¿Son las Cámaras Inteligentes Productos Importantes bajo la Cyber Resilience Act de la UE?

Mientras que una tostadora conectada puede seguir la ruta básica de cumplimiento de la CRA, las cámaras de seguridad inteligentes no tienen ese privilegio. La UE las ha situado explícitamente en el Anexo III como Productos Importantes, Clase I (un escalón por encima de la mayoría del IoT de consumo), con requisitos de conformidad más estrictos que cambian las reglas del juego para cualquiera que fabrique, importe o distribuya estos dispositivos.

Un malentendido habitual es que las cámaras son "Productos Críticos". No lo son. Pero Importante Clase I ya supone un salto significativo.

Qué Dice Exactamente la CRA sobre las Cámaras

Hay mucha confusión sobre las categorías de productos de la CRA, así que seamos precisos. El reglamento establece tres niveles:

CLASIFICACIÓN DE PRODUCTOS CRA

CATEGORÍA POR DEFECTO (Autoevaluación — Módulo A):
  → La mayoría del IoT de consumo: altavoces inteligentes, termostatos, etc.

PRODUCTOS IMPORTANTES — Anexo III:
  Clase I (Autoevaluación con normas armonizadas O terceros):
    → Cámaras de seguridad para el hogar inteligente  ← LAS CÁMARAS ESTÁN AQUÍ
    → Cerraduras inteligentes, monitores de bebé, sistemas de alarma
    → Routers, módems, sistemas operativos, gestores de contraseñas
  Clase II (Terceros obligatorio):
    → Cortafuegos, sistemas de detección/prevención de intrusiones

PRODUCTOS CRÍTICOS — Anexo IV (Terceros obligatorio, siempre):
  → Módulos de seguridad hardware, pasarelas de contadores inteligentes, tarjetas inteligentes

El Texto Legal Exacto

Anexo III, Clase I, Ítem 17 del Reglamento (UE) 2024/2847:

"Productos para el hogar inteligente con funcionalidades de seguridad, incluidas cerraduras inteligentes, cámaras de seguridad, sistemas de monitorización de bebés y sistemas de alarma"

El Reglamento de Ejecución (UE) 2025/2392 de la Comisión aclara además el alcance técnico, empleando el término "sistemas de cámara" (ligeramente más amplio que el de "cámaras de seguridad" del reglamento principal).

Un matiz importante: el producto debe tener "funcionalidades de seguridad" en un contexto de hogar inteligente. Una webcam independiente para videollamadas no cae automáticamente en Clase I. Una cámara de vigilancia conectada que monitoriza tu hogar o negocio, sí.

Por Qué la UE Ha Puesto el Foco en las Cámaras

No fue una decisión arbitraria. Las cámaras IP se han ganado su reputación como el eslabón más débil de la seguridad en red, y los datos lo respaldan:

• La botnet Mirai (desde 2016) construyó ejércitos de más de 150.000 cámaras y grabadores DVR comprometidos para lanzar masivos ataques DDoS (ENISA Threat Landscape 2020 — Botnet Report)
• Los ataques DDoS representaron el 77% de todos los ciberincidentes notificados en 2024-2025, muchos impulsados por dispositivos IoT secuestrados (ENISA Threat Landscape 2025)
• Las variantes de Mirai siguen activas (en abril de 2025 se detectaron explotando cámaras GeoVision)
• Cada día se conectan a internet aproximadamente 7,7 millones de nuevos dispositivos IoT; solo 1 de cada 20 está protegido por un cortafuegos

El patrón es claro: las cámaras están siempre encendidas, siempre conectadas, frecuentemente mal protegidas y manejan datos sensibles (tus grabaciones de vídeo). Ese es exactamente el perfil de riesgo que persigue la CRA.

Qué Implica la Clase I para la Evaluación de Conformidad

Con arreglo al Artículo 32(2), los fabricantes de Clase I disponen de dos vías, y cuál puedes tomar depende de algo que aún está en proceso de definición.

Vía 1: Autoevaluación (Módulo A)

Puedes realizar la autoevaluación interna, pero solo si aplicas normas armonizadas que cubran todos los requisitos esenciales de ciberseguridad. Una cobertura parcial no es suficiente: si falta un solo requisito, pasas a la Vía 2.

El problema es que, a fecha de febrero de 2026, las normas armonizadas bajo la CRA todavía están siendo finalizadas por CEN/CENELEC. Hasta que se publiquen en el Diario Oficial, la mayoría de los fabricantes no podrán utilizar esta vía.

Vía 2: Evaluación por Terceros

Sin una cobertura completa de normas armonizadas, necesitas alguna de las siguientes opciones:

• Módulo B + C: examen de tipo UE por un organismo notificado, seguido de conformidad con el tipo
• Módulo H: sistema completo de garantía de calidad certificado por un organismo notificado

Ambas opciones son más costosas y llevan más tiempo que la autoevaluación. Y la capacidad de los organismos notificados se reducirá conforme nos acerquemos a diciembre de 2027, cuando todo el mundo se lanzará al mismo tiempo.

Requisitos Esenciales para Cámaras Inteligentes

Toda cámara conectada debe cumplir los requisitos esenciales de ciberseguridad de la CRA (Anexo I), independientemente de la vía de conformidad elegida. Los que más presionan a los fabricantes de cámaras:

1. Prohibición de Contraseñas Predeterminadas

El Artículo 13 y el Anexo I, Parte I exigen una configuración "segura por defecto". En términos concretos:

• Se acabó el admin/admin o admin/password enviado en cada unidad
• Cada dispositivo necesita una contraseña única, o debe forzar una configuración segura de credenciales en el primer uso
• Autenticación multifactor donde sea técnicamente viable

Este requisito por sí solo obligará a rediseñar una enorme cantidad de líneas de producto de cámaras.

2. Gestión de Vulnerabilidades (Mínimo 5 Años)

El Anexo I, Parte II obliga a los fabricantes a:

• Establecer una política de divulgación coordinada de vulnerabilidades (CVD)
• Ofrecer a los investigadores de seguridad un canal claro para notificar problemas
• Corregir vulnerabilidades sin demora durante todo el periodo de soporte
• Dar soporte al producto durante al menos 5 años desde la comercialización
• Notificar a ENISA las vulnerabilidades activamente explotadas en un plazo de 24 horas (esto entra en vigor el 11 de septiembre de 2026)

Cinco años de parches obligatorios supone un cambio importante para los fabricantes de cámaras acostumbrados a la política de "lanzar y olvidar".

3. Software Bill of Materials (SBOM)

Todos los componentes de software del firmware de tu cámara deben estar documentados: el núcleo Linux, las bibliotecas de streaming RTSP, el framework de la interfaz web, la pila TLS, todo. El SBOM debe:

• Utilizar un formato legible por máquina (CycloneDX o SPDX)
• Cubrir como mínimo las dependencias de primer nivel
• Formar parte de la documentación técnica
• Mantenerse actualizado durante todo el periodo de soporte

4. Mecanismo de Actualización Seguro

Las cámaras necesitan actualizaciones de firmware seguras y autenticadas:

• Distribuidas por canales cifrados
• Integridad del firmware verificada antes de la instalación
• Actualizaciones de seguridad automáticas habilitadas por defecto (los usuarios pueden desactivarlas)
• Capacidad de reversión recomendada

5. Minimización de Datos y Privacidad

Las cámaras que recopilan datos de vídeo deben:

• Procesar únicamente los datos necesarios para la función del producto
• Cifrar los datos almacenados y transmitidos
• Permitir a los usuarios eliminar sus datos de forma segura
• Proteger los datos en reposo frente al acceso físico

El Papel de Importadores y Distribuidores

Importadores: Eres el Guardián de la UE

Si importas cámaras desde fuera de la UE (y seamos honestos, la mayoría de las cámaras inteligentes se fabrican en Asia), el Artículo 19 te responsabiliza directamente. Eres personalmente responsable de verificar que el fabricante ha cumplido con todas sus obligaciones antes de que ese producto entre en el mercado de la UE.

Lista de verificación antes de comercializar una cámara en el mercado de la UE:

• [ ] El fabricante ha completado la evaluación de conformidad adecuada (Clase I)
• [ ] Existe una Declaración UE de Conformidad (DoC) con referencia a la CRA
• [ ] El marcado CE está correctamente aplicado
• [ ] La documentación técnica está disponible y es adecuada
• [ ] Los datos de contacto del fabricante figuran en el producto o embalaje
• [ ] El SBOM está disponible como parte de la documentación técnica

Si alguna comprobación falla, no puedes vender legalmente el producto. Debes informar al fabricante, y si existe un riesgo de ciberseguridad, notificarlo a las autoridades de vigilancia del mercado.

Sanciones para importadores: Hasta 10 millones EUR o el 2% de la facturación anual global (Artículo 64).

Distribuidores: Obligaciones Menores, Consecuencias Reales

Los distribuidores tienen menos que verificar con arreglo al Artículo 20, pero las obligaciones siguen siendo vinculantes:

• El marcado CE está presente en el producto
• El nombre y los datos de contacto del fabricante e importador son visibles
• Las condiciones de almacenamiento y transporte no comprometen el cumplimiento
• No comercializar productos que hayan dado indicios de no cumplimiento

Sanciones para distribuidores: Hasta 5 millones EUR o el 1% de la facturación anual global (Artículo 64).

La Trampa de la Marca Blanca

Atención: si importas una cámara y la vendes bajo tu propia marca, o si realizas modificaciones sustanciales en el firmware o los elementos digitales, la CRA te considera fabricante. Eso implica el conjunto completo de obligaciones del fabricante: evaluación de conformidad, SBOM, gestión de vulnerabilidades durante 5 años, todo.

Calendario de Cumplimiento

CALENDARIO CRA PARA CÁMARAS INTELIGENTES

11 sep 2026 ─── Comienzan las obligaciones de notificación de vulnerabilidades
                (Notificación a ENISA en 24h de explotación activa)

11 dic 2027 ─── Cumplimiento pleno de la CRA requerido
                (Todos los requisitos esenciales, evaluación de conformidad,
                 marcado CE, SBOM, documentación técnica)

Si fabricas o importas cámaras inteligentes y aún no has comenzado el trabajo de cumplimiento, ya vas tarde. Las normas armonizadas todavía están en desarrollo, los organismos notificados están llenando su agenda y diciembre de 2027 está más cerca de lo que parece.

Qué Hacer Ahora

Fabricantes

1. Clasifica tu producto. ¿Cámara de seguridad en un contexto de hogar inteligente? Eso es Clase I. El CCTV profesional puede quedar bajo el ámbito general de la CRA pero no necesariamente bajo el Ítem 17 del Anexo III.
2. Elimina las contraseñas predeterminadas. En toda tu línea de productos, ya.
3. Construye tu SBOM. En formato CycloneDX o SPDX. Empieza por el árbol de dependencias del firmware de tu cámara.
4. Establece una política CVD. Un archivo security.txt y un canal claro de notificación de vulnerabilidades.
5. Elige tu vía de conformidad. Sigue la evolución de CEN/CENELEC en materia de normas armonizadas. Si no van a estar listas a tiempo, habla con un organismo notificado cuanto antes.
6. Incorpora 5 años de soporte a tus costes. El parcheo continuo de seguridad ya no es opcional. Inclúyelo en tus márgenes.

Importadores

1. Audita a tus proveedores. Solicita evidencias de conformidad, SBOMs y Declaraciones de Conformidad a todos los fabricantes de cámaras con los que trabajas.
2. Actualiza tus contratos de compra. Añade cláusulas de cumplimiento de la CRA antes del plazo, no después.
3. Revisa tus productos de marca propia. ¿Vendes cámaras bajo tu nombre? Puede que seas el fabricante a efectos de la CRA.

Distribuidores

1. Identifica los productos Clase I en tu catálogo. Ten claro qué cámaras llevan requisitos de cumplimiento más exigentes.
2. Recoge las evidencias del marcado CE y la DoC de tu cadena de suministro.
3. Planifica procedimientos de retirada para los productos que no cumplan antes de diciembre de 2027.

Guías Relacionadas

• Guía de Clasificación de Productos CRA
• Guía de IoT y EN 303 645
• Requisitos de SBOM bajo el CRA

Fuentes Oficiales

• Reglamento (UE) 2024/2847 — Cyber Resilience Act (texto completo)
• Reglamento de Ejecución de la Comisión (UE) 2025/2392 — Descripciones técnicas de las categorías del Anexo III/IV
• Evaluación de Conformidad CRA — Estrategia Digital de la UE
• ENISA Threat Landscape 2020 — Botnet Report
• ENISA Threat Landscape 2025
• ENISA CRA Requirements Standards Mapping