Durante años, cuando se hablaba de amenazas contra las infraestructuras críticas, el panorama era bastante claro: el terrorismo yihadista por un lado, la ciberdelincuencia por otro, y un sistema de protección que fue madurando para dar respuesta a ambos. Nadie discutía ese diagnóstico. Lo que ocurre es que ese panorama ha cambiado, y lo ha hecho con mayor celeridad de la que muchos esperaban.
Desde 2022, la geopolítica ha dejado de ser un elemento de contexto para convertirse en un factor de riesgo directo. El conflicto desatado en febrero de este año entre Estados Unidos, Israel e Irán lo ha puesto en evidencia sin necesidad de argumentos. En pocas horas, una crisis iniciada a miles de kilómetros de aquí repercutió en el precio de la energía, alteró la estabilidad de las rutas marítimas y elevó el nivel de actividad hostil en el ciberespacio. Nadie decidió atacar a España. Sencillamente, vivimos en un mundo tan interconectado que no hace falta dirigir el golpe contra un país concreto para que sus consecuencias le alcancen.
Claves del Sistema PIC
Cuando comenzaron los ataques, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) remitió de inmediato a todos los operadores críticos una nota informativa con instrucciones de carácter preventivo. No existía en ese momento ninguna amenaza confirmada contra infraestructuras nacionales. Sin embargo, la trayectoria del régimen iraní y de los grupos que actúan bajo su influencia dejaba claro que aguardar a disponer de indicios concretos era arriesgarse a llegar tarde. Esa capacidad de anticipación es, en buena medida, lo que sostiene el funcionamiento del sistema. La Ley 8/2011 y el trabajo acumulado en más de una década de coordinación con los operadores han generado una relación de confianza que permite activar el sistema con rapidez cuando las circunstancias lo exigen. Sin esa base previa, ninguna nota informativa llega a tiempo ni en las condiciones adecuadas para ser útil.
Vivimos en un mundo tan interconectado que no hace falta dirigir el golpe contra un país concreto para que sus consecuencias le alcancen
Ahora bien, también hay que reconocer que las crisis de origen geopolítico ponen a prueba los límites de cualquier sistema. Se propagan con rapidez, afectan a numerosos sectores simultáneamente y rara vez se ajustan a los guiones que los planes de resiliencia tenían previstos. Eso obliga a revisar de manera continua los supuestos sobre los que trabaja el sistema y a asumir que la adaptación no es una fase del proceso, sino una condición permanente.
Sectores más expuestos
En cuanto a los sectores con mayor exposición, el energético ocupa, sin duda, el centro de la preocupación actual. La dependencia europea del gas natural licuado procedente de regiones inestables es una vulnerabilidad estructural que ningún operador puede resolver por sí solo. Cuando el estrecho de Ormuz se cierra o las rutas de suministro se ven alteradas, el impacto acaba llegando a las facturas domésticas, a la industria y a los servicios públicos que necesitan del suministro eléctrico para funcionar. Las redes de distribución eléctrica y gasística, además, tienen una capacidad de generar efectos en cadena que las convierte en el principal objetivo para cualquier actor que pretenda causar daño con el menor esfuerzo posible.
El transporte tampoco queda al margen de esta preocupación. Los aeropuertos son instalaciones de gran visibilidad simbólica, y el uso de drones para perturbar sus operaciones está ya al alcance de cualquiera; sería un error seguir tratándolo como una amenaza secundaria. Los puertos, en particular los de Algeciras, Valencia y Barcelona, son nodos logísticos cuya alteración arrastra consecuencias por toda la cadena de suministro nacional. Del mismo modo, el sector ferroviario resulta cada vez más vulnerable a perturbaciones de origen cibernético, dada su creciente dependencia de sistemas digitales de gestión y señalización que pueden verse comprometidos sin necesidad de presencia física.
Con todo, el sector que menos aparece en los análisis de amenaza y que más merece una atención sostenida es el del ciclo del agua. Los ataques sobre plantas de potabilización o redes de distribución pueden dejar a grandes ciudades sin abastecimiento en pocas horas. Y, aunque la probabilidad de una contaminación deliberada sea reducida, las consecuencias sobre la salud pública son suficientemente graves como para que nunca deje de estar en el punto de mira.
La transposición de la Directiva CER aporta una base regulatoria ajustada al escenario actual, pero las normas, por sí solas, no protegen nada
Consolidación de amenazas
Hace unos años, la amenaza híbrida parecía cosa de otros países o de ejercicios de planificación sobre el papel. Ya no es así. Los conflictos en Ucrania y en Oriente Medio han normalizado la combinación de acciones físicas y cibernéticas para multiplicar el impacto y dificultar la atribución de responsabilidades. La inteligencia artificial está poniendo esas capacidades al alcance de actores que antes no podían ni planteárselo. Todo ello tiene una consecuencia muy concreta para los operadores de infraestructuras críticas: seguir gestionando la seguridad física por un lado y la ciberseguridad por otro ha dejado de ser una opción razonable. Los incidentes registrados en distintos países europeos durante los últimos meses lo ponen de manifiesto: las brechas que se explotan no son las técnicamente más sofisticadas, sino las que existen entre departamentos que no se coordinan entre sí.
El CNPIC trabaja para adaptar el sistema a esta nueva realidad. La transposición de la Directiva CER aporta una base regulatoria más ajustada al escenario actual, pero las normas, por sí solas, no protegen nada. Lo que protege es el trabajo diario con los operadores, el intercambio real de información sobre amenazas y la capacidad de ensayar respuestas conjuntas antes de que sea necesario ponerlas en práctica.
Lo que estos meses han dejado claro es sencillo de enunciar, aunque no tan fácil de llevar a la práctica: proteger las infraestructuras críticas ya no consiste solo en asegurar perímetros o en disponer de buenos planes de contingencia. Consiste en comprender que lo que ocurre lejos puede volverse cercano en muy poco tiempo y en tener el sistema preparado para responder antes de que eso suceda. En eso estamos trabajando.
