación: Valencia, España (servicio en toda la UE)
Síguenos:
- LinkedIn: [Quantumsec]
- Twitter: [@quantumsec]
- Blog: https://quantumsec.es/blog
Términos de Búsqueda (SEO)
norma une-en 18031, en 18031 ciberseguridad, certificación dispositivos iot 2025, red directive ciberseguridad, marcado ce dispositivos radio, etsi en 303 645 vs en 18031, cumplimiento red 2014/53/ue, organismo notificado españa, pentesting iot, ciberseguridad obligatoria 2025, directiva equipos radioeléctricos, seguridad dispositivos conectados, certificación iot europa, análisis gap en 18031, smart devices cybersecurity,iot security standard, reglamento delegado 2022/30, requisitos esenciales red, evaluación conformidad ce, multas incumplimiento red
Última actualización: 22 noviembre 2024
Versión del artículo: 2.0
Autor: Equipo Quantumsec
Descargo de responsabilidad: Este artículo es informativo y no constituye asesoramiento legal. Para casos específicos, consulte con un abogado especializado en derecho de la UE y con un Organismo Notificado acreditado.