Aviso de ENISA sobre mecanismos de actualización segura: guía CRA

Guía práctica del aviso de ENISA sobre actualizaciones seguras: obligaciones del CRA, 7 amenazas, los controles que las contrarrestan y un ejemplo práctico.

CRA Evidence Team Publicado 2 de junio de 2026 Actualizado 3 de junio de 2026
Aviso técnico de ENISA sobre mecanismos de actualización segura, una guía en borrador que enlaza las amenazas del ciclo de actualización con controles para fabricantes bajo el CRA
En este artículo

ENISA quiere tu opinión antes del 10 de julio de 2026. Su segundo aviso técnico de seguridad de producto, Secure Update Mechanisms, ya está disponible en borrador y la consulta pública está abierta.

Esto es lo que importa. El aviso toma el requisito del Reglamento de Ciberresiliencia de entregar actualizaciones seguras y lo divide en siete pasos, cada uno ligado a un fallo real. Cuatro fueron ataques: SolarWinds, ASUS, Notepad++ y Trivy. Uno, la caída de CrowdStrike de 2024, fue una versión defectuosa, no un ataque. ENISA enlaza cada paso con controles que reducen la probabilidad o el impacto de esa amenaza o ese fallo. Esta guía extrae lo que necesita un fabricante micro, pequeño o mediano, lo conecta con tus obligaciones bajo el CRA, añade nuestra propia visión sobre las herramientas y las prioridades, y recorre el ejemplo del termostato que ENISA usa para atarlo todo.

Resumen

  • ENISA publicó el aviso Secure Update Mechanisms como borrador (Version 0.1) en mayo de 2026. Es el segundo de su serie de seguridad de producto, tras el aviso Secure Use of Package Managers finalizado en marzo de 2026.
  • El aviso es independiente de la tecnología. Es coherente con The Update Framework (TUF), Uptane y NIST SP 800-40, pero no exige ninguno de ellos.
  • Modela el ciclo de actualización en 7 pasos repartidos en 3 dominios de confianza, expone la amenaza de cada paso con un incidente real y lo enlaza todo con 36 recomendaciones en 4 grupos.
  • Conecta de forma directa con las obligaciones de actualización del anexo I del CRA: actualizaciones de seguridad oportunas, distribución segura, difusión sin demora, protección de la integridad y actualizaciones automáticas con control del usuario.
  • No es asesoramiento jurídico ni una presunción de conformidad. Tampoco te dice cómo corregir el fallo subyacente.
  • Un ejemplo práctico de firmware de termostato muestra firma a dos niveles, un manifiesto firmado, descubrimiento por TLS, cinco comprobaciones en el dispositivo e instalación atómica A/B con reversión.
  • La opinión se recoge por encuesta, con fecha límite del 10 de julio de 2026.
7
Pasos del ciclo
De construir a registrar estado
4
Modelos de entrega
Integrado, plataforma, manual, por fases
36
Recomendaciones
en 4 grupos de control
10 jul
Fecha límite
Consulta pública 2026

Fuente: aviso técnico de ENISA sobre mecanismos de actualización segura, borrador Version 0.1, mayo de 2026.

Qué es el aviso y qué no es

El aviso técnico de ENISA sobre mecanismos de actualización segura es un borrador fechado en mayo de 2026, etiquetado como Version 0.1 en las cabeceras de página. El archivo publicado se llama v0.6, lo que parece una errata. ENISA lo abrió a consulta pública con una encuesta de opinión que cierra el 10 de julio de 2026.

Va dirigido a fabricantes de productos con elementos digitales, y en particular a los equipos que diseñan, construyen u operan mecanismos de actualización. ENISA lo escribió para fabricantes micro, pequeños y medianos que necesitan entender las amenazas comunes de actualización y aplicar un conjunto de controles sin montar un gran equipo de seguridad.

Ten claros sus límites. ENISA enuncia tres de forma directa.

Lee el descargo de responsabilidad

El aviso no es asesoramiento jurídico, ni una interpretación formal del CRA, ni una presunción de conformidad. Tampoco cubre cómo desarrollar o validar el parche en sí, incluido el análisis de causa raíz. El cumplimiento del Reglamento (UE) 2024/2847 sigue siendo responsabilidad del fabricante.

Lo que sí te da es un mapa compartido. El mismo ciclo de siete pasos atraviesa la sección de amenazas y la de controles, así que un control siempre apunta a la amenaza que responde.

El ciclo de actualización, en siete pasos

ENISA describe cualquier actualización, sea firmware, un binario, un parche delta, un fichero de firma o un cambio de configuración, como un recorrido por los mismos siete pasos. Cinco actores los ejecutan: el productor (fabricante), el servicio de publicación, el repositorio de actualizaciones, el cliente de actualización y el dispositivo.

Los siete pasos atraviesan tres zonas de confianza. El dominio de confianza del productor es donde la actualización se construye y se firma. El dominio de distribución, que incluye repositorios y CDN, se trata como menos fiable. El dominio de confianza del dispositivo es donde la actualización se verifica y se instala.

El ciclo de actualización de software a través de tres dominios de confianza. Dominio del productor: paso 1 construir y firmar, amenazado por compromiso de la compilación o de la clave de firma (SolarWinds), paso 2 publicar, amenazado por manipulación de metadatos o de la carga (Trivy). Dominio de distribución, menos fiable: paso 3 buscar actualizaciones, amenazado por redirección, repetición o congelación (Notepad++), paso 4 recuperar, amenazado por sustitución de la carga (ASUS ShadowHammer). Dominio del dispositivo: paso 5 verificar, amenazado por verificación débil o ausente, paso 6 instalar, amenazado por instalación defectuosa o maliciosa (CrowdStrike), paso 7 registrar estado, amenazado por un fallo que pasa inadvertido.
Los siete pasos de la actualización, el dominio de confianza en que se sitúa cada uno y el incidente real que muestra qué falla en ese paso.

La idea más útil del documento está detrás de ese diagrama.

Confía en la firma, no en el origen

El dispositivo se aprovisiona con una clave pública raíz como ancla de confianza. Una actualización se acepta porque la verificación criptográfica supera la prueba, no por el sitio desde el que se descargó. Aunque una CDN o una réplica estén comprometidas, el dispositivo debe rechazar una actualización no autorizada o modificada.

Cómo llegan las actualizaciones al dispositivo

El ciclo es el mismo en todas partes. Quién ejecuta cada paso, no. ENISA nombra cuatro modelos de entrega, y el modelo decide dónde tienen que vivir tus controles. La matriz de abajo muestra quién ejecuta cada paso, para que veas qué celdas te toca construir.

Una matriz de cuatro modelos de entrega frente a cuatro pasos de actualización: descubrimiento, recuperación, verificación e instalación. Para un actualizador integrado en el producto, el producto ejecuta los cuatro pasos, así que todos son responsabilidad tuya. En las actualizaciones gestionadas por plataforma, una plataforma externa ejecuta los cuatro pasos. En las actualizaciones manuales fuera de banda, el usuario ejecuta descubrimiento, recuperación e instalación, mientras que la verificación es el control que construyes tú. En las actualizaciones de empresa o por fases, la organización cliente ejecuta descubrimiento, recuperación e instalación, y la verificación se comparte entre tú y el cliente. En todos los modelos, construir y firmar siempre es tuyo.
Quién ejecuta cada paso de la actualización, según nuestra lectura de los cuatro modelos de entrega de ENISA. ENISA describe los modelos pero no tabula el reparto. Las celdas índigo son las que construyes y posees tú.

Los ejemplos que da ENISA: el modelo integrado cubre actualizadores de aplicaciones de escritorio, actualizadores de complementos dentro del producto y autoactualización del navegador. El gestionado por plataforma cubre tiendas de apps móviles, repositorios de paquetes de Linux, plataformas MDM y tiendas de extensiones del navegador. El manual fuera de banda cubre un instalador desde la web del fabricante, un parche por un portal seguro o un paquete enviado por correo. El de empresa o por fases cubre escalonado tipo WSUS, réplicas corporativas, servidores de gestión de parches y transferencia con aislamiento físico.

Para diseños sencillos, ENISA describe un dispositivo que confía en una clave pública raíz más una clave de firma operativa. Los diseños más avanzados usan funciones de firma separadas, y los despliegues de mayor garantía añaden firmas de umbral, donde más de un titular de clave debe aprobar un cambio sensible. TUF y Uptane formalizan esa separación de funciones. No tienes que adoptar ninguno de los dos para cumplir el mínimo.

Siete formas de atacar el canal de actualización

Esta es la parte que conviene leer dos veces. ENISA recorre cada paso del ciclo y expone la amenaza, el impacto y un incidente real. El patrón es constante: un compromiso al principio de la cadena queda invisible si los pasos posteriores tratan todo como normal. La tabla de abajo condensa la sección 3 del aviso, con el control principal añadido desde su sección 4.

PasoQué sale malIncidente realControl principal
1. Construir y firmarCompilación o claves de firma comprometidas, código malicioso incrustado en artefactos firmadosSolarWinds: código malicioso insertado en el entorno de compilación y enviado en actualizaciones firmadasEntorno de compilación de confianza, protección de claves en un HSM, procedencia
2. PublicarMetadatos o cargas de la actualización manipulados durante la publicación, ficheros legítimos sustituidos o retenidosTrivy: procesos de publicación y distribución atacados para colar artefactos comprometidos por canales de confianzaValidación previa, flujo de publicación controlado, integridad de metadatos
3. Buscar actualizacionesRedirección, secuestro de DNS, servicios de actualización falsos, repetición de metadatos antiguos o ataques de congelación que ocultan correcciones nuevasNotepad++: descubrimiento de actualizaciones secuestrado para que ciertos usuarios contactaran con un origen controlado por el atacanteOrigen de actualización de confianza, validación de frescura de metadatos
4. RecuperarDescarga interferida, artefactos maliciosos o corruptos entregados desde repositorios, réplicas o CDNASUS Live Update (ShadowHammer, 2019): artefactos maliciosos enviados por el canal normal de descarga a usuarios concretosSeguridad de transporte fuerte (TLS), tratar las CDN como no fiables, comprobación de integridad
5. VerificarComprobaciones de firma, cadena de confianza, hash, versión o aplicabilidad débiles o ausentes dejan pasar actualizaciones malas como válidasNotepad++ reforzó después la verificación del instalador tras el secuestroVerificación de firma, refuerzo de integridad, anti-reversión
6. InstalarCódigo malicioso ejecutado con privilegios elevados, o una actualización defectuosa que rompe el dispositivoCaída de CrowdStrike Falcon (2024): una actualización defectuosa, no maliciosa, causó caídas masivasInstalación atómica, pruebas de actualización segura, recuperación y reversión
7. Registrar estadoRegistro, supervisión o alertas ausentes, desactivados o suprimidos, de modo que los problemas pasan inadvertidosLa caída de CrowdStrike mostró por qué la visibilidad rápida de los fallos y los dispositivos afectados importa a gran escalaRegistro del estado de actualización, registro seguro, notificación de fallos

El modelo de amenaza que ENISA asume es amplio. Los atacantes pueden ir contra las compilaciones, las claves de firma, los servicios de publicación, los repositorios, las CDN, el DNS, la repetición de metadatos, el estado de actualización en el cliente o el flujo de instalación. La mezcla de casos maliciosos (SolarWinds, ASUS) y uno no malicioso (CrowdStrike) es deliberada. Un mecanismo de actualización segura tiene que sobrevivir tanto a un atacante como a una versión defectuosa.

STRIDE de un vistazo

El anexo 1 del aviso enlaza las amenazas con las categorías STRIDE de Microsoft. Es un enlace indicativo, no exhaustivo, y varias amenazas abarcan más de una categoría. Si haces una sola sesión de modelado de amenazas este año, usa esta tabla como guion: recorre tu canal de actualización fase a fase y pregúntate qué categoría STRIDE muerde más fuerte en cada una. Para un equipo pequeño, las filas de manipulación y suplantación en los pasos de recuperar y buscar merecen más tiempo, porque ahí cayeron los ataques de ASUS y Notepad++.

Fase del ciclo Categorías STRIDE
Construir / empaquetar / establecer confianza Manipulación, Suplantación, Elevación de privilegios
Publicar Manipulación, Suplantación, Denegación de servicio
Buscar actualizaciones Suplantación, Manipulación, Denegación de servicio
Recuperar Manipulación, Suplantación, Denegación de servicio
Verificar Suplantación, Manipulación
Instalar Elevación de privilegios, Manipulación, Denegación de servicio
Registrar estado Repudio, Manipulación, Denegación de servicio

Los controles, agrupados como los agrupa ENISA

La sección 4 reúne los controles en cuatro etapas y los alinea con el manual ENISA Secure by Design and Default. El aviso completo enumera 36 recomendaciones con nombre. Las tablas de abajo conservan las de mayor valor por etapa. Lee la fuente para el conjunto completo.

Preparación y publicación

Esta etapa cubre construir, autorizar y publicar la actualización y sus metadatos.

Recomendación Qué significa
Prácticas de firma seguras Firma los metadatos de la actualización con criptografía fuerte y vincula el artefacto a esos metadatos.
Protección y gestión de claves Guarda las claves de firma en un HSM, restringe el acceso, separa las funciones de clave y rótalas o revócalas ante sospecha de compromiso.
Procedencia y trazabilidad Mantén la trazabilidad de origen a versión. Los equipos de mayor garantía usan procedencia SLSA o atestaciones in-toto.
Comprobación de dependencias Comprueba si los componentes externos y de terceros tienen vulnerabilidades conocidas antes de publicar. Tu SBOM alimenta esto.
Estructuración de la actualización Diseña las versiones para que las actualizaciones de seguridad se entreguen al margen de los cambios funcionales y se instalen de forma automática por defecto cuando sea posible.
Enlace con el aviso Publica la actualización con información clara sobre la vulnerabilidad, su gravedad y la corrección, para que los usuarios entiendan la urgencia.
Pruebas de comportamiento seguro Prueba que las actualizaciones se instalan sin romper el dispositivo y que la reversión o recuperación funciona ante un fallo.

Descubrimiento y recuperación

Esta etapa decide cómo encuentran y descargan las actualizaciones los clientes sin ser redirigidos ni alimentados con datos obsoletos.

Recomendación Qué significa
Origen de actualización de confianza Obtén la información de actualización solo de extremos autorizados y autenticados.
Seguridad de transporte fuerte Usa TLS para el descubrimiento y la recuperación, sin retroceso a protocolos inseguros.
Separación de dominios de confianza Trata las CDN, las réplicas y los intermediarios como no fiables. Su compromiso no debe bastar para colar una actualización modificada.
Validación de frescura de metadatos Usa caducidad, marca de tiempo, versión o números de secuencia monótonos para rechazar metadatos obsoletos, repetidos o congelados.
Soporte de recuperación automática Activa el descubrimiento y la recuperación automáticos por defecto, con controles para posponer las actualizaciones de seguridad críticas pero no para bloquearlas.

Verificación e instalación

Este es el punto principal de decisión de confianza. Si falla, los compromisos anteriores se convierten en actualizaciones válidas.

  1. Verificación de firma. Verifica la autenticidad de los metadatos y confirma que el artefacto está vinculado a ellos de forma criptográfica.
  2. Validación de aplicabilidad. Confirma que la actualización encaja con este producto, esta versión y esta configuración antes de instalar.
  3. Refuerzo de integridad. Valida el hash del artefacto y rechaza cualquier contenido corrupto o modificado antes de instalar.
  4. Control de versión y anti-reversión. Bloquea la instalación de versiones antiguas o no autorizadas con contadores de reversión o números de secuencia monótonos.
  5. Contexto de instalación autorizado. Solo componentes de confianza y autorizados pueden iniciar y ejecutar la instalación, con restricciones de mínimo privilegio. Este es el control para la amenaza de privilegio elevado en el paso de instalación.
  6. Comportamiento de actualización atómico. El sistema pasa por completo a la nueva versión o se queda a salvo en la anterior, con recuperación ante fallo.

Observabilidad y recuperación

Esta etapa registra los resultados, saca a la luz los fallos y deja que el dispositivo se recupere.

Recomendación Qué significa
Registro del estado de actualización Registra el resultado de cada operación: éxito, fallo, reversión o instalación parcial.
Registro seguro Protege los registros de actualización frente a manipulación y acceso no autorizado.
Notificación de fallos de integridad Detecta y notifica los fallos en la validación de firma, integridad o metadatos.
Recuperación y reversión Recupera de actualizaciones fallidas, incluida la vuelta a una versión correcta conocida.
Recuperación de ancla de confianza y claves Permite rotar o sustituir de forma segura las claves de firma ante un compromiso.

Cómo lo construyen los equipos con herramientas de código abierto

ENISA mantiene el aviso independiente de la tecnología y nombra marcos y guías como TUF, Uptane, SLSA, in-toto y NIST SP 800-40, sin recomendar herramientas concretas. Es la decisión correcta para un regulador, pero deja abierta la pregunta práctica. El mapeo de abajo es nuestro, no de ENISA. Ninguna de estas herramientas es un certificado de cumplimiento. Implementan la ingeniería. La evidencia sigue siendo tuya.

Grupo de control Herramientas y marcos de código abierto Qué te dan
Compilación, procedencia, comprobación de dependencias Syft, Grype, Trivy y OSV-Scanner, más el marco SLSA con atestaciones in-toto (producidas por herramientas como Tekton Chains o generadores SLSA) Generan un SBOM, analizan dependencias en busca de vulnerabilidades conocidas y producen procedencia de compilación firmada de origen a artefacto.
Firmar metadatos y artefactos Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Firman los metadatos de la actualización y vinculan el artefacto a ellos. Sigstore añade un registro público de transparencia. TUF añade funciones de firma y metadatos de frescura.
Proteger las claves de firma SoftHSM para pruebas, y Sigstore Fulcio y Rekor para firma sin claves, respaldados por un HSM PKCS#11 o un KMS en la nube para las claves de producción Mantienen las claves de firma fuera de las máquinas de compilación y guardan un registro de qué se firmó y cuándo.
Clientes de actualización en el dispositivo Mender, RAUC, SWUpdate, OSTree Verifican una actualización firmada en el dispositivo, instalan en una ranura o despliegue redundante y revierten ante un fallo. Cómo llega la actualización al dispositivo depende de cómo los integres.
Orquestación de despliegue y marcos Eclipse hawkBit (despliegue a una flota desde el servidor), Uptane (marco de actualización segura para automoción) Gestionan y escalonan la entrega a muchos dispositivos. No son instaladores en el dispositivo.
Enlace de aviso y corrección OpenVEX, CSAF, CycloneDX VEX Publican declaraciones legibles por máquina de vulnerabilidad y explotabilidad junto a la actualización.
Nuestra postura: no construyas el actualizador desde cero

Para un producto embebido, un marco A/B mantenido como Mender, RAUC, SWUpdate u OSTree puede darte imágenes firmadas, verificación en el dispositivo, instalación atómica y reversión, una vez configurado para tu modelo de actualización. Eso cubre casi todos los pasos del 4 al 7 en una dependencia que no tienes que mantener tú. El ejemplo del termostato de más abajo se lee como una versión artesanal de lo que estas herramientas ofrecen una vez puestas a punto. Gasta tu propio esfuerzo en la protección de claves y la procedencia de compilación, las partes que ningún actualizador te da gratis.

Construye el actualizador en orden de dependencia

Esta parte es nuestra guía, no de ENISA. Una advertencia primero: no es una lista corta en la que pararse. El CRA exige todos los requisitos esenciales de ciberseguridad que apliquen a tu producto, según tu evaluación de riesgos del anexo I, así que el objetivo es el conjunto completo de controles. Lo que sigue es el orden en que los construiríamos, para que un equipo pequeño no se paralice ante 36 recomendaciones. La base hace que los controles posteriores tengan sentido, así que la secuencia importa.

  1. Firma los metadatos y verifica en el dispositivo. Aprovisiona un ancla de confianza raíz y comprueba la firma antes de instalar nada. Hazlo primero, porque todos los demás controles dan por hecho que el dispositivo solo acepta actualizaciones auténticas. Sin esto, el resto es decoración.
  2. Asegura el transporte. TLS para el descubrimiento y la recuperación, y trata cualquier CDN o réplica como no fiable. Es sobre todo configuración, así que es barato, y cierra el ataque de recuperación tipo ASUS.
  3. Añade comprobaciones de hash y aplicabilidad. Pequeñas adiciones en el paso de verificar: confirma que el hash del artefacto coincide con el manifiesto firmado y que la actualización encaja con este modelo y versión. Poco esfuerzo una vez que la firma está en su sitio.
  4. Planifica pronto la anti-reversión. Es el control más difícil de añadir a posteriori, porque necesita estado de contador protegido y cooperación del gestor de arranque, así que planifícalo ahora aunque llegue después. Es la defensa frente a congelación y degradación que ENISA más subraya.
  5. Haz las instalaciones atómicas, con reversión. Ranuras A/B o redundantes, para que una versión defectuosa (el modo de fallo de CrowdStrike) no deje el dispositivo inservible. Es un trabajo grande si se hace a mano, y por eso aquí suele ganar un marco mantenido.
  6. Registra y notifica los resultados. Un registro de actualización a prueba de manipulación y notificación de fallos, para que detectes un problema y demuestres qué pasó. Es también de lo que se nutre tu evidencia bajo el CRA.

Ejemplo práctico: entregar un parche de termostato

ENISA cierra con un ejemplo concreto, y es la parte más clara del documento. Un termostato IoT embebido en la versión 1.0.0 necesita una actualización de seguridad que corrige EUVDB-202X-Y, un fallo de validación de entrada. El dispositivo usa un actualizador integrado. El ejemplo es ilustrativo, no un plano universal.

El fabricante opera dos niveles de firma. Una autoridad de firma raíz se mantiene fuera de línea y autoriza una clave de firma operativa del proveedor que se usa para las versiones de rutina. Esa separación deja que la clave del proveedor rote sin cambiar el ancla de confianza raíz del dispositivo.

El dispositivo se entrega con las partes que se muestran abajo.

Esquema del termostato a la izquierda, que muestra el dial en el firmware actual v1.0.0, dos ranuras de firmware slot_a y slot_b, un área de preparación para descargas no verificadas y una actualización que llega por TLS. A la derecha, seis componentes. root_public.pem es el ancla de confianza fijada en fábrica que verifica las claves de firma. vendor_public.pem verifica los metadatos firmados de la actualización y es rotable mediante una actualización. slot_a y slot_b son dos ranuras de firmware para actualizaciones A/B. staging es el área de retención para descargas no verificadas. rollback_counter es el estado anti-reversión protegido en almacenamiento no volátil. ca.pem es el almacén de confianza TLS que valida el certificado del servidor de actualizaciones.
Qué se entrega dentro del dispositivo y cómo llega una actualización antes de comprobarse.

Preparación. La compilación se ejecuta en un entorno controlado solo con código y dependencias autorizados. Se genera un SBOM y se comprueba en busca de vulnerabilidades. El fabricante produce un manifest.json firmado que lleva el hash SHA-256 y el tamaño de fichero, el producto y la versión aplicables, los campos de frescura y anti-reversión (marca de tiempo, caducidad, contador de reversión) y la información del aviso (gravedad, URL del aviso). Un cambio de un solo byte en el paquete produce un hash distinto, que el dispositivo detecta.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Descubrimiento. El termostato busca actualizaciones por TLS y valida el certificado del servidor contra ca.pem. Los campos update_type y severity le permiten distinguir una actualización de seguridad de una versión de rutina y avisar al usuario en consecuencia. Las descargas aterrizan en staging, así que un corte de corriente a mitad de descarga nunca toca el firmware en ejecución.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Verificación e instalación. Antes de instalar, el dispositivo ejecuta cinco comprobaciones en orden. Si alguna falla, aborta.

Cinco comprobaciones se ejecutan en orden antes de instalar una actualización, y cualquier fallo aborta y conserva el firmware actual. Comprobación 1 confianza de la clave de firma: la clave raíz confirma que la clave del proveedor está autorizada. Comprobación 2 firma: la clave del proveedor verifica la firma del manifiesto. Comprobación 3 hash: el SHA-256 del artefacto coincide con el manifiesto. Comprobación 4 anti-reversión: el contador de reversión del manifiesto es al menos el del dispositivo. Comprobación 5 aplicabilidad: modelo, versión, marca de tiempo y configuración coinciden. Si las cinco superan la prueba, el firmware se escribe en la ranura inactiva y se activa con un cambio atómico A/B. Si alguna comprobación falla, la actualización aborta y el firmware en ejecución queda intacto.
Una actualización tiene que superar las cinco comprobaciones antes de tocar el firmware activo.

La comprobación de anti-reversión es la que más peso lleva. El contador de reversión del dispositivo solo sube después de que el nuevo firmware arranque y supere sus comprobaciones de salud, así que una actualización fallida o maliciosa no puede subir el suelo en silencio y bloquear una corrección posterior. Si todo va bien, el firmware se escribe en la ranura inactiva y se activa con un cambio de ranura atómico, así que siempre queda una versión correcta conocida. La observabilidad registra cada intento en un update.log con acceso restringido, con marca de tiempo y estado. Si alguna vez la clave del proveedor se ve comprometida, el fabricante firma y entrega una nueva clave de proveedor que la clave raíz autoriza. La clave raíz nunca se actualiza por este canal. Un compromiso de la raíz necesita un proceso seguro aparte, como el restablecimiento de fábrica.

Qué significa esto para tu expediente CRA

La tabla final del aviso empareja cada afirmación de seguridad con evidencia y artefactos de ejemplo. Ese mapeo es el puente hacia tu documentación técnica. La documentación técnica del CRA pide las dos cosas: una descripción de tu solución de actualización segura (anexo VII) y la evidencia que la respalda, incluida una nomenclatura de materiales de los programas informáticos (SBOM) e informes de pruebas. Una descripción sin nada detrás es el punto débil.

Nuestra opinión: empieza por la evidencia, no por los controles

Esta es nuestra postura, no la de ENISA. Para una pyme con tiempo limitado, esta tabla es la parte del aviso sobre la que actuar primero. La documentación técnica del CRA (artículo 31 y anexo VII) quiere una descripción de tu solución de actualización más la evidencia que la respalda: informes de pruebas, un SBOM y artefactos. La mayoría de los equipos sabe escribir la descripción. La pregunta difícil es si hoy puedes producir la evidencia de cada afirmación. Ahí es donde pondríamos la primera hora.

Las afirmaciones de seguridad del ejemplo, y la evidencia que respalda cada una, tienen este aspecto.

Qué puedes afirmar Evidencia que conservar
Se puede confiar en la actualización (origen y composición) Registros de compilación, SBOM, resultados de SCA, registros CI/CD
Protegida frente a publicación no autorizada o suplantación Manifiesto firmado, claves públicas raíz y de proveedor, registros de firma
Las correcciones de seguridad se despliegan sin demora operativa Notas de versión solo de seguridad, campos del manifiesto
El canal de actualización está autenticado y es privado ca.pem, configuración TLS
Protegida frente a quedar congelada en una versión vulnerable Comprobaciones de frescura, caducidad, registros de validación de versión
Verificada antes de activarse, protegida frente a degradación Claves públicas, ficheros de firma, estado anti-reversión
Los fallos se detectan y son recuperables update.log, registros de comprobación de salud, registros de reversión

Cada fila respalda uno o más requisitos del anexo I del CRA, desde la integridad y la distribución segura hasta la supervisión y la disponibilidad. Consulta los requisitos de actualización de seguridad del CRA para el detalle a nivel de artículo.

Si hoy no puedes producir la columna de la derecha, ese hueco es tu tarea. Un registro VEX y una comprobación de dependencias guiada por SBOM cubren dos de estas filas de forma directa. Tu diligencia debida de proveedores cubre la fila de confianza de compilación para los componentes que no escribiste tú.

Preguntas frecuentes

¿Es obligatorio el aviso de ENISA sobre mecanismos de actualización segura?

No. Es un aviso técnico en borrador, no asesoramiento jurídico, y ENISA afirma que no es una presunción de conformidad. Las obligaciones vinculantes viven en el CRA, sobre todo en los requisitos de actualización del anexo I. El aviso te ayuda a cumplirlas en la práctica, pero una autoridad de vigilancia del mercado te evalúa contra el Reglamento (UE) 2024/2847, no contra este documento. En España, el INCIBE es el instituto nacional de ciberseguridad, aunque las obligaciones vinculantes siguen naciendo del propio CRA.

¿En qué se diferencia del manual ENISA Secure by Design?

El manual Secure by Design and Default cubre todo el producto a lo largo de 22 principios y todo el ciclo de vida. Este aviso se centra en un solo subsistema, el canal de actualización, y profundiza en sus siete pasos, amenazas y controles. Lee el manual para los principios de todo el producto y este aviso cuando diseñes o audites el actualizador en sí.

¿Qué requisitos del CRA satisface un mecanismo de actualización segura?

Un mecanismo de actualización segura es cómo cumples las obligaciones de actualización del anexo I del CRA. En términos sencillos, te permite demostrar que puedes entregar correcciones de seguridad rápido, entregarlas por un canal que no se puede manipular, protegerlas frente a la corrupción, dejar que los usuarios las reciban de forma automática manteniendo cierto control y avisarles cuando una actualización importa. Los controles de construir, distribuir, verificar y recuperar de este aviso encajan con cada uno de esos puntos. Consulta los requisitos de actualización de seguridad del CRA para el detalle a nivel de artículo.

¿Tengo que implementar TUF o Uptane?

No. El aviso es independiente de la tecnología y solo dice que sus recomendaciones son coherentes con TUF, Uptane y NIST SP 800-40. El mínimo es un ancla de confianza en el dispositivo, metadatos firmados, verificación en el dispositivo y anti-reversión. TUF y Uptane formalizan varias funciones de firma y metadatos de frescura para diseños de mayor garantía, así que adóptalos si tu perfil de riesgo lo pide.

¿Qué es la anti-reversión y por qué la subraya el aviso?

La anti-reversión impide que un atacante fuerce un dispositivo de vuelta a una versión más antigua, vulnerable pero todavía firmada de forma válida. Eso es un ataque de congelación o degradación, y aparece en los pasos de buscar, verificar e instalar. El ejemplo del termostato usa un contador de reversión guardado en almacenamiento protegido que solo sube después de que el nuevo firmware arranque y supere las comprobaciones de salud. Sin él, una actualización firmada pero antigua pasa la verificación de firma sin problema.

¿Cómo envío mi opinión a ENISA?

ENISA recoge la opinión mediante una encuesta pública, con fecha límite del 10 de julio de 2026. Puedes leer el PDF del aviso en borrador en la web de ENISA, donde también se publica el enlace a la encuesta. Si entregas actualizaciones a productos con elementos digitales, tu modelo de entrega real es justo lo que ENISA pidió valorar a los fabricantes.

Próximos pasos

Qué hacer antes de la fecha límite del 10 de julio

  1. Dibuja tu propia versión del diagrama de siete pasos para un producto real. Marca cuál de los cuatro modelos de entrega usas y qué pasos controlas de verdad.
  2. Pasa la tabla de las siete amenazas por ese producto. En cada fila, anota el control que tienes hoy y la evidencia que podrías mostrar, usando los requisitos de actualización de seguridad del CRA como lista de comprobación.
  3. Cierra primero los dos huecos de evidencia más fáciles: genera un SBOM en tu canal de compilación y monta registros VEX para el enlace del aviso.
  4. Si tu diseño carece de anti-reversión o instalación atómica, evalúa un marco de actualización mantenido (Mender, RAUC, SWUpdate, OSTree) antes de construirlo tú. Es el control más difícil de añadir a posteriori y el que ENISA más subraya.

Este artículo tiene fines meramente informativos y no constituye asesoramiento jurídico. Para orientación de cumplimiento específica, consulta con asesoría jurídica cualificada.

CRA Seguridad ENISA Cadena de Suministro Secure by Design
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
Ver la guía completa de cumplimiento del CRA