En el IV Foro de Ciberseguridad de Retina, en un espacio industrial reconvertido, se abrió un debate sobre lo que hoy puede paralizarnos como país. «Vamos a hablar de infraestructura crítica, seguridad híbrida y resiliencia.» Con esas palabras abrió Jaime García Cantero, director de Retina, una mesa redonda con tres directivos que gestionan infraestructura crítica desde ángulos muy distintos: telecomunicaciones, ciberseguridad y banca.
Un ejemplo ilustra la relevancia de la transformación que está en marcha. Las torres de telecomunicación de Cellnex, 120.000 repartidas por diez países europeos, están siendo evaluadas para albergar sistemas antidrones. Para identificar comportamientos anómalos en zonas fronterizas. Para disparar alarmas en centros de mando cuando sucede algo fuera de lo normal. Una infraestructura civil construida para telecomunicaciones que se convierte, sin dejar de ser lo que era, en parte del dispositivo de defensa del territorio. Eso no estaba en ningún manual de infraestructura crítica hace diez años. Y es la señal más clara de que la frontera entre infraestructura civil y militar ha desaparecido.
Óscar Pallarols, director de Negocio de Servicios Verticales de Cellnex, lo cuenta desde dentro. Cellnex tiene una línea de negocio específica de misión crítica para administraciones públicas. No es una posibilidad que se evalúa, es parte de lo que ya hacen.
Hay una segunda frontera, dentro del propio activo, que también se ha diluido. Una torre de comunicaciones es un activo físico anclado al territorio, pero las redes que la gestionan no solo transmiten datos. Gestionan los propios equipos. Desde una plataforma remota se pueden cambiar parámetros de radiación de una antena. Si alguien accede a esa plataforma con otros propósitos, el activo digital se convierte en mecanismo de control del activo físico, y el sabotaje queda a un clic.
Roberto Espina, director global de Ciberseguridad de IndraMind Cybersecurity, lo ve desde otra trinchera. Su división, dentro de Indra Group, declara como misión desarrollar inteligencia artificial soberana para la protección de ciudadanos, territorios e infraestructuras críticas. No es retórica corporativa: es exactamente el debate que esta mesa plantea.
Espina describe el mismo fenómeno en el sector energético: plantas de generación con sistemas que llevan treinta o cuarenta años operando de forma aislada, conectadas ahora a redes modernas sin haber sido diseñadas para ello. La modernización los expone de golpe. El punto más vulnerable no es el más visible: en energía es el OT, la tecnología operacional que controla los equipos físicos. En sanidad son los datos de pacientes, cuyo cifrado y secuestro puede paralizar un hospital. El vector de ataque cambia según el sector. La lógica no.
Esto deja una pregunta abierta: ¿qué es crítico? Un activo no es crítico por su valor intrínseco sino por lo que paraliza cuando falla. Cuando cae un centro de datos, millones de personas no pueden pagar. No es un incidente de seguridad, es una interrupción de la actividad que los ciudadanos dan por garantizada. Lo mínimo necesario para seguir operando es lo que define la criticidad. Y un ataque que lo alcanza tiene dos efectos: uno inmediato y visible, el daño que hay que contener, y otro persistente y silencioso, la degradación de la capacidad de respuesta futura. El segundo se ignora casi siempre. Y esa capacidad de respuesta no solo se degrada por ataques: también se erosiona cuando la infraestructura comercial colapsa por causas naturales.
La DANA de Valencia dejó otra lección en el mismo sentido. Pallarols alerta que en España hemos perdido capacidad para avisar a la población a través de canales que no dependan de redes comerciales. El sistema de alertas vía cell broadcasting existe y tiene una penetración altísima, pero no está garantizado ni explotado como debería. Cuando la infraestructura comercial colapsa, los mecanismos de aviso colapsan con ella. Seguir operando incluye mantener abiertas las comunicaciones.
Poder comunicar cuando todo falla obliga a una pregunta más amplia: de qué depende cada decisión que tomamos. Y ahí converge la idea de resiliencia con la de soberanía.
El debate público confunde soberanía con propiedad. Si fabricamos el componente, somos soberanos. Si no lo fabricamos, dependemos. Es una ecuación simple y equivocada.
Un país puede fabricar su router y no poder decidir nada si el protocolo, el estándar o el proveedor de actualizaciones es externo. La propiedad del hardware no garantiza autonomía de decisión. Lo que la garantiza es tener alternativas operativas: que su funcionamiento no dependa de un tercero.
Estas alternativas no son un concepto abstracto. Tienen forma concreta. La red de seguridad ciudadana que describe Pallarols (fibra, radio, satélite y equipos dedicados) es exactamente eso. No es redundancia por capricho de ingeniería. Es la garantía de que cuando la red comercial falla, hay capacidad de decisión. Cuando la red colapsó en Barcelona durante los atentados de las Ramblas de agosto de 2017, la única que siguió operando para los cuerpos de seguridad fue la diseñada para el peor caso. Las organizaciones con alternativas operativas mantuvieron capacidad. Las que dependían de una sola red, no.
El mismo principio aparece en otro sector y a otra escala. El apagón ibérico de abril de 2025 repite la lección. Los hospitales que mantuvieron quirófanos y UCI lo hicieron porque tenían sistemas de respaldo autónomos. No porque el sistema eléctrico fuera más robusto para ellos, sino porque habían tomado una decisión de inversión antes de que la crisis llegara.
Pero las alternativas operativas no agotan la cuestión. Hay un tipo de dependencia que no se resuelve con redundancia técnica: la que conecta un sector con otro. Jesús García del Valle, CISO de Santander España, amplía la perspectiva y ofrece un gran angular. Los bancos no operan en un silo. Dependen de las telecomunicaciones para sus transacciones, de la nube para sus sistemas y de la energía para todo lo demás. Cuando una de esas dependencias falla, el impacto no es técnico, es social: millones de personas sin acceso a su dinero.
La defensa, por tanto, mira tanto a proveedores como a clientes. Asume que en algún punto fallará. La cuestión es cómo contenerlo. Por eso la concienciación se extiende al cliente con formatos que van más allá del aviso bancario: Titania, un podcast de ficción sobre ciberfraude que ha cosechado varios premios, o Cyber Heroes, un curso interactivo accesible a cualquier ciudadano, no solo a clientes. No se trata de informar, se trata de cambiar comportamientos.
«Lo importante es siempre cuestionar ese sentimiento de urgencia o de acción. Ese es el detonador. Entrenamos al cliente para que se detenga», señala Jesús García del Valle, CISO de Santander España.
En ese modelo, el objetivo no es proteger el activo sino a la persona. El usuario no es el eslabón débil, es el principal motor de la resiliencia, si se le forma y se le implica.
Lo que vale para el cliente vale para el país. Una sociedad consciente del riesgo es la base de cualquier estrategia de resiliencia colectiva. Y esa lógica desemboca en una pregunta política: la de la soberanía.
«Estos debates no son debates de ingeniería, no son debates de prestaciones tecnológicas, son debates más profundos de cuál es el nivel de gestión del riesgo que queremos asumir», apunta Óscar Pallarols, director de Negocio de Servicios Verticales de Cellnex.
Soberanía no es tener tecnología propia. Es haber construido la alternativa antes de necesitarla. De estas piezas, frontera difusa, criticidad redefinida y soberanía como capacidad de elegir, emerge una forma distinta de entender la infraestructura crítica. El modelo antiguo protegía activos físicos mediante defensa perimetral, anclado en la propiedad, la seguridad y la eficiencia. El emergente sostiene un ecosistema sociotécnico, donde importan la continuidad operativa, la opcionalidad, la resiliencia y la robustez. No es una sustitución, es un desplazamiento del centro de gravedad.
Lo que hace emergente el riesgo ahora no es que exista, siempre existió, sino la velocidad a la que se materializa. La brecha entre el momento en que se detecta una vulnerabilidad y el momento en que se explota se ha reducido hasta hacer inviable la respuesta manual en muchos casos. La automatización de la respuesta no es una elección de diseño. Es una necesidad operativa.
Esa velocidad la empujan tres factores. La convergencia entre lo físico y lo digital, que no para de acelerarse: cada sistema que se conecta amplía la superficie de ataque. La densidad tecnológica: una máquina industrial aislada tiene una superficie de riesgo acotada; sensorizada y conectada a otras máquinas, esa superficie no suma, sino que multiplica. Hay una paradoja aquí que el debate no nombra pero que lo atraviesa: la eficiencia extrema elimina redundancias, y las redundancias son exactamente lo que permite sobrevivir a un fallo sistémico. Optimizar y proteger son objetivos en tensión permanente. Y la geopolítica, que convierte vulnerabilidades teóricas en vectores de ataque con recursos de Estado detrás.
Es la combinación de los tres factores lo que convierte un riesgo que existía en uno que ya no puede ignorarse.
Pasar de un 99,9% a un 99,999% de disponibilidad cuesta un orden de magnitud más. Pero nadie ha calculado cuánto cuesta el fallo sistémico que ese salto previene.
El apagón ibérico de abril de 2025 es un recordatorio cercano de ese coste no calculado. Y de quién acaba pagándolo. Existe una desconexión entre quien genera el riesgo sistémico y quien lo asume. Las empresas que crean dependencia no internalizan su coste. Lo hace el ciudadano. El mecanismo para corregirlo puede tomar distintas formas: regulación que obligue a internalizar el riesgo, seguros obligatorios que pongan precio a la exposición y responsabilidad civil que traslade el coste del fallo a quien lo genera.
Espina apunta a algo menos evidente: la herramienta que se despliega para defenderse puede convertirse en el problema. Muchas organizaciones están desplegando inteligencia artificial demasiado rápido y descuidando su gobernanza y su securización. La paradoja es que la herramienta de defensa se convierte en vector de ataque.
«Estamos ayudando a nuestros clientes a proteger sus soluciones de inteligencia artificial. Están poniendo muchas veces demasiado rápido lo que parece muy sencillo, descuidando dos aspectos: el gobierno de la inteligencia artificial y la securización de las soluciones», explica Roberto Espina, director global de Ciberseguridad de IndraMind Cybersecurity.
La rapidez con la que se introducen estas tecnologías sin construir bien sus condiciones de uso refleja un patrón más amplio. Vamos por detrás del riesgo. España necesita invertir en capacidades propias de resiliencia. No se invierte lo suficiente. Y el riesgo, todavía, no se percibe en su dimensión real.
Cambiar esa percepción exige una transformación urgente en la forma de entender lo que sostiene a un país.
La infraestructura crítica ya no es un conjunto de activos que se protegen. Es un sistema vivo que hay que sostener. Híbrido, interdependiente, imposible de defender en silos. Lo que importa ya no es tanto qué se posee como qué se puede seguir haciendo cuando todo falla.