Robot de seguridad ONVIF: central sin parches
Robots de seguridad ONVIF se conectan a Genetec, Milestone y Bosch BVMS. Perfiles S, T y M, conformes NIS-2, integración en 48 horas.
Robot de seguridad ONVIF: central sin parches
Quien opera una central con Genetec, Milestone o Bosch no quiere una segunda ventana de operación. Un robot autónomo de patrulla debe integrarse en la misma interfaz VMS que una cámara fija. Para eso existe ONVIF. El siguiente artículo expone lo que el estándar logra, dónde termina y en qué plazo un QR-2 o QR-3 entra en producción.
Robot de seguridad ONVIF: por qué el estándar decide la integración
ONVIF es desde 2008 el lenguaje abierto entre cámara, VMS y central. [Fuente requerida, insertar enlace externo a la historia fundacional de ONVIF] Hoy hay más de 30.000 perfiles de dispositivo certificados. [Fuente requerida, insertar enlace externo a la base de datos de productos ONVIF] Quien ignora este estándar construye islas.
Un robot de seguridad sin conformidad ONVIF impone dos consecuencias en la central. Primera: una interfaz paralela junto al VMS. Segunda: doble carga para el operador, porque las alarmas llegan desde dos sistemas y deben confirmarse en ambos. Las dos suben el tiempo de reacción. Se añade el esfuerzo formativo en cada relevo de personal.
Los robots Quarero QR-1, QR-2 y QR-3 implementan los perfiles ONVIF S, T y M en cada capa de sensor. QR-1 cubre el interior, QR-2 el perímetro exterior con sensor térmico, QR-3 instalaciones KRITIS con LiDAR. Resultado: el robot aparece en el VMS como cámara móvil con overlay de telemetría. Posición GPS, nivel de batería y estado de patrulla viajan como metadatos en el mismo stream.
El tiempo de integración baja así de las seis semanas típicas (que exigen los stacks robóticos propietarios) a 48 horas. Un día de ingeniero más prueba de aceptación, nada más.
Paso siguiente: detalles técnicos del robot exterior QR-2 con sensor térmico.
Perfiles S, T y M: qué aporta el estándar en concreto
Los tres perfiles cubren juntos todo lo que una central necesita de un sensor móvil.
Perfil S regula el streaming en vivo vía RTSP, comandos PTZ y el canal de audio de retorno. Con él, un operador conmuta el robot como una domo PTZ, mueve la cámara y habla directamente a las personas. Sin interfaz especial, sin auriculares adicionales.
Perfil T añade códec H.265, alarmas de movimiento y metadatos bidireccionales. El coste de ancho de banda cae alrededor del 40 por ciento frente a H.264. [Fuente requerida, insertar enlace externo a benchmark ONVIF o de códec] Las alarmas de movimiento se publican directamente desde el robot como Event-Topic, el VMS las suscribe.
Perfil M cubre metadatos de analítica, incluida clasificación de objetos y coordenadas geográficas. Aquí aparece la especificidad robótica. QR-2 envía detecciones térmicas como eventos Profile-M con posición GPS, valor de confianza y etiqueta de clasificador (persona, vehículo, animal). QR-3 aporta además detecciones de drones basadas en LiDAR como metadatos estructurados, con altura de vuelo y vector.
La central prioriza estas alarmas según las mismas reglas que rigen para las cámaras fijas. Una persona en zona restringida a las 02:14 genera en el VMS un pop-up idéntico, sin importar si la detección viene de una cámara de mástil o de un QR-3.
Detalles sobre la sensórica LiDAR: QR-3 para KRITIS con LiDAR y detección de drones.
Plataformas VMS y PSIM compatibles en el mercado DACH
Las cuatro plataformas VMS líderes en el espacio DACH integran robots Quarero sin adaptación.
Genetec Security Center acepta el robot como ONVIF-Camera-Profile-Device. Añadir, introducir IP, credenciales, listo. El stream aparece en el Monitoring Desktop, los eventos entran en el Action Manager estándar.
Milestone XProtect reconoce el robot como Hardware-Device con geoposición dinámica. La XProtect Smart Map muestra el robot como icono móvil, un clic lleva al stream en vivo. Disponible desde XProtect Corporate 2022 R2.
Bosch BVMS desde la versión 11.0 y Axxon Next desde 4.6 usan eventos Profile-T para cadenas de reglas. Una detección de dron del QR-3 dispara allí automáticamente una secuencia predefinida: conmutación a la posición de operador 2, alarma al jefe de guardia, activación de grabación.
En sistemas PSIM como Advancis WinGuard el robot corre como capa de sensor georreferenciada. WinGuard visualiza la ruta de patrulla en el plano de situación y correlaciona los eventos del robot con control de accesos y centralita de incendios.
Importante: no hace falta middleware propietario. Ni costes de licencia por conectores adicionales. El driver ONVIF viene incluido en cada licencia estándar de los VMS citados.
Arquitectura de eventos: del sensor a la acción en la central
La cadena de la detección a la acción del operador transcurre en cuatro pasos definidos.
- La detección en el robot genera un evento ONVIF con topic (ejemplo:
tns1:RuleEngine/CellMotionDetector/Motion), timestamp, coordenadas geográficas y payload (clasificador, confianza, bounding box). - El evento dispara en el VMS una regla de workflow predefinida. Incluye pop-up en el monitor del operador, conmutación automática del stream en vivo, activación del aviso por audio y SMS paralelo al responsable de guardia.
- El operador confirma en la misma máscara con la que opera las cámaras fijas. La doble formación queda fuera.
- El audit-trail se lleva en el VMS: quién confirmó qué alarma, cuándo, qué acción siguió, cuándo se cerró el incidente.
Este audit-trail cumple las obligaciones de registro según el módulo BSI-Grundschutz OPS.1.1.5 (Protokollierung). En instalaciones KRITIS la cadena cumple además las obligaciones de notificación según el borrador del KRITIS-Dachgesetz, que define obligaciones de registro y notificación para los operadores de instalaciones críticas. Qué instalaciones caen bajo este marco lo regula la KritisV.
Paso siguiente: revisar al detalle las obligaciones NIS-2 para operadores.
Red, ciberseguridad y conformidad NIS-2
Un robot en la red es un activo OT. Debe cumplir los mismos requisitos que cualquier PLC o cámara.
La comunicación ONVIF corre en Quarero sobre TLS 1.3 con autenticación basada en certificados. Los streams en plaintext están desactivados en la configuración de fábrica. Quien quiera Perfil S sin cifrado debe habilitarlo de forma explícita, lo cual no recomendamos en clientes KRITIS.
Los robots Quarero soportan IEEE 802.1X para autenticación de puerto en la red OT. Con ello el robot se autentica vía RADIUS contra el Active Directory. Un puerto de switch abierto como vía de entrada queda fuera. La segmentación por VLAN separa la telemetría del robot del tráfico de oficina. Recomendación: VLAN propio para robótica, separado del de VMS, y entre ambos una regla de firewall con whitelist ONVIF explícita.
La Directiva NIS-2 exige una notificación inicial de incidentes en un plazo de 24 horas (Art. 23 ap. 4 letra a NIS-2-RL). Ambos puntos (inventario de activos y notificación de incidentes) se derivan del VMS, siempre que el robot figure allí como dispositivo regular. Esa es la ventaja de la arquitectura ONVIF frente a los stacks propietarios.
Las pruebas de penetración según directrices BSI forman parte del onboarding de cada contrato RaaS. Entregamos el informe en la forma que acepta un auditor NIS-2.
Costes: robot ONVIF en comparación TCO
El cálculo de costes es sobrio. Un puesto humano 24/7 cuesta en el espacio DACH entre 15.000 y 25.000 euros brutos al mes [datos sectoriales BDSW]. Incluye factor de turno 4,2, cargas sociales, recargos de convenio y sustitución por vacaciones.
Un QR-2 como sensor ONVIF en la central cuesta 3.500 euros al mes en modelo RaaS. Incluye hardware, mantenimiento, actualizaciones de software, parches ciber, seguro y equipo de sustitución en caso de avería.
Sin inversión adicional en conectores, porque el estándar ONVIF ya está incluido en la licencia VMS. El esfuerzo de integración es de dos jornadas-persona como máximo por emplazamiento, calculadas con un administrador VMS experimentado.
Duración mínima del contrato: 24 meses. Cancelación posterior trimestral. Sin vendor-lock-in más allá del estándar. Dispositivos sucesivos de otros fabricantes con conformidad ONVIF también se pueden integrar.
Comparativa detallada: coste del servicio de vigilancia comparado y el modelo Robotics-as-a-Service.
Hoja de ruta de integración en cinco pasos
El orden es fijo, la duración depende del parque VMS existente.
Paso 1: inventario. Qué versión VMS corre, qué perfiles ONVIF están licenciados, qué switch llevará el futuro VLAN del robot. Duración: media jornada en remoto.
Paso 2: definir segmento de red. Fijar VLAN-ID, habilitar reglas de firewall (puertos 80, 443, 554, 3702 para WS-Discovery, más puertos de eventos). Depositar perfil 802.1X en el RADIUS. Duración: un día.
Paso 3: añadir el robot en el VMS. Abrir Device-Wizard, introducir IP, credenciales, selección de perfil. Probar stream y eventos. En Genetec y Milestone resuelto en unos 20 minutos.
Paso 4: definir reglas de workflow. Qué evento dispara qué acción, qué cadena de escalada actúa ante alarma de dron, quién recibe aviso y cuándo. Coordinación con el jefe de central y el responsable de guardia. Duración: media jornada.
Paso 5: prueba de aceptación. Incidentes simulados (persona en zona restringida, dron en aproximación, foco térmico de incendio), cronómetro de detección a confirmación. Traspaso a régimen regular. Duración: un día.
Duración total desde la firma del contrato: 48 horas con infraestructura preparada, hasta cinco días laborables con topología de red compleja.
Caso práctico con setup híbrido: TCO híbrido en parque industrial.
Límites del estándar y extensiones propietarias de Quarero
ONVIF es un lenguaje de cámaras. Quien aplica el estándar a robótica choca con límites claros.
ONVIF no cubre la gestión de estaciones de carga ni la planificación de rutas. Un robot debe saber cuándo vuelve a la estación de docking, qué ruta toma y cómo esquiva obstáculos. Para eso existe la API Quarero vía REST y MQTT, separada del stack ONVIF.
La coordinación multi-robot compleja corre sobre una capa de orquestación aparte. Si dos QR-2 y un QR-3 patrullan en el mismo recinto, una lógica decide qué robot acude a qué alarma. ONVIF no lo resuelve, el Quarero Fleet Manager sí.
Las secuencias de defensa antidrón requieren cadenas de comandos propietarias más allá del Perfil T. Tracking LiDAR, clasificación, escalada a autoridades: todo corre sobre APIs propias, porque el estándar no define topics para ello.
La exportación de datos para análisis forense sigue además directrices BSI para preservación de pruebas (valores hash, firma de timestamp, chain-of-custody sin interrupciones). Aquí el ONVIF-Recording-Service no basta.
Los requisitos de seguridad sobre la plataforma misma los regula la EN ISO 13482 para robots de cuidado personal y de servicio, aplicable a plataformas autónomas de patrulla.
Importante: estándar y extensión están claramente separados. Quien solo quiera usar la capa ONVIF puede hacerlo. Quien use la API Quarero completa conserva en paralelo la integración VMS. La capa ONVIF queda verificable en cada test de conformidad.
Quien quiera comprobar si su propio VMS admite un QR-2 o QR-3 en 48 horas debería empezar por un inventario. Enviamos un ingeniero dos días a su central, documentamos la conexión y entregamos el informe de prueba. Solicitar piloto para su emplazamiento.