Cámaras inteligentes: ¿productos importantes según el CRA?

Las cámaras de seguridad inteligentes son Productos Importantes (Clase I) en el Anexo III del CRA. Qué significa para fabricantes, importadores y distribuidores.

CRA Evidence Team Publicado 25 de febrero de 2026 Actualizado 31 de mayo de 2026
Tarjeta de vista previa del blog con el título '¿Son las cámaras inteligentes productos importantes según la CRA?' sobre la plantilla regulatoria de CRA Evidence
En este artículo

Mientras que una tostadora conectada puede seguir la ruta básica de cumplimiento de la CRA, las cámaras de seguridad inteligentes no tienen ese privilegio. La UE las ha situado explícitamente en el Anexo III como Productos Importantes, Clase I (un escalón por encima de la mayoría del IoT de consumo), con requisitos de conformidad más estrictos que cambian las reglas del juego para cualquiera que fabrique, importe o distribuya estos dispositivos.

Un malentendido habitual es que las cámaras son "Productos Críticos". No lo son. Pero Importante Clase I ya supone un salto significativo.

Resumen

  • Las cámaras de seguridad inteligentes son Productos Importantes, Clase I bajo el Anexo III, Ítem 17 de la CRA (no son "Productos Críticos")
  • La Clase I permite la autoevaluación solo si se aplican íntegramente las normas armonizadas; en caso contrario, se requiere auditoría de terceros
  • Las contraseñas predeterminadas están prohibidas. Deben imponerse credenciales únicas o autenticación segura en el primer uso
  • Los fabricantes deben gestionar vulnerabilidades y distribuir actualizaciones de seguridad durante al menos 5 años
  • Un SBOM (Software Bill of Materials) es obligatorio
  • Los importadores son personalmente responsables de verificar el cumplimiento del fabricante antes de la comercialización en el mercado de la UE
  • Todas las obligaciones entran en vigor el 11 de diciembre de 2027
150.000+
Cámaras comprometidas
y grabadores DVR, pico de la botnet Mirai (desde 2016)
77%
Ciberincidentes notificados
fueron DDoS en 2024-2025
5 años
Período mínimo de soporte
para cámaras de Clase I (Art. 13(8))
11 dic 2027
Aplicación plena de la CRA
marcado CE y conformidad obligatorios

Fuentes: ENISA Threat Landscape 2020 y 2025; Reglamento (UE) 2024/2847, artículos 13 y 71.

Qué dice exactamente la CRA sobre las cámaras

Hay mucha confusión sobre las categorías de productos de la CRA, así que seamos precisos. El reglamento establece tres niveles:

Niveles de productos de la CRA que sitúan las cámaras de seguridad inteligentes en Importante Clase I, Anexo III, Ítem 17. Por defecto cubre la mayoría del IoT de consumo, como altavoces inteligentes y termostatos. Clase I cubre cámaras de seguridad para el hogar inteligente, cerraduras inteligentes, monitores de bebé, sistemas de alarma, routers, módems, sistemas operativos y gestores de contraseñas. Clase II cubre cortafuegos y sistemas de detección y prevención de intrusiones. Críticos, Anexo IV, cubre módulos de seguridad hardware, pasarelas de contadores inteligentes y tarjetas inteligentes.
Dónde se sitúan las cámaras de seguridad inteligentes en la clasificación de productos de la CRA.

El texto legal exacto

Anexo III, Clase I, Ítem 17 del Reglamento (UE) 2024/2847:

"Productos para el hogar inteligente con funcionalidades de seguridad, incluidas cerraduras inteligentes, cámaras de seguridad, sistemas de monitorización de bebés y sistemas de alarma"

El Reglamento de Ejecución (UE) 2025/2392 de la Comisión aclara además el alcance técnico, empleando el término "sistemas de cámara" (ligeramente más amplio que el de "cámaras de seguridad" del reglamento principal).

Un matiz importante: el producto debe tener "funcionalidades de seguridad" en un contexto de hogar inteligente. Una webcam independiente para videollamadas no cae automáticamente en Clase I. Una cámara de vigilancia conectada que monitoriza tu hogar o negocio, sí.

Por qué la UE ha puesto el foco en las cámaras

No fue una decisión arbitraria. Las cámaras IP se han ganado su reputación como el eslabón más débil de la seguridad en red, y los datos lo respaldan:

  • La botnet Mirai (desde 2016) construyó ejércitos de más de 150.000 cámaras y grabadores DVR comprometidos para lanzar masivos ataques DDoS (ENISA Threat Landscape 2020: Botnet Report)
  • Los ataques DDoS representaron el 77% de todos los ciberincidentes notificados en 2024-2025, muchos impulsados por dispositivos IoT secuestrados (ENISA Threat Landscape 2025)
  • Las variantes de Mirai siguen activas (en abril de 2025 se detectaron explotando cámaras GeoVision)
  • Cada día se conectan a internet aproximadamente 7,7 millones de nuevos dispositivos IoT; solo 1 de cada 20 está protegido por un cortafuegos

El patrón es claro: las cámaras están siempre encendidas, siempre conectadas, frecuentemente mal protegidas y tratan datos sensibles (tus grabaciones de vídeo). Ese es exactamente el perfil de riesgo que persigue la CRA.

Qué implica la clase I para la evaluación de conformidad

Con arreglo al Artículo 32(2), los fabricantes de Clase I disponen de dos vías, y cuál puedes tomar depende de algo que aún está en proceso de definición.

Vía 1: autoevaluación (módulo A)

Puedes realizar la autoevaluación interna, pero solo si aplicas normas armonizadas que cubran todos los requisitos esenciales de ciberseguridad. Una cobertura parcial no es suficiente: si falta un solo requisito, pasas a la Vía 2.

El problema es que, a fecha de febrero de 2026, las normas armonizadas bajo la CRA todavía están siendo finalizadas por CEN/CENELEC. Hasta que se publiquen en el Diario Oficial, la mayoría de los fabricantes no podrán utilizar esta vía.

Vía 2: evaluación por terceros

Sin una cobertura completa de normas armonizadas, necesitas alguna de las siguientes opciones:

  • Módulo B + C: examen de tipo UE por un organismo notificado, seguido de conformidad con el tipo
  • Módulo H: sistema completo de garantía de calidad certificado por un organismo notificado

Ambas opciones son más costosas y llevan más tiempo que la autoevaluación. Y la capacidad de los organismos notificados se reducirá conforme nos acerquemos a diciembre de 2027, cuando todo el mundo se lanzará al mismo tiempo.

Requisitos esenciales para cámaras inteligentes

Toda cámara conectada debe cumplir los requisitos esenciales de ciberseguridad de la CRA (Anexo I), independientemente de la vía de conformidad elegida. Los que más presionan a los fabricantes de cámaras:

1. Prohibición de contraseñas predeterminadas

El Artículo 13 y el Anexo I, Parte I exigen una configuración "segura por defecto". En términos concretos:

  • Se acabó el admin/admin o admin/password enviado en cada unidad
  • Cada dispositivo necesita una contraseña única, o debe forzar una configuración segura de credenciales en el primer uso
  • Autenticación multifactor donde sea técnicamente viable

Este requisito por sí solo obligará a rediseñar una enorme cantidad de líneas de producto de cámaras.

2. Gestión de vulnerabilidades (mínimo 5 años)

El Anexo I, Parte II obliga a los fabricantes a:

  • Establecer una política de divulgación coordinada de vulnerabilidades (CVD)
  • Ofrecer a los investigadores de seguridad un canal claro para notificar problemas
  • Corregir vulnerabilidades sin demora durante todo el período de soporte
  • Dar soporte al producto durante al menos 5 años desde la comercialización
  • Notificar las vulnerabilidades explotadas activamente en un plazo de 24 h, simultáneamente al CSIRT designado como coordinador y a ENISA a través de la Plataforma Única de Notificación (esto entra en vigor el 11 de septiembre de 2026)

Cinco años de parches obligatorios supone un cambio importante para los fabricantes de cámaras acostumbrados a la política de "lanzar y olvidar".

3. Software Bill of Materials (SBOM)

Todos los componentes de software del firmware de tu cámara deben estar documentados: el núcleo Linux, las bibliotecas de streaming RTSP, el framework de la interfaz web, la pila TLS, todo. El SBOM debe:

  • Utilizar un formato legible por máquina (CycloneDX o SPDX)
  • Cubrir como mínimo las dependencias de primer nivel
  • Formar parte de la documentación técnica
  • Mantenerse actualizado durante todo el período de soporte

4. Mecanismo de actualización seguro

Las cámaras necesitan actualizaciones de firmware seguras y autenticadas:

  • Distribuidas por canales cifrados
  • Integridad del firmware verificada antes de la instalación
  • Actualizaciones de seguridad automáticas habilitadas por defecto (los usuarios pueden desactivarlas)
  • Capacidad de reversión recomendada

5. Minimización de datos y privacidad

Las cámaras que recopilan datos de vídeo deben:

  • Procesar únicamente los datos necesarios para la función del producto
  • Cifrar los datos almacenados y transmitidos
  • Permitir a los usuarios eliminar sus datos de forma segura
  • Proteger los datos en reposo frente al acceso físico

El papel de importadores y distribuidores

Importadores: eres el guardián de la UE

Si importas cámaras desde fuera de la UE (y seamos honestos, la mayoría de las cámaras inteligentes se fabrican en Asia), el Artículo 19 te responsabiliza directamente. Eres personalmente responsable de verificar que el fabricante ha cumplido con todas sus obligaciones antes de que ese producto entre en el mercado de la UE.

Lista de verificación antes de comercializar una cámara en el mercado de la UE:

  • [ ] El fabricante ha completado la evaluación de conformidad adecuada (Clase I)
  • [ ] Existe una Declaración UE de Conformidad (DoC) con referencia a la CRA
  • [ ] El marcado CE está correctamente aplicado
  • [ ] La documentación técnica está disponible y es adecuada
  • [ ] Los datos de contacto del fabricante figuran en el producto o embalaje
  • [ ] El SBOM está disponible como parte de la documentación técnica

Si alguna comprobación falla, no puedes vender legalmente el producto. Debes informar al fabricante, y si existe un riesgo de ciberseguridad, notificarlo a las autoridades de vigilancia del mercado.

Sanciones para importadores: Hasta 10 millones EUR o el 2% de la facturación anual global (Artículo 64).

Distribuidores: obligaciones menores, consecuencias reales

Los distribuidores tienen menos que verificar con arreglo al Artículo 20, pero las obligaciones siguen siendo vinculantes:

  • El marcado CE está presente en el producto
  • El nombre y los datos de contacto del fabricante e importador son visibles
  • Las condiciones de almacenamiento y transporte no comprometen el cumplimiento
  • No comercializar productos que hayan dado indicios de no cumplimiento

Sanciones para distribuidores: Hasta 10.000.000 EUR o el 2% del volumen de negocio total anual mundial (Artículo 64(3); las obligaciones de los distribuidores en virtud del artículo 20 entran en el intervalo de los artículos 18 a 23).

La trampa de la marca blanca

Atención: si importas una cámara y la vendes bajo tu propia marca, o si realizas modificaciones sustanciales en el firmware o los elementos digitales, la CRA te considera fabricante. Eso implica el conjunto completo de obligaciones del fabricante: evaluación de conformidad, SBOM, gestión de vulnerabilidades durante 5 años, todo.

Calendario de cumplimiento 

CALENDARIO CRA PARA CÁMARAS INTELIGENTES

11 sep 2026 --- Comienzan las obligaciones de notificación de vulnerabilidades
                (Notificación en 24 h al CSIRT coordinador y ENISA)

11 dic 2027 --- Cumplimiento pleno de la CRA requerido
                (Todos los requisitos esenciales, evaluación de conformidad,
                 marcado CE, SBOM, documentación técnica)

Si fabricas o importas cámaras inteligentes y aún no has comenzado el trabajo de cumplimiento, ya vas tarde. Las normas armonizadas todavía están en desarrollo, los organismos notificados están llenando su agenda y diciembre de 2027 está más cerca de lo que parece.

Importante

Las cámaras inteligentes con funcionalidad de seguridad (vigilancia, monitorización) se clasifican como Importante Clase I bajo el Anexo III, Parte I.

Consejo

Las contraseñas predeterminadas en cámaras están explícitamente prohibidas por la CRA. Cada dispositivo debe tener una credencial única o exigir configuración por parte del usuario.

Fuentes oficiales

Preguntas frecuentes

¿Las cámaras de seguridad inteligentes son Clase I o Críticas según la CRA?

Clase I. El Anexo III, Clase I, Ítem 17 del Reglamento (UE) 2024/2847 enumera «productos para el hogar inteligente con funcionalidades de seguridad, incluidas cerraduras inteligentes, cámaras de seguridad, sistemas de monitorización de bebés y sistemas de alarma». Los Productos Críticos están en el Anexo IV y cubren módulos de seguridad hardware, pasarelas de contadores inteligentes y tarjetas inteligentes, no cámaras. El Reglamento de Ejecución (UE) 2025/2392 de la Comisión utiliza la expresión ligeramente más amplia «sistemas de cámara» para la misma categoría. Las webcams independientes para videollamadas no caen automáticamente aquí: el matiz es un contexto de hogar inteligente con función de seguridad.

¿Pueden los fabricantes de cámaras autoevaluarse con el Módulo A, o hace falta un organismo notificado?

La autoevaluación solo se permite si se aplican íntegramente normas armonizadas que cubran todos los requisitos esenciales de ciberseguridad. Una cobertura parcial obliga a la vía de terceros: Módulo B+C (examen de tipo UE por un organismo notificado, seguido de conformidad con el tipo) o Módulo H (sistema completo de garantía de calidad certificado por un organismo notificado). A fecha de febrero de 2026, las normas armonizadas de la CRA todavía están siendo finalizadas por CEN/CENELEC, por lo que la mayoría de fabricantes aún no podrá tomar la vía de autoevaluación.

¿Están realmente prohibidas las contraseñas predeterminadas en las cámaras inteligentes?

Sí. El Artículo 13 y el Anexo I, Parte I exigen una configuración «segura por defecto». En la práctica, esto significa que no se puede seguir enviando el mismo admin/admin o admin/password en cada unidad. Cada dispositivo necesita una credencial única, o debe forzar al usuario a configurar credenciales de forma segura en el primer uso, con autenticación multifactor donde sea técnicamente viable. Este requisito por sí solo obligará a rediseñar buena parte del mercado de cámaras.

¿Durante cuánto tiempo debe un fabricante de cámaras distribuir actualizaciones de seguridad?

Al menos cinco años desde la comercialización, con arreglo al Artículo 13(8), o la vida útil prevista del producto si es menor. Durante ese período, los fabricantes deben mantener una política de divulgación coordinada de vulnerabilidades (CVD), ofrecer a los investigadores de seguridad un canal claro para notificar problemas y corregir vulnerabilidades sin demora. Las actualizaciones deben distribuirse por canales autenticados, con la integridad del firmware verificada antes de la instalación y las actualizaciones de seguridad automáticas habilitadas por defecto (los usuarios pueden desactivarlas).

¿Qué responsabilidad tiene un importador al comercializar cámaras en el mercado de la UE?

Con arreglo al Artículo 19, los importadores son personalmente responsables de verificar que el fabricante ha completado la evaluación de conformidad, que existe una Declaración UE de Conformidad que referencia la CRA, que el marcado CE está correctamente aplicado, que la documentación técnica y el SBOM están disponibles y que los datos de contacto del fabricante figuran en el producto o embalaje. Si alguna comprobación falla, el producto no puede comercializarse legalmente. Las sanciones alcanzan los 10 millones EUR o el 2% del volumen de negocio anual mundial (Artículo 64). El importador que renombre una cámara o haga modificaciones sustanciales se considera fabricante y asume todas las obligaciones del fabricante.

¿Cuándo comienza la obligación de notificación en 24 h para las cámaras?

El 11 de septiembre de 2026. A partir de esa fecha, las vulnerabilidades explotadas activamente deben notificarse en un plazo de 24 h con arreglo al Artículo 14, simultáneamente al CSIRT designado como coordinador y a ENISA a través de la Plataforma Única de Notificación. La aplicación plena de la CRA, incluido el marcado CE, la evaluación de conformidad, el SBOM y la documentación técnica, llega el 11 de diciembre de 2027. Los fabricantes e importadores que aún no hayan delimitado su flujo del Artículo 14 ya van por detrás: las normas armonizadas siguen en desarrollo y la capacidad de los organismos notificados se reducirá conforme se acerque 2027.

Próximos pasos

Qué hacer antes de diciembre de 2027

  1. Clasifica tu producto frente al Anexo III, Ítem 17. Contexto de hogar inteligente con función de seguridad significa Clase I; el CCTV profesional puede caer bajo el ámbito general de la CRA.
  2. Elimina las contraseñas predeterminadas en toda tu línea de cámaras. Cada unidad se envía con una credencial única, o fuerza una configuración segura en el primer uso.
  3. Genera un SBOM en formato CycloneDX o SPDX para tu firmware. Cubre como mínimo las dependencias de primer nivel y mantenlo actualizado durante los 5 años de soporte.
  4. Publica una política de divulgación coordinada de vulnerabilidades y un security.txt con un contacto alcanzable.
  5. Decide tu vía de conformidad. Si las normas armonizadas de CEN/CENELEC no van a estar listas a tiempo, contacta con un organismo notificado ya. Consulta la guía de decisión de evaluación de conformidad.
  6. Si importas cámaras fabricadas fuera de la UE, audita la evidencia de conformidad de cada proveedor antes de comercializar. Consulta la guía de verificación de obligaciones del importador.

Este artículo tiene carácter meramente informativo y no constituye asesoramiento jurídico. Para orientación específica sobre cumplimiento, consulta a un asesor legal cualificado.

CRA IoT Clases de Productos Importadores
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide