Centrales de control de acceso: arquitecturas e integracion
IP o RS485: el umbral de cambio se situa en 50 puertas
La central de control de acceso no es un equipo de seguridad: es un activo de infraestructura SI regido por el RGPD artículo 5 e integrado en el LDAP, no por la doctrina de seguridad. Este replanteamiento lo cambia todo: una arquitectura redundada reduce drásticamente los riesgos de indisponibilidad frente a una solución monoservidor, con un impacto directo en la continuidad de la actividad. Una central gestiona de 50 a 5000 puertas mediante IP (TCP/IP sobre VLAN segmentada) o bus RS485 (32 lectores por bucle, 1200 m, TIA-485-A). Kytom interviene desde 2006, dimensiona de 8 a 12 lectores en una planta estándar e integra OPC UA o BACnet/IP para la GTE. El presupuesto representa entre el 3 y el 7% de las obras de acondicionamiento, articulado en tres capas: controladores físicos, centrales lógicas, integración SI.
IP o RS485: el umbral de cambio se sitúa en 50 puertas
Dos familias de arquitecturas estructuran el mercado del control de acceso terciario. El bus RS485 se limita a 32 lectores por bucle en 1200 m (especificación TIA-485-A), en topología monositio, con un coste de cableado sensiblemente inferior al de una arquitectura IP, una ventaja económica notable en perímetros pequeños. Sigue siendo pertinente en agencias de menos de 20 puertas: central única, lectores MIFARE DESFire EV2, alimentación de 12 o 24 V centralizada. La arquitectura IP soporta más de 5000 puertas en multisitio, distancias OM4 de hasta 150 m y OS2 kilométrica entre edificios (norma ISO/IEC 11801-1), con integración nativa (API REST, LDAP).
Al contrario que el discurso dominante de los integradores de seguridad, la IP no es siempre la respuesta correcta. Nuestra experiencia en sitios que han pasado de RS485 a IP es más matizada: la IP se vuelve imprescindible a partir de 50 puertas para la supervisión remota, las actualizaciones de firmware centralizadas y la redundancia nativa; por debajo, el retorno de la inversión no está garantizado. La conformidad con el RGPD artículo 5 impone una retención de los registros limitada a 3 meses sin justificación documentada (CNIL, Guía práctica de control de acceso y videovigilancia, actualización 2023).
Cuando la IP no es la respuesta correcta: por debajo de 20 puertas en un sitio monoedificio sin ampliación prevista, la IP genera un sobrecoste de infraestructura (switches PoE+ dedicados, VLAN, supervisión) que no se amortiza antes de 5 a 6 años. El RS485 sigue siendo entonces más rentable. Del mismo modo, en agencias remotas con poco ancho de banda (< 10 Mbps estable), una central IP centralizada sin un modo degradado local de respaldo degrada la experiencia de usuario en caso de corte WAN: es preferible una central autónoma local con sincronización periódica.
4 niveles de escalabilidad Kytom, desde la agencia de 50 puertas al clúster de 5000 puertas
La tabla de dimensionamiento de Kytom se articula en cuatro niveles progresivos, fruto de nuestra experiencia sobre el terreno en despliegues variados:
- Nivel 1 (1 a 50 puertas): central única sobre bus RS485, lectores MIFARE DESFire EV2, alimentación 12/24 V centralizada. Objetivo: agencias monositio.
- Nivel 2 (50 a 500 puertas): arquitectura IP con controladores remotos por planta, switches PoE+ dedicados, servidor de supervisión único. Objetivo: sedes de pymes.
- Nivel 3 (500 a 2000 puertas): redundancia central activa/pasiva, base de datos replicada, integración LDAP/Active Directory para la sincronización automática de las credenciales. Objetivo: empresas medianas multisitio.
- Nivel 4 (2000 a 5000 puertas): clúster de servidores, supervisión multisitio con failover geográfico, API REST para aplicaciones de negocio. Objetivo: grandes grupos.
Para el director de sistemas de información: la integración GTE es el verdadero reto de arquitectura, no la elección del lector. OPC UA (cifrado TLS, modelo orientado a objetos, especificación OPC Foundation UA Part 2 Security Model) o BACnet/IP (norma ASHRAE 135-2020) determinan la capacidad de federar control de acceso, GTE de climatización y supervisión energética bajo una consola única auditable. La tasa de compatibilidad BACnet/IP del parque de GTE terciario que Kytom encuentra en explotación es mayoritariamente elevada, abarcando la gran mayoría de los sitios auditados. El despliegue de un nivel 2 dura 12 semanas: auditoría de los flujos, cableado VDI dedicado, configuración de las zonas lógicas, formación de los administradores del lado del cliente. En cuanto al SLA, exigir contractualmente un MTTR 50 000 h en los controladores constituye el mínimo auditable para un departamento de SI.
Cuando la segmentación en 4 niveles no se aplica: para sitios con fuerte estacionalidad o de usos mixtos (coworking, espacios compartidos, campus universitarios) con más del 30% de credenciales de visitantes, la lógica de niveles basada en el número de puertas pasa a un segundo plano. El dimensionamiento debe partir entonces del volumen de credenciales activas simultáneamente (pico horario) y de la frecuencia de revocación, no del número de puertas. Un sitio de 80 puertas con 4000 credenciales de visitantes al mes exige una capacidad de servidor de nivel 3.
Continuidad eléctrica y conformidad RGPD: lo que el departamento de SI debe exigir a partir de 200 puertas
La disponibilidad del control de acceso depende directamente de la alimentación y de la segmentación de la red. Tres reglas de dimensionamiento se aplican en sitios de más de 200 puertas:
- UPS dedicado sistemático para la central y los controladores, autonomía de 10 a 30 minutos según la criticidad.
- VLAN segmentada de la VLAN ofimática, con reglas de firewall estrictas: 3 puertos TCP típicos para la supervisión, registro activado (recomendación ANSSI Guía de higiene informática, regla 22).
- Cableado de fibra OM4 multimodo hasta 150 m, OS2 monomodo para las distancias entre edificios (norma ISO/IEC 11801-1).
Para el departamento de SI y el DPO: el control de acceso es un dato personal en el sentido del RGPD artículo 4, no un registro técnico. Esta calificación impone un registro de las actividades de tratamiento (artículo 30), un análisis de impacto si los datos se cruzan con la videovigilancia, y una retención regulada (3 meses sin justificación documentada según las deliberaciones de la CNIL). La sincronización LDAP/Active Directory automatiza la creación de credenciales en la contratación y la revocación en menos de 15 minutos en la salida, punto clave de conformidad: sin esta automatización, el plazo de revocación manual constatado en nuestras auditorías supera con frecuencia varios días, es decir, un riesgo de acceso posterior a la salida documentado.
En cuanto a la explotación, el control de acceso centralizado contribuye a reducir significativamente los incidentes de seguridad física en los primeros meses tras el despliegue, con marcado de tiempo al segundo en los accesos sensibles. Un Office Manager puede gestionar el conjunto de los colaboradores desde una consola única, reduciendo fuertemente la carga administrativa frente a una gestión puerta por puerta.
Cuando el UPS dedicado no se justifica: por debajo de 200 puertas en un sitio monoedificio conectado a un ondulador de edificio de capacidad suficiente (> 30 minutos de autonomía verificada), un UPS dedicado al control de acceso puede representar un sobrecoste difícil de amortizar, a evaluar caso por caso.
Preguntas frecuentes
¿A partir de cuántas puertas hay que pasar del RS485 a una arquitectura IP?
El umbral de cambio se sitúa en torno a 50 puertas. Por debajo, el RS485 sigue siendo rentable gracias a un coste de cableado significativamente inferior. Por encima, la IP se vuelve imprescindible para la supervisión remota, las actualizaciones de firmware centralizadas y la redundancia nativa, con un sobrecoste amortizado en 24 a 36 meses. Excepción: sitios monoedificio de menos de 20 puertas sin ampliación prevista, donde el RS485 sigue siendo más pertinente.